Änderung des Bundesdatenschutzgesetzes zum 1. September 2009

Zum ersten September tritt die verschärfte Informationspflicht beim Verlust von sensiblen Daten in Kraft – für IT-Leiter und Compliance-Verantwortliche in Unternehmen ein guter Anlass, die Sicherheit der IT-Infrastruktur erneut unter die Lupe zu nehmen. Darauf weist das auf IT-Sicherheit spezialisierte Unternehmen art of defence aus Regensburg hin. Besonderes Augenmerk sollten Verantwortliche dabei auf Informationssysteme legen, die über das Internet zugänglich sind und Informationen wie Kreditkarten- und Bankdaten oder personenbezogene Daten enthalten. Dazu gehören beispielsweise Online-Shops oder CRM- und ERP-Systeme, auf die Mitarbeiter im Auß;endienst oder von einem anderen Standort aus zugreifen.

Solche Web-Applikationen sind häufig Einfallstor für Angriffe. Deshalb sollte für sie ein adäquater Schutz durch eine Web Application Firewall (WAF) wie hyperguard von art of defence eingerichtet werden. Hyperguard prüft eingehende Anfragen an die Web-Anwendung und erkennt Angriffe, die zu einem Auslesen von Daten aus dem System führen.

Dr. Georg Heß;, Geschäftsführer von art of defence: „Es mag sein, dass in der Praxis die Spielräume des Gesetzes weit ausgelegt werden. Im ersten Schritt jedoch gilt: Datenverluste müssen gemeldet werden. Das alleine verhindert zwar sicherlich noch keinen Angriff; aber mit einem Imageschaden muss bei einem Angriff ab sofort jeder rechnen. Unternehmen und öffentliche Stellen, die mit sensiblen Daten agieren, sollten die Änderung deswegen als Weckruf verstehen und sich um die Absicherung ihrer öffentlich zugänglichen Informationssysteme kümmern.“

Die Verschärfung der Informationspflicht resultiert aus dem geänderten Bundesdatenschutzgesetz, das zum 1. September 2009 in Kraft tritt. Neu eingeführt hat der Gesetzgeber dabei den Artikel 42a zur „Informationspflicht bei unrechtmäß;iger Kenntniserlangung von Daten“. Er betrifft Unternehmen und öffentliche Stellen, über deren Systeme sich ein Unbefugter Zugriff auf sensible Daten verschafft. Die Daten, die das Gesetz meint, sind neben Bank- oder Kreditkarteninformationen auch personenbezogene Angaben wie ethnische Herkunft oder Gewerkschaftszugehörigkeit sowie Daten zur Gesundheit oder zu strafbaren Handlungen. Unternehmen oder öffentliche Stellen müssen demnach alle Betroffenen informieren, wenn ihre Daten von Unbefugten eingesehen wurden. Vorgesehen ist entweder eine direkte Benachrichtigung oder – wenn eine Benachrichtigung anders nicht möglich ist – durch halbseitige Anzeigen in zwei überregionalen Tageszeitungen. Die Gesetzesänderung ist Teil eines größ;eren Pakets an datenschutzrechtlichen Vorschriften, das der Bundestag kurz vor der Sommerpause verabschiedet hat.

Info: http://www.artofdefence.com/