Newsletter März 2025
Thema: BSI als EUCC Zertifizierungsstelle notifiziert
EUCC steht für European Cybersecurity Certification.
EUCC ist ein europäischer Neuanfang auf Terrain der Zertifizierung nach gemeinsamen Kriterien (Common Criteria, CC) und der gemeinsamen Evaluierungsmethodik (Common Evaluation Methodology, CEM).
Die technischen Spezifikationen der nationalen CC-Zertifizierungsschemata laufen aus und wurden in die EUCC-DV überführt.
Bisherige inhaltliche Divergenzen ausschließlich nationaler Zertifikate der Mitgliedstaaten werden dadurch vermieden. Die Einheitlichkeit und Vergleichbarkeit aller Cybersicherheitszertifikate ist das erklärte Ziel des europäischen Rahmens für Cybersicherheitszertifizierung (ECCF) und soll verhindern, dass durch unterschiedliche Anforderungsniveaus der Mitgliedstaaten ein "Zertifizierungshopping" provoziert wird.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde jetzt als alleinige deutsche staatliche Zertifizierungsstelle gemäß der Verordnung (EU) 2019/881 (Cybersercurity Act, CSA) bei der Europäischen Kommission (EU-KOM) notifiziert
Dieser Geltungsbereich beinhaltet zum einen vollumfänglich alle für die Cybersicherheitszertifizierung vorgesehenen Produktgruppen, zum anderen erfüllt das BSI die Anforderungen der in der EUCC-DV verlangten Kenntnisse zu den technischen Bereichen "Chipkarten und ähnliche Geräte" sowie "Hardware Geräte mit Sicherheitsboxen". Darüber hinaus wird das BSI gemäß EUCC-DV als einzig gesetzlich autorisierte Zertifizierungsstelle in Deutschland auch Schutzprofile zertifizieren.
Ab sofort ist es allen Herstellenden möglich, Produkte nach EUCC mit der Vertrauenswürdigkeitsstufe hoch durch das BSI zertifizieren zu lassen. Dabei wird der Übergang von der nationalen CC-Zertifizierung hin zur europäischen EUCC-Zertifizierung ohne Unterbrechung gewährleistet.
Author: UBI
Quellen:
BSI, BSI als EUCC Zertifizierung..., abgerufen am 26.03.25
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/250320_EUCC-DV.html
Thema: Prüfaktion zum Recht auf Löschung
Jedes Jahr gibt es von der EDSA eine Durchsetzungsmaßnahme „Coordinated Enforcement Framework“ (CEF). In diesem Jahr gilt sie der Umsetzung des Rechts auf Löschung gemäß Art. 17 DSGVO. Es nehmen 32 Datenschutzaufsichtsbehörden aus Europa teil. In Deutschland sind das die Landesdatenschutzaufsichtsbehörden aus Baden-Württemberg, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz sowie die Bundesbeauftragte.
Das Recht auf Löschung ist eines der am häufigsten ausgeübten Betroffenenrechte und eines, zu dem bei den Datenschutzaufsichtsbehörden viele Beschwerden eingehen. Ziel dieser koordinierten Aktion ist es, die Umsetzung dieses Rechts in der Praxis zu bewerten.
Dafür wurden Fragebögen entworfen und an verschiedene Verantwortliche geschickt. Die Antworten werden dann analysiert und die sich daraus ergebenden Vorgehensweisen verglichen. Dadurch sollen die wichtigsten Punkte bei der Einhaltung des Rechts auf löschung ermittelt, sowie ein Überblick über bewährte Verfahrensabläufe gewonnen werden.
Die Ergebnisse der gemeinsamen Initiative werden nach Abschluss in einem Bericht veröffentlicht.
Author: UBI
Quellen:
DSK, Deutsche ..., abgerufen am 24.03.25
https://datenschutzkonferenz-online.de/media/pm/DSK-PM_CEF_2025.pdf
Thema: Digitaler Führerschein
Vertreter des EU-Parlaments, des Ministerrats und der Kommission haben sich auf neue gemeinsame Standards für den Führerschein auf Ebene der gesamten Gemeinschaft verständigt.
Bis spätestens Ende 2030 soll für alle EU-Bürger ein einheitlicher digitaler Führerschein verfügbar sein. Er wird dem Plan nach in der künftigen digitalen Brieftasche für die European Digital Identity (EUDI) gespeichert.
Der digitale Führerschein soll künftig das Hauptformat in der EU sein. Ziel ist es, die Verwaltung solcher Dokumente zu vereinfachen und den Zugang zu Fahrerlaubnissen moderner und nutzerfreundlicher zu machen. Die Abgeordneten stellten jedoch sicher, dass Fahrer weiterhin das Recht haben, einen physischen Führerschein im Scheckkartenformat zu beantragen. Viele wollen nicht immer ihr Smartphone dabei haben oder fürchten Lücken in der Netzabdeckung.
Führerscheine für Motorräder und Autos sollen 15 Jahre lang gültig sein. Das ist bei uns beim Scheckkartenformat bereits so. Die Fahrberechtigung als solche bleibt bestehen. Wenn das Dokument nach 15 Jahren abläuft, bekommen Berechtigte in der Regel einen neuen Scheckkartenführerschein ohne Prüfung oder Gesundheitscheck. EU-Länder können diesen Zeitraum auf 10 Jahre verkürzen, wenn der Führerschein als nationaler Ausweis verwendet werden kann. Lkw- und Busführerscheine müssen alle fünf Jahre erneuert werden.
Die Mitgliedsstaaten können zudem die Gültigkeit des Führerscheins von Fahrern über 65 verkürzen. Etwaige Gesundheitsüberprüfungen waren im Vorfeld besonders umstritten. Nun ist vorgesehen: Schon vor der Ausstellung des ersten Führerscheins sollte sich ein Fahrer einer ärztlichen Untersuchung unterziehen, die auch sein Sehvermögen und seinen Herz-Kreislauf-Zustand berücksichtigt.
Für Autofahrer oder Motorradfahrer können die EU-Länder entscheiden, den Arztcheck durch eine Selbsteinschätzung anhand eines Fragebogens oder – im Falle der Erneuerung des Führerscheins – durch andere alternative Maßnahmen zu ersetzen. Über potenzielle Konsequenzen bei falschen oder unvollständigen Angaben dabei entscheiden ebenfalls die Mitgliedsstaaten.
Es ist eine Probezeit von mindestens zwei Jahren für neue Fahrer vorgesehen. Für Fahranfänger gelten strengere Regeln und Sanktionen für das Fahren unter Alkoholeinfluss und das Fahren ohne Verwendung von Sicherheitsgurten oder Kinderrückhaltesystemen. Das Parlament drängte auch auf eine Zusage der Länder, generell möglichst eine Null-Toleranz-Politik gegenüber Alkohol und Drogen zu verfolgen.
Um dem Mangel an Berufskraftfahrern entgegenzuwirken, wird das Mindestalter für den Erwerb eines Lkw-Führerscheins von 21 auf 18 Jahre und für einen Busführerschein von 24 auf 21 Jahre gesenkt.
Die Rechtsgrundlagen für die Einführung eines digitalen Führer- und Fahrzeugscheins brachte die Bundesregierung hierzulande im Februar auf den Weg.
Author: UBI
Quellen:
Heise Online,‘Smartphone Wallet...‘, Stefan Krempl, abgerufen am 26.03.25
https://www.heise.de/news/Smartphone-Wallet-EU-Gremien-einigen-sich-auf-digitalen-Fuehrerschein-10327739.html
Thema: CISA zeigt, wie man es nicht machen sollte
Die CISA (Cyber Defense Agency) ist die US-Version der EUCC. Wie bei allen US-Behörden wurde auch hier seit dem 20.01.25 die DOGE (Department of Goverment Efficency) aktiv. Und das bedeutet fast immer, reihenweise Kündigungen von Mitarbeitern.
Aufgrund einer einstweiligen Verfügung des Bezirksgerichts Maryland sind verschiedene Bundesbehörden, darunter auch die CISA, verpflichtet, alle durch das DOGE (Department of Government Efficiency) vorgenommene Entlassungen rückgängig zu machen.
Das versucht die CISA jetzt auch, nur scheinen die Mitarbeiter, die wissen wie man das Personalsystem bedient, auch alle entlassen worden zu sein. Anders ist es nicht erklärbar, das via CISA Homepage Betroffene aufgefordert wurden, sich per E-Mail bei der CISA zu melden, um wieder eingestellt zu werden.
Offenbar ist nicht klar, wer entlassen wurde und wie man mit ehemaligen Mitarbeitern in Kontakt kommt. Doch auch wer zur CISA zurückkehrt, darf nicht wieder dort arbeiten: Alle Rückkehrer werden unmittelbar nach Wiederantritt ihrer Stelle bei vollen Bezügen freigestellt, so die Behörde auf ihrer Website. Wer das nicht wolle, möge sich schriftlich äußern – natürlich könne man auch jederzeit freiwillig kündigen.
Das sich ergebende Problem: ‘Wie stelle ich sicher, ob der, der sich per E-Mail meldet, auch wirklich mal bei mir gearbeitet hat?‘ wurde auf ebenso pragmatische wie unprofessionelle Art gelöst:
- In die geforderte E-Mail sollte ein passwortgeschützter Anhang eingefügt werden, die persönliche Daten des Betroffenen enthält (Namen, Anstellungs- und Kündigungsdatum, Geburtsdatum, Sozialversicherungsnummer, Kündigungsschreiben, ...) Und danach sollte das Passwort zu dieser Datei in einer weiteren E-Mail an die CISA gesendet werden.
Leider werden wir nie erfahren, wieviele Leute diese E-Mails mitgelesen haben und so an die Daten der Mitarbeiter gekommen sind. Und es wird auch bestimmt keine Statistik geben, wieviel Viren in Anhängen gesteckt haben.
Schade! Hätte uns schon interessiert!
Author: UBI
Quellen:
Heise Online,‘Chaos bei der CISA ...‘, Dr. Christopher Kunz, abgerufen am 26.03.25
https://www.heise.de/news/Chaos-bei-der-CISA-US-Cybersicherheitsbehoerde-holt-Gefeuerte-per-Website-zurueck-10320140.html
» Zurück zur Newsletter-Übersicht