Grundlagen des Datenschutzes und der IT-Sicherheit (1)

Transkript

1 und der IT-Sicherheit (1) Vorlesung im Sommersemester 2006 an der Universität Ulm von Zum Dozenten Berater für Datenschutz und IT-Sicherheit geprüfter fachkundiger Datenschutzbeauftragter Industriekaufmann, Diplom-Informatiker seit 1998 selbstständig seit 2005 Lehrbeauftragter an der Universität Ulm 2

2 Fachliche Zuordnung Vorlesung (VL) im Hauptstudium: 2+2 SWS = 6 LP bei den Informatik-Studiengängen anrechenbar im: Kernfach Praktische und Angewandte Informatik Vertiefungsgebiet Informatik und Gesellschaft Anwendungsfach Medienrecht 3 Sinnvolle Kombinationen: AF Medienrecht Medienrecht 1 Medienrecht 2 HS Vertiefende Rechtsfragen der Informatik KF PI Computer- Sicherheit Sichere Systemarchitektur HS Datenschutz und Datensicherheit VG Info & Ges. Medienrecht 1 Nachhaltige Informationsgesellschaft beide HS HS Sicherheit in Verteilten Systemen HS Sicherheit in mobilen Netzen 4

3 Organisatorisches jeweils montags und mittwochs Uhr im H21 Vorlesungsmaterial vorab im Netz unter: Übungsblätter + Lösungen ebenfalls Übungen ergänzen (!) Vorlesung Literatur im Semesterapparat voraussichtlich kein Skript Klausurtermin noch zu vereinbaren Veranstaltung wird didaktisch ausgewertet 5 Terminübersicht Vorlesungen: Mo, Mi, Mi, mit Gast Mo, Mo, Mo, Mi, Mi, Mo, mit Gast Mo, Mo, Mo, Mo, Prüfungsvorbereitung Übungen: Mi, Mo, Mi, Mi, Mi, Mo, Mi, Mi, Mi, Mi, Mi, Mi, Prüfungsvorbereitung 6

4 Hinweise Scheinkriterien: Übungsschein: 50 % der Übungen qualifizierter Übungsschein: Klausur! Prüfung: Klausur! (1/3 Vorlesung, 1/3 Übung, 1/3 Anwendungen) Erfahrung aus 2005: (38 Prüflinge, Schnitt 2,0) Aktive Teilnahme an Übungen Noten 0,8 besser 7 Zum Vergleich von Informatik und Jura Informatik und Jura: konsequente Verwendung definierter Systematik & Fachtermini Informatik Definition/Satz/Anwendung; Jura Legaldefinition/Norm/Auslegung mit Abwägung Informatik Analogien; Jura Einzelfälle (außer Verfassungsauslegung!) Informatik gröbere Bezüge; Jura Detailnachweise 8

5 Motivation Informationen besonders eigenartiger Rohstoff Anwendungsbezug der Informatik Entwurf von Systemen ggf. mit Personenbezug Compliance: Übereinstimmung mit gesetzlichen Erfordernissen bzw. Standards Berufliche Perspektive (CIO, CSO, Admins etc.) Abwehr von Industriespionage Ubiquitous Computing Kenntnisse in IT-Sicherheit auf Arbeitsmarkt gesucht 9 Lehrziele: Methoden Strukturieren und Analysieren auch umfangreicher Texte Abstrahieren von Sachverhalten Verknüpfung verschiedener Sichtweisen (aus Jura, Informatik und Wirtschaftswissenschaften) selbstständiges Aufarbeiten neuen (und ungewohnten) Stoffes Beherrschen der Nomenklatur Einübung typischer Fertigkeiten Anwendung von Kenntnissen in praxisrelevanten Fällen Erleichterung des Einstiegs in die Berufspraxis 10

6 Lehrziele: Inhalte Angabe, Analyse und Anwendung grundlegender Rechtsnormen Beherrschen der Nomenklatur Erläuterung des informationellen Selbstbestimmungsrechts Angabe der Grundsätze beim Datenschutz Übertragung der Grundsätze auf neue Problemfälle Angabe und Anwendung der Ziele mehrseitiger IT-Sicherheit Benennung von Bedrohungen und deren Wirkungen Konstruktion von Maßnahmen gegen Bedrohungen Kenntnis gängiger Vorgehensmodelle Erstellung eines Sicherheitsmodells Durchführung von Risikoanalysen Entscheidung über den Umgang mit festgestellten Risiken 11 Grobe Gliederung 12

7 Übersicht zum Rahmen 13 Informatik-Einordnung (1) Grunddilemma: Selbstverständnis (Wissenschaft der Informationsverarbeitung) vs Begriffswelt keine einheitliche Konstruktionslehre vorhanden! Lösung: Festlegung von Definitionen! Definition 1: Daten kontextfreie Angaben, die auf Zeichen bzw. Signalen basieren Definition 2: Informationen Daten, die (durch den Menschen) kontextbezogen interpretiert werden und (prozesshaft) zu Erkenntnisgewinn führen 14

8 Informatik-Einordnung (2) Informationen als Rohstoff Information ist immateriell Wert von Informationen mal exponentiell, mal subtrahierend Informationen sind manipulierbar Informationen auch unbewusst oder ungewünscht übertragbar Zugang zu und Bewertung von Informationen entscheidend neue Maßstäbe! 15 Informatik-Einordnung (3) Fortentwicklung der Informationstechnik schnelle Fortentwicklung von IT-Systemen (Verdoppelung der Datenspeicherkapazitäten & Arbeitsgeschwindigkeit alle 2 Jahre) hohe Komplexität der IT-Systeme stark anwachsender Sektor Informationswirtschaft hohe Abhängigkeit von IT-Systemen Allgegenwart der Datenverarbeitung Ambivalenz technischer Entwicklungen technisches Grundverständnis nötig 16

9 Gesellschaftstheoretische Einordnung Definition 3: Gesellschaft Das jeweils umfassendste System menschlichen Zusammenlebens Entstehung von Normen in der BRD: Definition 4: Normen Verbindlich vereinbarte, auf Werten basierende Regelungen (Rechtsvorschriften) einer Gesellschaft 17 Ethische Einordnung Definition 5: Ethik Reflexives Nachdenken über gutes Handeln Neuer kategorischer Imperativ: Handle so, dass die Wirkungen Deiner Handlungen mit der Permanenz menschlichen Lebens verträglich sind Konstruiere DV-Systeme so, dass kein Schaden für die Gesellschaft entsteht (Verfassungs- und Sozialverträglichkeit) und aktuelle Entwicklungen berücksichtigt werden können Nachvollziehbarkeit + Reversibilität + Universalität Verantwortung aufgrund bestehender Werte Wertesystem durch rechtliche Normen und moralische Regeln bestimmt 18

10 Ergebnis der Einordnung durchgängige Verwendung einheitlicher Definitionen Besonderheiten der Information als Rohstoff berücksichtigen informationstechnische Fortentwicklung erfordert technisches Grundverständnis gesellschaftliche Werte für Handlung maßgeblich Normen sind das Ergebnis staatlicher Gewalt Verantwortung durch Ausrichtung auf Permanenz menschlichen Lebens 19 Überblick zum Datenschutz 20

11 Geschichte des Datenschutzes: 7 Schutzziele 21 Datenschutz als Abwehrrecht (1) Ausgleich des Ungleichgewichtes Schutz vor Missbrauch (Ende 60er) Kontrolle durch Datenschutzbeauftragte! 22

12 Datenschutz als Abwehrrecht (2) im Zuge der 1. Rasterfahndung Schutz vor falschen Wirklichkeitsmodellen (Ende 70er) Merkmal 1: A B D G H Merkmal 2: A C D E H Merkmal 3: B D E F H Person D & H weisen alle 3 Merkmale auf! keine automatisierte Einzelentscheidung! 23 Datenschutz als Abwehrrecht (3) gegen die Sammelwut des Staates Schutz der informationellen Gewaltenteilung (Anfang 80er) personenbezogene Daten anonymisieren! 24

13 Datenschutz als Abwehrrecht (4) gegen die Vernachlässigung des Alterns von Daten Schutz vor dem Kontextproblem (Ende 80er) Beachtung von Löschungsfristen! 25 Datenschutz als Abwehrrecht (5) gegen den Irrglauben unfehlbarer Software Schutz vor verletzlichen DV-Systemen (Anfang 90er) Regelungen zum Schadensersatz! 26

14 Datenschutz zur Gestaltung (1) die Verwirklichung eigener Rechte erfordert Zugang zu Informationen Recht auf Information (Ende 90er) Akteneinsichtsrecht! 27 Datenschutz zur Gestaltung (2) an Erfordernissen künftiger Generationen orientieren Nachhaltigkeit (Ende 00er?) Reversibilität von Entscheidungen! Verantwortlichkeit von Handlungen! 28

15 Ergebnis der 7 Schutzziele Datenschutz hat viele Facetten Datenschutz entstanden als Abwehrrecht gegen übermächtigen Staat Ausrichtung des Datenschutzes verändert sich Datenschutz ist eher Schutz der Informationen über Personen Datenschutz ist Schutz vor unerwünschten Verfahren Informationstechnik beschleunigt Entwicklung des Datenschutzes 29 Rechtsgeschichte: Urteile 1958 BGH: Herrenreiterurteil (Schadensersatz für die Verletzung des Persönlichkeitsrechts) 1969 BVerfG: Mikrozensusbeschluss (Menschen nicht als Sachen behandeln) 1970 BVerfG: Scheidungsaktenbeschluss (unantastbarer Bereich privater Lebensführung) 1973 BVerfG: Lebachurteil (Eingriff ins Persönlichkeitsrecht zeitlich begrenzt) 1983 BVerfG: Volkszählungsurteil (informationelles Selbstbestimmungsrecht) 30

16 Rechtsgeschichte: Gesetze 1970 Hessen: (erstes!) Datenschutzgesetz 1977 BRD: Bundesdatenschutzgesetz 1978 NRW: Grundrecht auf Datenschutz in Landesverfassung 1980 BRD: Sozialgesetzbuch X 1990 BRD: Bundesdatenschutzgesetz (Version 2) 1995 EU: Datenschutzrichtlinie 1997 BRD: Informations- u. Kommunikationsdienstegesetz 1998 Brandenburg: Akteneinsichts- u. Informationszugangsgesetz 1998 BRD: Großer Lauschangriff 2001 BRD: Bundesdatenschutzgesetz (Version 3) 2002 BRD: Terrorismusbekämpfungsgesetz 2006 BRD: Informationsfreiheitsgesetz 31 Literaturhinweise zur Geschichte 7 Schutzziele des Datenschutzes: Gerhard Kongehl, Warum Datenschutz, warum IT- Sicherheit?, in Gerhard Kongehl (Hrsg), Datenschutz- Management, WRS Verlag, Planegg/München, 2005, 1. Ergänzungslieferung 2006 (mit freundlicher Genehmigung des Autors) Rechtsgeschichte des Datenschutzes: Ralf-Bernd Abel, Geschichte des Datenschutzrechts, in Alexander Roßnagel (Hrsg), Handbuch Datenschutzrecht, Verlag C. H. Beck, München, 2003, S