Auf einen Blick: Erkennung und Meldung von Cyber-Bedrohungen in Österreich

Erkennung und Meldung von Bedrohungen

Richtlinien und Verfahren

Welche Richtlinien oder Verfahren sollten Organisationen einführen, um Daten oder IT-Systeme vor Cyber-Bedrohungen zu schützen?

Zusätzlich zu Industriestandards und Empfehlungen schreibt Artikel 32 der Allgemeinen Datenschutzverordnung (DSGVO) vor, dass jeder für die Verarbeitung Verantwortliche oder Verarbeiter personenbezogener Daten Maßnahmen zur Gewährleistung der Datensicherheit umsetzt. Diese Maßnahmen müssen jedoch Art, Umfang und Zweck der verarbeiteten Daten, den Stand der Technik und die wirtschaftliche Durchführbarkeit berücksichtigen. Obwohl diese Bestimmung Mindestschutzmaßnahmen vorsieht, ist daher nicht klar, welche Mindestanforderungen jeweils bestehen können. Darüber hinaus gilt diese Bestimmung nur für personenbezogene Daten und nicht für Daten jeglicher Art. Dementsprechend sind im Bereich der Cybersicherheit Industriestandards und Empfehlungen des österreichischen Computer Emergency Response Teams (CERT) und des Computer Emergency Response Teams der österreichischen Regierung (GovCERT) in Österreich wichtiger als die gesetzlichen Vorschriften. Dies gilt insbesondere für relativ neue Technologien wie Cloud Computing, IoT oder Probleme im Zusammenhang mit verschiedenen Formen des “Bring Your Own Device”.

Darüber hinaus werden in den Empfehlungen und Standards für geeignete technologische und organisatorische Maßnahmen, die von der Europäischen Kommission, den nationalen Datenschutzbehörden und Branchenverbänden festgelegt wurden, letztendlich die Mindestanforderungen an die Cybersicherheit festgelegt, die jedes Unternehmen erfüllen muss. Derzeit sind jedoch mit Ausnahme von Einzelentscheidungen die einzigen verbindlichen Regeln und Richtlinien der österreichischen Datenschutzbehörde zwei Vorschriften für Datenschutz-Folgenabschätzungen (PIAs), eine Auflistung der Verarbeitungsvorgänge, für die keine PIA durchgeführt werden muss. “ ‘Ausnahmen von PIA ‘, DSFA-AV, veröffentlicht am 25. Mai 2018) und eine Liste der Behandlungen, die in jedem Fall die Durchführung einer PIA erfordern (DSFA-V, veröffentlicht am 9. November 2018).

Darüber hinaus müssen Anbieter kritischer Infrastrukturen Maßnahmen ergreifen, um ein hohes Maß an Sicherheit von Netzen und Informationssystemen gemäß den Artikeln 17, 21 und 22 des Gesetzes über die Sicherheit von Netzen und Systemen (NISG) zu gewährleisten.

Gemäß den Artikeln 17, 21 und 22 des NISG müssen geeignete Maßnahmen den Stand der Technik berücksichtigen und an jedes Risiko angepasst werden, das mit vertretbarem Aufwand ermittelt werden kann. Daher müssen Anbieter kritischer Infrastrukturen Folgendes berücksichtigen: Sicherheit von Systemen und Einrichtungen; Management von Sicherheitsvorfällen; Wirtschaftskontinuitätsmanagement; Überwachung; Überprüfung und Prüfung; und Achtung der internationalen Regeln. Sicherheitsmaßnahmen sollten Folgendes umfassen: Governance und Risikomanagement; Umgang mit Dienstleistern, Lieferanten und Dritten; Sicherheitsstruktur; Systemadministration; Identitäts- und Zugriffsverwaltung; Wartung und Betrieb des Systems; physische Sicherheit; Erkennung und Behandlung von Sicherheitsvorfällen; Geschäftskontinuität; und Krisenmanagement. Diese Sicherheitsmaßnahmen sind in Anhang 1 der Verordnung über die Sicherheit von Netzen und Informationssystemen näher geregelt.

READ  Armenien und Aserbaidschan: Worum geht es im Berg-Karabach-Krieg?

Um eine Überprüfung der ergriffenen Maßnahmen zu ermöglichen, müssen Anbieter kritischer Infrastrukturen dem Bundesinnenminister eine Liste der von ihnen durchgeführten Sicherheitsmaßnahmen vorlegen, einschließlich Nachweisen über Zertifizierungen oder Inspektionen und gegebenenfalls etwaiger Mängel bei Sicherheitsentdeckungen. Geschäft mindestens alle drei Jahre. Der Bundesminister ist auch befugt, Empfehlungen zu den Maßnahmen abzugeben, die Anbieter ergreifen sollten.

Beschreiben Sie alle Regeln, nach denen Unternehmen Aufzeichnungen über Cyber-Bedrohungen oder -Angriffe führen müssen.

Da solche Aufzeichnungen nicht in den Geltungsbereich der österreichischen gesetzlichen Vorschriften zur Aufbewahrung von Dokumenten fallen (z. B. Verträge, Rechnungen), gelten nur Art. 32 DSGVO und solche, die durch Industriestandards oder Empfehlungen wie ISO / IEC 27001 (die dies können) festgelegt wurden bei ISO oder ASI gegen Zahlung erhältlich sein), Empfehlungen des Bundesamtes für Informationssicherheit und CERT-Empfehlungen (auf den jeweiligen Websites verfügbar: www.bsi.bund.de und www.cert.at). Diese drei Elemente können als die wichtigsten Industriestandards und Verhaltenskodizes im Bereich der Cybersicherheit angesehen werden.

Darüber hinaus wurden von der österreichischen Handelskammer umfassende Richtlinien mit einer Zusammenfassung der relevanten Regeln und Empfehlungen sowie eine speziell für sehr kleine Unternehmen erstellte Checkliste erstellt, die auf ihrer Microsite erhältlich ist. www.it-safe.at.

Beschreiben Sie alle Regeln, nach denen Unternehmen Verstöße gegen die Cybersicherheit den Aufsichtsbehörden melden müssen.

Zusätzlich zu den Industriestandards und Empfehlungen verlangt das NISG von kritischen Infrastruktur- und Digitaldienstanbietern, dass sie Sicherheitsvorfälle, die wesentliche oder digitale Dienste betreffen, unverzüglich melden. Die Verpflichtung digitaler Dienstanbieter, einen Sicherheitsvorfall zu melden, gilt nur, wenn sie Zugriff auf die Informationen haben, die zur Beurteilung der Auswirkungen eines Sicherheitsvorfalls erforderlich sind.

In diesem Zusammenhang werden Sicherheitsvorfälle gesetzlich als Störungen der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit des Netzwerks und der Informationssysteme definiert, die zu einer Verringerung der Verfügbarkeit oder einem Ausfall des mit erheblichen Auswirkungen betriebenen Dienstes geführt haben. Um beurteilen zu können, ob die Auswirkungen erheblich sind oder nicht, müssen die erwartete Anzahl der betroffenen Nutzer, die Dauer, die geografische Verteilung und die erwarteten Auswirkungen auf wirtschaftliche und soziale Aktivitäten berücksichtigt werden.

READ  Legends erweitert das Spiel um Koop-Online-Multiplayer

Die DSGVO legt auch die Anforderungen für die Benachrichtigung über Datenschutzverletzungen fest. Nach Angaben der DSGVO sollten die nationalen Datenschutzbehörden jedoch nur informiert werden, wenn der Verstoß ein Risiko für die Rechte und Freiheiten einer natürlichen Person darstellen könnte. Diese Risiken können jedoch durch geeignete technische oder organisatorische Maßnahmen (z. B. Pseudonymisierung, Verschlüsselung) vermieden werden.

Fristen

Was ist die Frist für die Meldung an die Behörden?

Ab dem 25. Mai 2018, dem Datum des Inkrafttretens der DSGVO, müssen Unternehmen die nationale Datenschutzbehörde im Falle einer Gefährdung der Rechte und Freiheiten einer natürlichen Person unverzüglich und im Umfang des Möglichen informieren innerhalb von 72 Stunden, nachdem die verantwortliche Person Kenntnis von dem Verstoß erlangt hat; Jede Verzögerung muss gerechtfertigt sein. Wenn dieses Risiko hoch ist, muss auch die natürliche Person benachrichtigt werden. Laut NISG müssen Anbieter kritischer Infrastrukturen und digitaler Dienste Sicherheitsvorfälle unverzüglich dem Nationalen Computernotfallteam melden, oder wenn keine eingerichtet wurden oder wenn der Vorfall in einer Bundesinstitution bei GovCERT aufgetreten ist. , der den Bericht unverzüglich an den Bundesinnenminister weiterleitet.

Die Verpflichtung digitaler Dienstanbieter, einen Sicherheitsvorfall zu melden, gilt jedoch nur, wenn sie Zugriff auf die Informationen haben, die zur Beurteilung der Auswirkungen eines Sicherheitsvorfalls erforderlich sind.

In diesem Zusammenhang werden Sicherheitsvorfälle gesetzlich als Störungen der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit des Netzwerks und der Informationssysteme definiert, die zu einer Verringerung der Verfügbarkeit oder einem Ausfall des mit erheblichen Auswirkungen betriebenen Dienstes geführt haben. Um beurteilen zu können, ob die Auswirkungen erheblich sind oder nicht, müssen die erwartete Anzahl der betroffenen Nutzer, die Dauer, die geografische Verteilung und die erwarteten Auswirkungen auf wirtschaftliche und soziale Aktivitäten berücksichtigt werden.

READ  USA: Und dann gibt Donald Trump fast seine Wahlniederlage zu

Betrifft ein Sicherheitsvorfall, an dem ein digitaler Dienstleister beteiligt ist, ein oder mehrere EU-Mitglieder, muss der Bundesinnenminister oder das zuständige IT-Notfallteam den Single Point of Contact (SPOC) des betreffenden EU-Staates informieren.

Berichte

Beschreiben Sie alle Regeln, nach denen Unternehmen Bedrohungen oder Verstöße an Dritte, Kunden oder die breite Öffentlichkeit der Branche melden müssen.

Gemäß Artikel 34 der DSGVO sind Anbieter verpflichtet, die betroffene Person, d. H. Natürliche Personen, im Falle einer Verletzung personenbezogener Daten, die zu einem hohen Risiko für die Rechte und Freiheiten von Personen führen könnte, unverzüglich zu informieren. Es können jedoch geeignete Abhilfemaßnahmen oder technologische Maßnahmen (z. B. sichere Verschlüsselung personenbezogener Daten) in Betracht gezogen werden, um das Risiko ausreichend zu verringern, um die Lieferanten von dieser Meldepflicht zu entbinden. Im Gegensatz zur alten österreichischen Melderegel des österreichischen Datenschutzgesetzes 2000 können die für die Verarbeitung Verantwortlichen die betroffenen Personen nicht versäumen, wenn einzelne Meldungen als unverhältnismäßig angesehen werden. Vielmehr sind sie nun verpflichtet, den Verstoß gegen personenbezogene Daten öffentlich bekannt zu geben. Die Datenschutzbehörde kann die Auslegung des für die Verarbeitung Verantwortlichen über die Schwere und die möglichen Folgen eines Vorfalls überprüfen und von ihm verlangen, die betroffenen Personen zu informieren oder zu bestätigen, dass das Risiko so gering ist, dass eine solche Meldung entfällt.

Diese Bestimmungen gelten jedoch nur für Verstöße, bei denen personenbezogene Daten betroffen sind. Infolgedessen besteht keine Benachrichtigungspflicht für Cyber-Bedrohungen oder Verstöße, an denen keine personenbezogenen Daten beteiligt sind (obwohl letztere statistisch recht unwahrscheinlich sind).

Die NISG hingegen legt anderen Akteuren der Branche, Kunden oder der Öffentlichkeit keine Berichtspflichten auf.

Gesetzlich festgelegtes Datum

Richtig auf

Geben Sie das Datum an, an dem die obigen Informationen korrekt sind.

1. Februar 2021.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.