Das Europäische Parlament hat mit einer knappen Mehrheit von 318 zu 280 Stimmen die Parlamentsfassung der sogenannten ePrivacy-Verordnung verabschiedet. Sie ändert den im Januar 2017 von der Europäischen Kommission vorgelegten Entwurf in zentralen Punkten in Richtung stärkerer Datenschutz- und Sicherheitsvorschriften für elektronische Kommunikation. Nun beginnt im nächsten Schritt der sogenannte Trilog, die Verhandlungen zwischen EU-Parlament, EU-Rat (also Mitgliedsstaaten) und EU-Kommission; mit einer Verabschiedung wird für Sommer 2018 gerechnet. Continue reading
Author Archives: Martin Schallbruch
European Commission presents comprehensive proposals on cybersecurity
As part of the State of the Union speech delivered by the President of the European Commission, Jean-Claude Juncker, on 13 September 2017, the European Commission presented extensive and far-reaching proposals to improve cyber security in Europe. The overall package consists of legislative proposals, recommendations, strategy papers and accompanying reports. Continue reading
IT-Sicherheitsgesetz: Anforderung für Gesundheitswesen, Banken, Versicherungen, Verkehr und Logistik in Kraft getreten
Mit dem IT-Sicherheitsgesetz vom 25. Juli 2015 sind in Deutschland umfangreiche Anforderungen an die Betreiber kritischer Infrastrukturen verabschiedet worden, ihre IT-Systeme vor Angriffen zu schützen. Die Betreiber kritischer Infrastrukturen in den Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation (IKT), Gesundheit, Finanz- und Versicherungswesen sowie Transport und Logistik müssen die für kritische Dienstleistungen benötigten Anlagen durch Maßnahmen nach dem “Stand der Technik” absichern sowie Störung dieser Systeme dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Das Gesetz selbst definiert allerdings nicht, welche Dienstleistungen der genannten Sektoren als kritisch anzusehen sind und welche Anlagen hierfür benötigt werden. Das Gesetz ermächtigt das Bundesministerium des Innern (BMI), im Einvernehmen mit weiteren Bundesministerien sowie nach Konsultation der Branchenverbände eine Verordnung zu erlassen, die genauer definiert, welche Dienstleistungen betroffen sind. Insbesondere muss BMI branchenspezifische Schwellwerte definieren, ab denen der Versorgungsgrad einer Dienstleistung als kritisch anzusehen ist. Die Verpflichtung zum Ergreifen der Sicherheitsmaßnahmen und die Meldepflicht treffen den Betreiber kritischer Dienstleistungen erst zwei Jahre nach Inkrafttreten dieser Verordnung, da er erst ab diesem Zeitpunkt absehen kann, welche Maßnahmen in welchem Umfang zu ergreifen sind. Continue reading
Zwei-Faktor-Authentisierung: Nutzung des neuen Personalausweises wird erleichtert
Fast täglich werden digitale Identitätsdaten gestohlen, sei es durch Schadprogramme beim Nutzer, sei es durch erfolgreiche Angriffe auf Diensteanbieter. Oft werden Millionen von Datensätzen entwendet, allzu häufig nicht oder nur schwach verschlüsselt. Der Schwarzhandel mit Identitätsdaten blüht. Der BSI-Lagebericht 2016 weist darauf hin, dass zunehmend Identitätsdaten auf den Schwarzmarkt kommen, die offenbar aus lange zurückliegenden Diebstählen stammen. Nach wie vor erfolgt die überwältigende Menge aller Authentisierungsvorgänge im Internet mit einer Kombination aus Benutzername und Passwort. IT-Sicherheitsexperten sind sich einig, dass die Umstellung auf Zwei-Faktor-Authentisierung das Mittel der Wahl ist, um unberechtigte Zugriffe auf digitale Dienste zu verhindern. Zwei-Faktor-Authentisierung bedeutet, dass für eine erfolgreiche Authentisierung zwei unterschiedliche Faktoren nötig sind, zum Beispiel ein Geheimnis (wie das Passwort) und ein Smartphone oder auch ein Fingerabdruck und eine Chipkarte. Vom Geldautomaten ist die Zwei-Faktor-Authentisierung mittels Karte und PIN bekannt. Continue reading
Common Challenges in Combating Cybercrime
Combating cybercrime is one of the top priorities of the European digital agenda. For the second time, Europol and Eurojust jointly presented a paper on “Common Challenges in Combating Cybercrime”. As an input to the political debate, it was sent to the Council on March, 13th, 2017. The paper is worth reading to get an overall picture of the challenges, law enforcement agencies in Europe are facing, when trying to deal with current cybercrime cases. Continue reading