Vorlesung IT Sicherheit

Größe: px
Ab Seite anzeigen:

Download "Vorlesung IT Sicherheit"

Transkript

1 IT-Sicherheit 1. Was ist überhaupt Sicherheit und was ist IT Sicherheit? 2. Was umfasst das Thema? 3. Wenn Sie WIKIPEDIA Verbot hätten: Woher nehmen Sie Informationen zur IT-Sicherheit? 1 Vorlesung IT Sicherheit Teil 1 - Grundlagen 2 1

2 Teil 1 - Grundlagen Definition: Sicherheit / IT-Sicherheit Duale Sicherheit Gesetze, Normen, Standards, Richtlinien Sicherheitsanalyse Sicherheitsziele 3 Grundbegriffe und Scope IT-Sicherheit 4 2

3 Was ist Sicherheit? (ohne IT) WIKIPEDIA: Sicherheit bezeichnet einen Zustand, der frei von unvertretbaren Risiken der Beeinträchtigung ist oder als gefahrenfrei angesehen wird. 5 Was ist Sicherheit? (ohne IT) unmittelbare Sicherheit Gefahrenentstehung wird verhindert Fail-Safe Ansatz: 2 Räder Defekt eines Rades ist kein Sicherheitsproblem Safe-Life Ansatz: Radprüfung: Wöchentlich Radwechsel nach X km 6 3

4 Was ist Sicherheit? (ohne IT) mittelbare Sicherheit Schutzeinrichtungen verhindern Gefährdung Stabile Fahrerkabine Mit Überrollbügel 7 Was ist Sicherheit? (ohne IT) hinweisende Sicherheit Hinweis auf Helmpflicht Zur Unfallverhütung 8 4

5 Was ist IT Sicherheit? Sicherheit -- s.o. bleiben also Fragen: Was ist Information? Was ist IT? Was ist ein IT System? allgemeines Verständnis Ungereimtheiten 9 Begriffsverwirrungen IBMs verbindliche Definition: Security ::= Prevention of access to or use of data or programs without authorization 1972 bis heute Ist diese Definition brauchbar? 10 5

6 Intermezzo: DDoS (D)DoS = (Distributed) Denial of Service z.b.: TFN 2000 (Terrible Flood Network) > BOT Netz Opfer Hacker 11 Intermezzo: DoS DoS = Denial of Service Attack (asymmetrische Attacke) Verschiedene DoS Typen: 1. Verbrauch limitierter Ressourcen Netzwerk Konvektivität Alle Ressourcen gegen einen selbst einsetzen Bandbreiten verbrauchen Ressourcen verbrauchen 2. Zerstörung o. Veränderung von Konfigurationsdaten 3. Antworten verhindern weitere Infos: CERT/CC 12 6

7 Intermezzo: DoS 1. Motivation für DoS Attacken? 2. Was sind die Angriffsziele? 3. Wer sind die Angreifer? 4. Opfer? Und: Warum reicht die Security Definition von IBM nicht aus? 13 Definition von Basisbegriffen DIN 44300: Information ::= Kenntnis über Sachverhalt und Vorgänge IT-System := Funktionseinheit* zur Aufnahme, Verarbeitung, Aufbewahrung und Nutzung von Daten* 14 7

8 Warum ist IT Sicherheit wichtig? Dimension des Themas 1. Sicherheit geht jeden an! 2. Durchdringung von IT 3. Moore s Law (1965/1970) 4. Komplexität von IT Systemen hohes Schadenspotential 15 Verbrechen Finanzielle Schäden Anteil der Geschädigten Durchschnittlicher finanzieller Schaden Unautorisierter Zugriff auf vertrauliche Daten 55% $ 143,000 Diebstahl von geistigem Eigentum 26% $ 1,848,000 Telekommunikation Betrug 17% $ 27,000 Finanzbetrug 14% $ 1,471,000 Einbruch in IT-Systeme 31% $ 103,000 Sabotage von Daten oder Netzwerk 19% $ 164,000 "Denial of service" 32% $ 116,000 Interner Netzmißbrauch 97% $ 93,500 Aushorchen von Telekommunikationsverbindungen 13% $ 76,500 Virus Infektionen 90% $ 45,500 Aktives Abhören 2% $ 20,000 Diebstahl tragbarer Computer 69% $ 87,000 Die statistischen Daten stammen aus einem Gutachten, in dem, unter der Leitung des Computer Security Institute und des FBI, 521 Unternehmen, Organisationen und Bildungseinrichtungen untersucht wurden. Obwohl über die Hälfte der Antworten finanzielle Verluste bestätigen konnten, waren es nur 31%, die die Unkosten beziffern konnten. 16 8

9 Verbrechen Finanzielle Schäden Anteil der Geschädigten Durchschnittlicher finanzieller Schaden Unautorisierter Zugriff auf vertrauliche Daten 55% $ 143,000 Diebstahl von geistigem Eigentum 26% $ 1,848,000 Telekommunikation Betrug 17% $ 27,000 Finanzbetrug 14% $ 1,471,000 Einbruch in IT-Systeme 31% $ 103,000 Sabotage von Daten oder Netzwerk 19% $ 164,000 "Denial of service" 32% $ 116,000 Interner Netzmißbrauch 97% $ 93,500 Aushorchen von Telekommunikationsverbindungen 13% $ 76,500 Virus Infektionen 90% $ 45,500 Aktives Abhören 2% $ 20, Motivation? Diebstahl tragbarer Computer 69% $ 87,000 Die statistischen Daten stammen aus einem Gutachten, in dem, unter der Leitung des Computer Security Institute und des FBI, 521 Unternehmen, Organisationen und Bildungseinrichtungen untersucht wurden. 2. Angriffsziele? Obwohl über die Hälfte der Antworten finanzielle Verluste bestätigen konnten, waren es nur 31%, die die Unkosten beziffern konnten. Vorlesung: 3. IT-Sicherheit Potentielle Angreifer? 17 Konsequenzen aus Schäden Einfache Frage: Warum wird nicht einfach alles sicher gemacht? Mögliche Antworten: 1. Sicherheit schränkt Freiheit ein!! Informationelle Selbstbestimmung BDSG 2. Konflikt mit Anonymität? 3. Fast, cheap, safe pick any two. 4. Komplexität 18 9

10 IT Sicherheit: Kosten / Nutzen Warum gibt es keine 100%ige Sicherheit? Quelle: BSI, BSI-Standard IT-Grundschutz-Vorgehensweise 19 Faktor Mensch Menschen und IT: 1. erstellen IT-Systeme 2. steuern IT-Systeme 3. nutzen IT-Systeme oder sind von ihnen abhängig Schwierigkeiten: Problembewusstsein nicht vorhanden Grundeinstellung von Benutzern Fehlbedienung, Fahrlässigkeit und Fehleinschätzungen fehlende Verantwortung + Delegationsprobleme Kriminalität 20 10

11 Faktor Mensch: Reaktion auf Veränderungen Zwei Arten von Veränderungen 1. Kontinuierlich ist meist unproblematisch 2. Prozess- oder Paradigmenwechsel ist verbunden mit Systemkrise strategisch technologisch strukturell 21 Faktor Mensch: Reaktion auf Veränderungen Change Kurve Leistung Schock Ablehnung Widerstand Ziel Identifikation Zustimmung Erforschung T 22 11

12 Vorschriften, Vorgaben und Standards zur IT-Sicherheit 23 Vorgaben für IT Security de jura (Gesetze) Normen Internationale Standards Offene Standards de facto (Produkte, Patent) Richtlinien Leitfäden Geordnet nach Grad der Verbindlichkeit

13 Gesetze Deutschland: Bundesdatenschutzgesetz (BDSG) Signaturgesetz (SigG) Urheberrechtsgesetz (UrhG) + diverse Spezialgesetze International: keine Gesetzesstandards starke Abweichungen 25 BDSG Scope zu schützende Daten: personenbezogene Daten Daten die persönliche oder sachliche Verhältnisse einer natürlichen Person beschreiben Person muss nicht benannt werden, es reicht, wenn sie bestimmbar ist Besondere zu schützende Daten: rassische und ethnische Herkunft politische Meinungen religiöse oder philosophische Überzeugungen Gewerkschaftszugehörigkeit Gesundheit Sexualleben WS 2010/

14 BDSG Umgang mit personenbezogene Daten: Verbotsprinzip mit Erlaubnisvorbehalt Erlaubnis: Gesetz erlaubt die Datenverarbeitung fallbezogen Person stimmt ausdrücklich zu Grundsatz: Datenvermeidung und Datensparsamkeit WS 2010/11 27 BDSG Regelungen Regelungen für öffentliche Stellen private Stellen Anonymisierung und Pseudonymisierung Rechte Betroffener natürlicher Personen: Auskunft zu gespeicherten Daten, deren Quellen und den Verwendungszweck Berichtigung von Daten Untersagen von Übermittlung an Dritte Löschung / Sperrung Beschwerderecht bei der Aufsichtsbehörde WS 2010/

15 Teilen von Daten vs. Recht Gemeinsame Nutzung von Daten: Berichterstattung Archivierung + Retrival Marketing Analysen SW Entwicklung / Tests Off-Shore: Entw./QS/Support Vorschriften: Schutz der Verbraucher Deutschland: BDSG EU: Personal Data Protection Directive UNO Richtline PCI: DSS (Data Security Standard) Bundesdatenschutzbeauftragter 29 Fallstudie: Testdaten-Problem Problem: Weiterentwicklung von komplexen Systemen erfordert die Bereitstellung von komplexen Testdaten. Bsp: CRM System Sind Produktionsdaten verwendbar? Wie ist die Gesetzeslage? 30 15

16 Gesetze BDSG: 3, Abs 1: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person 3, Abs 6 Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. TKG: 3, Abs 3: Im Sinne dieses Gesetzes ist oder sind "Bestandsdaten" Daten eines Teilnehmers, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden; ) 95, Abs 1:Der Diensteanbieter darf Bestandsdaten erheben und verwenden Eine Übermittlung der Bestandsdaten an Dritte erfolgt, soweit nicht dieser Teil oder ein anderes Gesetz sie zulässt, nur mit Einwilligung des Teilnehmers. BTGO: (Geheimschutzordnung des Deutschen Bundestages) 2, Abs 6: VS-NFD: Die Kennzeichnung von VS erfolgt unter entsprechender Anwendung der Verschlußsachenanweisung für die Bundesbehörden. STGB: 94 Landesverrat: Wer ein Staatsgeheimnis an einen Unbefugten gelangen läßt 31 Fallstudie: Testdaten-Problem Entwicklungs-, Test- und Abnahmedaten auf anonymisierte Produktionsdaten Anonymisierung (= Data Masking): Irreversibel -- keine Rückgewinnung möglich Repräsentativ Tests bleiben aussagefähig referentielle Integrität ist gewährleistet wiederholbarer Prozess im Rahmen der Testdatenbereitstellung 32 16

17 Fallstudie: Testdaten-Problem Einfach: Maskierung von Informationen (Name, Vorname, Kundennummer, SIM Karten Nr, ) Komplex: Maskierung von Identifieren ( Nutzer IDs, Org-NR,..) weiche Referenzen Inhalte von BLOBs: PDF, XML, Doc, Xls,CSV, FAX etc. Weiteres Thema: Wiedererkennung von Daten zur Fehleranalyse 33 Übung Spezialgesetze Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: Breadcrumb : > Startseite Datenschutz > Gesetze > Spezialgesetze 39 Spezialgesetze Fragestellung: Was wird in dem Spezialgesetz zur IT-Sicherheit geregelt? (jeder ein anderes Gesetz) 34 17

18 Übung: Was wird in dem Spezialgesetz zur IT-Sicherheit geregelt 1. Abgabenordnung 2. BND-Gesetz - Gesetz über den Bundesnachrichtendienst 3. Bundesarchivgesetz 4. Bundeskriminalamtgesetz 5. Bundespolizeigesetz 6. Bundesverfassungsschutzgesetz 7. Einkommensteuergesetz 8. Gesetz über das Ausländerzentralregister 9. Gesetz über das Kreditwesen 10. Gesetz über das Zentralregister und das Erziehungsregister 11. Gesetz über den Aufenthalt, die Erwerbstätigkeit und die Integration von Ausländern im Bundesgebiet 12. Gesetz über die Erhebung von streckenbezogenen Gebühren für die Benutzung von Bundesautobahnen mit schweren Nutzfahrzeugen (Autobahnmautgesetz) 13. Gesetz über die Errichtung eines Kraftfahrt-Bundesamts 14. Gesetz über die Statistik für Bundeszwecke 15. Gesetz über die Unterlagen des Staatssicherheitsdienstes der ehemaligen Deutschen Demokratischen Republik 16. Gesetz über Personalausweise 17. Gesetz über Rahmenbedingungen für elektronische Signaturen 18. Gesetz über zwingende Arbeitsbedingungen bei grenzüberschreitenden Dienstleistungen (Arbeitnehmer-Entsendegesetz) 19. Gesetz zur Bekämpfung der Schwarzarbeit und illegalen Beschäftigung 20. Kapitalanleger-Musterverfahrensgesetz 21. Melderechtsrahmengesetz 22. Passgesetz 23. Personenstandsgesetz 24. Postdienste-Datenschutzverordnung 25. Postgesetz 26. Sozialgesetzbuch (SGB) Erstes Buch (I) - Allgemeiner Teil 27. Sozialgesetzbuch (SGB) - Fünftes Buch (V) - Gesetzliche Krankenversicherung 28. Sozialgesetzbuch (SGB) - Viertes Buch (IV) - Sozialversicherung 29. Sozialgesetzbuch (SGB) - Zehntes Buch (X) - Sozialdatenschutz 30. Sozialgesetzbuch (SGB) - Zweites Buch (II) - Grundsicherung für Arbeitsuchende 31. Strafgesetzbuch > Startseite Datenschutz > Gesetze > Spezialgesetze 32. Strafprozessordnung 33. Teledienstedatenschutzgesetz 34. Teledienstgesetz 35. Telekommunikationsgesetz 36. Telekommunikations-Kundenschutzverordnung 37. Telekommunikations-Überwachungsverordnung 38. Telemediengesetz 39. Zensusvorbereitungsgesetz - Gesetz zur Vorbereitung eines registergestützten Zensus einschließlich einer Gebäude- und Wohnungszählung (IT Security) Normen DIN (Definition von IT Fachbegriffen) Orange Book Amerikanischen Normen aus dem Trusted Computer System Evaluation Criteria (TCSEC) BS 7799 Information security management systems - Specification with guidance for use British Standards Institute (BSI) ISO Informationssicherheit ISO Common Criteria (CC) Zertifizierung 36 18

19 BS 7799 / ISO Zur Durchführung von qualitativen und/oder quantitativen Risikoanalysen müssen standardisierte Kriterienkataloge verfügbar sein. Von dem BSI (British Standards Institute) wird diesbezüglich die Norm BS 7799 zum "Management von Informationssicherheit" bereitgestellt. Die Norm besteht aus den Teilen 1. Leitfaden zum Management von Informationssicherheit 2. Spezifikation für Informationssicherheits- Managmentsysteme Die BS 7799 wurde als ISO zum internationalen Standard. 37 BS 7799 / ISO Erste Teil Sicherheitspolitik Organisation Einstufung und Kontrolle der Werte Personeller Sicherheit Physischer Sicherheit Management von Kommunikation und Betrieb Zugangskontrolle Systementwicklung und -Wartung Management des kontinuierlichen Geschäftbetriebs Einhaltung der Verpflichtungen Zweiter Teil Anforderungen an ein Managementsystem für Informationssicherheit Spezifische Maßnahmen (zu den Punkten aus dem ersten Teil) 38 19

20 IT Sicherheitsstandards Regierungsseitige Standards: ZSI/BSI: IT Sicherheitskriterien (Green Book) ITSEC Security Evaluation Criteria der EU Common Criteria Internationaler Standard (s.o.: ISO Norm) 39 IT Sicherheitsstandards Industrie: ECMA = European Computer Manufacturers Association PCI Data Security Standard Software Standards: offene Standards Industriestandards 40 20

21 Offene Standards oder Community Standards werden von unabhängigen Organisationen entwickelt und gepflegt Experten kommen aus verschiedenen betroffenen Kreisen kein Monopol-Hersteller diktiert ist frei verfügbar und von jedem implementierbar schließt Open Source Implementierungen ein 41 Offene (Software) Standards Beispiele: Java (Oracle vormals Sun) Java SE Security J2EE JAAS CORBA Security Web Service Security Normative Organisationen z.b.: OASIS: Organization for the Advancement of Structured Information Standards (XML, WS, ) OMG: Object Management Group (CORBA, UML, ) 42 21

22 Standards Industriestandards für SW, HW, MW, OS Bsp: Microsoft.NET SAP IBM SSL Adobe PDF 43 IT-Security Richtlinien Behörden, Unternehmen und Institutionen definieren sich selbst interne Policies Sicherheitsstrategien Leitfäden wichtigster: IT Grundschutz (BSI) Best Practices Notfallpläne BITKOM: Leitfaden zu IT-Sicherheitsstandards 44 22

23 IT-Security Richtlinien Inhalte (z.b.): Grundsätze Ziele (Schutzziele) Sicherheitsmanagement Verantwortlichkeiten Vorgehensweisen und Risikomanagement Bewusstsein, Kommunikation, Qualifikation Kontrollen,Berichte Gültigkeit, Sonderregelungen 45 IT Sicherheit: Kriterien, Analyse und Sicherheitskonzeption 46 23

24 Security / Safety Mehrdeutigkeit des deutschen Begriffs Sicherheit Deutsch Sicherheit Englisch security safety Pilot Security allows to make our flight safe Cop: Security is crime prevention while safety is accident prevention. safety security = "prevention of drop-out" = "prevention of drop-in" 47 Safety Perspektive Umwelt Umwelt System System Schutz der Umwelt vor dem System. Schutz des System vor der Umwelt. Security 48 24

25 Duale Sicherheit 1. Sicherheit der Systeme Verlässlichkeit 2. Sicherheit vor dem System Beherrschbarkeit 49 Mehrseitige Sicherheit Mehrseitige Sicherheit bedeutet die Berücksichtigung der Sicherheitsanforderungen aller beteiligten Parteien. Vorrangige Schutzziele: Privatheit Verbindlichkeit 50 25

26 Sicherheitsziele Duale Sicherheit Sicherheit des Systems Sicherheit der Betroffenen Vertraulichkeit Integrität Verfügbarkeit Rechtssicherheit 51 Sicherheitsziel: Vertraulichkeit Schutz von Information Schutz von Kommunikation Anonymität Unbeobachtbarkeit Unverkettbarkeit Pseudonymität Sicherheit gegen unbefugten Zugriff 52 26

27 Cross-Site-Scripting: XSS XSS Typen Reflektierendes XSS Persistentes XSS Lokales XSS Attacken Beispiele: Remote Code Execution PHP: include_once ($phpbb_root_path. 'common.php'); Angreifer Aufruf Wert von $phpbb_root_path wird auf evil.de Server umgebogen SQL Injection Login code sei SELECT * FROM users WHERE name='$userid' AND password='$password' Eingabe in Abfrage: admin -- Aufgeführt wird: SELECT * FROM users WHERE name 'admin' -- AND password='$password' 53 Sicherheitsziel - Integrität und Zurechenbarkeit Schutz gegen Manipulation von Informationen Unabstreitbarkeit Abrechnungssicherheit 54 27

28 Sicherheitsziel - Verfügbarkeit Zugriff auf Information gewährleisten Kommunikation gewährleisten Funktionssicherheit Technische Sicherheit 55 Sicherheitsanalyse Sicherheitskonzept Werte (Grund-) Bedrohung Sicherheitsbedarf Sicherheitsanforderungen Grundschutz Funktionen Mechanismen Zur Analyse der Sicherheitskette ist Experten Know-how unabdingbar!! 56 28

29 Objektanalyse Quelle: BSI IT Sicherheitshandbuch 57 Fallbeispiele: Werte Unternehmen administriert Server von Banken im Rechenzentrum Werte: Verträge, Hard-/Software, Image, Verlässlichkeit, Mein Handy Werte: Gerätepreis, Apps, Musik, gespeicherte Daten, SIM-Karte, Werte (Grund-) Bedrohung Sicherheitsbedarf Sicherheitsanforderungen Grundschutz Funktionen Mechanismen 58 29

30 IT Sicherheitskette: Werte Die Werte sind sehr spezifisch. Werte müssen individuell ermittelt werden! Ermittlung jeweils für Anwendung IT-System Unternehmen / Organisation 59 BSI Sicherheitshandbuch Zitat aus Vorwort: Das IT-Sicherheitshandbuch zeigt zunächst die potentiellen Gefahren auf. Danach bietet es Hilfe für die Erstellung system- und anwendungsbezogener Risikoanalysen und darauf basierender Sicherheitskonzepte. Sicherheitskriterien Green Book 1989/1990 Zentralstelle für Sicherheit in der Informationstechnik (ZSI) 60 30

31 BSI Grundschutz Kataloge Struktur: IT-Grundschutz Basis für Informationssicherheit Bausteine Gefährdungskataloge Maßnahmenkataloge Hilfsmittel 61 IT Sicherheit: Bedrohung Grundbedrohungen der Werte sind im Allgemeinen: Informationsgewinn Dritter (Verlust der Vertraulichkeit) Modifikation der Information durch Dritte (Verlust der Integrität) Beeinträchtigung der Funktionalität durch Dritte (Verlust der Verfügbarkeit) Abstreiten der Handlung eines Akteurs Zudem ist das System ist eine Bedrohung für den Benutzer

32 Alternativen zum BSI Katalog 1. Trusted Computer System Evaluation Criteria (TCSEC) Orange Book (1980) 2. Common Criteria (CC) ISO/IEC Funktions-/Sicherheitsklassen 63 Grundschutz: Bausteine 1. Übergreifende Aspekte 2. Infrastruktur 3. IT-Systeme 4. Netze 5. Anwendungen 64 32

33 Gefährdungskataloge 1. Höhere Gewalt 2. Organisatorische Mängel 3. Menschliche Fehlhandlungen 4. Technisches Versagen 5. Vorsätzliche Handlungen 65 Maßnahmenkataloge 1. Infrastruktur 2. Organisation 3. Personal 4. Hardware und Software 5. Kommunikation 6. Notfallvorsorge 66 33

34 IT Sicherheit - Grundfunktionen 1. Identifikation, Authentisierung, Autorisierung 2. Rechteverwaltung 3. Beweissicherung 4. Bereinigung 5. Verfügbarkeit 67 Sicherheitskriterien Getrennte Bewertung von Funktionalität F-Klasse Qualität Q-Stufe 68 34

35 Green Book: Hierarchische Sicherheitsklassen Klasse F1 F2 F3 F4 F5 Beschreibung Identifikation und Autorisierung als erste Aktion Verwaltung der Rechte nach Benutzern und/oder Gruppen Rechteprüfung bei jedem Zugriff F1 und zusätzlich Eindeutige Identifizierung und Zuordnung von Aktionen zu dieser Identität Rechtevergabe auf der Ebene einzelner Benutzer Protokollierung und Überwachung sicherheitsrelevanter Aktionen Löschen von Speicherobjekten vor Wiederfreigabe F2 und zusätzlich Einhaltung globaler Regeln bei der Rechtevergabe Subjekte und Objekte haben 2-dim Attributraum Informationsflußkontrolle bei Rechteprüfung erweiterte Protokollierung F3 und zusätzlich Identifikation und Rechteprüfung muß über einen vertrauenswürdigen Pfad erfolgen Mögliche Zuordnung von Rechten und Rollen (mind. Systemverwalter) Definition von multi level-kanälen mit minimalen und maximalen Level Überwachung von Ereignissen, die als verdeckte Kanäle benutzt werden können F4 und zusätzlich Rolle eines Sicherheitsbeauftragten muß definiert sein Für jedes Objekt können Zugriffsberechtigungen einzeln angegeben werden Aktuelle Überwachung sicherheitsrelevanter Aktionen und Benachrichtigung des Sicherheitsbeauftragten 69 Green Book: weitere Sicherheitsklassen nicht-hierachisch: Klasse F6 F7 F8 F9 F10 Beschreibung Für Systeme mit hohen Integritätsanforderungen (z.b. Datenbanken) Für Systeme mit hohen Verfügbarkeitsanforderungen (z.b. Prozeßsteuerung) Es bestehen hohe Anforderungen an die Datenintegrität bei der Übertragung Es bestehen hohe Anforderungen an die Datengeheimhaltung bei der Übertragung F8 und F9 Konsistenz / Verfügbarkeit / Sicherheit bei Datenübertragung 70 35

36 Klasse Q0 Q1 Q2 Q3 Q4 Q5 Q6 Q7 Green Book: Qualitätskriterien Beschreibung Unzureichende Qualität, nicht überprüft. getestet, informelle Sicherheitspolitik, Spezifikation beschreibt ganzes System methodisch getestet methodisch getestet und teilweise analysiert Sicherheitspolitik ist informell und detailliert beschreiben informell analysiert, Spezifikation und Sourcecode wird evaluiert und auf Konsistenz mit Sicherheitspolitik überprüft halbformal überprüft, Systemspezifikation in halbformaler Notation Analyse mit halbformalen Methoden formal überprüft, Sicherheitspolitik und Systemspezifikation sind formal gegeben und Konsistenz ist formal überprüft Sourcecode ist sorgfältig auf Konsitenz mit Spezifikation getestet formal verifiziert, Konsistenz des Sourcecodes mit der Spezifikation formal nachgewiesen 71 Green Book / TCSEC CC Mapping zwischen Sicherheitsklassen Green Book Q0 F1 + Q2 F2 + Q2 F3 + Q3 F4 + Q4 F5 + Q5 F5 + Q6 F5 + Q7 TCSEC CC D C1 C2 B1 B2 B3 A1 beyond A1 WS 2010/

37 Es fehlen: Kritik am BSI Konzept Grundbedrohung Verlust der Originalität Eigenschaften des Datenschutzes: Unbeobachtbarkeit Anonymität Pseudonymität 73 Fallbeispiel: im Unternehmen BGB: mit elektronischer Signatur gilt als rechtsverbindliches Original s müssen archiviert werden Zwickmühle: Private s TKG: Mitarbeiter ist dann nicht mehr Teil des Unternehmens, sondern Dritter Fernmeldegeheimnis (TKG) automatisches (Viren-)Scannen ist rechtlich unzulässig Gesamte Kommunikation muss als privat betrachtet werden 74 37

38 Übung: Sicherheitsanalyse Teil 1 Spezifiziere für eine Telefonanlage 1. Werte 2. Bedrohung / Gefährdungen / Schutzbedarf 3. Grundschutzfunktionen, Mechanismen u. Maßnahmen Konfiguration WS 2010/11 75 Übung: Sicherheitsanalyse Teil 2 Für eine Telefonanlage Basierend auf der Analyse: Sammle Vorschläge, um folgende Sicherheitsklassen zu erreichen: F1 + Q2 + F7 F1: Identifikation und Autorisierung als erste Aktion +Verwaltung der Rechte nach Benutzern und/oder Gruppen + Rechteprüfung bei jedem Zugriff Q1: getestet, informelle Sicherheitspolitik, Spezifikation beschreibt ganzes System F7: hohen Verfügbarkeitsanforderungen Konfiguration 76 38

39 WS 2010/

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG)

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Valerij Serediouk SE Designing for Privacy HU WS 09 / 10 1 Gliederung Einführung Zweck und Anwendungsbereich des BDSG

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Datenschutz im Projekt- und Qualitätsmanagement Umfeld Datenschutz im Projekt- und Qualitätsmanagement Umfeld Personenbezogene Daten im Qualitäts- und Projektmanagement 17.02.2014 migosens GmbH 2014 Folie 2 Definitionen Was sind personenbezogene Daten? sind

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Guter Datenschutz schafft Vertrauen

Guter Datenschutz schafft Vertrauen Oktober 2009 Guter Datenschutz schafft Vertrauen 27.10.2009 ruhr networker e.v. in Mettmann K.H. Erkens Inhalt Handlungsbedarf, Aktualität Grundlagen oder was bedeutet Datenschutz Pflichten des Unternehmens

Mehr

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten Jan Goebel, DIW Berlin / SOEP Idealvorstellung Idealvorstellung Idealvorstellung Skripte (GitHub, Bitbucket, Codeplane,...) Daten (Dropbox,

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Datenschutz im Unternehmen. Autor: Tobias Lieven Dokumentenversion: 1.4 1.4

Datenschutz im Unternehmen. Autor: Tobias Lieven Dokumentenversion: 1.4 1.4 Datenschutz im Unternehmen Inhalt 1. Gesetzliche Grundlagen (Begriffsbestimmung) 2. Technisch-Organisatorische Maßnahmen 3. Pressespiegel 4. Praktische Umsetzung der Vorgaben im Betrieb 5. Datenschutz

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6 Datenschutz ist... Inhalt Datenschutz ist Grundrechtsschutz 4 Wessen Daten werden geschützt? 5 Wer muss den Datenschutz beachten? 6 Welche Daten werden vom Datenschutzrecht erfasst? 7 Wann dürfen personenbezogene

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010 Lutz Grammann Datenschutz für Administratoren St. Pius-Stift Cloppenburg 13. Oktober 2010 06. Oktober 2010 Datenschutz für Administratoren 1 Erwartungen an Administratoren Mitwirkung bei der Gestaltung

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Datenschutz-Unterweisung

Datenschutz-Unterweisung Datenschutz-Unterweisung Prof. Dr. Rolf Lauser Datenschutzbeauftragter (GDDcert) öbuv Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung im kaufmännisch-administrativen Bereich sowie

Mehr

Datenschutz in der betrieblichen Praxis

Datenschutz in der betrieblichen Praxis Datenschutz in der betrieblichen Praxis Datenschutz und Datensicherheit unter besonderer Berücksichtigung der beruflichen Aus- und Weiterbildung von Alfred W. Jäger, Datenschutzbeauftragter Überblick zur

Mehr

Datenschutz eine Einführung. Malte Schunke

Datenschutz eine Einführung. Malte Schunke Datenschutz eine Einführung Malte Schunke Gliederung 1. Wieso Datenschutz? 2. Was hat das mit mir zu tun? 3. Begriffserklärungen Pause 4. Wichtige Rechtsvorschriften 5. Datenschutz in der Arztpraxis Wieso

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Datenschutz im Unternehmen. Was muss der Unternehmer wissen? Was muss der Unternehmer wissen? Was ist Datenschutz nach BDSG? Basis: Recht auf informelle Selbstbestimmung Jeder Mensch kann selbst entscheiden, wem wann welche personenbezogene Daten zugänglich sein

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 1: 10.4.2015 Sommersemester 2015 h_da, Lehrbeauftragter Nachklausur IT- und Medientechnik Freitag, 24. April 2015 12.15 13.45 Uhr Raum A10/001 Allgemeines zur Vorlesung die Folien

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Einführung in die Datenerfassung und in den Datenschutz

Einführung in die Datenerfassung und in den Datenschutz Dr. Thomas Petri Einführung in die Datenerfassung und in den Datenschutz Hochschule für Politik, Sommersemester 2011, Foliensatz 2-2 bis 2-4 (1.6.2011) 1 Grobübersicht 1. Einführung, europa- und verfassungsrechtliche

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

%HVRQGHUH$UWHQ3HUVRQHQEH]RJHQHU'DWHQ

%HVRQGHUH$UWHQ3HUVRQHQEH]RJHQHU'DWHQ %HVRQGHUH$UWHQ3HUVRQHQEH]RJHQHU'DWHQ Bestimmte Daten dürfen nur mit ausdrücklicher Einwilligung bzw. nur in Ausnahmefällen verarbeitet werden. Hierzu gehören zum Beispiel Krankheitsdaten selbstverständlich

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

IT-Sicherheit Einführung

IT-Sicherheit Einführung Karl Martin Kern IT-Sicherheit Einführung (http://www.xkcd.com/834/) Über mich... Dipl.-Inform. (FH) Karl Martin Kern (htwg@kmkern.de) Studium der technischen Informatik an der HTWG (damals Fachhochschule)

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

Datenschutz und IT-Sicherheit

Datenschutz und IT-Sicherheit 15 Jahre IT-Grundschutz Bonn, 23. Juni 2009 Peter Schaar Datenschutz und IT-Sicherheit Jubiläum 15 Jahre IT-Grundschutz Seite 1 Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Übersicht

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

IT Sicherheit: Bewertungskriterien

IT Sicherheit: Bewertungskriterien Dr. Christian Rathgeb IT-Sicherheit, Kapitel 7 / 02.12.2015 1/28 IT Sicherheit: Bewertungskriterien Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group 02.12.2015 Dr. Christian Rathgeb

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

DFN-AAI Sicherheitsaspekte und rechtliche Fragen DFN-AAI Sicherheitsaspekte und rechtliche Fragen Ulrich Kähler, DFN-Verein kaehler@dfn.de Seite 1 Gliederung Sicherheitsaspekte Rechtliche Fragen Seite 2 Sicherheit Die Sicherheit in der DFN-AAI ist eine

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Datenschutz-Schulung

Datenschutz-Schulung Datenschutz-Schulung Revowerk ist gesetzlich dazu verpflichtet, seine Stammkundenbetreuer im Bereich Datenschutz zu schulen und sie vertraglich auf die Einhaltung der Datenschutzrichtlinien zu verpflichten.

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG X. Datenvermeidung und Datensparsamkeit nach 3a BDSG Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich nach 3a S. 1 BDSG an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten

Mehr

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen Marco Puschmann Agenda Kurzportrait HannIT (AöR) Das Personenstandswesen Daten Gesetzliche Rahmenbedingungen (PStV) technische

Mehr

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick Datenschutz und Datensicherheit rechtliche Aspekte 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick Überblick Grundlagen Datenschutz Grundlagen Datensicherheit Clouds In EU/EWR In

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Atos Worldline GmbH Hahnstraße 25 60528 Frankfurt/Main für das PIN Change-Verfahren Telefonbasierte Self Selected

Mehr

DS DATA SYSTEMS GmbH

DS DATA SYSTEMS GmbH DS DATA SYSTEMS GmbH Consulting is our business! Consulting is our business! Unternehmenspräsentation DS DATA SYSTEMS GmbH Drei Standorte: Schwülper (Hauptverwaltung) München Wolfsburg 25 Mitarbeiter in

Mehr

Smart Home - Rechtskonforme Gestaltung eines intelligent vernetzten Haushalts

Smart Home - Rechtskonforme Gestaltung eines intelligent vernetzten Haushalts Smart Home - Rechtskonforme Gestaltung eines intelligent vernetzten Haushalts Dr. Marc Störing 8. April 2011 Agenda 1 Smart Home und Daten 2 Gefährdungspotenziale 3 Datenschutz als Problem? 4 Datensicherheit

Mehr

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Bundesamt für Sicherheit in der Informationstechnik (BSI) Connected Living 2013 Agenda Studie: Integrierte

Mehr

Inhaltsverzeichnis VII

Inhaltsverzeichnis VII 1 Grundlagen der IT-Sicherheit...1 1.1 Übersicht...1 1.1.1 Gewährleistung der Compliance...1 1.1.2 Herangehensweise...2 1.2 Rechtliche Anforderungen an IT-Sicherheit...3 1.2.1 Sorgfaltspflicht...3 1.2.2

Mehr

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG)

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) Mustermann GmbH Musterstr. 123 12345 Musterstadt Sehr geehrte(r) Frau/Herr, aufgrund Ihrer Aufgabenstellung in unserem Unternehmen gilt

Mehr

WAS VERLANGT DAS GESETZ?

WAS VERLANGT DAS GESETZ? Technischorganisatorische Maßnahmen??? Gesetzliche Grundlagen WAS VERLANGT DAS GESETZ? 1 Gesetzliche Grundlagen: 9 Technische und organisatorische Maßnahmen 1 Öffentliche und nicht-öffentliche Stellen,

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit und der IT-Sicherheit Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit 9.1 Vergleich Sicherheitsziele & Aufgabe: Kontrollbereiche Ordnen Sie die im BDSG genannten Kontrollbereiche

Mehr

GÖRG Wir beraten Unternehmer.

GÖRG Wir beraten Unternehmer. GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

IT-Sicherheit kompakt und verständlich

IT-Sicherheit kompakt und verständlich Bernhard C.Witt IT-Sicherheit kompakt und verständlich Eine praxisorientierte Einführung Mit 80 Abbildungen vieweg Inhaltsverzeichnis -- Grundlagen der IT-Sicherheit 1 1.1 Übersicht 1 1.1.1 Gewährleistung

Mehr

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG)

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG) Datenschutz nach Bundesdatenschutzgesetz (BDSG) Herzlich Willkommen bei unserem Datenschutz-Seminar 1 Vorstellung Matthias A. Walter EDV-Sachverständiger (DESAG) Datenschutzbeauftragter (TÜV) 11 Jahre

Mehr

Datenschutz und E-Commerce - Gegensätze in der digitalen Wirtscheft?

Datenschutz und E-Commerce - Gegensätze in der digitalen Wirtscheft? Datenschutz und E-Commerce - Gegensätze in der digitalen Wirtscheft? Rechtsanwalt Oliver J. Süme Vortrag im Rahmen der Medientage München 2000 Dienstag, den 7. November 2000 - Panel 7.3. Einleitung Wer

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko 1. Ressourcenschutz und Systemkonfiguration 2. Änderungs- und Patchmanagement Die

Mehr

IT-Compliance und Datenschutz. 16. März 2007

IT-Compliance und Datenschutz. 16. März 2007 IT-Compliance und Datenschutz 16. März 2007 Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot

Mehr

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Rechtsgrundlagen Personenbezogene Daten Datenschutz

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2d) Vorlesung im Sommersemester 2014 an der Universität Ulm von Bernhard C.

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2d) Vorlesung im Sommersemester 2014 an der Universität Ulm von Bernhard C. Vorlesung im Sommersemester 2014 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

IT-LawCamp 2010 BIRD & BIRD, Frankfurt 20. März 2010. IT-Sicherheit und Datenschutz eine Beziehung mit Spannungen

IT-LawCamp 2010 BIRD & BIRD, Frankfurt 20. März 2010. IT-Sicherheit und Datenschutz eine Beziehung mit Spannungen AK WLAN IT-LawCamp 2010 BIRD & BIRD, Frankfurt 20. März 2010 IT-Sicherheit und Datenschutz eine Beziehung mit Spannungen RA Ivo Ivanov Justiziar des eco e.v. 1 Übersicht Ausgangssituation Datenschutzrechtlicher

Mehr

Datenschutz- und Vertraulichkeitsvereinbarung

Datenschutz- und Vertraulichkeitsvereinbarung Datenschutz- und Vertraulichkeitsvereinbarung zwischen der Verein - nachstehend Verein genannt - und der Netxp GmbH Mühlstraße 4 84332 Hebertsfelden - nachstehend Vertragspartner genannt - wird vereinbart:

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Datenschutz und Datensicherheit. Warum Datenschutz

Datenschutz und Datensicherheit. Warum Datenschutz Datenschutz und Datensicherheit 14.10.2003 1 Warum Datenschutz Imageverlust Steigende Sensibilität der Nutzer und Kunden für Datenschutzbelange Vorschrift durch Gesetze mithin Geldstrafen Höchststrafe

Mehr

Wolfgang Straßer. wolfgang.strasser@add-yet.de. @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 www.add-yet.de

Wolfgang Straßer. wolfgang.strasser@add-yet.de. @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 www.add-yet.de Business Security Management Wolfgang Straßer wolfgang.strasser@add-yet.de @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 These These: Ohne IT keine Wertschöpfung Ohne IT keine Innovation

Mehr

BYOD Bring Your Own Device

BYOD Bring Your Own Device BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

IT-Sicherheit der Netzleitstelle - Ausweitung auf Smart Meter

IT-Sicherheit der Netzleitstelle - Ausweitung auf Smart Meter IT-Sicherheit der Netzleitstelle - Ausweitung auf Smart Meter Agenda 1) Warum IT-Sicherheit? 2) IT-Sicherheit der Netzleitstelle 3) Ausweitung auf Smart Meter 2 Definition IT-Sicherheit IT-Sicherheit betrifft

Mehr

Jörg 10.05.2006. Datenschutz in der BRD. Jörg. Einführung. Datenschutz. heute. Zusammenfassung. Praxis. Denitionen Verarbeitungsphasen

Jörg 10.05.2006. Datenschutz in der BRD. Jörg. Einführung. Datenschutz. heute. Zusammenfassung. Praxis. Denitionen Verarbeitungsphasen 10.05.2006 1 2 3 4 Zum Begri im weiteren Sinne im engeren Sinne Bundesdatenschutzgesetz Landesdatenschutzgesetze Teledienstedatenschutzgesetz Teledienstedatenschutzverordnung Mediendienstestaatsvertrag

Mehr