Harald Leitenmüller | DSGVO - globaler, zeitgemäßer Datenschutzstandard für M...
Wolfgang Rosenkranz | Staatlich-private Zusammenarbeit in Zeiten von NIS-Gesetz und DSGVO
1. Staatlich-private Zusammenarbeit
in Zeiten von NIS-Gesetz und
Datenschutzgrundverordnung
RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS
18. OKTOBER 2017
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 1
2. Neue Größenordnungen…
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 2
Quelle: BBC.com
50 Milliarden IoT-Geräte
4,6 Milliarden Cloud Nutzer
Quelle: Softpedia News
Quelle: techcrunch.com
Quelle: theguardian.com
3. Alte Geschäftsmodelle…
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 3
Quelle: Malware Removal Guides
Quelle: www.incapsula.com
Quelle: t-mobile.com
Erpressung, Betrug, Diebstahl, Spionage…
4. … in neuer Form
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 4
Quelle: www.radware.com Quelle: theguardian.com
DDOS-as-a-Service Staatliche oder organisierte Kriminalität?
5. Ungesicherte Systeme…
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 5
Quelle: http://www.makeuseof.com
Quelle: http://www.bbc.com
Quelle: https://madifi.de/defpass/
6. Mächtige Werkzeuge…
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 6
Quelle: https://www.shodan.io/
Quelle: https://www.kali.org/
Quelle: https://www.torproject.org/
7. … vielfältige Herausforderungen
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 7
Quelle: Kuratorium Sicheres Österreich
8. Sicherheitslage in Österreich
CERT.at/GovCERT
o DDOS-as-a-Service steigend
o Ransomware der profitabelste Malware-Typ in der Geschichte der IT
o Social Engineering, CEO-Fraud, Business E-Mail Compromises
o Mai 2017: Massive Welle von Ransomware-Vorfällen durch WannaCry
o Juni 2017: Massive Welle von Ransomware-Vorfällen durch NotPetya
Bundeskriminalamt
o Kriminalstatistik 2016: + 30,9% bei angezeigten Cybercrimefällen
o Meldet im Februar 2017 eine massive Welle von Ransomware
o Sonderkommission CLAVIS
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 8
9. Sicherheitspolitische Antwort:
Zusammenarbeit
Österreichische Sicherheitsstrategie
o „Umfassende Sicherheit bedeutet, dass äußere und innere sowie zivile und militärische
Sicherheitsaspekte aufs Engste verknüpft sind.“
o „Integrierte Sicherheit muss auf eine Arbeitsteilung unter den involvierten staatlichen und
nichtstaatlichen Akteuren achten.“
Österreichische Strategie für Cyber-Sicherheit
o „Schaffung einer Struktur zur Koordination auf der operativen Ebene“ – „Dabei ist auch die Wirtschaft in
geeigneter Form auf Augenhöhe einzubinden.“
Ziele: Störung des kriminellen Wirtschaftskreislaufes
o Durch raschen Informationsaustausch über aktuelle Angriffsmethoden werden Angriffstools wertlos
o Bündelung der Kräfte
o Steigerung der gesamtstaalichen Resilienz
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 9
10. Kooperation zwischen Staat und
Wirtschaft im Sicherheitsbereich
Herausforderungen für den Staat
◦ Ressourcenknappheit (Personal, Budget)
◦ Reaktives Herangehen an Problemstellungen
◦ Gesetzliche Vorgaben notwendig um handeln zu können
◦ Diskussionen über Zuständigkeiten
◦ Kulturunterschiede zwischen staatlichen Stellen und Privatwirtschaft
Herausforderungen für die Wirtschaft
◦ Wettbewerb (Einsparungen, Personal, Konkurrenz ohne vergleichbare rechtliche Vorgaben)
◦ Abhängigkeit von staatlichen Normen, Regeln und Handlungskomponenten
◦ Stetig steigender Regulierungs- und Kontrollanspruch des Staates
◦ Sorge um Vertraulichkeit in der Behandlung eigener Probleme/Defizite
◦ Kulturunterschiede zwischen staatlichen Stellen und Privatwirtschaft
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 10
11. NIS Gesetz
Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit
Ziel: Erreichung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen bei
Betreibern wesentlicher Dienste und Anbietern digitaler Dienste
Zielerreichung durch:
1. Die Festlegung einer nationalen Strategie für die Sicherheit von Netz- und Informationssystemen;
2. die Verpflichtung zur Einrichtung von Sicherheitsvorkehrungen und Festlegung von Meldepflichten für
Betreiber wesentlicher, für Anbieter digitaler Dienste und für verfassungsmäßige Einrichtungen des Bundes;
3. die Festlegung von Aufgaben und Behördenzuständigkeiten, sowie die Befugnisse zur Gewährleistung eines
hohen Sicherheitsniveaus von Netz- und Informationssystemen;
4. die Einrichtung einer nationalen Koordinierungsstruktur;
5. die Einrichtung von Computer-Notfallteams;
6. die Einrichtung einer zentralen Anlaufstelle (SPOC)
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 11
12. NIS Gesetz
Status der Umsetzung:
o Begutachtung im Herbst 2017 geplant
o Ende der Umsetzungsfrist am 9. Mai 2018
o Ermittlung der Betreiber wesentlicher Dienste bis 9. November 2018
Voraussichtliche wesentliche Folgen
o Meldepflicht für Betreiber wesentlicher Dienste über Branchen-CERTs an Behörden (BKA, BMI, BMLVS)
o Betreiber müssen geeignete organisatorische und technische Vorkehrungen treffen
o Verpflichtendes Risikomanagement
o Sicherheitsstandards können staatlich vorgegeben werden
o Betreiber müssen die Erfüllung der Vorgaben nachweisen
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 12
13. Datenschutzgrundverordnung
Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die
Pflichten der Verantwortlichen
Anpassung aller Datenanwendungen bis 25. Mai 2018
Voraussichtliche wesentliche Folgen
o Unverzügliche Meldung an die Aufsichtsbehörde bei Datenschutzverletzung
o Geeignete organisatorische und technische Vorkehrungen für rechtmäßige Datenverarbeitung
o Verpflichtende Risikoanalysen zur Datenanwendung
o Verzeichnis aller Datenverarbeitungstätigkeiten
o Informationspflichten gegenüber betroffenen Personen
o Datensicherheit und Privacy by default
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 13
14. Vergleich NIS und DSGVO
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 14
NIS-Gesetz
◦ Meldepflicht
◦ Geeignete technische und organisatorische Maßnahmen
◦ Risikomanagement
◦ Nachweis der Sicherheitsmaßnahmen
◦ Betrifft ausgewählte Unternehmen
◦ Strafen noch offen
DSGVO
◦ Meldepflicht
◦ Geeignete technische und organisatorische Maßnahmen
◦ Risikomanagement
◦ Verzeichnis aller Datenanwendungen
◦ Betrifft alle Verarbeiter personenbezogener Daten
◦ 20 Millionen, 4% Konzernumsatz
15. Staatliche Cybersecurity Akteure
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 15
Quelle: Bundesamt für Verfassungsschutz und Terrorismusbekämpfung
16. Schnittstelle Cyber Security Plattform
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 16
Politische Ebenec
Steuerungsgruppe CSS
Community
Plenum
Arbeitsgruppen
CSP
Aufgaben
• Informationsaustausch zu wesentlichen Fragen der Cyber-Sicherheit
zwischen allen Mitgliedern der Plattform
• Initiierung von Kooperationen zwischen den beteiligten Partnern in den
Bereichen Sensibilisierung und Ausbildung sowie Forschung und
Entwicklung
• Beratung und Unterstützung der "Cyber Sicherheit Steuerungsgruppe„
• Förderung der Errichtung von Sektor-spezifischen Computer Emergency
Response Teams (CERTs)
• Dachorganisation für bereits bestehende Kooperationsformate (unter
anderem: Kuratorium Sicheres Österreich, Austrian Trust Circle, Cyber-
Sicherheit-Forum, A-SIT - Zentrum für sichere Informationstechnologie -
Austria, Cyber Security Austria, CERT-Verbund)
17. Schnittstelle KSÖ
Rechts- und Technologiedialog
oEinbindung von Wirtschaft, Behörden und Wissenschaft
o10 Workshops und Veranstaltungen zur Diskussion effektiver rechtlicher Maßnahmen
o„Melderecht“, Rechtlicher Schutz von freiwilligem Informationsaustausch
oHaftung und Einkauf/Beschaffung offene Punkte in der NIS-RL
oMeldepflicht zur Generierung von Lagebildern
oFortführung der Begleitung der Umsetzung der NIS-Richtlinie
oWorkshop zur Prüfung der Begutachtungversion des NIS-Gesetzes
oOrganisation und Durchführung einer AG Recht- und Regulatorisches in der CSP
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 17
18. KSÖ Planspiele
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 18
KSÖ Planspiel 2012
Großflächiger Internetausfall,
Bewältigung ohne Kooperationszwand
KSÖ Planspiel 2016
Workshop zu Unternehmens- und
Behördenabläufen in Bezug auf die NIS
Richtlinie.
KSÖ Planspiel 2014
Großflächiger Cybervorfall mit Erpressung –
Kooperation notwendig
KSÖ Planspiel 2017 – 7. November 2017
Technische Übung zu Cyberangriffen auf
kritische Infrastruktur anhand technischer
Simulationsumgebung ergänzt um
Kooperationsteil entsprechend NIS-RL
2012 2016 20172014
20. Schnittstelle Branchen-CERTs
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 20
Finanz-CERT?
Gesundheits-CERT?
Industrie-CERT?
Telekom-CERT?
21. Schnittstelle CSA
Cybersecurity Challenge
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 21
Quelle: https://verbotengut.at/
Quelle: https://verbotengut.at/
22. Schnittstelle WKO – KMU Initiativen
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 22
99,7 Prozent der
Unternehmen (ca.
330.000) sind KMU
37% der
Unternehmen sind
Ein-Personen-
Unternehmen
87% der KMU
sind
Kleinstbetriebe
mit weniger als
10 Beschäftigten
11% der KMU sind
Kleinunternehmen
(10-49
Beschäftigte)
2% der KMU sind
mittlere
Unternehmen (50-
249 Beschäftigte)
Quelle: https://www.bmwfw.gv.at/Unternehmen/UnternehmensUndKMU-
Politik/Seiten/KleineundmittlereUnternehmeninOesterreich_FactsandFeatures.aspx
Quelle:
https://news.wko.at/news/niederoest
erreich/cyber_security_planspiel.html
Quelle: https://www.wko.at/Content.Node/kampagnen/cyber-security-hotline/index.html
23. Schlussfolgerungen
Staatlich-private Zusammenarbeit
in Zeiten von NIS-Gesetz und Datenschutzgrundverordnung
o Zusammenarbeit braucht rechtliche Rahmenbedingungen
oRechtliche Rahmenbedingungen alleine sind noch keine Zusammenarbeit
oBeratungsleistungen staatlicher Stellen zeichnen sich ab, aktive Hilfsleistungen
werden noch evaluiert
oWirtschaft braucht zumindest klare Aussagen über ihre eigene Verantwortlichkeit
oHohe Erwartungen an das NIS-Gesetz
oHarmonisierung mit DSGVO mittelfristig wünschenswert
oSchnittstellenorganisationen weiterhin essentiell für Erfolg auf rechtlicher,
technischer und organisatorischer Ebene
18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 23
24. 18. Oktober 2017 RECHTS- UND TECHNOLOGIEDIALOG @ MICROSOFT SECURITY DAYS 24
Vielen Dank für Ihre Aufmerksamkeit!
Wolfgang Rosenkranz
Kuratorium Sicheres Österreich
Email: office@kuratorium-sicheres-oesterreich.at