Internet-Sicherheit: Panne bei Überwachungsaufnahmen
Internet-Sicherheit: Fälschlich veröffentliche Überwachungsaufnahmen
Und wieder einmal zeigt es sich, dass man sich mit den einfachsten Sicherheitstipps bereits schützen kann. Nachdem der Intranet-Server eines Elektroinstallationsbetrieb Live-Aufnahmen einer Klink veröffentlichte, bekommt das Thema Internet-Sicherheit wieder mehr aufsehen. Leider immer erst, wenn es bereits zu Schäden gekommen ist.
Der Fall: Klinik am Isar Park in Bayern
Von Notaufnahme über Haupteingang, Empfang oder Besucherparkplatz, alles wird von Kameras überwacht – und deren Aufnahmen waren live für jedermann abrufbar. Denn jede einzelne der mehr als ein Dutzend IP-Kameras auf dem Klinikgelände ist per DynDNS-Dienst und Portfreigabe direkt aus dem Internet zu erreichen. Die Ursache: Die Zugangsdaten der Kameras waren ungeschützt auf dem Webserver eines mittelständischen Elektroinstallationsbetriebs, der für die Installation der Überwachungssysteme verantwortlich ist.
In der Übersicht fanden sich auch mehr als ein Dutzend weitere Links zu Kameras einer Baufirma, eines Autohauses, einer Wohnanlage sowie etlichen Baustellen und anderen Orten in der Region. Praktischerweise waren die Anmeldedaten gleich in den Links integriert – ein Klick genügte, um sich live die Überwachungsaufnahmen anzusehen. Internet-Sicherheit gleich null!!!
Leichtsinn und fehlende Internet-Sicherheit
Leicht zu erratene Benutzernamen, stumpfe Passwörter aus reinen Zahlenabfolgen, öffentlich zugängige Daten, unsichere Archivierung – all das können Haker knacken und finden. Neben der Verletzung der Privatsphäre, können über die Kamerabilder Daten erfasst werden: Kennzeichen von PKWs, Personen und Identitäen, vertrauliche Informationen, Abwesenheit von Sicherheitspersonal uvm.
Ein Verstoß der DSGVO kostet
Aus datenschutzrechtlicher Sicht haben sowohl der Elektroinstallateur als auch die Firmen und Organisationen, die dessen Leistungen zur Videoüberwachung beauftragt haben, offenbar eine ganze Menge falsch gemacht. Das fängt bereits damit an, dass die Bilder der Kameras auf keinen Fall offen ins Netz gestellt werden dürfen. Hierbei dürfte es sich um einen Vorfall handeln, der nach Artikel 33 der DSGVO an die Behörden zu melden ist.
Doch viel weitergehend stellt sich die Frage, ob die Kameras diese Stellen überhaupt überwachen dürfen. Zwar ist Videoüberwachung in der DSGVO nicht explizit geregelt. Auch im ergänzenden deutschen Bundesdatenschutzgesetz finden sich in Paragraf 4 nur Vorschriften für öffentlich zugängliche Räumlichkeiten. Dennoch stellt das dauerhafte Filmen eine Datenverarbeitung dar, die nur unter den engen Voraussetzungen des Datenschutzes zulässig ist.
Voraussetzung dabei ist, dass öffentlich zugängliche Bereiche per Kamera beobachtet werden und dies nicht ausschließlich zu privaten Zwecken geschieht. In diesem Fall ist das Betreiben von Kameras gemäß Artikel 6 DSGVO nur dann zulässig, wenn dies "zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist". Allerdings muss im Rahmen einer Interessenabwägung darauf geachtet werden, dass die entgegenstehenden Interessen der betroffenen Personen, hier also der Beobachteten, diesem Interesse nicht überwiegen.
Wird also nur das eigene, nicht von Dritten genutzte Grundstück überwacht, steht dem grundsätzlich rechtlich nichts entgegen. Diese Maßnahme ist in aller Regel von der Wahrnehmung des Hausrechts gedeckt. Dieses Recht endet aber dort, wo auch regelmäßig Dritte von der Videoüberwachung betroffen sind, also an den Grundstücksgrenzen. Öffentlicher Raum, wie etwa Gehwege oder Straßen und das Grundstück des Nachbarn, sind bei der Überwachung tabu.
Hätten Sie das gewusst?
Die Pflege der Internet-Sicherheit wie sichere Aufbewahrung individueller Passwörter für alle Kameras verursacht mehr Zeitaufwand bei der Einrichtung und somit höhere Kosten – ist aber letztlich viel billiger als jede Strafe, die die DSGVO vorsieht!
Wie kann man sich schützen?
Gerade dieser Fall zeigt, dass es keine 100%ige Sicherheit gibt und Fehler passieren. Auch und insbesondere durch externe Dienstleister. Würden Sie darauf wetten, dass Ihre Firmendaten zu 100% gesichert sind? Wir nicht.
Deshalb ist eine Cyberversicherung so wichtig, denn sie kann mehr als "nur" Cyber. Sie hilft auch bei Datenschutzverstößen und kann die zu erwartenden Bußgelder minimieren. Darum ist es wichtig, jedes Unternehmen darauf anzusprechen.