Vor wenigen Tagen berichteten wir bereits über die DuD 2020 Konferenz. Heute geht es um den zweiten Tag der Konferenz, der deutlich stärker von technischen Aspekten geprägt war. Gewissermaßen zum Warmwerden gab Isabel Münch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) einen strukturierten Bericht zu den aktuellen „KRITIS-Nachweisen und Erfahrungen“. Auch und gerade wer sich bisher mit diesem Thema noch nicht beschäftigt hat, bekommt einen facettenreichen Überblick zu dem Ablauf und der Verarbeitung von Meldungen der Betreiber von kritischen Infrastrukturen. Äußerst lebhaft wird die Schilderung durch eine quasi ofenfrische Meldung der Telekom über einen großflächigen Ausfall ihres Mobilnetzes.

Die Telekom auf Twitter …

Auch (aber nicht nur) anhand von diesem Beispiel geht sie auf Besonderheiten einzelner Branchen ebenso ein wie auf den für Außenstehende relativ unspektakulär erscheinenden Umstand, dass dem BSI mit Verabschiedung des Gesetzes zu den KRITIS-Vorschriften erstmalig in seiner Geschichte die Rolle als Aufsichtsbehörde zugefallen ist. Dabei appelliert sie zugleich an die Verpflichteten, im Falle von etwaigen Vorfällen, rasch mit der Behörde in Kontakt zu treten. Dass z.B. Meldungen zu Netzausfällen einige Stunden früher auf Twitter zu lesen seien als in ihrem behördlichen Postfach, biete Verbesserungspotential.

… und Terroristen im Taunus

Datensicherheit aus einer gänzlich anderen Perspektive, aber keineswegs minder spannend präsentiert anschließend Oberstleutnant Volker Kozok vom Bundesministerium der Verteidigung in seinem Auftritt zur Frage „Wie wir Risiken wahrnehmen – welche es tatsächlich gibt“. Per Video zugeschaltet, ist einzig der Umstand, dass sein recht zackiges Sprechtempo keinen Hehl daraus zu machen versucht, welcher Institution (Bundeswehr) er angehört, mitunter leicht herausfordernd für die eigene Konzentrationsfähigkeit. Davon abgesehen wäre auch nur der Versuch, seinen „Folienregen“ in halbwegs brauchbare Worte zu verpacken, von vornherein zum Scheitern verurteilt.

In einem äußerst gelungenen Stilmix aus Thomas Gottschalk, Harald Lesch und der Sendung mit der Maus gelingt es dem offensichtlich ebenso leidenschaftlichen wie geübten Referenten, sein Publikum abwechselnd in ungläubiges Staunen und schelmisches Grinsen zu versetzen. So gibt er Einblicke in die Lebensgewohnheiten von russischen Hackern („Die haben praktisch Home-Office erfunden, und machen auch keine Corona-Pause.“) ebenso wie zu den akribischen Ermittlungsarbeiten um einen Internet-Provider für den Schwarzmarkt, der sich in einem massiven Bunker an der Mosel heimisch eingerichtet hatte. Zu guter Letzt gibt er nicht nur Tipps, welche Links und Buttons auf bestimmten Seiten im Internet man auf gar keinen Fall anklicken solle, sondern auch, was man mit relativ einfachen Schritten privat und bei der Arbeit für gute Datensicherheit tun kann.

Philosophieren oder Zertifizieren

Etwas bodenständiger, aber dadurch fachlich wieder stärker am Tagesgeschehen schildert Christian Biehler von der bi-sec GmbH, welche Herausforderungen dem Datenschutzbeauftragten bei der Zusammenarbeit mit Dienstleistern begegnen können. Zum Thema „Glauben oder Wissen?“ dreht sich sein erfrischend-lebhafter Vortrag um die Frage, was sich hinter Hochglanz-Broschüren und Vertriebsfloskeln an handfesten Maßnahmen zur IT-Sicherheit verbirgt – oder eben auch nicht.

Seiner Erfahrung nach werde in der Praxis mit (zu) vielen Pauschalierungen und Allgemein-Plätzchen hantiert („Wir haben ein ISO-geprüftes Rechenzentrum!“), anstatt konkret nach den tatsächlichen Gegebenheiten („Ach so, Sie arbeiten alle von zu Hause aus mit eigenen Rechnern …“) zu fragen. Dabei seien die geltenden Vorgaben aus Gesetzen wie der DSGVO und diversen ISO-Normen schon sehr gut und absolut ausreichend, wenn sie nur auch besser angewendet und umgesetzt würden – ein Problem, das einem vom ersten Tage noch bestens in Erinnerung ist.

Schließlich, und damit spricht er sicherlich auch und gerade vielen Nebenamtlichen aus der Seele, könne nicht der Datenschutzbeauftragte allein die Maßnahmen zur IT-Sicherheit abschließend beurteilen. Dies sei vielmehr im Rahmen eines interdisziplinären Projekts federführend durch die IT-Abteilung zu besorgen. Daneben gibt er auch er wiederum handfeste Tipps, wie man selbst mit kleinen Schritten und „Hausmittelchen“ (als Stichworte seien hier beispielhaft nur Portscans und TLS-Konfiguration genannt) die Sicherheitsmaßnahmen bei Dienstleistern überprüfen kann.

Streitfragen vor dem Mittagessen

Der zweite (in diesem Fall vollends planmäßige) Auftritt für datenschutz nord gebührt Ebru Öztürk, die ebenso behutsam wie bildreich den Anwendungsbereich von „Joint Controller in der Praxis: Die Arbeitnehmerüberlassung“ thematisiert. Nach einer auch für Laien gut verständlichen Hinführung auf die Regelungen im Allgemeinen bereitet sie häppchenweise entscheidende Einzelfragen zu konkreten Beispielen auf. Eine besondere Vertiefung erfährt in dem Zuge das Thema der Arbeitnehmerüberlassung, zu dem in der bisherigen Zeitspanne seit Inkrafttreten der DSGVO engagiert gestritten worden ist. Dass sie damit gewissermaßen den Nerv der Zeit getroffen hat, beweisen zahlreiche Nachfragen (persönlich wie auch online), aus denen sich rasch eine lebhafte Diskussion zu dem eben Gehörten entwickelt. Auch der mahnende Blick der Moderatorinnen auf die Uhr lässt den Schwall an weiteren Anmerkungen aus dem Publikum nur dezent abebben.

“Houston, wir haben ein Problem!”

Für ein Mittagstief bleibt kein Raum, als Marco di Filippo in unheimlich mitreißender Weise live den chronologischen Ablauf einer Attacke auf eine Produktions-IT durchspielt. Es ist überwältigend zu verfolgen, in welch kurzer Zeit über simple Internetrecherchen ein Ansprechpartner aus dem Unternehmen ermittelt werden und eine Pishing-Mail konstruiert werden kann. Dies macht wieder einmal deutlich, wie wichtig Informationssicherheit sowie konsequente Sensibilisierung und Schulung von Mitarbeitern ist.

Zu guter Letzt lässt uns Prof. Dr. Ina Schiering an den Erfahrungen aus dem Projekt „Datenschutz- Folgenabschätzung für die betriebliche und behördliche Praxis“ teilhaben. Die verschiedenen fünf Phasen der Datenschutz- Folgenabschätzung werden schematisch dargestellt. Von der Frage, wer muss eine DSFA durchführen, wie wird diese umgesetzt bis hin zur Überwachung der Maßnahmen erhalten die Teilnehmer/innen einen umfassenden Überblick und Orientierungsmöglichkeit für diesen Prozess.