Keine Portokasse: IT-Sicherheitsgesetz 2.0 könnte drastische Bußgelder bringen

Die Weiterentwicklung des IT-Sicherheitsgesetzes „2.0“ zieht sich nun schon über geraume Zeit. Es ist ein weiterer Referentenentwurf bekannt geworden, der in die Ressortabstimmung geht und über den Sommer mit den Verbänden diskutiert werden soll. Hierin ist geplant, die Bußgelder auf bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes anzuheben – dieses scharfe Schwert hat sich aus Regulierer-Sicht bereits bei der DSGVO bewährt. Die Entsorgung soll sich zu den KRITIS-Sektoren gesellen, außerdem kommen ggf. Auflagen für diverse Typen von „Unternehmen im besonderem öffentlichen Interesse“. Auch letztere sollen alle zwei Jahre ein IT-Sicherheitskonzept nach dem Stand der Technik beim BSI vorlegen. Komponenten für KRITIS-Anlagen rücken zukünftig ebenfalls in den Fokus: Diese sollen zugelassen werden bzw. Herstellergarantien enthalten, dass keine technischen Hintertüren vorhanden sind. Bei Verstößen könnte der Einsatz durch das BMI unterbunden werden.

Das BSI soll künftig Honeypots und Sinkholes betreiben, Portscans im Internet aktiv durchführen und in bestimmten Fällen auch Kommunikation umlenken und Botnetze ausschalten. Bei angreifbaren Systemen könnte die Behörde, die ihre größtenteils passive Schutzrolle verändern würde, aktiv Sicherungsmaßnahmen vornehmen. Darüber hinaus sind auch Erweiterungen von Befugnissen der Strafverfolgungsbehörden geplant, welche bestimmte Daten von sozialen Netzwerken automatisch erhalten sollen. Das BKA soll des Weiteren das BSI als Erfüllungsgehilfen etwa für die Auswertung von Sicherheitslücken heranziehen. Das Fernmeldegeheimnis (Artikel 10 GG) würde unter anderem hierfür entsprechend eingeschränkt. Im Bereich Verbraucherschutz soll das BSI auf dem Feld Cyber neue Aufgaben bekommen und u. a. ein „IT-Sicherheitskennzeichen“ als eine Art elektronischen Beipackzettel für IoT u. ä. einführen. Das Ganze soll mit einem Aufbau von fast 600 (BSI) bzw. 50 (BBK) Stellen einhergehen.

https://ag.kritis.info/2020/05/13/kommentar-zum-neuen-referentenentwurf-des-it-sicherheitsgesetz-2-0-it-sig2/

GDPArrrrrrrrgh! DSGVO ermöglicht Datenklau

Der Vortrag des Oxforder PhD-Studenten James Pavur auf der Black Hat hat gezeigt, dass man mit Verweis auf die DSGVO per Abfrage der angeblich „eigenen“ Informationen viele teils streng private Daten von anderen erschleichen kann. Ein von seiner Freundin erlaubtes Experiment mit ihren Accounts ergab, dass 24 % der Firmen ihm ohne weitere Prüfung ihre sämtlichen persönlichen Daten preisgaben. Immerhin 16 % fragten zunächst weitere Nachweise wie Identitätsinformationen an, welche aber häufig leicht zu fälschen waren. Und 5 bzw. 3 % besonders schlaue Firmen behaupteten, nicht von der DSGVO betroffen zu sein bzw. löschten einfach schnell ihre Accounts. U. a. bekam Pavur ihre Kreditkartennummer und diverse Passwörter frei Haus – sogar von Unternehmen, mit denen sie nie bewusst in Kontakt war.

Der Forscher beklagt diese offensichtlichen Sicherheitslücken in der rechtlichen Implementation der DSGVO sowie die Tatsache, dass die zuständigen Stellen in den Unternehmen häufig nicht über Social Engineering aufgeklärt sind.

https://www.theregister.co.uk/2019/08/09/gdpr_identity_thief/