Wie bereits hier vorgestellt, führt das Bayerische Landesamt für Datenschutzaufsicht (kurz: BayLDA) im Rahmen seiner gesetzlichen Aufgaben regelmäßig anlassbezogene und anlasslose Datenschutzprüfungen durch. Die neu gegründete „Stabstelle Prüfverfahren“ hat sich auf anlasslose Kontrollen fokussiert.
Nach den beiden Verfahren „Ransomware Prävention“ und „Selbstauskünfte von Mietinteressent/innen“ wird nun eine Präventionsprüfung zum Thema Absicherung von E-Mail-Accounts durchgeführt. Im Gegensatz zu dem Verfahren zu den Selbstauskünften handelt es sich hier um eine Dauerprüfung ohne geplantes Ende des Prüfverfahrens. Ziel ist es, drohende hohe Schäden, die bspw. im Zusammenhang mit Phising-Mails passieren – wirtschaftlich wie datenschutzrechtlich – für die eigene Organisation gering zu halten oder im Idealfall ganz zu vermeiden. Das BayLDA führt aus, dass „aufgrund der enorm gestiegenen Gefährdungslage im Internet der Fokus auf präventive Maßnahmen zur Cybersicherheit für bayerische Verantwortliche gelegt wird, damit personenbezogene Daten angemessen und wirksam vor den täglichen Gefahren im digitalen Zeitalter geschützt werden. Das BayLDA führt zu diesem Zweck Prüfungen durch, um grundlegende Sicherheitslücken oder Mängel in der IT-Organisation aufzuzeigen und Verantwortliche somit noch vor einem Vorfall auf den Bedarf an durchzuführenden Maßnahmen hinzuweisen. Auch wenn der vorbeugende Charakter der Datenschutzkontrollen des BayLDA hervorgehoben wird, besteht seit der Anwendbarkeit der DSGVO neben der bereits existierenden gesetzlichen Verpflichtung für Verantwortliche, für ein ausreichendes Sicherheitsniveau im Umgang mit personenbezogenen Daten zu sorgen, auch grundsätzlich die Möglichkeit für die Datenschutzaufsichtsbehörde, bei Verstößen gegen die Sicherheit der Verarbeitung nach Art. 32 DSGVO Geldbußen gegen Verantwortliche zu verhängen.“
Anschreiben von Unternehmen
Hierzu wurden an Unternehmen der Zielgruppe „Banken, Mittelstand, produzierendes Gewerbe“ Anschreiben gesendet, um über das Vorhaben zu informieren. So hieß es „Im Rahmen unserer gesetzlichen Aufgaben untersuchen wir mit den Fragen unserer beigefügten Präventionsprüfung zufällig ausgewählte Verantwortliche hinsichtlich grundlegender Sicherheitsanforderungen im Umgang mit E-Mail-Accounts nach Art. 32 DSGVO.“ Als Grund hierfür wurde vorgetragen, dass „seit mehreren Monaten ein verstärktes Aufkommen von Cyberattacken auf E-Mail-Accounts von Verantwortlichen in Bayern registriert wurde. Oft stünde das Abgreifen der enthaltenen vertraulichen E-Mail-Kommunikation im Vordergrund, um bspw. Finanztransaktionen zu manipulieren. Auch nachgelagerte Angriffe, die ein tieferes Eindringen in die Netzwerkstruktur ermöglichen oder die für die Weiterverbreitung von Schadsoftware auf die Systeme der Kontakte (z. B. Kunden) sorgen, fanden statt. Bereits nach der Kompromittierung eines einzelnen E-Mail-Accounts werden von den Cyberkriminellen meist alle Kontakte mit gefälschten E-Mails angeschrieben.“
Prüfbogen
Außerdem wurden die Verantwortlichen aufgefordert, den beigelegten Prüfbogen auszufüllen und diesen dem BayLDA zukommen zu lassen. Sofern dieser Aufforderung nicht fristgerecht nachgekommen wird, ist der Erlass einer förmlichen Anweisung gem. Art. 58 Abs. 1 a DSGVO samt Zwangsgeldandrohung in Aussicht gestellt. Im Prüfbogen werden fünf Themen abgefragt: „Phishing-Awareness und allgemeines Sicherheitsbewusstsein“, „Passwörter, Mehr-Faktor-Authentifizierung und Benutzerverwaltung“, „Administrative Pflege der Accounts und Konfiguration“, „Überprüfung des Datenverkehrs“ sowie „Device und Patch Management sowie Backup-Konzept“. Im Rahmen dieser Oberpunkte wird abgefragt, ob hierzu jeweils Maßnahmen getroffen wurden, um etwaige Angriffe zu verhindern und vorsorglich den Schutz von E-Mail-Accounts sicherzustellen.
Handreichung
Als Ausfüllhilfe wird ebenso eine Handreichung zum Prüfbogen ausgegeben. Diese checklistenartige Auflistung stellt wesentliche Elemente zu den untersuchten Prüfungsschwerpunkten dar. Allerdings ist dieses Dokument nicht nur für Unternehmen hilfreich, die zur Rückmeldung aufgefordert wurden – dieser Maßnahmenkatalog kann auch von anderen Unternehmen genutzt werden, da hier grundlegende Basisanforderungen im Umgang mit E-Mail-Accounts nach Art. 32 DSGVO dargestellt werden. Der Katalog kann deshalb als Bestandteil einer individuellen Bewertung der Sicherheitsstandards herangezogen werden.
Es lohnt sich für Verantwortliche, sich mit diesem Thema auseinander zu setzen, da Bedrohungen dieser Art durch gezielte Kampagnen zum Sicherheits-Bewusstsein begegnet werden kann, wenn das eigene Personal umfassend über die Angriffsmöglichkeiten per E-Mail sowie über geeignete Abhilfemaßnahmen unterrichtet wurde. Die Stabstelle gibt an, dass „gerade die individuellen Verhaltensweisen der Mitarbeiterinnen und Mitarbeiter im Umgang mit gefälschten E-Mails wesentlich darüber entscheiden, ob es überhaupt zu einem Sicherheitsvorfall kommt. Als Basis wird ein ausreichender Zugangsschutz der E-Mail-Accounts vorausgesetzt, bspw. über starke Passwörter und Mehr-Faktor-Authentifizierungen. Jedoch spielt auch die technische Absicherung der Accounts durch geeignete Administration eine wesentliche Rolle. Das Einspielen von aktuellen Sicherheitsupdates, dem Abfangen von schädlichen E-Mails sowie ein gepflegtes Rollen-/Rechtekonzept sind hierbei besonders wichtig.“
Im Informationsblatt stellt das BayLDA außerdem weiterführende Links zu diesem Thema zur Verfügung.