Verbesserung von Datensicherheit und Datenschutz im Unternehmen - Desaster-Toleranz
|
|
- Adolf Jaeger
- vor 8 Jahren
- Abrufe
Transkript
1 Verbesserung von Datensicherheit und Datenschutz im Unternehmen - Desaster-Toleranz Prof. Dr. Thomas Horn IBH Prof. Dr. Horn GmbH Gostritzer Str Dresden info@ibh.de
2 Einleitung Begriffsbestimmung Privacy Safety Security Schutz der Privatsphäre --> Datenschutz (jur.) technische Datensicherheit (Schutz vor technischen Defekten, physikalischen Einflüssen und Ausfällen) --> Erhöhung der Verfügbarkeit --> Desaster-Toleranz Schutz gegen unbefugte Benutzung (read, write, modify) --> Datenschutz (techn.) 2
3 Inhaltsverzeichnis 1. Problemanalyse 2. Schutz der Privatsphäre Bundesdatenschutzgesetz (BDSG) Telekommunikationsgesetz (TKG) 3. Technische Datensicherheit 4. Organisator. Maßnahmen des Datenschutzes Organisatorische Maßnahmen gemäß BDSG Schutz des Netzwerkes Internet-Sicherheit 5. IT-Grundschutz gemäß BSI IT-Grundschutz Privacy Safety Security Problembewußtsein 3
4 Problemanalyse 1 Warum Datensicherheit/Datenschutz? Unsere Zeit ist durch die breiteste Einführung der elektronischen Verarbeitung und Speicherung von Daten gekennzeichnet! über lange Sicht können keine zwei Ablagen geführt werden (Papierablage + elektronische Ablage) --> Es treten zwangsläufig Inkonsistenzen auf Kostenzwang führt zur Arbeitsplatzeinsparung Unternehmen verlernen, die Prozesse manuell zu verarbeiten Unternehmen begeben sich in Abhängigkeit vom Computersystem Ein Ausfall des Computersystems bzw.. ein Verlust der Daten führen (zwangsläufig) zum Ruin des Unternehmens 4
5 Problemanalyse 2 Ausfall des Netzwerkes bzw. Verlust der Daten führen zum Ruin des Unternehmens Nur t ist unterschiedlich: 2-4h bei Banken 2d bei Versicherungen 1-2w bei Fertigungsbetrieben 2-6w bei Baubetrieben Folge: Unternehmen müssen sich gegen Diebstahl, Verlust, Verfälschung und Ausfall der Daten/Computersysteme schützen. Besondere Brisanz: Wir haben es heute mit komplizierten Lieferanten-Kunden-Beziehungen zu tun --> Kunden wollen wissen, wie zuverlässig ist mein Lieferant --> einzelne Industriezweige machen schon heute ein Audit ihrer Lieferanten 5
6 Problemanalyse 3 Beispiel 1: Diebstahl bei herkömmlicher Papierablage 1 Blatt A4 = 5 g 1 Ordner 8 cm = 500 Blatt = 2,5 kg 1 Regal 80 cm = 10 Ordner --> 5 OH = 50 Ordner = 125 kg 1 Büro = 3 Regale = 375 kg 1 Firma = 20 Büros = 7,5 t 1 Umzugskarton ca. 25 kg --> 300 Umzugskartons --> 2-3 LKW Für 8 Mann 8h harte Arbeit Zeit bis zur Entdeckung: wenige Stunden Es gibt Mitwisser 6
7 Problemanalyse 4 Beispiel 2: Diebstahl bei Elektronischer Ablage 1 Seite A4 = 2000 Schriftzeichen 1 Schriftzeichen = 8 bit = 1 Byte 1 Seite = 2 kbyte 1 Ordner = 1 MByte (=1 Diskette) 1 Regal = 50 MByte 1 Firma = 3 GByte 2,4 cm 18 GB 10,2 cm Kopieren der Firmendaten dauert ca. 30 min 14,6 cm Nur 1 Beteiligter Diebstahl hinterläßt keine Spuren bleibt in der Regel auf lange Zeit unerkannt 7
8 Problemanalyse 5 Diebstahl der Papierablage Dokumente in Papier sind über das gesamte Verwaltungsgebäude verstreut Papier ist schwer und unübersichtlich Daten müssen erst sortiert werden (Einarbeitung!) Diebstahl der Elektronischen Ablage einfache, unkomplizierte Möglichkeit des Diebstahls von Daten Daten liegen zentral im Computersystem vor Daten liegen in maschinenlesbarer Form vor Daten sind übersichtlich strukturiert und daher gut weiter verwendbar Daten haben eine sofortige und effektiv schädigende Wirkung 8
9 Problemanalyse 6 Sicherheit Zentrales RZ vs. firmenweites Netzwerk früher: heute: RZ zentrales Rechenzentrum = zentrale Datenverarbeitung gut geschützt Mitarbeiter PC PC IS Server Mitarbeiter 2 Mbit/s Abt. DV 2-4 Mitarbeiter Internet ISDN 64 kbit/s (ADSL 2 Mbit/s) PC einfacher Zugang zu den Daten über das Internet - ohne Spuren/Fingerabdrücke, von jedem Punkt der Erde! 9
10 Problemanalyse 7 Beispiel 3: Elektronische Ablage/Internet-Zugang Datenmenge: 3 GByte a) ISDN-Zugang (64 Kbit/s) effektiv max. 6 KByte/s Transferzeit: s = 8.333min = 139h = 5,8 d b) SFV-Zugang (2 Mbit/s) effektiv max. 200 KByte/s Transferzeit: s = 250min = 4,2 h Folge: Firewall zum Schutz des Firmennetzwerkes ist zwingend erforderlich! 10
11 Problemanalyse 8 Minderung der operationellen Risiken durch Schutz vor menschliches Versagen kriminelle Handlungen (gekündigte Mitarbeiter, bewußte Schädigung durch Konkurrenz, Hacker) Katastrophen (Feuer, Wasser, Erdbeben etc.) Softwarefehler Oberste Ziele Erhöhung der Verfügbarkeit - Unternehmen muß arbeitsfähig bleiben keinen Mißbrauch der Daten zulassen Schutz der Daten gegen Verlust und Verfälschung 11
12 Risikomanagement 1 Änderungen der gesetzlichen Rahmenbedingungen Sicherung der europäischen Kreditinstitute durch die Baseler Beschlüsse (Stufe Basel II) 1988: Basel I 2006: Basel II Änderung des 147 AO vom Haftung von Vorstand und Geschäftsleitung bei mangelnder Vorsorge bzw. Frühwarnung im Rahmen des betrieblichen Risikomanagements KonTraG vom
13 Risikomanagement 2 Verschärfung der Kreditvergaberichtlinien (Basel II) Die Ratingquote entscheidet über die Höhe der Zinsen sowie die Höhe des Kreditrahmens Die Ratinggruppe sowie die Gewichtung ergeben sich aus der Risikoeinschätzung! " # $ $ $! $ $ % $! $ # 13
14 Risikomanagement 3 Kriterien zur Ermittlung der Risikoeinschätzung Tätigkeitsgebiet/Branchen-Einschätzung Marktbedingungen/Wettbewerbsposition Management-Einschätzung Ertragslage, Finanzen Vorwegangaben/Prognosen Kontoführung Kundenverbindung/Dauer der Kundenbeziehung Rechtsform Minderung der operationellen Risiken: Hardware, Software, Firewall, Virenschutz, Sicherheits-Standards, Verschlüsselung der Daten, etc. 14
15 Risikomanagement AO vom (1) Die folgenden Unterlagen sind geordnet aufzubewahren: 1. Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, 2. die empfangenen Handels- oder Geschäftsbriefe, 3. Wiedergaben der abgesandten Handels- oder Geschäftsbriefe, 4. Buchungsbelege, & ' ' 5. sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind. & ' ' 15
16 Risikomanagement AO vom (6) Sind die Unterlagen nach Absatz 1 mit Hilfe eines Datenverarbeitungssystems erstellt worden, hat die Finanzbehörde im Rahmen einer Außenprüfung das Recht, Einsicht in die gespeicherten Daten zu nehmen und das Datenverarbeitungssystem zur Prüfung dieser Unterlagen zu nutzen. Sie kann im Rahmen einer Außenprüfung auch verlangen, dass die Daten nach ihren Vorgaben maschinell ausgewertet oder ihr die gespeicherten Unterlagen und Aufzeichnungen auf einem maschinell verwertbaren Datenträger zur Verfügung gestellt werden. Die Kosten trägt der Steuerpflichtige. 16
17 Risikomanagement 6 KonTraG vom Gesetz zur Kontrolle und Transparenz im Unternehmensbereich basierend auf 91 Abs. 2. AktG: Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Haftbarkeit des Vorstandes im Bereich der IT: Datensicherheit/Datenschutz ist Vorstandsthema Datensicherheit/Datenschutz ist NICHT Sache der Administratoren, sondern des Vorstandes Für die GmbH gelten diese Bestimmungen zwar nicht. Sie sind jedoch bereits in der gesetzlichen Vorbereitung. 17
18 Rechtliche Aspekte des Datenschutzes 1 Gesetzliche Grundlagen des Datenschutzes: Bundesdatenschutzgesetz (BDSG) vom (BGBl. I, S.2954) - Neufassung vom Zweck und Anwendungsbereich des Gesetzes (1) Zweck dieses Gesetzes ist es, den einzelnen davor zu schützen, daß er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. (2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch - öffentliche Stellen..., - nicht-öffentliche Stellen, soweit sie die Daten... verarbeiten oder nutzen, es sei denn, die Erhebung... erfolgt ausschließlich für persönliche oder familäre Tätigkeiten. 18
19 Rechtliche Aspekte des Datenschutzes 2 3 Weitere Begriffsbestimmungen (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). (2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. (3) Erheben ist das Beschaffen von Daten über den Betroffenen. (4) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten.... (5) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. 19
20 Rechtliche Aspekte des Datenschutzes 3 4d Meldepflicht (1) Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von nicht-öffentlichen verantwortlichen Stellen der zuständigen Aufsichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes sowie von den Post- und Telekommunikationsunternehmen dem Bundesbeauftragten für den Datenschutz nach Maßgabe von 4e zu melden. (2) Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat. (3)... 20
21 Rechtliche Aspekte des Datenschutzes 4 4d Meldepflicht (1)... (2)... (3) Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei höchstens vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt und entweder eine Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit den Betroffenen dient. 21
22 Rechtliche Aspekte des Datenschutzes 5 5 Datengeheimnis Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. 22
23 Rechtliche Aspekte des Datenschutzes 6 39 Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen (1) Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden sind, dürfen von der verantwortlichen Stelle nur für den Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat. In die Übermittlung an eine nicht-öffentliche Stelle muss die zur Verschwiegenheit verpflichtete Stelle einwilligen. (2) Für einen anderen Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn die Änderung des Zwecks durch besonderes Gesetz zugelassen ist. 23
24 Rechtliche Aspekte des Datenschutzes 7 40 Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen (1) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden. (2) Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist.... (3) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn - der Betroffene eingewilligt hat oder - dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerläßlich ist. 24
25 Rechtliche Aspekte des Datenschutzes 8 43 Bußgeldvorschriften (1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt,... (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet, 2. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält,... (3) Die Ordnungswidrigkeit kann im Fall des Abs. 1 mit einer Geldbuße bis zu Euro, in den Fällen des Abs. 2 mit einer Geldbuße bis zu Euro geahndet werden. 25
26 Rechtliche Aspekte des Datenschutzes 9 44 Strafvorschriften (1) Wer eine in 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Die Tat wird nur auf Antrag verfolgt, Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Aufsichtsbehörde. 26
27 Rechtliche Aspekte des Datenschutzes 10 Anlage (zu 9 Satz 1)- Teil 1 Werden personenbezogene Daten... verarbeitet oder genutzt,... sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass DV-Systeme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines DV- Systems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 27
28 Rechtliche Aspekte des Datenschutzes 11 Anlage (zu 9 Satz 1)- Teil 2 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtung zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 28
29 Rechtliche Aspekte des Datenschutzes 12 Anlage (zu 9 Satz 1)- Teil 3 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. 29
30 Rechtliche Aspekte des Datenschutzes 13 Telekommunikationsgesetz (TKG) vom (BGBl. I, S. 1120) Erster Teil: Allgemeine Vorschriften 1 Zweck des Gesetzes Zweck dieses Gesetzes ist es, durch Regulierung im Bereich der Telekommunikation den Wettbewerb zu fördern und flächendeckend angemessene und ausreichende Dienstleistungen zu gewährleisten sowie eine Frequenzordnung festzulegen. 2 Regulierung (1) Die Regulierung der Telekommunikation und der Frequenzordnung ist eine hoheitliche Aufgabe des Bundes. 30
31 Rechtliche Aspekte des Datenschutzes 14 2 Regulierung (2) Ziele der Regulierung sind: die Wahrung der Interessen der Nutzer auf dem Gebiet der Telekommunikation... sowie die Wahrung des Fernmeldegeheimnisses, die Sicherstellung eines... Wettbewerbs,... die Sicherstellung einer flächendeckenden Grundversorgung mit (Universaldienstleistungen) zu erschwinglichen Preisen, die Sicherstellung einer... störungsfreien Nutzung von Frequenzen... die Wahrung der Interessen der öffentlichen Sicherheit. 31
32 Rechtliche Aspekte des Datenschutzes 15 3 Begriffsbestimmungen Im Sinne dieses Gesetzes ist "Betreiben von Übertragungswegen" Ausüben der rechtlichen und tatsächlichen Kontrolle (Funktionsherrschaft), ist "Betreiben von Telekommunikationsnetzen" Ausüben der rechtlichen und tatsächlichen Kontrolle (Funktionsherrschaft) über die Gesamtheit der Funktionen, die zur Erbringung von Telekommunikationsdienstleistungen... unabdingbar zur Verfügung gestellt werden müssen; dies gilt auch wenn... Übertragungswege... im Eigentum Dritter stehen, ist "Telekommunikation" der technische Vorgang des Aussendens, Übermittelns und Empfangens von Nachrichten jeglicher Art in der Form von Zeichen, Sprache, Bildern oder Tönen mittels Telekommunikationsanlagen 32
33 Rechtliche Aspekte des Datenschutzes 16 Elfter Teil: Fernmeldegeheimnis, Datenschutz, Sicherung 85 Fernmeldegeheimnis (2) Zur Wahrung des Fernmeldegeheimnisses ist verpflichtet, wer geschäftsmäßig TK-Dienste erbringt oder daran mitwirkt. (3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. 33
34 Rechtliche Aspekte des Datenschutzes Abhörverbot, Geheimhaltungspflicht Mit einer Funkanlage dürfen Nachrichten, die für die Funkanlage nicht bestimmt sind, nicht abgehört werden. 87 Technische Schutzmaßnahmen (1) Wer Telekommunikationsanlagen betreibt, hat bei den... betriebenen Telekommunikations- und DV-Systemen angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze des Fernmeldegeheimnisses und personenbezogener Daten, der programmgesteuerten Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe, gegen Störungen und gegen äußere Angriffe und Einwirkungen von Katastrophen zu treffen. 34
35 89 Datenschutz Rechtliche Aspekte des Datenschutzes 18 (1) Die Bundesregierung erläßt... Vorschriften zum Schutze personenbezogener Daten der an der Telekommunikation Beteiligten... Die Vorschriften haben dem Grundsatz der Verhältnismäßigkeit, insbesondere der Beschränkung der Erhebung, Verarbeitung und Nutzung auf das Erforderliche, sowie dem Grundsatz der Zweckbindung Rechnung zu tragen. Dabei sind Höchstfristen für die Speicherung festzulegen... (2) Nach Maßgabe der Rechtsverordnung dürfen Unternehmen, die geschäftsmäßig Telekommunikationsdienste erbringen, die Daten natürlicher und juristischer Personen erheben, verarbeiten und nutzen, soweit dies erforderlich ist... 35
36 Rechtliche Aspekte des Datenschutzes Auskunftsersuchen der Sicherheitsbehörden (1) Wer geschäftsmäßig Telekommunikationsdienste anbietet, ist verpflichtet, Kundendateien zu führen,... (2) Die aktuellen Kundendateien sind... verfügbar zu halten, so daß die Regulierungsbehörde einzelne Daten in einem... automatisierten Verfahren abrufen kann. Der Verpflichtete hat durch technische und organisatorische Maßnahmen sicherzustellen, daß ihm Abrufe nicht zur Kenntnis gelangen können. (6) Der Verpflichtete hat alle Vorkehrungen in seinem Verantwortungsbereich auf seine Kosten zu treffen, die für den automatisierten Abruf erforderlich sind. 36
37 Technische und Organisatorische Mittel der Datensicherheit 1 Technische Mittel der Datensicherheit Einsatz von technischen Mitteln zur Erhöhung des Datenschutzes, wie z. B.: Einsatz von Klimatechnik und Notstromversorgungen Verfahren zur Kontrolle der Richtigkeit übertragener und gespeicherter Informationen Clustersysteme, RAID-Systeme, Backup-Systeme,... Organisatorische Mittel der Datensicherheit Einsatz von organisatorischen Mitteln zur Erhöhung des Datenschutzes, wie z. B.: Festlegung der Aufgaben und betrauten Personen Zutritts- und Zugriffskontrolle (Loggen aller Transaktionen) Schutz über Kennwörter und Zertifikate 37
38 Technische und Organisatorische Mittel der Datensicherheit 2 Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (BSIG) vom (BGBl. I 1990, S. 2834) 1 Bundesamt für Sicherheit in der Informationstechnik Der Bund errichtet das Bundesamt für Sicherheit in der Informationstechnik als Bundesoberbehörde. Es untersteht dem Bundesministerium des Innern. 38
39 Technische und Organisatorische Mittel der Datensicherheit 3 2 Begriffsbestimmungen (1) Die Informationstechnik (IT) im Sinne dieses Gesetzes umfaßt alle technischen Mittel zur Verarbeitung oder Übertragung von Informationen. (2) Sicherheit in der IT im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen 1. in informationstechnischen Systemen oder Komponenten oder (Safety) 2. bei der Anwendung von informationstechnischen Systemen oder Komponenten (Security) 39
40 Technische und Organisatorische Mittel der Datensicherheit 4 3 Aufgaben des Bundesamtes (1) Das Bundesamt hat zur Förderung der Sicherheit in der IT folgende Aufgaben: 1. Untersuchung von Sicherheitsrisiken bei Anwendung der IT sowie Entwicklung von Sicherheitsvorkehrungen, insbesondere von informationstechnischen Verfahren und Geräten für die Sicherheit in der IT, soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist, 2. Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten, 3. Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und Erteilung von Sicherheitszertifikaten, 40
41 Technische und Organisatorische Mittel der Datensicherheit 5 3 Aufgaben des Bundesamtes (Forts.) 4. Zulassung von informationstechnischen Systemen oder Komponenten, die für die Verarbeitung oder Übertragung amtlich geheimgehaltener Informationen (Verschlußsachen) im Bereich des Bundes Unterstützung der für Sicherheit in der Informationstechnik zuständigen Stellen des Bundes, insbesondere soweit sie Beratungs- oder Kontrollaufgaben wahrnehmen Unterstützung a) der Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben, b) der Verfassungsschutzbehörden bei der Auswertung... von Informationen, die bei der Beobachtung terroristischer Bestrebungen oder nachrichtendienstlicher Tätigkeiten... anfallen. 41
42 Technische und Organisatorische Mittel der Datensicherheit 6 3 Aufgaben des Bundesamtes (Forts.) 7. Beratung der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen. (2) Im Falle des Absatzes 1 Nr. 2 werden Entscheidungen über Kriterien und Verfahren, die als Grundlage für die Erteilung von Sicherheitszertifikaten nach 4 dienen, im Einvernehmen mit dem Bundesministerium für Wirtschaft und Technologie getroffen. 42
43 Ziele des Einsatzes von Mitteln der technischen Datensicherheit 1 Wovor wollen wir uns mit technischen Mitteln schützen? Hardwareausfälle (Bauelemente, Plattencrash etc.) Ausfall der Stromversorgung technisch-physikal. Einflüssen (Magnetfelder, elektro-magn. Feldern, Temperatur,...) menschliches Versagen Vandalismus Naturkatastrophen (Hochwasser, Erdbeben,...) (bedingt: Diebstahl) 43
44 Ziele des Einsatzes von Mitteln der technischen Datensicherheit 2 Zuverlässigkeit und Verfügbarkeit wird normalerweise in % bezogen auf ein Jahr angegeben was bedeutet eine solche Angabe in der Praxis? Zuverlässigkeit Ausfallzeit pro Jahr Tage Stunden Minuten 95% 18,25 438, % 7,30 175, % 3,65 87, ,5% 1,83 43, ,9% 0,37 8, ,99% 0,04 0, ,999% 0,00 0,
45 Klimatechnik Technische Datensicherheit 1 Für die Zuverlässigkeit der Computertechnik sollten strengste klimatische Kriterien eingehalten werden: Temperatur C (optimal 25 C) Oberhalb 30 C nimmt die Zuverlässigkeit schnell ab! rel. Luftfeuchtigkeit 50-75% Zu niedrige Luftfeuchte führt zum Austrocknen der Bauelemente! Oberhalb 90% ist mit Kondenswassserbildung zu rechnen! Geräte im Winter erst 1-2h akklimatisieren lassen! Nie kalt einschalten! Möglichst keine häufigeren, größeren Temperaturzyklen!!! 45
46 Technische Datensicherheit 2 Klimatechnik und MTBF MTBF in h Am Beispiel von 2 Netzwerkkomponenten unterschiedlicher Komplexität DECserver 716 DECserver C 40 C 50 C 46
47 Technische Datensicherheit 3 Verfügbarkeit der Stromversorgung mindestens 2 getrennte Unterverteilung in sehr kritischen Fällen 2 unterschiedliche Einspeisungen Schutz gegen Störungen aus dem Elt-Netz Unterbrechungsfreie Stromversorgungen (USV) Redundante unterbrechungsfreie Stromversorgungen Dieselaggregate Redundante Netzteile 47
48 Technische Datensicherheit 4 Schutz vor Datenverlusten/-verfälschungen Hardwareausfälle (> h MTBF für Platten) t Fn =t F /n ---> Plattenspiegelung, RAID techn.-physikal. Einflüsse reduzieren die MTBF (---> separater, gut temperierter Raum) max. 25m (FWD-SCSI) Zutrittskontrolle S menschliches Versagen --> Backup Diebstahl, Vandalismus und Naturkatastrophen --> Schutzräume, entferntes RZ/verteiltes RZ --> Backup (Sicherung auf einem transportablen Medium) 48
49 Technische Datensicherheit 5 Plattennutzungsformen Disk-Striping (RAID 0) Stripe-Set 2-n Platten - gleichmäßige Auslastung - kürzere Zugriffszeiten MTBF Set = MTBF/3 Disk-Mirroring/Shadowing (RAID 1) S M S Mirror-Set 2 x 36,4 GB Information wird auf 2 Platten geschrieben---> beide Platten sind 100% identisch 49
50 Technische Datensicherheit 6 Disk-Striping+Mirroring (RAID 0+1) S Master Slave 3x36 GB 3x36 GB Stripe-Set Stripe-Set Mirror-Set - bevorzugter Einsatz in DB-Systemen - Leseoperationen: IO/s RAID mit verteilter Parität (RAID 5) P 3 P 8 RAID-Set P preiswert - hohe Sicherheit - gleichmäßige Auslastung der Spindeln - 1 Platte Redundanz 50
51 Technische Datensicherheit 7 Backup-Technologie = Datenkopie auf einen Hintergrundspeicher, wie Magnetband- oder optische Speicher volles Backup (Abziehen der vollständigen Platten) Inkremental Backup (neue+geänderte Files) Differential Backup Großvater-Vater-Sohn-Prinzip Großvater Vater Sohn Großvater Vater Sohn Großvater Vater Sohn jeden Freitag: Freitagsband ---> Tresor 51
52 Cluster-Systeme Technische Datensicherheit 8 Produktionsnetzwerk C C C S Clusterkommunikation A S A sieht aus, wie ein großer Server RAID RAID RAID-Set Cluster-System besteht aus mind. 2 Computern. Vorteile: - gemeinsames Filesystem - gemeinsames Schutz- und Sicherheitsdomäne - gemeinsame Verwaltungsdomäne bekannte Cluster: - OpenVMS (max. 32 Knoten (Rechner+RAID)) - UNIX (LINUX) (max. 8 Rechner) - W2000 (2 Rechner, kein gem. Filesystem)
53 Technische Datensicherheit 9 Technische Netzwerksicherheit Einsatz von FDDI Redundanz durch Doppelring Einsatz von ATM Redundanz durch vermaschtes Netz Einsatz von Ethernet Redundanz durch Ringstrukturen oder vermaschtes Netz Da Ethernet dafür nicht ausgelegt ist, in Verbindung mit: Spanning Tree Protocol (IEEE-Standard) Rapid Reconfiguration Protocol (IEEE-Standard) 53
54 Technische Datensicherheit 10 Ausfallsredundantes Netzwerk RAID S S Switch Root-Bridge geschlossene Ringe sind unzulässig Switch Switch Switch Switch PC... PC PC... PC PC... PC PC... PC Problem: Spanning Tree hat bei größeren Systemen sehr große Reorganisationszeiten, neu IEEE 802.1w (rapid reconf.) 54
55 Desaster-Tolerance Technische Datensicherheit 11 ist die Realisierung der Datenverarbeitung (oder von Teilfunktionen) an geografisch unterschiedlichen Orten. ---> Entfernte Datensicherung s RZ ---> Entfernte Datenspiegelung s RAID Daten LWL-Anbindung (l<5km /70km) LWL-Anbindung Datensicherung RAID-System RAID Ausfall 2d Datenverluste für max. 1d Ausfall 1d absolut keine Datenverluste 55
56 Technische Datensicherheit > entfernter Server (cold stand-by) s RAID LWL-Anbindung ---> verteiltes Cluster Produktionsnetzwerk s RAID Ausfall 1-2h kalte Reserve + entfernte Datenspiegelung S RAID Clusterkommunikation Fibre Channel S RAID Ausfall 1-5min heiße Reserve bzw. verteiltes Cluster 56
57 Organisatorische Maßnahmen 1 Organisatorische Maßnahmen gemäß BDSG Zugangskontrolle (unbefugter Zugang zur DVA) Verhinderung des physikalischen Zugriffs zum Datenverarbeitungssystem (Serverräume, Netzwerkräume, Archiv etc.) Schutz der Mitarbeiterräume der Abt. O/D Registrierung des Betretens und Verlassens der sensiblen Räume Chip-Karten Transponder-Systeme Fingerabdrücke 57
58 Organisatorische Maßnahmen 2 Organisatorische Maßnahmen gemäß BDSG Datenträgerkontrolle (unbef. Benutzen von DT) Schutz von Plattenspeichern, Optischen Datenträgern und Magnetbändern vor unbefugter Benutzung Verschließen der Plattenspeicher-Schränke Schutz der Archiv-Räume Zerstörung von ausgedienten Medien Vorsicht bei der Weitergabe von Geräten zur Reparatur 58
59 Organisatorische Maßnahmen 3 Organisatorische Maßnahmen gemäß BDSG Speicherkontrolle (unbefugte Benutzung der Daten) Schutz der Speichermedien gegen eine unbefugte Benutzung, wie Zugriff auf Magnetbandgeräte und Archiv-Systeme Schutz gegen das Mounten von Filesystemen, Einsatz von Access Control Lists (ACL), Registrierung des Mountens von Filesystemen Dokumentation der Zugriffsrechte zu den Speichersystemen Verschlüsselung der Datenbanken etc. 59
60 Organisatorische Maßnahmen 4 Organisatorische Maßnahmen gemäß BDSG Benutzerkontrolle (unbefugte Benutzung des BS) Schutz der Computersysteme und des Netzwerkes gegen eine unbefugte Benutzung über Passwörter Identifikationskarten (Secure Card) Fingerabdrücke mehrstufige Schutzmechanismen Registrierung des An- und Abmeldens der Benutzer Verhinderung des Umgehens der Schutzmechanismen 60
61 Organisatorische Maßnahmen 5 Organisatorische Maßnahmen gemäß BDSG Zugriffskontrolle (Zugriff nur zu zugriffsberechtigten Daten) In Abhängigkeit von den Benutzerrechten wird der Zugriff zu den Datenfeldern erlaubt Implementierung in der Applikationssoftware und in den Datenbanken Benutzerprofile bestimmt, ob der Benutzer z.b. Preise ändern, Preise ansehen oder nicht ansehen darf etc. 61
62 Organisatorische Maßnahmen 6 Organisatorische Maßnahmen gemäß BDSG Übermittlungskontrolle (wann an wen übergeben) Registrierung wann und an wen welche Daten übergeben werden Identifizierung der Person, an die die Daten übergeben werden Authentifizierung der Computer, zwischen denen die Daten übertragen werden, bei netzwerkgestützter Übermittlung der Daten 62
63 Organisatorische Maßnahmen 7 Organisatorische Maßnahmen gemäß BDSG Eingabekontrolle (wann von wem eingeben) Identifikation der Benutzer die Daten eingeben, ändern oder löschen Protokollieren der ausgeführten Transaktionen (Schreiben von Logfiles) Schutz der Logfiles (ev. Verschlüsselung) muß in den Applikationsprogrammsystemen implementiert werden 63
64 Organisatorische Maßnahmen 8 Organisatorische Maßnahmen gemäß BDSG Auftragskontrolle (nur dem Auftrag entsprechend) Kontrolle der Mitarbeiter, daß die Daten nur entsprechend dem Auftrag verarbeitet werden (insbesondere wenn die Daten im Auftrage dritter verarbeitet werden) im Normalfall ergibt sich die Auftragskontrolle durch das Benutzer-Profile Belehrung der Mitarbeiter, daß die Daten nur für die Zwecke gemäß Auftrag benutzt und verarbeitet werden dürfen 64
65 Organisatorische Maßnahmen 9 Organisatorische Maßnahmen gemäß BDSG Transportkontrolle (sicherer Transport der Daten) Überwachung des Transports der Daten zum Backupoder Archiv-Standort etc. Stillschweigen über die Details eines Transports Versiegelte/verplombte Transportbehälter Beim Transport von Daten über das Internet Anwendung der Authentifizierung der Netzwerkknoten und Verschlüsselung der Daten 65
66 Organisatorische Maßnahmen 10 Organisatorische Maßnahmen gemäß BDSG Organisationskontrolle (Gestaltung der Organisation) Nachweisbare Festlegung aller Details der Durchführung der Datenverarbeitung: Wer ist zu welchen Arbeiten berechtigt Wer darf welche Passwörter wissen Wer darf Benutzer einrichten/ändern Wer darf das Backup anfertigen und die Bänder wechseln Wo und wie werden die Daten gelagert/archiviert... Nachweisbare Belehrung der Mitarbeiter über ihre Aufgaben und Pflichten 66
67 IP-Sicherheit 1 Firmeninterne LANs Seit langem verbreitet, insbesondere basierend NetBIOS und Novell Firmennetze werden heute größer und erhalten Internetcharakter, da alte Protokolle unzureichend IP hat sich in den letzten Jahren durchgesetzt NetBIOS über TCP (NBT) statt NetBEUI Novell schwenkt vollständig zu IP Boom der WWW-Technik, langjährig bewährte Systeme für und Diskussionsgruppen ==> warum nicht wiederverwenden? 67
68 IP-Sicherheit 2 Firmeninterne weltweite Netze Aufbau eines firmeninternen LAN-Verbundes Benutzung der Internet-Technologie TCP/IP Routing LAN-Kopplung analog dem Internetzugang Mitarbeitereinwahl analog dem privaten Internetzugang bei ISPs Benutzung von Internet Informationssystemen: WWW, USENET News, , FTP u.a.m. 68
69 IP-Sicherheit 3 Arten von Angriffen Viren Programme, die sich über ein Wirts-Programm ausbreiten (ausführbare Programme oder Scripte) Würmer Programme, die sich selbsttätig über das Netzwerk von Computer zu Computer ausbreiten Trojaner heimlich ausgetauschtes Programm zum Ausführen oder Verschleiern von Angriffen Backdoors Programme, die in infizierte Rechner eingebaut werden, um jederzeit die Kontrolle über sie zu erlangen 69
70 Firewalls IP-Sicherheit 4 IP-Sicherheit wird grundsätzlich über Firewalls realisiert Internet L3-Netz! Firewall eingehend ausgehend Ein Firewall läßt im Grundzustand nichts durch, kann aber kontrolliert geöffnet werden. Warum Kontrolle des eingehenden Verkehrs? Erkennen + Unterbinden von Hackerangriffen Schutz vor dem Einschleusen von Viren 70
71 IP-Sicherheit 5 Warum Kontrolle des ausgehenden Verkehrs? Schutz der firmeninternen Daten gegen nicht berechtigtes Versenden (auch Trojanische Pferde) Schutz der Arbeitszeit der Mitarbeiter gegen mißbräuchliche Verschwendung Schutz gegen unkontrollierten -Verkehr (Unterschriftsordnung) Schutz gegen Mißbrauch des Internetzugang für Hackerangriffe aus der Firma Schutz gegen Mißbrauch des Internet für Gesetzesverletzungen (Kinderpornographie, rechtsradikale Organisationen,...) Kostenreduzierung 71
72 IP-Sicherheit 6 Sicherheit vs. Freiheit der Internet-Nutzung Totale Verbindung Keine Verbindung Keine Sicherheit Router mit Filtern (L3-Filter) Circuit Level Firewall (L3/L4- Filter) Proxy Firewall oder proprietäre Dienste Totale Sicherheit 72
73 IT-Grundschutz 1 Grundlagen für die IT-Grundschutzzertifizierung IT-Grundschutzhandbuch 2002 (55 Bausteine, 600 Maßnahmen, 2194 Seiten) einfache, strukturierte Vorgehensweise Umsetzung kann hohen Aufwand nach sich ziehen Referenz für Aufsichtsbehörden in Deutschland kostenlos erhältlich ( ISO International bekannt uns akzeptiert große Freiheit bei der Umsetzung das erreichte Sicherheitsniveau ist für Außenstehende nicht transparent 73
74 IT-Grundschutz 2 Für wen erforderlich? Unternehmen und Behörden, die mit anderen kooperieren Behörden mit E-Government E-Commerce-Anbieter Unternehmen, die wegen gesetzlicher oder anderer Vorschriften ihre IT-Sicherheit dokumentieren müssen Was kann zertifiziert werden? ein oder mehrere Geschäftsprozesse eine oder mehrere Fachaufgaben eine oder mehrere Organisationseinheiten - nicht unbedingt das gesamte Unternehmen! 74
75 IT-Grundschutz 3 Arten der Zertifizierung Vertrauenswürdigkeit IT-Grundschutz-Zertifikat Selbsterklärung Aufbaustufe mit Testat mit Testat Selbsterklärung Einstiegsstufe Sicherheit Pauschalgebühr für die Zertifizierung: Pauschalgebühr für die Selbsterklärung: EUR 20 EUR 75
76 IT-Grundschutz 4 Arten der Zertifizierung Selbsterklärung ist auf 2 Jahre beschränkt Eine Verlängerung ist nicht möglich, aber es kann eine Selbsterklärung für eine höhere Sicherheitsstufe gestellt werden. Die Gültigkeit des IT-Grundschutz-Zertifikats ist auf zwei Jahre beschränkt. Nach Ablauf der Gültigkeit muß ein Antrag auf Re- Zertifizierung gestellt werden Die Testate müssen durch von BSI-lizenzierte IT- Grundschutz-Auditoren erstellt werden (z.z. ca. 80 lizenzierte Auditoren) 76
77 Methodik IT-Grundschutz 5 IT-Strukturanalyse Analyse des Ist-Zustandes (Systeme und Anwendungen) Feststellung des Schutzbedarfes IT-Grundschutzanalyse Basis-Sicherheitschecks (Soll-Ist-Vergleich) ergänzende Sicherheitsanalyse Konsolidierung der Maßnahmen Realisierung der Maßnahmen 77
78 IT-Grundschutz 6 Aufwand und Kosten Sichtung der bestehenden Unterlagen und Plausibilitätsprüfung Verifikation der Umsetzung (10 Bausteine) Abschlußbericht für das BSI Gesamtaufwand abhängig von Größe und Komplexität der IT- Infrastruktur 2-3 d d 1-2 d d Voraussetzung: Die IT-Abteilung hat ihre Hausaufgaben gemäß der diskutierten Methodik gründlich gemacht 78
79 Was ist zu bewerten? IT-Grundschutz 7 Übergeordnete Komponenten IT-Sicherheitsmanagement, Organisation, Notfallkonzept,... Infrastruktur Gebäude, Verkabelung, Serverraum, Datenträgerarchiv,... Clients Vernetzte Systeme Server-Systeme (nachfolgend: Beispiel Modul Windows-2000), Netzwerk, Netz- und Systemmanagement,... Datenübertragungseinrichtungen Firewall, -Server, WWW-Server, Remote Access,... Telekommunikation TK-Anlage, Fax-Server, LAN-Anbindungen,... Sonstige IT-Komponenten Standardsoftware, Datenbanken, Telearbeit,... In der Summe: 55 Module 79
80 IT-Grundschutz 8 Gefährdungskataloge enthalten die ausführlichen Beschreibungen der Gefährdungen, die in den einzelnen Bausteinen als Gefährdungslage genannt wurden. Die Gefährdungen sind in fünf Kataloge gruppiert: G1: Höhere Gewalt G2: Organisatorische Mängel G3: Menschliche Fehlhandlungen G4: Technisches Versagen G5: Vorsätzliche Handlungen 80
81 IT-Grundschutz 9 Maßnahmenkataloge beschreiben die in den Bausteinen des Handbuchs zitierten IT- Sicherheitsmaßnahmen ausführlich. Die Maßnahmen sind in sechs Kataloge gruppiert: M 1: Infrastrukturelle Maßnahmen M 2: Organisatorische Maßnahmen M 3: Personelle Maßnahmen M 4: Maßnahmen im Bereich Hard- und Software M 5: Maßnahmen im Kommunikationsbereich M 6: Notfallvorsorge-Maßnahmen 81
82 IT-Grundschutz 10 Prioritäten der Maßnahmen Mit einer Zahl in Klammern wird jeder Maßnahme eine Priorität zugewiesen. Diese ist für ein zu erstellenden Realisierungsplan von großer Bedeutung. In der Praxis treten gerade in dieser Phase häufig finanzielle, zeitliche oder auch personelle Engpässe auf. Folgende Prioritätsstufen wurden vergeben: (1) Maßnahme ist Grundlage für die Sicherheit innerhalb des betrachteten Bausteins. Sie ist vorrangig umzusetzen. (2) Maßnahme ist wichtig. Eine zügige Realisierung ist anzustreben. (3) Maßnahme ist wichtig für die Abrundung der IT- Sicherheit. Bei Engpässen kann sie zeitlich nachrangig umgesetzt werden (oft auch als optional gekennzeichnet). 82
83 IT-Grundschutz - Baustein W2000 Beispiel: Windows das am häufigsten eingesetzte Betriebssystem Wie jedes IT-System ist auch ein Netz mit Microsoft Windows 2000 Servern vielfältigen Gefahren ausgesetzt (Angriffen von außen und von innen). Bei Angriffen werden Fehlkonfigurationen von Systemkomponenten ausgenutzt. Hauptunterschiede zu Windows NT Windows 2000 bietet neue Sicherheitsmechanismen (Kerberos-Protokoll als Basis für Domänen-übergreifende Authentisierungen) Eine der wichtigsten neuen Komponenten ist das Active Directory (verteilte Datenbank, die die Benutzer- und Konfigurationsdaten einer Domäne auf mehrere Domänen- Controller verteilt). 83
84 IT-Grundschutz - Baustein W2000 Unter Sicherheitsaspekten spielt das Active Directory eine wichtige Rolle, da es viele sicherheitsrelevante Daten enthält, über eigene, dem Dateisystem sehr ähnliche Zugriffskontrollmechanismen verfügt, sowie die Basis für Gruppenrichtlinien zur Erteilung für Zugriffsrechte und Privilegien in Windows 2000 bildet. Weitere sicherheitsspezifische Neuerungen von Windows 2000 sind: die Dateiverschlüsselung durch EFS (Encrypting File System), die Unterstützung von Chipkarten zur Anmeldung an Windows 2000 Benutzerkonten, die in Windows 2000 integrierte PKI-Funktionalität, sowie die Unterstützung von IPSec zur Netzverschlüsselung. 84
85 IT-Grundschutz - Baustein W2000 Gefährdungslage für Baustein "Windows 2000 Katalog zeigt 21 Gefährdungen auf: G 1.1 Personalausfall G 1.2 Ausfall des IT-Systems G 2.1 Fehlende oder unzureichende Regelungen G 2.2 Unzureichende Kenntnis über Regelungen G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen G 4.23 Automatische CD-ROM-Erkennung... G 5.52 Missbrauch von Administratorrechten im Windows NT/2000 Systemen G 5.71 Vertraulichkeitsverlust schützenswerter Informationen G 5.83 Kompromittierung kryptographischer Schlüssel G 5.84 Gefälschte Zertifikate G 5.85 Integritätsverlust schützenswerter Informationen 85
86 IT-Grundschutz - Baustein W2000 Gefährdung G Personalausfall Durch Krankheit, Unfall, Tod oder Streik kann ein nicht vorhersehbarer Personalausfall entstehen. Auch ein Personalausfall bei einer regulären Beendigung des Arbeitsverhältnisses ist zu berücksichtigen (Resturlaubsanspruch!). Die Konsequenz kann sein, dass entscheidende Aufgaben im IT- Einsatz nicht mehr wahrgenommen werden. Dies ist besonders kritisch, wenn die betroffene Person eine Schlüsselstellung im IT- Bereich einnimmt und aufgrund fehlenden Fachwissens anderer nicht ersetzt werden kann. Störungen des IT-Betriebs können die Folge sein. Personalausfall kann zusätzlich einen empfindlichen Verlust von Wissen und Geheimnissen nach sich ziehen, der die nachträgliche Übertragung der Tätigkeiten auf andere Personen unmöglich macht. 86
87 IT-Grundschutz - Baustein W2000 Gefährdung G Personalausfall Beispiele: Aufgrund längerer Krankheit blieb der Netzadministrator vom Dienst fern. In der betroffenen Firma lief das Netz zunächst fehlerfrei weiter. Nach zwei Wochen jedoch war nach einem Systemabsturz niemand in der Lage, den Fehler zu beheben. Dies führte zu einem Ausfall des Netzes über mehrere Tage. Während des Urlaubs des Administrators muss auf die Backupbänder im Datensicherungstresor zurückgegriffen werden. Der Zugangscode zum Tresor wurde erst kürzlich geändert und ist nur dem Administrator bekannt. Erst nach mehreren Tagen konnte die Datenrestaurierung durchgeführt werden, da der Aufenthaltsort des Administrators zuerst ermittelt werden musste. 87
88 IT-Grundschutz - Baustein W2000 Maßnahmenbündel für Baustein "Windows 2000 ingesamt 32 Maßnahmen: M 2.25 (1) Dokumentation der Systemkonfiguration M 2.40 (2) Rechtzeitige Beteiligung des Personal-/Betriebsrates M (1) Planung des Windows 2000 Einsatzes M (1) Festlegen einer Windows 2000 Sicherheitsrichtlinie M (1) Planung des Active Directory M (1) Planung der Active Directory-Administration M (1) Planung der Gruppenrichtlinien unter Windows M 6.32 (1) Regelmäßige Datensicherung M 6.43 (1) Einsatz redundanter Windows NT/2000 Server M 6.76 (1) Erstellen eines Notfallplans für den Ausfall des Servers M 6.77 (2) Erstellung von Rettungsdisketten für Windows 2000 M 6.78 (1) Datensicherung unter Windows
89 IT-Grundschutz - Baustein W2000 Maßnahme M6.32 Regelmäßige Datensicherung Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT Verantwortlich für Umsetzung: Administrator, IT-Benutzer für Mitwirkung Ziel: Vermeidung von Datenverlusten Weitgehende automatisierte regelmäßige Datensicherung auf Basis eines Datensicherungskonzepts Vertrauliche Daten sollten vor der Sicherung möglichst verschlüsselt werden, wobei darauf zu achten ist, dass eine Entschlüsselung auch nach einem längeren Zeitraum möglich sein sollte (siehe M 6.56 Datensicherung bei Einsatz kryptographischer Verfahren). 89
90 IT-Grundschutz - Baustein W2000 Maßnahme M6.32 Regelmäßige Datensicherung Abhängig von der Menge und Wichtigkeit der Daten und eines möglichen Schaden bei Verlust ist festzulegen: Zeitintervall Beispiele: täglich, wöchentlich, monatlich, Zeitpunkt Beispiele: nachts, freitags abends, Anzahl der aufzubewahrenden Generationen, Beispiel: Bei täglicher Komplettsicherung - die letzten sieben Sicherungen, sowie die Freitag-Sicherung der letzten zwei Monate. Umfang der zu sichernden Daten Speichermedien (abhängig von der Datenmenge) Vorherige Löschung der Datenträger vor Wiederverwendung Zuständigkeit für die Durchführung (Administrator, Benutzer) Zuständigkeit für die Überwachung der Sicherung Dokumentation der erstellten Sicherungen 90
91 IT-Grundschutz - Baustein W2000 Maßnahme M6.32 Regelmäßige Datensicherung Alle Benutzer sollten über die Regelungen zur Datensicherung informiert sein, um ggf. auf Unzulänglichkeiten hinweisen oder individuelle Ergänzungen vornehmen zu können (zum Beispiel zwischenzeitliche Spiegelung wichtiger Daten auf der eigenen Platte). Auch die Information der Benutzer darüber, wie lange die Daten wiedereinspielbar sind, ist wichtig. Werden bei vernetzten Rechnern nur die Server-Platten gesichert werden, müssen indiviuelle Benutzerdaten dorthin überspielt werden. Ergänzende Kontrollfragen: Sind alle Daten eines Rechners gesichert? Wird der Datensicherungsvorgang dokumentiert? 91
92 Zusammenfassung IT-Grundschutz Der absolute Schutz ist nicht möglich, weil die Materie viel zu komplex ist Wichtig ist das Entwickeln eines Sicherheitsbewußtseins und die schrittweise Implementierung eines gewissen Grundschutzes Das Herstellen eines Grundschutzes in der Einstiegsstufe gemäß BSI erfordert eine ein- bis zweijährige Arbeit In zwei bis drei Jahren könnte ein BSI-Grundschutzzertifikat einen Wettbewerbsvorteil darstellen Man spricht in Fachkreisen davon, daß in 6-7 Jahren das BSI-Grundschutzzertifikat bei der Auftragsvergabe ein entscheidendes Kriterium sein wird. 92
93 Vielen Dank! Fragen Sie! Wir antworten.
Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März 2013 -
DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März 2013 - Seite 2 Der Landesbeauftragte für den Datenschutz Baden-Württemberg Königstraße 10a
MehrTabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz
Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07
Mehr17.11.2011. Datenschutz (Info-Veranstaltung f. Administratoren) 17.11.2011 H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?
17.11.2011 H. Löbner Der Datenschutzbeauftragte Volkszählungsurteil Grundsatzentscheidung des Bundesverfassungsgerichts (1983) Schutz des Grundrechts auf informationelle Selbstbestimmung als fachspezifische
MehrStabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...
Stabsstelle Datenschutz Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle... Anlage zu 5 Abs. 5 der Vereinbarung Technische und organisatorische ( 9 /
MehrAnmeldung für ein Ehrenamt in der Flüchtlingsbetreuung
Bitte zurücksenden an: Stadtverwaltung Eschborn Fachbereich 4 Arbeitskreis Flüchtlinge Rathausplatz 36 65760 Eschborn Anmeldung für ein Ehrenamt in der Flüchtlingsbetreuung Name Vorname geboren am Straße,
MehrVernichtung von Datenträgern mit personenbezogenen Daten
Der Landesbeauftragte für den Datenschutz Niedersachsen Vernichtung von Datenträgern mit personenbezogenen Daten Vernichtung von Datenträgern mit personenbezogenen Daten Öffentliche und nicht-öffentliche
MehrTechnische und organisatorische Maßnahmen der
Seite 1 von 8 der Inhaltsverzeichnis: 1. Einleitung 2. Gesetzliche Grundlage 3. zur Umsetzung 3.1 Zutrittskontrolle 3.2 Zugangskontrolle 3.3 Zugriffskontrolle 3.4 Weitergabekontrolle 3.5 Eingabekontrolle
MehrDatenschutz und Systemsicherheit
Datenschutz und Systemsicherheit Gesetze kennen! Regelungen anwenden! Dipl.-Informatiker Michael Westermann, Gesundheitsinformatik GmbH, Mannheim 21.04.2005 Gesetze (Auszug) Bundesdatenschutzgesetz Landesdatenschutzgesetz
MehrDatenschutz und Datensicherung (BDSG) Inhaltsübersicht
Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutzziel Datenschutz und Datensicherung Personenbezogene Daten Datenverarbeitung Zulässigkeit personenbezogener Datenverarbeitung Zulässigkeit
MehrSicherheitshinweise für Administratoren. - Beispiel -
Sicherheitshinweise für Administratoren - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 VERANTWORTUNGSBEREICH... 2 3 VERWALTUNG DER IT-DIENSTE... 3 3.1 KONFIGURATION DER IT-DIENSTE...
MehrWAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT
WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer
MehrBetriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000
Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000 Version November 2013 1. Anwendungsbereich Dieses Dokument regelt die Überlassung von Daten zum Zweck der Verarbeitung als Dienstleistung
MehrDatenschutz ist Persönlichkeitsschutz
Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was
MehrDatenschutz und Schule
Datenschutz und Schule - erste Impulse zum Themenbereich - Referent: Ingo Nebe Staatliches Schulamt Nordthüringen, Bahnhofstraße 18, 37339 Leinefelde-Worbis www.schulamt-nordthueringen.de Datenschutz und
MehrAnlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7
Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Zertifizierungssystem Die Zertifizierungsstelle der TÜV Informationstechnik GmbH führt Zertifizierungen auf der Basis des folgenden Produktzertifizierungssystems
MehrVereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)
Anlage zur Beauftragung vom ##.##.2016 Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) zwischen der Verbraucherzentrale Nordrhein-Westfalen e.v., Mintropstr. 27, 40215
MehrCheckliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung
Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Seite 1 von 12 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9
MehrSeite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort
Anlage 1 Erstes Anschreiben an den/die Beschäftigte/ -n Frau/Herrn Vorname Name Straße PLZ Ort Betriebliches Eingliederungsmanagement (BEM) Sehr geehrte(r) Frau/Herr, wir möchten Sie über Hintergrunde
MehrII 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team
Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des
MehrRechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.
NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische
MehrÜberblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung
Archivierung & Löschung von Unternehmensdaten 1 Überblick Zugriffskontrolle Protokollierung Archivierung Löschung 2 Zugriffskontrolle 14 Z 5 DSG verlangt:..die Zugriffsberechtigung auf Daten und Programme
MehrGrundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit
und der IT-Sicherheit Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit 9.1 Vergleich Sicherheitsziele & Aufgabe: Kontrollbereiche Ordnen Sie die im BDSG genannten Kontrollbereiche
MehrDatenschutz der große Bruder der IT-Sicherheit
Datenschutz der große Bruder der IT-Sicherheit Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Telefon 0611 / 1408-0 E-mail: Poststelle@datenschutz.hessen.de Der Hessische Datenschutzbeauftragte
MehrAufstellung der techn. und organ. Maßnahmen
Aufstellung der techn. und organ. Maßnahmen (Anlage 9 BSDG) AFI - P.M. Belz Agentur für Informatik GmbH Stuttgart Stand: 30.11.2015 1 Grundsätzliches Das Bundesdatenschutzgesetz (BDSG) schreibt mit 9
MehrIT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach
IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur
MehrDatenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund
Muster (Ausschnitt) Datenschutzkonzept Informationsverbund.. Dokumentinformationen BSI-Konformität und gesetzliche Grundlagen Bausteine Gesetzliche Grundlagen verantwortlich für den Inhalt Name Telefon
MehrSicherheitsaspekte der kommunalen Arbeit
Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,
MehrDatenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)
Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte
MehrIMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.
IMMANUEL DIAKONIE Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist. Sehr geehrte Damen und Herren, der Datenschutz ist uns in der Immanuel Diakonie wichtig! Patienten, Bewohner
MehrDas IT-Sicherheitsgesetz
Das IT-Sicherheitsgesetz RA Dr. Jan K. Köcher Syndikus DFN-CERT Services GmbH koecher@dfn-cert.de Hintergrund/Ziele IT-Sicherheitsgesetz vom 17.7.2015 Änderungen: BSIG, TKG, TMG, AtomG... Ziele: Erhöhung
MehrBayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken
in der Regierung von Mittelfranken 2 Wesentliche Elemente des Datenschutzes im Unternehmen 3 Teil A Datenschutz im Unternehmen Teil A Allgemeines zum Datenschutz 4 I. Schutz der personenbezogenen Daten
Mehrvom 15. Januar 1991 (ABl. 1991 S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis
Verordnung zum Schutz von Patientendaten DSVO KH-Pfalz 50.02 Verordnung der Evangelischen Kirche der Pfalz (Protestantische Landeskirche) zum Schutz von Patientendaten in kirchlichen Krankenhäusern (DSVO
MehrAUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ
AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ Auszug aus dem Bundesdatenschutzgesetz in der Fassung vom 14.01.2003, zuletzt geändert am 14.08.2009 1 Allgemeine und gemeinsame Bestimmungen (1) Zweck dieses Gesetzes
MehrDatenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH
Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH Basis der Vereinbarung Folgende Datenschutz & Geheimhaltungsvereinbarung (NDA) ist gültig für alle mit der FLUXS GmbH (nachfolgend FLUXS
MehrNutzung dieser Internetseite
Nutzung dieser Internetseite Wenn Sie unseren Internetauftritt besuchen, dann erheben wir nur statistische Daten über unsere Besucher. In einer statistischen Zusammenfassung erfahren wir lediglich, welcher
MehrLutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010
Lutz Grammann Datenschutz für Administratoren St. Pius-Stift Cloppenburg 13. Oktober 2010 06. Oktober 2010 Datenschutz für Administratoren 1 Erwartungen an Administratoren Mitwirkung bei der Gestaltung
MehrTag des Datenschutzes
Tag des Datenschutzes Datenschutz und Software: Vertrauen ist gut, Kontrolle ist besser Dr. Michael Stehmann Zur Person Rechtsanwalt Dr. Michael Stehmann Studium der Rechtswissenschaft an der Universität
MehrDie beiden Seiten der Medaille beim Email-Marketing
IHK-Veranstaltung Netzblicke SPAM effektiv bekämpfen Die beiden Seiten der Medaille beim Email-Marketing München, 14. Juni 2007 Dr. Jyn Schultze-Melling LL.M Fragen, die sich stellen Was ist SPAM? Was
MehrMuster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz
Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt
MehrVerordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH)
Verordnung zum Schutz von Patientendaten DSVO-KH 858-1 Archiv Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH) vom 10. Oktober
MehrVerpflichtung auf das Datengeheimnis
Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 des Sächsischen Datenschutzgesetzes (SächsDSG) i. d. F. der Bekanntmachung vom 25. August 2003 (SächsGVBl. S. 330), Rechtsbereinigt mit Stand vom 31.
MehrVereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat
Vereinbarung über elektronische Schließanlagen und Zutrittskontrollsysteme bei den XXXXXX XXXXXXXXXXXXXX zwischen dem Vorstand und dem Betriebs/Personalrat Präambel Zwischen dem Vorstand und der Arbeitnehmervertretung
MehrHaftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten
Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten Joachim Frost, Berater für Datenschutz Stellung des Datenschutzbeauftragten -Berater der Geschäftsleitung -weisungsfrei in Fachfragen -nur
Mehr61a - 61h Unterabschnitt 1 Erfassung und Übermittlung von Antragsdaten zur Herstellung von Dokumenten
Aufenthaltsverordnung TK Lexikon Arbeitsrecht 61a - 61h Unterabschnitt 1 Erfassung und Übermittlung von Antragsdaten zur Herstellung von Dokumenten HI2176383 mit elektronischem Speicher- und Verarbeitungsmedium
MehrVerordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)
Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197) I. Zu 3 a KDO (Meldung von Verfahren automatisierter Verarbeitung) (1) Sofern Verfahren
MehrWindows-Sicherheit in 5 Schritten. Version 1.1 Weitere Texte finden Sie unter www.buerger-cert.de.
Windows-Sicherheit in 5 Schritten Version 1.1 Weitere Texte finden Sie unter www.buerger-cert.de. Inhalt: 1. Schritt: Firewall aktivieren 2. Schritt: Virenscanner einsetzen 3. Schritt: Automatische Updates
MehrIT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung
IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für ihre Entscheidung Entdecken Sie was IT Sicherheit im Unternehmen bedeutet IT Sicherheit
MehrInternet- und E-Mail-Überwachung in Unternehmen und Organisationen
Publiziert in SWITCHjournal 1/2004 Internet- und E-Mail-Überwachung in Unternehmen und Organisationen Dr. Ursula Widmer, Rechtsanwältin, Bern ursula.widmer@widmerpartners-lawyers.ch Die Nutzung von Internet
Mehr1 De-Mail-Dienste. 2 Zuständige Behörde
De-Mail-Dienste-Gesetz Im Bundesgesetzblatt (I 666 ff.) vom 02.05.2011 wurde das Gesetz zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften vom 28.04.2011 verkündet. Tag des Inkrafttretens:
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
MehrErläuterungen zum Abschluss der Datenschutzvereinbarung
Erläuterungen zum Abschluss der Datenschutzvereinbarung Bei der Nutzung von 365FarmNet erfolgt die Datenverarbeitung durch die365farmnet GmbH im Auftrag und nach Weisung des Kunden. Die die365farmnet GmbH
MehrAnforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers
Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de
MehrAGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom 21.10.2013b
AGROPLUS Buchhaltung Daten-Server und Sicherheitskopie Version vom 21.10.2013b 3a) Der Daten-Server Modus und der Tresor Der Daten-Server ist eine Betriebsart welche dem Nutzer eine grosse Flexibilität
MehrRechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)
1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich
MehrDer Schutz von Patientendaten
Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert
MehrVernetzung ohne Nebenwirkung, das Wie entscheidet
Vernetzung ohne Nebenwirkung, das Wie entscheidet Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Gustav-Stresemann-Ring 1, 65189 Wiesbaden Telefon 0611 / 14 08-137 E-Mail: r.wehrmann@datenschutz.hessen.de
MehrVerordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim
Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim Kirchlicher Anzeiger für das Bistum Hildesheim vom 31.10.2003, Nr. 10, Seite 233 ff. I. Zu
MehrCheckliste zur Erfüllung der Informationspflichten bei Datenerhebung
Checkliste 2006 Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung Nach 4 Abs. 3 BDSG Bitte lesen Sie vorab die Ausführungen zu dem Thema Datenschutz/Datenerhebung. So kommen Sie durch
Mehrfür gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten www.wdr.de
Rundfunkgebühren für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten www.wdr.de 1. Rechtsgrundlage Personenbezogene Daten von Rundfunkteilnehmerinnen und Rundfunkteilnehmern z. B. Namen
MehrCheckliste zum Datenschutz in Kirchengemeinden
1. Allgemeines Checkliste zum Datenschutz in Kirchengemeinden Umfeld Wie viele Personen arbeiten in der Kirchengemeinde? Wie viele PC-Arbeitsplätze gibt es? Sind Notebooks im Einsatz? Sind die PCs/Notebooks
MehrKirchlicher Datenschutz
Kirchlicher Datenschutz Religionsgemeinschaften können in ihrem Zuständigkeitsbereich ihre Angelegenheit frei von staatlicher Aufsicht selbst regeln. Dieses verfassungsrechtlich verbriefte Recht umfasst
MehrDatenschutz im Projekt- und Qualitätsmanagement Umfeld
Datenschutz im Projekt- und Qualitätsmanagement Umfeld Personenbezogene Daten im Qualitäts- und Projektmanagement 17.02.2014 migosens GmbH 2014 Folie 2 Definitionen Was sind personenbezogene Daten? sind
MehrNachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz
Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz DECUS Symposium 8.-10. April 2003 Jürgen Bachinger Senior Consultant HP Services - Consulting & Integration BSI-Auditor: BSI-GSL-0001-2002
MehrDer Arbeitsrechtler. GHR Arbeitsrechtsteam. Vertrauen ist gut Kontrolle besser?
GHR Arbeitsrechtsteam Vertrauen ist gut Kontrolle besser? Die Verwendung von Social Media, insbesondere Internet und E-Mails, für private Zwecke am Arbeitsplatz ist für jeden Arbeitgeber und jeden Arbeitnehmer
MehrForschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten
Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten Jan Goebel, DIW Berlin / SOEP Idealvorstellung Idealvorstellung Idealvorstellung Skripte (GitHub, Bitbucket, Codeplane,...) Daten (Dropbox,
MehrRahmenbetriebsvereinbarung. Einsatz der Informationstechnik
Einsatz der Informationstechnik RBV IT vom 01.12.2007 Blatt 2 1 Gegenstand 1- Die regelt die Beteiligung (Information, Beratung und Mitwirkung, Mitbestimmung) des Betriebsrats bei der Planung, Einführung
MehrMatrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version 1.0.0. 23. September 2015 - 1 -
Matrix42 Use Case - Sicherung und Rücksicherung persönlicher Version 1.0.0 23. September 2015-1 - Inhaltsverzeichnis 1 Einleitung 3 1.1 Beschreibung 3 1.2 Vorbereitung 3 1.3 Ziel 3 2 Use Case 4-2 - 1 Einleitung
MehrWie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner
MehrSicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen. www.ddv.de www.ddv.de
Sicherheit, Transparenz und Datenschutz Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen Setzen Sie auf Nummer Sicher Die Qualitätssiegel des DDV Die Adressdienstleister in den drei DDV-
Mehr1 Geltungsbereich, Begriffsbestimmungen
ALLGEMEINE GESCHÄFTSBEDINGUNGEN der Firma handymann Stand: November 2015 1 Geltungsbereich, Begriffsbestimmungen Folgende Allgemeinen Verkaufsbedingungen (nachfolgend: AGB) in ihrer zum Zeitpunkt des Auftrags/Vertrags-Abschlusses
MehrEIN C.A.F.E. FÜR DEN DATENSCHUTZ
EIN C.A.F.E. FÜR DEN DATENSCHUTZ Organisatorische Datenschutzbeauftragter Martin Esken Datenschutzbeauftragter (TÜV) Organisatorische Technische gemäß 9 Satz 1 Punkte 1-8 BUNDESDATENSCHUTZGESETZ Organisatorische
MehrGEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT
Seite 1/7 GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT ZENTRAL LOKALE MANAGEMENT-PLATTFORM FÜR EINE W ELTWEIT SICHERE INDUSTRIELLE KOMMUNIKATION. Seite 2/7 Auf den folgenden Seiten
MehrMitteilung. Vom 6. April 1995 (ABl. 1995 S. A 68)
Mitteilung Richtlinie zur Arbeit mit transportablen Datenverarbeitungsgeräten und Datenträgern in den Dienststellen der Ev.-Luth. Landeskirche Sachsens Vom 6. April 1995 (ABl. 1995 S. A 68) Inhaltsübersicht
MehrVereinbarung zwischen der Firma: Peter Mustermann GmbH Arbeitgeberund. Herr Peter Lustig, geb. 26.02.1968 Arbeitnehmer-
Vereinbarung zwischen der Firma: Peter Mustermann GmbH Arbeitgeberund Herr Peter Lustig, geb. 26.02.1968 Arbeitnehmer- Der Arbeitnehmer wurde heute über Geheimhaltungs- und Sorgfaltspflichten im Zusammenhang
MehrDatenschutz kompakt online
Datenschutz kompakt online Datenschutz im Unternehmen - schnell und rechtssicher organisiert und dokumentiert 1. Auflage 2007. Onlineprodukt. ISBN 978 3 8245 9120 6 Gewicht: 10 g Wirtschaft > Betriebswirtschaft:
MehrDatenschutz und Verschwiegenheit. Qualitätsmanagement in der ärztlichen Praxis http://www.drop-ml.de DrOP 2015 Folie Nr.: 1
Datenschutz und Verschwiegenheit Qualitätsmanagement in der ärztlichen Praxis http://www.drop-ml.de DrOP 2015 Folie Nr.: 1 Datenschutz und Verschwiegenheit Datenschutz und Verschwiegenheit nicht wirklich
MehrMail-Signierung und Verschlüsselung
Mail-Signierung und Verschlüsselung ab Release-Version 2013.02, ein kostenlos zur Verfügung gestelltes Feature! Elektronische Post ist aus unserem privaten und beruflichen Leben nicht mehr wegzudenken.
MehrNeue Rechtslage zur digitalen Archivierung Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen GDPdU vom 16.07.
Neue Rechtslage zur digitalen Archivierung Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen GDPdU vom 16.07.2001 ELO Digital Office GmbH - Leitzstraße 54-70469 Stuttgart 1 Ziel der
MehrPrüfliste zu 9 Bundesdatenschutzgesetz (BDSG)
Felix-Dahn-Str. 43 70597 Stuttgart Telefon: 07 11 / 97 63 90 Telefax: 07 11 / 97 63 98 info@rationelle-arztpraxis.de www.rationelle-arztpraxis.de Prüfliste zu 9 Bundesdatenschutzgesetz (BDSG) Stand: 10.02.2014
MehrTeil - I Gesetzliche Anforderungen an IT-Sicherheit
Teil - I an IT-Sicherheit Unternehmensrisiken (Einleitung Abschnitt-1) Jedes Unternehmen ist Risiken 1 ausgesetzt oder geht Risiken bewusst manchmal auch unbewusst ein. Risiken können entstehen in den
MehrAnmeldeformular für RailBuyer
Anmeldeformular für RailBuyer Damit Sie den elektronischen Katalog nutzen können, benötigen Sie ein von der SBB vergebenes Passwort. Mittels diesem Formular können Sie das Passwort für die Nutzung des
MehrDatendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?
Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220
MehrDatenschutz-Vereinbarung
Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die
MehrANYWHERE Zugriff von externen Arbeitsplätzen
ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5
MehrEinwilligungserklärung
Einwilligungserklärung für (Name der Person) zur Erfassung und Speicherung persönlicher Daten und Bilder sowie die Veröffentlichung von Bildern und Texten im Internet und in Druckmedien gegenüber der Leitung
MehrBYOD Bring Your Own Device
BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8
MehrFakultätsname Informatik Institut für Systemarchitektur, Professur Datenschutz und Datensicherheit. Datenschutz-Schutzziele
Fakultätsname Informatik Institut für Systemarchitektur, Professur Datenschutz und Datensicherheit Datenschutz-Schutzziele Dresden, 30.05.2013 Tamara Flemisch Gliederung 1. Was sind Schutzziele? 2. Datenschutz-Schutzziele
MehrProtect 7 Anti-Malware Service. Dokumentation
Dokumentation Protect 7 Anti-Malware Service 1 Der Anti-Malware Service Der Protect 7 Anti-Malware Service ist eine teilautomatisierte Dienstleistung zum Schutz von Webseiten und Webapplikationen. Der
MehrDENIC. Datenübermittlung ins Ausland. Meldepflicht
DENIC Der Zweck der pdaten bei DENIC (*NIC) ist es, den Inhaber zu einer Domain zu finden und nicht umgekehrt. Mit einer WHOIS Abfrage sind Sie nur in der Lage, zu einer Domain den Inhaber zu finden, und
MehrAnsätze für datenschutzkonformes Retina-Scanning
Ansätze für datenschutzkonformes Retina-Scanning Friederike Schellhas-Mende, Ass. iur. Forschungsgruppe Compliance, ZAR KIT Universität des Landes Baden-Württemberg und nationales Forschungszentrum in
MehrWelche Vorteile bietet die Anmeldung eines Kindes mit dem kita finder+?
Sehr geehrte Damen und Herren, liebe Eltern, Sie möchten Ihr Kind mit der Online-Anwendung kita finder+ in einer Kindertageseinrichtung oder einem Tagesheim anmelden. Hier erhalten Sie die wichtigsten
MehrZentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen
Anlage 1 Zur Vereinbarung zur Übertragung der Verantwortung für die Gewährleistung der Ordnungsmäßigkeit des automatisierten Verfahrens Koordination Personaldienste Kommunal (KoPers-Kommunal) Stand: November
MehrWebseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen
Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen Die vorliegende Dokumentation umfasst eine kleine Auswahl von Webseiten, bei denen automatisch (ohne Benutzer vorab zu informieren oder
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrFachhochschule Fulda. Bedienungsanleitung für QISPOS (Prüfungsanmeldung, Notenspiegel und Bescheinigungen)
Fachhochschule Fulda Bedienungsanleitung für QISPOS (Prüfungsanmeldung, Notenspiegel und Bescheinigungen) Inhaltsverzeichnis 1. Vorgehensweise bei der ersten Anmeldung... 1 2. Startseite... 1 3. Login...
Mehr1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1.
Datenschutz DLGI Dienstleistungsgesellschaft für Informatik Am Bonner Bogen 6 53227 Bonn Tel.: 0228-688-448-0 Fax: 0228-688-448-99 E-Mail: info@dlgi.de, URL: www.dlgi.de Dieser Syllabus darf nur in Zusammenhang
MehrIT-Compliance und Datenschutz. 16. März 2007
IT-Compliance und Datenschutz 16. März 2007 Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot
MehrGuter Datenschutz schafft Vertrauen
Oktober 2009 Guter Datenschutz schafft Vertrauen 27.10.2009 ruhr networker e.v. in Mettmann K.H. Erkens Inhalt Handlungsbedarf, Aktualität Grundlagen oder was bedeutet Datenschutz Pflichten des Unternehmens
Mehr