Vorlesung IT Sicherheit

Größe: px
Ab Seite anzeigen:

Download "Vorlesung IT Sicherheit"

Transkript

1 IT-Sicherheit 1. Was ist überhaupt Sicherheit und was ist IT Sicherheit? 2. Was umfasst das Thema? 3. Wenn Sie WIKIPEDIA Verbot hätten: Woher nehmen Sie Informationen zur IT-Sicherheit? 1 Vorlesung IT Sicherheit Teil 1 - Grundlagen 2 1

2 Teil 1 - Grundlagen Definition: Sicherheit / IT-Sicherheit Duale Sicherheit Gesetze, Normen, Standards, Richtlinien Sicherheitsanalyse Sicherheitsziele 3 Grundbegriffe und Scope IT-Sicherheit 4 2

3 Was ist Sicherheit? (ohne IT) WIKIPEDIA: Sicherheit bezeichnet einen Zustand, der frei von unvertretbaren Risiken der Beeinträchtigung ist oder als gefahrenfrei angesehen wird. 5 Was ist Sicherheit? (ohne IT) unmittelbare Sicherheit Gefahrenentstehung wird verhindert Fail-Safe Ansatz: 2 Räder Defekt eines Rades ist kein Sicherheitsproblem Safe-Life Ansatz: Radprüfung: Wöchentlich Radwechsel nach X km 6 3

4 Was ist Sicherheit? (ohne IT) mittelbare Sicherheit Schutzeinrichtungen verhindern Gefährdung Stabile Fahrerkabine Mit Überrollbügel 7 Was ist Sicherheit? (ohne IT) hinweisende Sicherheit Hinweis auf Helmpflicht Zur Unfallverhütung 8 4

5 Was ist IT Sicherheit? Sicherheit -- s.o. bleiben also Fragen: Was ist Information? Was ist IT? Was ist ein IT System? allgemeines Verständnis Ungereimtheiten 9 Begriffsverwirrungen IBMs verbindliche Definition: Security ::= Prevention of access to or use of data or programs without authorization 1972 bis heute Ist diese Definition brauchbar? 10 5

6 Intermezzo: DDoS (D)DoS = (Distributed) Denial of Service z.b.: TFN 2000 (Terrible Flood Network) > BOT Netz Opfer Hacker 11 Intermezzo: DoS DoS = Denial of Service Attack (asymmetrische Attacke) Verschiedene DoS Typen: 1. Verbrauch limitierter Ressourcen Netzwerk Konvektivität Alle Ressourcen gegen einen selbst einsetzen Bandbreiten verbrauchen Ressourcen verbrauchen 2. Zerstörung o. Veränderung von Konfigurationsdaten 3. Antworten verhindern weitere Infos: CERT/CC 12 6

7 Intermezzo: DoS 1. Motivation für DoS Attacken? 2. Was sind die Angriffsziele? 3. Wer sind die Angreifer? 4. Opfer? Und: Warum reicht die Security Definition von IBM nicht aus? 13 Definition von Basisbegriffen DIN 44300: Information ::= Kenntnis über Sachverhalt und Vorgänge IT-System := Funktionseinheit* zur Aufnahme, Verarbeitung, Aufbewahrung und Nutzung von Daten* 14 7

8 Warum ist IT Sicherheit wichtig? Dimension des Themas 1. Sicherheit geht jeden an! 2. Durchdringung von IT 3. Moore s Law (1965/1970) 4. Komplexität von IT Systemen hohes Schadenspotential 15 Verbrechen Finanzielle Schäden Anteil der Geschädigten Durchschnittlicher finanzieller Schaden Unautorisierter Zugriff auf vertrauliche Daten 55% $ 143,000 Diebstahl von geistigem Eigentum 26% $ 1,848,000 Telekommunikation Betrug 17% $ 27,000 Finanzbetrug 14% $ 1,471,000 Einbruch in IT-Systeme 31% $ 103,000 Sabotage von Daten oder Netzwerk 19% $ 164,000 "Denial of service" 32% $ 116,000 Interner Netzmißbrauch 97% $ 93,500 Aushorchen von Telekommunikationsverbindungen 13% $ 76,500 Virus Infektionen 90% $ 45,500 Aktives Abhören 2% $ 20,000 Diebstahl tragbarer Computer 69% $ 87,000 Die statistischen Daten stammen aus einem Gutachten, in dem, unter der Leitung des Computer Security Institute und des FBI, 521 Unternehmen, Organisationen und Bildungseinrichtungen untersucht wurden. Obwohl über die Hälfte der Antworten finanzielle Verluste bestätigen konnten, waren es nur 31%, die die Unkosten beziffern konnten. 16 8

9 Verbrechen Finanzielle Schäden Anteil der Geschädigten Durchschnittlicher finanzieller Schaden Unautorisierter Zugriff auf vertrauliche Daten 55% $ 143,000 Diebstahl von geistigem Eigentum 26% $ 1,848,000 Telekommunikation Betrug 17% $ 27,000 Finanzbetrug 14% $ 1,471,000 Einbruch in IT-Systeme 31% $ 103,000 Sabotage von Daten oder Netzwerk 19% $ 164,000 "Denial of service" 32% $ 116,000 Interner Netzmißbrauch 97% $ 93,500 Aushorchen von Telekommunikationsverbindungen 13% $ 76,500 Virus Infektionen 90% $ 45,500 Aktives Abhören 2% $ 20, Motivation? Diebstahl tragbarer Computer 69% $ 87,000 Die statistischen Daten stammen aus einem Gutachten, in dem, unter der Leitung des Computer Security Institute und des FBI, 521 Unternehmen, Organisationen und Bildungseinrichtungen untersucht wurden. 2. Angriffsziele? Obwohl über die Hälfte der Antworten finanzielle Verluste bestätigen konnten, waren es nur 31%, die die Unkosten beziffern konnten. Vorlesung: 3. IT-Sicherheit Potentielle Angreifer? 17 Konsequenzen aus Schäden Einfache Frage: Warum wird nicht einfach alles sicher gemacht? Mögliche Antworten: 1. Sicherheit schränkt Freiheit ein!! Informationelle Selbstbestimmung BDSG 2. Konflikt mit Anonymität? 3. Fast, cheap, safe pick any two. 4. Komplexität 18 9

10 IT Sicherheit: Kosten / Nutzen Warum gibt es keine 100%ige Sicherheit? Quelle: BSI, BSI-Standard IT-Grundschutz-Vorgehensweise 19 Faktor Mensch Menschen und IT: 1. erstellen IT-Systeme 2. steuern IT-Systeme 3. nutzen IT-Systeme oder sind von ihnen abhängig Schwierigkeiten: Problembewusstsein nicht vorhanden Grundeinstellung von Benutzern Fehlbedienung, Fahrlässigkeit und Fehleinschätzungen fehlende Verantwortung + Delegationsprobleme Kriminalität 20 10

11 Faktor Mensch: Reaktion auf Veränderungen Zwei Arten von Veränderungen 1. Kontinuierlich ist meist unproblematisch 2. Prozess- oder Paradigmenwechsel ist verbunden mit Systemkrise strategisch technologisch strukturell 21 Faktor Mensch: Reaktion auf Veränderungen Change Kurve Leistung Schock Ablehnung Widerstand Ziel Identifikation Zustimmung Erforschung T 22 11

12 Vorschriften, Vorgaben und Standards zur IT-Sicherheit 23 Vorgaben für IT Security de jura (Gesetze) Normen Internationale Standards Offene Standards de facto (Produkte, Patent) Richtlinien Leitfäden Geordnet nach Grad der Verbindlichkeit

13 Gesetze Deutschland: Bundesdatenschutzgesetz (BDSG) Signaturgesetz (SigG) Urheberrechtsgesetz (UrhG) + diverse Spezialgesetze International: keine Gesetzesstandards starke Abweichungen 25 BDSG Scope zu schützende Daten: personenbezogene Daten Daten die persönliche oder sachliche Verhältnisse einer natürlichen Person beschreiben Person muss nicht benannt werden, es reicht, wenn sie bestimmbar ist Besondere zu schützende Daten: rassische und ethnische Herkunft politische Meinungen religiöse oder philosophische Überzeugungen Gewerkschaftszugehörigkeit Gesundheit Sexualleben WS 2010/

14 BDSG Umgang mit personenbezogene Daten: Verbotsprinzip mit Erlaubnisvorbehalt Erlaubnis: Gesetz erlaubt die Datenverarbeitung fallbezogen Person stimmt ausdrücklich zu Grundsatz: Datenvermeidung und Datensparsamkeit WS 2010/11 27 BDSG Regelungen Regelungen für öffentliche Stellen private Stellen Anonymisierung und Pseudonymisierung Rechte Betroffener natürlicher Personen: Auskunft zu gespeicherten Daten, deren Quellen und den Verwendungszweck Berichtigung von Daten Untersagen von Übermittlung an Dritte Löschung / Sperrung Beschwerderecht bei der Aufsichtsbehörde WS 2010/

15 Teilen von Daten vs. Recht Gemeinsame Nutzung von Daten: Berichterstattung Archivierung + Retrival Marketing Analysen SW Entwicklung / Tests Off-Shore: Entw./QS/Support Vorschriften: Schutz der Verbraucher Deutschland: BDSG EU: Personal Data Protection Directive UNO Richtline PCI: DSS (Data Security Standard) Bundesdatenschutzbeauftragter 29 Fallstudie: Testdaten-Problem Problem: Weiterentwicklung von komplexen Systemen erfordert die Bereitstellung von komplexen Testdaten. Bsp: CRM System Sind Produktionsdaten verwendbar? Wie ist die Gesetzeslage? 30 15

16 Gesetze BDSG: 3, Abs 1: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person 3, Abs 6 Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. TKG: 3, Abs 3: Im Sinne dieses Gesetzes ist oder sind "Bestandsdaten" Daten eines Teilnehmers, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden; ) 95, Abs 1:Der Diensteanbieter darf Bestandsdaten erheben und verwenden Eine Übermittlung der Bestandsdaten an Dritte erfolgt, soweit nicht dieser Teil oder ein anderes Gesetz sie zulässt, nur mit Einwilligung des Teilnehmers. BTGO: (Geheimschutzordnung des Deutschen Bundestages) 2, Abs 6: VS-NFD: Die Kennzeichnung von VS erfolgt unter entsprechender Anwendung der Verschlußsachenanweisung für die Bundesbehörden. STGB: 94 Landesverrat: Wer ein Staatsgeheimnis an einen Unbefugten gelangen läßt 31 Fallstudie: Testdaten-Problem Entwicklungs-, Test- und Abnahmedaten auf anonymisierte Produktionsdaten Anonymisierung (= Data Masking): Irreversibel -- keine Rückgewinnung möglich Repräsentativ Tests bleiben aussagefähig referentielle Integrität ist gewährleistet wiederholbarer Prozess im Rahmen der Testdatenbereitstellung 32 16

17 Fallstudie: Testdaten-Problem Einfach: Maskierung von Informationen (Name, Vorname, Kundennummer, SIM Karten Nr, ) Komplex: Maskierung von Identifieren ( Nutzer IDs, Org-NR,..) weiche Referenzen Inhalte von BLOBs: PDF, XML, Doc, Xls,CSV, FAX etc. Weiteres Thema: Wiedererkennung von Daten zur Fehleranalyse 33 Übung Spezialgesetze Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: Breadcrumb : > Startseite Datenschutz > Gesetze > Spezialgesetze 39 Spezialgesetze Fragestellung: Was wird in dem Spezialgesetz zur IT-Sicherheit geregelt? (jeder ein anderes Gesetz) 34 17

18 Übung: Was wird in dem Spezialgesetz zur IT-Sicherheit geregelt 1. Abgabenordnung 2. BND-Gesetz - Gesetz über den Bundesnachrichtendienst 3. Bundesarchivgesetz 4. Bundeskriminalamtgesetz 5. Bundespolizeigesetz 6. Bundesverfassungsschutzgesetz 7. Einkommensteuergesetz 8. Gesetz über das Ausländerzentralregister 9. Gesetz über das Kreditwesen 10. Gesetz über das Zentralregister und das Erziehungsregister 11. Gesetz über den Aufenthalt, die Erwerbstätigkeit und die Integration von Ausländern im Bundesgebiet 12. Gesetz über die Erhebung von streckenbezogenen Gebühren für die Benutzung von Bundesautobahnen mit schweren Nutzfahrzeugen (Autobahnmautgesetz) 13. Gesetz über die Errichtung eines Kraftfahrt-Bundesamts 14. Gesetz über die Statistik für Bundeszwecke 15. Gesetz über die Unterlagen des Staatssicherheitsdienstes der ehemaligen Deutschen Demokratischen Republik 16. Gesetz über Personalausweise 17. Gesetz über Rahmenbedingungen für elektronische Signaturen 18. Gesetz über zwingende Arbeitsbedingungen bei grenzüberschreitenden Dienstleistungen (Arbeitnehmer-Entsendegesetz) 19. Gesetz zur Bekämpfung der Schwarzarbeit und illegalen Beschäftigung 20. Kapitalanleger-Musterverfahrensgesetz 21. Melderechtsrahmengesetz 22. Passgesetz 23. Personenstandsgesetz 24. Postdienste-Datenschutzverordnung 25. Postgesetz 26. Sozialgesetzbuch (SGB) Erstes Buch (I) - Allgemeiner Teil 27. Sozialgesetzbuch (SGB) - Fünftes Buch (V) - Gesetzliche Krankenversicherung 28. Sozialgesetzbuch (SGB) - Viertes Buch (IV) - Sozialversicherung 29. Sozialgesetzbuch (SGB) - Zehntes Buch (X) - Sozialdatenschutz 30. Sozialgesetzbuch (SGB) - Zweites Buch (II) - Grundsicherung für Arbeitsuchende 31. Strafgesetzbuch > Startseite Datenschutz > Gesetze > Spezialgesetze 32. Strafprozessordnung 33. Teledienstedatenschutzgesetz 34. Teledienstgesetz 35. Telekommunikationsgesetz 36. Telekommunikations-Kundenschutzverordnung 37. Telekommunikations-Überwachungsverordnung 38. Telemediengesetz 39. Zensusvorbereitungsgesetz - Gesetz zur Vorbereitung eines registergestützten Zensus einschließlich einer Gebäude- und Wohnungszählung (IT Security) Normen DIN (Definition von IT Fachbegriffen) Orange Book Amerikanischen Normen aus dem Trusted Computer System Evaluation Criteria (TCSEC) BS 7799 Information security management systems - Specification with guidance for use British Standards Institute (BSI) ISO Informationssicherheit ISO Common Criteria (CC) Zertifizierung 36 18

19 BS 7799 / ISO Zur Durchführung von qualitativen und/oder quantitativen Risikoanalysen müssen standardisierte Kriterienkataloge verfügbar sein. Von dem BSI (British Standards Institute) wird diesbezüglich die Norm BS 7799 zum "Management von Informationssicherheit" bereitgestellt. Die Norm besteht aus den Teilen 1. Leitfaden zum Management von Informationssicherheit 2. Spezifikation für Informationssicherheits- Managmentsysteme Die BS 7799 wurde als ISO zum internationalen Standard. 37 BS 7799 / ISO Erste Teil Sicherheitspolitik Organisation Einstufung und Kontrolle der Werte Personeller Sicherheit Physischer Sicherheit Management von Kommunikation und Betrieb Zugangskontrolle Systementwicklung und -Wartung Management des kontinuierlichen Geschäftbetriebs Einhaltung der Verpflichtungen Zweiter Teil Anforderungen an ein Managementsystem für Informationssicherheit Spezifische Maßnahmen (zu den Punkten aus dem ersten Teil) 38 19

20 IT Sicherheitsstandards Regierungsseitige Standards: ZSI/BSI: IT Sicherheitskriterien (Green Book) ITSEC Security Evaluation Criteria der EU Common Criteria Internationaler Standard (s.o.: ISO Norm) 39 IT Sicherheitsstandards Industrie: ECMA = European Computer Manufacturers Association PCI Data Security Standard Software Standards: offene Standards Industriestandards 40 20

21 Offene Standards oder Community Standards werden von unabhängigen Organisationen entwickelt und gepflegt Experten kommen aus verschiedenen betroffenen Kreisen kein Monopol-Hersteller diktiert ist frei verfügbar und von jedem implementierbar schließt Open Source Implementierungen ein 41 Offene (Software) Standards Beispiele: Java (Oracle vormals Sun) Java SE Security J2EE JAAS CORBA Security Web Service Security Normative Organisationen z.b.: OASIS: Organization for the Advancement of Structured Information Standards (XML, WS, ) OMG: Object Management Group (CORBA, UML, ) 42 21

22 Standards Industriestandards für SW, HW, MW, OS Bsp: Microsoft.NET SAP IBM SSL Adobe PDF 43 IT-Security Richtlinien Behörden, Unternehmen und Institutionen definieren sich selbst interne Policies Sicherheitsstrategien Leitfäden wichtigster: IT Grundschutz (BSI) Best Practices Notfallpläne BITKOM: Leitfaden zu IT-Sicherheitsstandards 44 22

23 IT-Security Richtlinien Inhalte (z.b.): Grundsätze Ziele (Schutzziele) Sicherheitsmanagement Verantwortlichkeiten Vorgehensweisen und Risikomanagement Bewusstsein, Kommunikation, Qualifikation Kontrollen,Berichte Gültigkeit, Sonderregelungen 45 IT Sicherheit: Kriterien, Analyse und Sicherheitskonzeption 46 23

24 Security / Safety Mehrdeutigkeit des deutschen Begriffs Sicherheit Deutsch Sicherheit Englisch security safety Pilot Security allows to make our flight safe Cop: Security is crime prevention while safety is accident prevention. safety security = "prevention of drop-out" = "prevention of drop-in" 47 Safety Perspektive Umwelt Umwelt System System Schutz der Umwelt vor dem System. Schutz des System vor der Umwelt. Security 48 24

25 Duale Sicherheit 1. Sicherheit der Systeme Verlässlichkeit 2. Sicherheit vor dem System Beherrschbarkeit 49 Mehrseitige Sicherheit Mehrseitige Sicherheit bedeutet die Berücksichtigung der Sicherheitsanforderungen aller beteiligten Parteien. Vorrangige Schutzziele: Privatheit Verbindlichkeit 50 25

26 Sicherheitsziele Duale Sicherheit Sicherheit des Systems Sicherheit der Betroffenen Vertraulichkeit Integrität Verfügbarkeit Rechtssicherheit 51 Sicherheitsziel: Vertraulichkeit Schutz von Information Schutz von Kommunikation Anonymität Unbeobachtbarkeit Unverkettbarkeit Pseudonymität Sicherheit gegen unbefugten Zugriff 52 26

27 Cross-Site-Scripting: XSS XSS Typen Reflektierendes XSS Persistentes XSS Lokales XSS Attacken Beispiele: Remote Code Execution PHP: include_once ($phpbb_root_path. 'common.php'); Angreifer Aufruf Wert von $phpbb_root_path wird auf evil.de Server umgebogen SQL Injection Login code sei SELECT * FROM users WHERE name='$userid' AND password='$password' Eingabe in Abfrage: admin -- Aufgeführt wird: SELECT * FROM users WHERE name 'admin' -- AND password='$password' 53 Sicherheitsziel - Integrität und Zurechenbarkeit Schutz gegen Manipulation von Informationen Unabstreitbarkeit Abrechnungssicherheit 54 27

28 Sicherheitsziel - Verfügbarkeit Zugriff auf Information gewährleisten Kommunikation gewährleisten Funktionssicherheit Technische Sicherheit 55 Sicherheitsanalyse Sicherheitskonzept Werte (Grund-) Bedrohung Sicherheitsbedarf Sicherheitsanforderungen Grundschutz Funktionen Mechanismen Zur Analyse der Sicherheitskette ist Experten Know-how unabdingbar!! 56 28

29 Objektanalyse Quelle: BSI IT Sicherheitshandbuch 57 Fallbeispiele: Werte Unternehmen administriert Server von Banken im Rechenzentrum Werte: Verträge, Hard-/Software, Image, Verlässlichkeit, Mein Handy Werte: Gerätepreis, Apps, Musik, gespeicherte Daten, SIM-Karte, Werte (Grund-) Bedrohung Sicherheitsbedarf Sicherheitsanforderungen Grundschutz Funktionen Mechanismen 58 29

30 IT Sicherheitskette: Werte Die Werte sind sehr spezifisch. Werte müssen individuell ermittelt werden! Ermittlung jeweils für Anwendung IT-System Unternehmen / Organisation 59 BSI Sicherheitshandbuch Zitat aus Vorwort: Das IT-Sicherheitshandbuch zeigt zunächst die potentiellen Gefahren auf. Danach bietet es Hilfe für die Erstellung system- und anwendungsbezogener Risikoanalysen und darauf basierender Sicherheitskonzepte. Sicherheitskriterien Green Book 1989/1990 Zentralstelle für Sicherheit in der Informationstechnik (ZSI) 60 30

31 BSI Grundschutz Kataloge Struktur: IT-Grundschutz Basis für Informationssicherheit Bausteine Gefährdungskataloge Maßnahmenkataloge Hilfsmittel 61 IT Sicherheit: Bedrohung Grundbedrohungen der Werte sind im Allgemeinen: Informationsgewinn Dritter (Verlust der Vertraulichkeit) Modifikation der Information durch Dritte (Verlust der Integrität) Beeinträchtigung der Funktionalität durch Dritte (Verlust der Verfügbarkeit) Abstreiten der Handlung eines Akteurs Zudem ist das System ist eine Bedrohung für den Benutzer

32 Alternativen zum BSI Katalog 1. Trusted Computer System Evaluation Criteria (TCSEC) Orange Book (1980) 2. Common Criteria (CC) ISO/IEC Funktions-/Sicherheitsklassen 63 Grundschutz: Bausteine 1. Übergreifende Aspekte 2. Infrastruktur 3. IT-Systeme 4. Netze 5. Anwendungen 64 32

33 Gefährdungskataloge 1. Höhere Gewalt 2. Organisatorische Mängel 3. Menschliche Fehlhandlungen 4. Technisches Versagen 5. Vorsätzliche Handlungen 65 Maßnahmenkataloge 1. Infrastruktur 2. Organisation 3. Personal 4. Hardware und Software 5. Kommunikation 6. Notfallvorsorge 66 33

34 IT Sicherheit - Grundfunktionen 1. Identifikation, Authentisierung, Autorisierung 2. Rechteverwaltung 3. Beweissicherung 4. Bereinigung 5. Verfügbarkeit 67 Sicherheitskriterien Getrennte Bewertung von Funktionalität F-Klasse Qualität Q-Stufe 68 34

35 Green Book: Hierarchische Sicherheitsklassen Klasse F1 F2 F3 F4 F5 Beschreibung Identifikation und Autorisierung als erste Aktion Verwaltung der Rechte nach Benutzern und/oder Gruppen Rechteprüfung bei jedem Zugriff F1 und zusätzlich Eindeutige Identifizierung und Zuordnung von Aktionen zu dieser Identität Rechtevergabe auf der Ebene einzelner Benutzer Protokollierung und Überwachung sicherheitsrelevanter Aktionen Löschen von Speicherobjekten vor Wiederfreigabe F2 und zusätzlich Einhaltung globaler Regeln bei der Rechtevergabe Subjekte und Objekte haben 2-dim Attributraum Informationsflußkontrolle bei Rechteprüfung erweiterte Protokollierung F3 und zusätzlich Identifikation und Rechteprüfung muß über einen vertrauenswürdigen Pfad erfolgen Mögliche Zuordnung von Rechten und Rollen (mind. Systemverwalter) Definition von multi level-kanälen mit minimalen und maximalen Level Überwachung von Ereignissen, die als verdeckte Kanäle benutzt werden können F4 und zusätzlich Rolle eines Sicherheitsbeauftragten muß definiert sein Für jedes Objekt können Zugriffsberechtigungen einzeln angegeben werden Aktuelle Überwachung sicherheitsrelevanter Aktionen und Benachrichtigung des Sicherheitsbeauftragten 69 Green Book: weitere Sicherheitsklassen nicht-hierachisch: Klasse F6 F7 F8 F9 F10 Beschreibung Für Systeme mit hohen Integritätsanforderungen (z.b. Datenbanken) Für Systeme mit hohen Verfügbarkeitsanforderungen (z.b. Prozeßsteuerung) Es bestehen hohe Anforderungen an die Datenintegrität bei der Übertragung Es bestehen hohe Anforderungen an die Datengeheimhaltung bei der Übertragung F8 und F9 Konsistenz / Verfügbarkeit / Sicherheit bei Datenübertragung 70 35

36 Klasse Q0 Q1 Q2 Q3 Q4 Q5 Q6 Q7 Green Book: Qualitätskriterien Beschreibung Unzureichende Qualität, nicht überprüft. getestet, informelle Sicherheitspolitik, Spezifikation beschreibt ganzes System methodisch getestet methodisch getestet und teilweise analysiert Sicherheitspolitik ist informell und detailliert beschreiben informell analysiert, Spezifikation und Sourcecode wird evaluiert und auf Konsistenz mit Sicherheitspolitik überprüft halbformal überprüft, Systemspezifikation in halbformaler Notation Analyse mit halbformalen Methoden formal überprüft, Sicherheitspolitik und Systemspezifikation sind formal gegeben und Konsistenz ist formal überprüft Sourcecode ist sorgfältig auf Konsitenz mit Spezifikation getestet formal verifiziert, Konsistenz des Sourcecodes mit der Spezifikation formal nachgewiesen 71 Green Book / TCSEC CC Mapping zwischen Sicherheitsklassen Green Book Q0 F1 + Q2 F2 + Q2 F3 + Q3 F4 + Q4 F5 + Q5 F5 + Q6 F5 + Q7 TCSEC CC D C1 C2 B1 B2 B3 A1 beyond A1 WS 2010/

37 Es fehlen: Kritik am BSI Konzept Grundbedrohung Verlust der Originalität Eigenschaften des Datenschutzes: Unbeobachtbarkeit Anonymität Pseudonymität 73 Fallbeispiel: im Unternehmen BGB: mit elektronischer Signatur gilt als rechtsverbindliches Original s müssen archiviert werden Zwickmühle: Private s TKG: Mitarbeiter ist dann nicht mehr Teil des Unternehmens, sondern Dritter Fernmeldegeheimnis (TKG) automatisches (Viren-)Scannen ist rechtlich unzulässig Gesamte Kommunikation muss als privat betrachtet werden 74 37

38 Übung: Sicherheitsanalyse Teil 1 Spezifiziere für eine Telefonanlage 1. Werte 2. Bedrohung / Gefährdungen / Schutzbedarf 3. Grundschutzfunktionen, Mechanismen u. Maßnahmen Konfiguration WS 2010/11 75 Übung: Sicherheitsanalyse Teil 2 Für eine Telefonanlage Basierend auf der Analyse: Sammle Vorschläge, um folgende Sicherheitsklassen zu erreichen: F1 + Q2 + F7 F1: Identifikation und Autorisierung als erste Aktion +Verwaltung der Rechte nach Benutzern und/oder Gruppen + Rechteprüfung bei jedem Zugriff Q1: getestet, informelle Sicherheitspolitik, Spezifikation beschreibt ganzes System F7: hohen Verfügbarkeitsanforderungen Konfiguration 76 38

39 WS 2010/

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Datenschutz im Projekt- und Qualitätsmanagement Umfeld Datenschutz im Projekt- und Qualitätsmanagement Umfeld Personenbezogene Daten im Qualitäts- und Projektmanagement 17.02.2014 migosens GmbH 2014 Folie 2 Definitionen Was sind personenbezogene Daten? sind

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

Datenschutz in der betrieblichen Praxis

Datenschutz in der betrieblichen Praxis Datenschutz in der betrieblichen Praxis Datenschutz und Datensicherheit unter besonderer Berücksichtigung der beruflichen Aus- und Weiterbildung von Alfred W. Jäger, Datenschutzbeauftragter Überblick zur

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Datenschutz im Unternehmen. Autor: Tobias Lieven Dokumentenversion: 1.4 1.4

Datenschutz im Unternehmen. Autor: Tobias Lieven Dokumentenversion: 1.4 1.4 Datenschutz im Unternehmen Inhalt 1. Gesetzliche Grundlagen (Begriffsbestimmung) 2. Technisch-Organisatorische Maßnahmen 3. Pressespiegel 4. Praktische Umsetzung der Vorgaben im Betrieb 5. Datenschutz

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Rechtsgrundlagen Personenbezogene Daten Datenschutz

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Datenschutz und Datensicherheit. Warum Datenschutz

Datenschutz und Datensicherheit. Warum Datenschutz Datenschutz und Datensicherheit 14.10.2003 1 Warum Datenschutz Imageverlust Steigende Sensibilität der Nutzer und Kunden für Datenschutzbelange Vorschrift durch Gesetze mithin Geldstrafen Höchststrafe

Mehr

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6 Datenschutz ist... Inhalt Datenschutz ist Grundrechtsschutz 4 Wessen Daten werden geschützt? 5 Wer muss den Datenschutz beachten? 6 Welche Daten werden vom Datenschutzrecht erfasst? 7 Wann dürfen personenbezogene

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement IT-Sicherheit Informationssicherheit: Schutz aller Informationen im Unternehmen elektronisch gespeicherte Daten Informationen in nichtelektronischer Form z.b. auf Papier Expertenwissen, in den Köpfen der

Mehr

Einführung in die Datenerfassung und in den Datenschutz

Einführung in die Datenerfassung und in den Datenschutz Dr. Thomas Petri Einführung in die Datenerfassung und in den Datenschutz Hochschule für Politik, Sommersemester 2011, Foliensatz 2-2 bis 2-4 (1.6.2011) 1 Grobübersicht 1. Einführung, europa- und verfassungsrechtliche

Mehr

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Datenschutz im Unternehmen. Was muss der Unternehmer wissen? Was muss der Unternehmer wissen? Was ist Datenschutz nach BDSG? Basis: Recht auf informelle Selbstbestimmung Jeder Mensch kann selbst entscheiden, wem wann welche personenbezogene Daten zugänglich sein

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Datenschutz-Unterweisung

Datenschutz-Unterweisung Datenschutz-Unterweisung Prof. Dr. Rolf Lauser Datenschutzbeauftragter (GDDcert) öbuv Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung im kaufmännisch-administrativen Bereich sowie

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Trends und Herausforderungen der Informationssicherheit

Trends und Herausforderungen der Informationssicherheit Trends und Herausforderungen der Informationssicherheit RD Dipl. Inf. Walter Ernestus Referat VI (Technologischer Datenschutz) beim Bundesbeauftragten für f r den Datenschutz und die Informationsfreiheit

Mehr

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG)

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG) Datenschutz nach Bundesdatenschutzgesetz (BDSG) Herzlich Willkommen bei unserem Datenschutz-Seminar 1 Vorstellung Matthias A. Walter EDV-Sachverständiger (DESAG) Datenschutzbeauftragter (TÜV) 11 Jahre

Mehr

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze Datenschutz IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg Petra Schulze Fachverband Motivation Daten werden zunehmend elektronisch gespeichert und übermittelt Daten können

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Datenschutzbeauftragter

Datenschutzbeauftragter Datenschutz- Einführung und Prinzipien Dr. Kai-Uwe Loser Internet- t Pranger (USA) Universität Dortmund Sexualstraftäter Straftäter allgemein Im Rahmen von Prostitution aufgegriffene Passfotos Universität

Mehr

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 1: 10.4.2015 Sommersemester 2015 h_da, Lehrbeauftragter Nachklausur IT- und Medientechnik Freitag, 24. April 2015 12.15 13.45 Uhr Raum A10/001 Allgemeines zur Vorlesung die Folien

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Technischer Datenschutz im Internet

Technischer Datenschutz im Internet Technischer Datenschutz im Internet Prof. Dr. Lehrstuhl Management der Informationssicherheit Uni Regensburg http://www-sec.uni-regensburg.de/ Was ist Sicherheit? Techniken zum Schutz? Stand der Technik?

Mehr

IT Sicherheit: Bewertungskriterien

IT Sicherheit: Bewertungskriterien Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / 18.12.2014 1/27 IT Sicherheit: Bewertungskriterien Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group 18.12.2014 Dr. Christian Rathgeb

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Bundesamt für Sicherheit in der Informationstechnik (BSI) Connected Living 2013 Agenda Studie: Integrierte

Mehr

Aktualisierung und Ausblick. DI. Gerald Trost

Aktualisierung und Ausblick. DI. Gerald Trost Das österr.. IT-Sicherheitshandbuch Aktualisierung und Ausblick DI. Gerald Trost Inhaltsübersicht - SIHB Ziel und Historie Struktur und Konzept Schwerpunkte der Aktualisierung 2006 Ausblick und Perspektiven

Mehr

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht INHALTSÜBERSICHT Risiken für die Sicherheit von Kommunikation und die Freiheit

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Inhaltsverzeichnis VII

Inhaltsverzeichnis VII 1 Grundlagen der IT-Sicherheit...1 1.1 Übersicht...1 1.1.1 Gewährleistung der Compliance...1 1.1.2 Herangehensweise...2 1.2 Rechtliche Anforderungen an IT-Sicherheit...3 1.2.1 Sorgfaltspflicht...3 1.2.2

Mehr

Zusammenfassung IT SEC + MAN

Zusammenfassung IT SEC + MAN Zusammenfassung IT SEC + MAN Zusammenfassung aus den Vorlesungen Sicherheitswahrnehmung Sicherheitsrelease Ausbreitung Funktionalität-Sicherheit Post-Incident-Verhalten (Das Verhalten nach dem Vorfall)

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

IT-Compliance und Datenschutz. 16. März 2007

IT-Compliance und Datenschutz. 16. März 2007 IT-Compliance und Datenschutz 16. März 2007 Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot

Mehr

Datenschutz in Rechnernetzen

Datenschutz in Rechnernetzen Datenschutz in Rechnernetzen Regierungsdirektor W. Ernestus Bundesbeauftragter für den Datenschutz Referat VI (Technologischer Datenschutz) Motivation Auf meine Daten darf im Netzwerk nur ich Hacking zugreifen

Mehr

Wolfgang Straßer. wolfgang.strasser@add-yet.de. @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 www.add-yet.de

Wolfgang Straßer. wolfgang.strasser@add-yet.de. @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 www.add-yet.de Business Security Management Wolfgang Straßer wolfgang.strasser@add-yet.de @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 These These: Ohne IT keine Wertschöpfung Ohne IT keine Innovation

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Rechtliche Anforderungen an die IT-Sicherheit

Rechtliche Anforderungen an die IT-Sicherheit Rechtliche Anforderungen an die IT-Sicherheit Tag der IT-Sicherheit 05.02.2015 NELL-BREUNING-ALLEE 6 D-66115 SAARBRÜCKEN TELEFON: +49(0)681 /9 26 75-0 TELFAX: +49(0)681 /9 26 75-80 WWW.JURE.DE Überblick

Mehr

Datenschutz und Privacy in der Cloud

Datenschutz und Privacy in der Cloud Datenschutz und Privacy in der Cloud Seminar: Datenbankanwendungen im Cloud Computing Michael Markus 29. Juni 2010 LEHRSTUHL FÜR SYSTEME DER INFORMATIONSVERWALTUNG KIT Universität des Landes Baden-Württemberg

Mehr

Kurzüberblick über die Grundlagen des Datenschutzes im Internet Hannes Federrath. http://www-sec.uni-regensburg.de/

Kurzüberblick über die Grundlagen des Datenschutzes im Internet Hannes Federrath. http://www-sec.uni-regensburg.de/ Kurzüberblick über die Grundlagen des Datenschutzes im Internet Hannes Federrath http://www-sec.uni-regensburg.de/ Datenschutz in der Telekommunikation Datenschutz = Schutz der Menschen (Schutz der Daten

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

www.datenschutzzentrum.de IT-Sicherheit Schutzziele und technisch-organisatorische Maßnahmen Vorlesung am 28.10.2014 Christian Prietz

www.datenschutzzentrum.de IT-Sicherheit Schutzziele und technisch-organisatorische Maßnahmen Vorlesung am 28.10.2014 Christian Prietz IT-Sicherheit Schutzziele und technisch-organisatorische Vorlesung am 28.10.2014 Christian Prietz Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD78@datenschutzzentrum.de Datenschutz

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Nicht-technische Aspekte der IT-Sicherheit

Nicht-technische Aspekte der IT-Sicherheit Dipl.-Math. Wilfried Gericke Vortrag für das Rheinlandtreffen 2006 (07.-08.11.2006) Motivation Seite 2 www.decus.de 1 Inhalt: - IT-Sicherheit als Teil der Unternehmensführung - - IT-Sicherheitsrichtlinie

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

IT-LawCamp 2010 BIRD & BIRD, Frankfurt 20. März 2010. IT-Sicherheit und Datenschutz eine Beziehung mit Spannungen

IT-LawCamp 2010 BIRD & BIRD, Frankfurt 20. März 2010. IT-Sicherheit und Datenschutz eine Beziehung mit Spannungen AK WLAN IT-LawCamp 2010 BIRD & BIRD, Frankfurt 20. März 2010 IT-Sicherheit und Datenschutz eine Beziehung mit Spannungen RA Ivo Ivanov Justiziar des eco e.v. 1 Übersicht Ausgangssituation Datenschutzrechtlicher

Mehr

Datenschutz in Alumni- und Career-Services

Datenschutz in Alumni- und Career-Services 20. September 2012 Kerstin Ann-Susann Schäfer, Ph. D. (UCT) Doctor of Philosophy in Law Alumni und Career-Services im Lichte des Datenschutzes Universität Alumni-Services Career-Services Themen & Ziele:

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2012 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2012 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2012 an der Universität Ulm von 1. Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche Prinzipien Mehrseitige IT-Sicherheit

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz und der IT-Sicherheit Lösungen des 9. Übungsblattes Praktischer Datenschutz 9.1 Gegensätze von Datenschutz und IT-Sicherheit Datenschutz: Grundsatz der Datensparsamkeit IT-Sicherheit: Datensicherung durch

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2b) Vorlesung im Sommersemester 2014 an der Universität Ulm von Bernhard C.

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2b) Vorlesung im Sommersemester 2014 an der Universität Ulm von Bernhard C. Vorlesung im Sommersemester 2014 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

BSI ICS-SECURITY-KOMPENDIUM

BSI ICS-SECURITY-KOMPENDIUM BSI ICS-SECURITY-KOMPENDIUM SICHERHEIT VON INDUSTRIELLEN STEUERANLAGEN Andreas Floß, Dipl.-Inform., Senior Consultant Information Security Management, HiSolutions AG 1 HiSolutions 2013 ICS-Kompendium Vorstellung

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Fachbereich Sozialwissenschaften, Medien und Sport Fachbereich Rechts- und Wirtschaftswissenschaften

Fachbereich Sozialwissenschaften, Medien und Sport Fachbereich Rechts- und Wirtschaftswissenschaften Fachbereich Sozialwissenschaften, Medien und Sport Fachbereich Rechts- und Wirtschaftswissenschaften Forschungs- und Dokumentationsstelle für Verbraucherinsolvenz und Schuldnerberatung Schuldnerfachberatungszentrum

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz Mittelstandsdialog Informationssicherheit 6. Mai 2010 Identity Management und Gesetz: Spannungsfeld Compliance Datenschutz RA Dr. Michael Karger Wendler Tremml Rechtsanwälte, München NIFIS e.v. Nationale

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Datenschutz und Technik III Schutzziele und technisch-organisatorische Maßnahmen Vorlesung am 14.05.2014

Datenschutz und Technik III Schutzziele und technisch-organisatorische Maßnahmen Vorlesung am 14.05.2014 Datenschutz und Technik III Schutzziele und technisch-organisatorische Maßnahmen Vorlesung am 14.05.2014 Christian Prietz Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD78@datenschutzzentrum.de

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management IT-Sicherheit 1. Einführung und organisatorische Sicherheit 2. Datenschutz und Nicht-technische Datensicherheit 3. Identity Management 4. Angewandte IT Sicherheit 5. Praktische IT Sicherheit 1. Einführung

Mehr

Einführung in den Datenschutz

Einführung in den Datenschutz Einführung in den Datenschutz Grundlagen zu Recht und Praxis Inhaltsverzeichnis Was ist Datenschutz?... 3 Wo spielt Datenschutz in der Uni Bonn eine Rolle?... 4 Warum gibt es Datenschutz?... 5 Wo ist der

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

Sicherheitsprofil SaaS-CRM

Sicherheitsprofil SaaS-CRM Sicherheitsprofil SaaS-CRM Dr. Clemens Doubrava Referat B22 Informationssicherheit und Digitalisierung Jahreskongress Trusted Cloud 2014 Strategische Aspekte des Cloud Computing CC-BY 2.0, Eugene Regis

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

Zählen, speichern, spionieren. Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen

Zählen, speichern, spionieren. Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen Zählen, speichern, spionieren Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen 1 Themen Teil 1 Einführung in das Das Volkszählungsurteil Bundes-, Landes- und Sondergesetze Grundstrukturen

Mehr