Newsletter Februar 2012
Themen:
Herzlich Willkommen!
Seit nunmehr einem Jahr ist die datenschutz cert in der bremischen Überseestadt beheimatet - rückblickend ein guter Schritt in eine spannende Umgebung. Spannend seither auch die Themen, die uns beschäftigen. Einige möchten wir in diesem Newsletter vorstellen.
Themen:
Unsere neue Homepage - schneller finden, was Sie suchen
Es ist nicht leicht, bei der Suche nach Datenschutzaudits oder Zertifizierungsmöglichkeiten im Internet den Überblick zu behalten. Damit Sie schneller finden, was Sie benötigen, haben wir unseren Webauftritt übersichtlicher gestaltet. Im Zentrum unserer Tätigkeit steht die Frage "Was können wir für Sie tun?". Dies finden Sie nun auch auf den neuen Webseiten. Wir zeigen Ihnen Möglichkeiten, Vorteile und Vorgehen der Zertifizierungen und Prüfungen auf.
In der Rubrik "Prüfstelle IT-Sicherheit" finden Sie zudem kompakte Informationen zu Datenschutzaudits, IT-Grundschutz oder Common Criteria. Als Prüfstelle führen wir für Sie Auditierungen nach zahlreichen anerkannten Standards in Sachen Datenschutz und Datensicherheit durch und unterstützen Sie auf dem Weg zu einem Zertifikat oder Gütesiegel.
In der Rubrik "Zertifizierungsstelle" bekommen Sie auf einen Blick alle relevanten Informationen über Zertifizierungsmöglichkeiten - von ISO 27001 über Internetgütesiegel bis hin zur zertifizierten Auftragsdatenverarbeitung.
Wir hoffen, dass Ihnen unsere neuen Seiten gefallen und wünschen Ihnen viel Spaß beim Stöbern!
Mehr Rechtssicherheit zur Auftragsdatenverarbeitung
Bei ausgelagerten Dienstleistungen (Outsourcing) fordert der Gesetzgeber vom Auftraggeber die Kontrolle der technisch-organisatorischen Sicherheitsmaßnahmen beim Dienstleister, soweit hierbei personenbezogene Daten verarbeitet werden (§ 11 BDSG sowie § 80 SGB X bei der Verarbeitung von Sozialdaten). Zu der Frage, ob sich der Auftraggeber bei diesen Kontrollen auf ein entsprechendes Zertifikat verlassen kann, gibt es nun mehr Rechtssicherheit.
In einem Fall ging es um Google Analytics, was datenschutz-rechtlich als Auftragsdatenverarbeitung angesehen wird. Dadurch muss ein Webseiten-Betreiber, der Google Analytics einsetzt, mit Google Inc. einen Vertrag zur Auftragsdatenverarbeitung abschließen und regelmäßige Kontrollen bei Google durchführen. Gerade der letzte Punkt hat zu massiven praktischen Problemen geführt. Googles Angebot, sich die Umsetzung von technisch-organisatorischen Maßnahmen von einer unabhängigen Instanz in einem Testat bestätigen zu lassen, wurde nunmehr von der zuständigen Aufsichtsbehörde, dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, bestätigt.
Eine weitere zitierfähige Quelle ist die Orientierungshilfe der Aufsichtsbehörden zum Cloud Computing. Hier heißt es, dass "der Cloud-Anwender […] verantwortliche Stelle" im datenschutz-rechtlichen Sinne bleibt und dass er "sich als Auftraggeber nach § 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Cloud-Anbieter als Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen" hat. Ausdrücklich nennt die Orientierungshilfe dazu ein "Zertifizierungs- bzw. Gütesiegelverfahren zu Fragen des Datenschutzes und der Datensicherheit […] einer unabhängigen und kompetenten Prüfstelle". Die "Orientierungshilfe - Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder" in Version 1.0 vom 26.09.2011 ist abrufbar unter: http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf.
Ein unabhängiges und nachhaltiges Zertifikat zur
Auftragsdatenverarbeitung bietet insofern angesichts der jüngsten
Äusserungen mehr Rechtssicherheit. Wir bieten Ihnen die Zertifizierung
der Auftragsdatenverarbeitung an - zuverlässig und kompetent.
Algorithmenkatalog
Der neue Algorithmenkatalog ist Ende 2011 von der Bundesnetzagentur veröffentlicht worden. Inhaltlich haben sich hinsichtlich der Schlüssellängen keine Veränderungen ergeben; die bisherigen Grenzen wurden um ein Jahr bis 2018 verlängert. Veränderungen gab es hinsichtlich der Erzeugung von Zufallszahlen - hier liegen überarbeitete Anwendungshinweise AIS 20 und AIS 31 vor. Zudem wird hinsichtlich der Beweiswerterhaltung qualifizierter elektronischer Signaturen im Algorithmenkatalog 2012 auf die Technische Richtlinie TR-ESOR verwiesen.
Neben dem Algorithmenkatalog der Bundesnetzagentur bietet das BSI in der Technischen Richtlinie BSI TR-02102 Empfehlungen zu kryptographisch geeigneten Verfahren und Schlüssellängen (www.bsi.bund.de).
Prüfung qualifizierter elektronischer Signaturen
§ 15 Abs. 2 Nr. 2b SigV fordert bei der Prüfung einer qualifizierten elektronischen Signatur, dass "eindeutig erkennbar wird, ob die nachgeprüften qualifizierten Zertifikate im jeweiligen Zertifikatsverzeichnis zum angegebenen Zeitpunkt vorhanden und nicht gesperrt waren".
Einen Aspekt hieraus möchten wir aus gegebenem Anlass besonders beleuchten, nämlich den Passus "im jeweiligen Zertifikatsverzeichnis […] vorhanden".
Konsens in der Arbeitsgemeinschaft anerkannter Bestätigungsstellen bei der Bundesnetzagentur (AGAB) ist, dass diese signaturrechtliche Anforderung nur durch eine OCSP (Online Certificate Status Protocol)-Überprüfung realisierbar ist und dass eine alleinige Konsultation einer Sperrliste (Certificate Revocation List - CRL) plus Download des Zertifikats via LDAP nicht ausreicht, weil LDAP an dieser Stelle keine sichere Verbindung darstellt. Hintergrund der Diskussion in der AGAB war hier der DigiNotar-Fall in den Niederlanden.
Smart Metering und Energiewende
Die Energiewende ist beschlossen! Das Energiekonzept der Bundesregierung sieht zur Steuerung des Energiebedarfs und -angebots die Einbindung der Verbrauchszähler - wie Strom- und Gaszähler - in ein Kommunikationsnetz vor. Diese ermöglichen eine aktivere Teilnahme des Endverbrauchers am Energiemarkt, aber auch das Fernauslesen der Zählerstände für Berechtigte. Zur Wahrung der Persönlichkeitsrechte sowie zur Verhinderung von Missbrauch sind hohe Anforderungen an die Sicherheit dieser "intelligenten Messsysteme" (Smart Meter) zu stellen.
Die Herausforderungen sind anspruchsvoll:
- Die Messstellenbetreiber benötigten unverfälschte Daten über Verbrauch bzw. Einspeisung.
- Die effiziente und dynamische Lastregelung eines dezentralisierten Energiemanagements im Smart Energy Grid erfordert fein aufgelöste statistische Last- und Leistungsdaten.
- Die Verbraucher sehen ihre Privatsphäre bedroht, weil durch das spezifische Energieprofil eines Haushaltes das Verhalten seiner Bewohner erfasst und ausgewertet werden kann.
- Das Energieversorgungsnetz als kritische Infrastruktur muss robust und ausfallsicher sein, auch bei neuen Gefährdungen aus den Kommunikationsnetzen.
Und die Zeit drängt: Das Gesetz zur Neuregelung energiewirtschaftsrechtlicher Vorschriften sieht in § 21e vor, dass Messsysteme, die den Anforderungen eines speziellen Schutzprofils nicht genügen, nur noch bis zum 31. Dezember 2012 eingebaut werden können und nur bis zum nächsten Ablauf der bestehenden Eichgültigkeit weiter genutzt werden dürfen. Zwar stehen die Anforderungen noch nicht final fest, aber ein Zieltermin ist politisch vorgegeben.
Da unabhängige Prüfungen mit Vorbereitung durch den Hersteller, mit der umfangreichen Prüfung durch die Prüfstelle sowie der Zertifizierung durch das BSI i.d.R. zwischen 8 und 12 Monaten dauern, bleibt nicht mehr viel Zeit.
Deshalb haben wir zu diesem Themenkomplex in Zusammenarbeit mit der DFKI
GmbH, der Sirrix AG security technologies und der VOLTARIS GmbH einen
Workshop zum Thema "Smart Metering, IT-Sicherheit und Datenschutz,
Technologie - Prüfung - Betrieb" angeboten. Die große Resonanz unter den
Herstellern, Energieanbietern, Messstellenbetreibern und sonstigen
Beteiligten zeigte, wie groß noch immer der Informationsbedarf in der
Branche ist.
Die wichtigste Aussage von Vertretern des BSI war, dass die
Zertifizierungsgrundlagen - Schutzprofile für das Smart Meter Gateway
und das Smart Meter Security-Module, sowie die technische Richtlinie für
das Smartmeter Gateway - erst im Juni 2012 in einem stabilen Zustand
sein werden.
Wir werden Sie über die neuesten Entwicklungen zu diesem Thema unter www.datenschutz-cert.de auf dem Laufenden halten.
Datenschutzaudits und Gütesiegel
Zur Absicherung von personenbezogenen Daten bekommen Datenschutzaudits immer größere Bedeutung. Ein Datenschutzaudit kann sich etwa auf Produkte, Dienstleistungen oder auch auf das Management beziehen und umfasst eine Prüfung der jeweils einschlägigen datenschutzrechtlichen und sicherheitstechnischen Anforderungen. Es unterstützt den Optimierungsprozess und minimiert zugleich Risiken, so dass es z.B. auch als Mechanismus im Compliance eingesetzt werden kann. Werden rechtliche und technische Aspekte nicht nur rechtskonform, sondern vorbildlich umgesetzt, kann zusätzlich ein Gütesiegel oder Zertifikat erlangt werden, welches das Vertrauen der Kunden in Sachen Datenschutz und Datensicherheit stärkt.
Angesichts der Vielzahl von Möglichkeiten fällt eine Auswahl des passenden Gütesiegels oder Auditverfahrens oft nicht leicht. Unsere Auditoren empfehlen folgende Datenschutzaudits:
- EuroPriSe - das europäische Datenschutzgütesiegel für Produkte und IT-Services, die auf europäischen Märkten um Vertrauen werben;
- Das ULD-Datenschutzsiegel - für Produkte, die bundesweit eingesetzt werden und besondere oder sensible personenbezogenen Daten verarbeiten sowie für Anwendungen, die bei Behörden oder öffentlichen Einrichtungen eingesetzt werden;
- ips - internet privacy standards - das Gütesiegel für Webportale mit vorbildlichem Verbraucher-und Datenschutz;
- Zertifikat zur Auftragsdatenverarbeitung - für Dienstleister, die den Datenschutz gegenüber Ihren Kunden regelmäßig nachweisen müssen;
- priventum - das Zertifikat für Datenschutzmanagement im Unternehmen;
- ISO/IEC 27001 als internationaler Standard für Informationssicherheit in Unternehmen und Behörden, besonders geeignet für Rechenzentren.
Die datenschutz cert GmbH ist "Die Datenschutz-Zertifizierungsstelle". Wir haben langjährige Erfahrung mit der Auditierung und Zertifizierung von Produkten, Dienstleistungen und Managementsystemen und haben zahlreiche Unternehmen und Behörden auf dem Weg zu einer erfolgreichen Zertifizierung begleitet. Wir bieten Ihnen Datenschutzaudits an - passgenau auf Ihre Anforderungen.
Sie möchten ein Datenschutzaudit durchführen und sind sich nicht sicher, welches Verfahren am geeignetsten ist? Wir bieten Ihnen auch Workshops an, in denen wir mit Ihnen die Möglichkeiten und wesentlichen rechtlichen und technischen Anforderungen abstimmen. Bei einem späteren Audit können die Kosten für den Workshop auf das Audit angerechnet werden.
Neues Produkt: Geprüfte und zertifizierte Webapplikation
Webapplikationen dienen der Umsetzung wichtiger Geschäftsprozesse, mit
deren Hilfe immer sensiblere Informationen verarbeitet werden. Durch die
Anbindung an das Internet sind Webapplikationen weltweit vielfältigen
Angriffen ausgesetzt, die z.T. nicht nur die Applikation bedrohen,
sondern häufig auch die Einsatzumgebung. Mögliche Folgen: Systemausfälle
durch Hackerangriffe können hohe Kosten zur Folge haben, und der
Verlust von Betriebsgeheimnissen oder Kundendaten kann zu großem
Imageschaden und finanziellen Einbußen führen.
Die datenschutz cert GmbH prüft und zertifiziert als unabhängige Stelle
Ihre Webapplikation und bietet Ihnen die Gewissheit, dass Ihre
Applikation sicher betrieben wird. Dabei betrachten wir Ihre
Webapplikation und die dazugehörige Betriebsumgebung zunächst
konzeptionell und stehen Ihnen beratend bei einer möglichen
Neuentwicklung zur Verfügung. Nach Abschluss der konzeptionellen
Untersuchung führen wir einen Penetrationstest durch, um die Wirksamkeit
der getroffenen technisch-organisatorischen Maßnahmen einer Prüfung zu
unterziehen.
Näheres erfahren Sie unter: Prüfung und Zertifizierung von Webapplikationen
|
Kontakt
