Grundlagen des Datenschutzes. Gliederung zur Vorlesung im Sommersemester 2008 an der Universität Ulm von Bernhard C. Witt

Transkript

1 Gliederung zur Vorlesung im Sommersemester 2008 an der Universität Ulm von

2 1. Anforderungen zur 1.1 Einflussfaktor Recht Sorgfaltspflicht Datenschutz & Fernmeldegeheimnis spezialrechtliche Vorgaben & vertragsrechtliche Verpflichtungen 1.2 Einflussfaktor Technik Eigenschaften des Rohstoffs Information Fortentwicklung der Technik Stand der Technik Relevanz internationaler Standards 1.3 Einflussfaktor Unternehmensspezifika Branchenzugehörigkeit & Marktstellung innerbetriebliche Organisation 2

3 2. Mehrseitige 2.1 Einordnung mehrseitiger Geschichte und Übersicht Definition & Grundsätze mehrseitiger Ziele mehrseitiger * Verlässlichkeit von IT-Systemen (Verfügbarkeit, Integrität, Vertraulichkeit) * Beherrschbarkeit von IT-Systemen (Zurechenbarkeit, Rechtsverbindlichkeit) Unterscheidung zwischen Safety & Security 3

4 2. Mehrseitige (Forts.) 2.2 Analyse mehrseitiger Berechnung der Verfügbarkeit * Einzelverfügbarkeiten von IT-Komponenten & Diensten * Verfügbarkeit redundanter IT-Systeme * Verfügbarkeiten gesamter IT-Systeme Analyse von Ausfallzeiten Verlust der Vertraulichkeit Verschlüsselung * Ende-zu-Ende-Verschlüsselung vs. Verbindungsverschlüsselung * symmetrische vs. asymmetrische Verschlüsselung Sicherung der Integrität Authentifizierungsverfahren 4

5 3. Risiko-Management 3.1 Übersicht Prozess des Risiko-Managements Besonderheiten von IT-Risiken Zusammenspiel mit Einbindung in Geschäftskontinuität 3.2 Risiko-Identifikation Ablauf Bedrohungsanalyse Analyse von Verwundbarkeiten Unterscheidung in aktive und passive Angriffe 5

6 3. Risiko-Management (Forts.) 3.3 Risiko-Analyse Fehlerbaum-Analyse Angriffsbaum-Analyse Fehlermöglichkeits- und -einflussanalyse Ergebnis: Festlegung des Schutzbedarfs 3.4 Risiko-Bewertung Risikomatrix bzw. Risikotabelle Risikoportfolio bzw. Risk-Map SWOT-Analyse & Balanced Score Card 6

7 3. Risiko-Management (2. Forts.) 3.5 Risiko-Behandlung Bestimmung der Akzeptanzlinie Bestimmung des Restrisikos Zusammenspiel mit s-management 7

8 4. Konzeption von 4.1 Erstellung sicherer IT-Systeme Software-Erstellung gemäß standardisierter Vorgehensweisen * V-Modell XT * Software-Qualität nach DIN 9126 * formaler Nachweis von Korrektheit Allgemeine Konstruktionsprinzipien Prinzipien für Sicherheitsprozesse 8

9 4. Konzeption von (Forts.) 4.2 Gestaltung der IT-Infrastruktur Berücksichtigung gängiger Standards * IT-Grundschutz-Kataloge des BSI * Informationssicherheitsmanagement nach ISO/IEC 2700x * Business Continuity Management nach BS * ITIL v Architektur der IT-Infrastruktur Erstellung eines Notfall-Vorsorge-Konzepts Erstellung eines Notfallplans im laufenden Betrieb Erstellung einer Sicherheitsleitlinie (security policy) * Allgemeines Sicherheitskonzept * Spezifisches Sicherheitskonzept (am Beispiel Telearbeit) 9

10 4. Konzeption von (2. Forts.) 4.2 Gestaltung der IT-Infrastruktur Management der Netzwerksicherheit * ISO * ISO/IEC * Gestaltung von Firewalls physischer Schutz & Sicherung der Authentisierung * Password * Chipkarte * Biometrie Zugriffskontrolle * Access Control List * Capability List Folgen des 202c StGB 10