Nichtfunktionale Requirements Beispiele aus Datenschutz und IT-Sicherheit. Dr. Volker Hammer

Transkript

1 Nichtfunktionale Requirements Beispiele aus Datenschutz und IT-Sicherheit Dr. Volker Hammer

2 Inhalt Vision: Gemeinsam einige konkrete Anforderungen aus dem Datenschutz an OurPaper entwickeln Datenschutz ( Kernbohrung ) Methodik: TORA und NORA Gruppenarbeit: Datenschutz und Sicherheit für OurPaper Zusammenfassung Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

3 Inhalt Datenschutz ( Kernbohrung ) Methodik: TORA und NORA Gruppenarbeit: Datenschutz und Sicherheit für OurPaper Zusammenfassung Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

4 Datenschutz - Was ist das???? Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

5 Datenschutz betrifft... Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (= Betroffener) z.b.: Daten über Studenten, Daten über Professoren, Kundendaten Die Verarbeitung personenbezogener Daten durch eine verantwortliche Stelle ist verantwortlich für Einhaltung der Rechtsvorschriften für OurPaper??? Was passiert, wenn Rechtsvorschriften mit Produkt nicht eingehalten werden können???? Konsequenz: Anforderung Datenschutz einhalten Tolle Anforderung :-) Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

6 Datenschutz - Was ist das? Teil des Grundrechts auf freie Entfaltung der Persönlichkeit und Voraussetzung für Demokratie Ich muss wissen können, wer was über mich weiß. Innerhalb der gesetzlichen Schranken: Kontrollmöglichkeiten über die Verarbeitung meiner Daten Gewaltenteilung heißt auch Begrenzung und Trennung der Verarbeitung personenbezogener Daten Beispiele für Verstöße: Weitergabe privater Telefonnummer durch Arbeitgeber belästigende Anrufe Vertrieb: Infos über Ehepartner von Geschäftspartnern Fremde Videokamera vor Wohnzimmer... Rechtliche Umsetzung mittels vier Grundprinzipien in vielen Rechtsvorschriften Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

7 Rechtlicher Rahmen Grundlegende Rechtsnormen Bundesdatenschutzgesetz (BDSG) bzw. Landesdatenschutzgesetze Strafgesetzbuch (StGB) Bereichsspezifische Bestimmungen: Telekommunikationsgesetz (TKG) Telemediengesetz (TMG) Sozialgesetzbuch X (SGB X) und weitere Branchenspezifische Bestimmungen Notarverordnung Bankengesetz Autobahnmautgesetz Hochschulgesetze (??) und weitere Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

8 Verbot mit Erlaubnisvorbehalt (GP 1) Verarbeitung personenbezogener Daten ist verboten, es sei denn, sie ist erlaubt ( 4 BDSG :-). Erlaubnistatbestände Einwilligung des Betroffenen Vertrag: alles, was zur Abwicklung des Vertragsverhältnisses erforderlich ist. Beispiele: Kaufvertrag, Arbeitsvertrag, Betriebsvereinbarung,... Gesetzliche Regelung erlaubt oder fordert die Verarbeitung Beispiel: Aufbewahrungspflicht für Steuerunterlagen (AO: 6 bzw. 10 Jahre) Öffentlich zugängliche Daten, Abwägung Schutzinteresse Jeder Erlaubnistatbestand muss sich auf einen oder mehrere konkrete Zwecke beziehen! Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

9 Erforderlichkeit (GP 2) Voraussetzung: Datenverarbeitung ist zulässig (GP1) Dann: Nur die Daten dürfen verarbeitet werden, die für den Zweck erforderlich sind. Maßnahmen: Keine zusätzlichen Daten erheben / verarbeiten Keine Vorratsspeicherung ( Könnten wir vielleicht auch mal brauchen. ) Möglichst minimaler Umfang von Daten und wenig sensitive Daten (Datensparsamkeit) Daten dürfen nur so lange verarbeitet werden, so lange die zulässigen Zwecke es erfordern. Sicheres Löschen oder Anonymisieren (Sperren) Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

10 Zweckbindung (GP 3) Voraussetzung: erforderliche personenbezogene Daten (GP2) Dann: Erhebung, Verarbeitung und Nutzung der Daten nur für die zulässigen Zwecke Maßnahmen Zweckgerechte Verarbeitung durch Regelungen und Prozessdefinitionen Kein Zugang für Unbefugte intern und extern (Dritte), u.a. durch geordnete Verwahrung / Speicherung (auch mobile Geräte) Zugriffsrechteverwaltung Verschlüsselung Löschung Keine Zweckänderung ohne Zulässigkeitsvoraussetzung Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

11 Transparenz (GP 4) Betroffener kann sich über die Verarbeitung informieren Im Rahmen der Einwilligung Auskunftsrecht des Betroffenen über Art, Umfang, Zweck der Verarbeitung und Empfänger von Übermittlungen Maßnahmen: über den bdsb oder über eigene Einsicht beachten: Betroffener darf nur eigene Daten sehen Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

12 Praktische Umsetzung von DS Verantwortliche Stelle ist verantwortlich :-)!!! trägt die organisatorische Gesamtverantwortung Schutzziele festlegen und Maßnahmen umsetzen haftet / zahlt Bußgelder oder Strafen Wenn Entscheidungsspielräume im Rechtsrahmen dann Wahlmöglichkeit zwischen geeigneten Lösungen Kombination von rechtlichen, organisatorischen und technischen Maßnahmen müssen Schutzziele erreichen Was passiert, wenn Rechtsvorschriften mit Produkt nicht eingehalten werden können???? Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

13 Ziel: Datenschutz-Anforderungen für OurPaper Wie gewinnen wir diese Anforderungen? Vorschläge??? Methodische Fragen Wie stellen wir fest, wo in OurPaper personenbezogene Daten verwendet werden? Wie identifizieren wir die Maßnahmen, mit denen die pbd behandelt und geschützt werden müssen? Wie dokumentieren wir die gewonnen Anforderungen im Projektkontext? Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

14 Rechtsgrundlage OurPaper Betroffene? Was wird mit OurPaper gemacht / welche Datenarten gibt es? Betroffene? Verantwortliche Stelle? Rechtsgrundlage der Verarbeitung? Offen: Maßnahmen identifizieren und Anforderungen dokumentieren Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

15 Inhalt Datenschutz ( Kernbohrung ) Methodik: TORA und NORA Gruppenarbeit: Datenschutz und Sicherheit für OurPaper Zusammenfassung Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

16 Strukturierung von Anforderungen? Top Level - Soziale Ziele High Level Sozio-Technische Modelle Low Level - Technische Modelle Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

17 Strukturierung von Anforderungen - TORA TORA (Three Level Ordered Reqirements Analysis) Ebene 1: Anforderungsbereiche = Anforderungen aus Themenbereichen Beispiele:??? Gruppenarbeit Manche Ebene-1-Anforderungen sind normativ. Dann: Normative Anforderungsanalyse (NORA) möglich z.b. für rechtliche Anforderungen System muss datenschutzgerecht sein! systematische Ableitung über die weiteren Ebenen möglich Ebene 2: Sozio-Technische Anforderungen / Modelle Beispiel: Use Case in OurPaper: Vorschlag zur Textänderung anhand von Kriterien auf Datenschutz-Details überprüfen Ebene 3: Technische Anforderungen / Modelle Beispiel: technisches Interaktionsdiagramm für Einchecken von Änderungen Datenschutz-Aspekte berücksichtigen Links / Traces zwischen den Ebenen Warum??? Überscheidungen zwischen Anforderungsbereichen / Zielkonflikte??? Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

18 TORA: Bezüge zwischen Anforderungen Soziale Ziele Zweck Recht Usability Geschäftsmodell Sicherheit Organisationskultur... Soziotechnische Modelle Geschäftsprozessmodell Use Cases Means-Ends sozio-technische Analysis Kriterien... Life Cycles Technische Modelle Architekturmodel Interaktionsdiagramme Klassen User Interfaces Protokolle Datenformate... Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

19 Gewinne des TORA-Ansatzes Ansatzes Übergeordnete Struktur zum ordnen und systematisieren (Begründete) Vollständigkeit je Ebene (oder auch Unvollständigkeit) Zusammenhänge zwischen den Ebenen Abhängigkeiten zwischen Anforderungen hoher Nutzen für Anforderungsmanagement im Falle von Änderungen Ebenen können Zielgruppen zugeordnet werden (mit Einschränkungen) Übertragbarkeit (mit etwas Glück) Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

20 Datenschutz-Anforderungen Ebene 1 Normative Anforderungsanalyse (NORA / KORA) Beispiel für TORA Ausgangspunkt nicht hinterfragbare Vorgaben (= normative Vorgaben) z.b. Grundgesetz Ebene 1: Soziale Ziele für OurPaper 1.a) Normative Vorgaben Anwendungsbereich Recht u.a. Art. 2 Abs. 1 GG: freie Entfaltung der Persönlichkeit Art. 14 GG: (geistiges) Eigentum (Konkretisierung im Urheberrechtsgesetz; mit Zitatrecht u.a. 51 UrhG) keine Fotos von Personen auf OurPaper 1.b) Soziale Anforderungen, u.a. je Rolle unterschiedliche Interessen Recht auf informationelle Selbstbestimmung... Betrugsverhinderung Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

21 Datenschutz-Anforderungen Ebene 2 & 3 Soziale Ziele 2.a) Soziotechnische Kriterien Erforderlichkeit Zweckbindung Transparenz... 3.a) Technische Gestaltungsziele je Datenobjekt / Funktion / Rolle prüfen: wie wird Kriterium sichergestellt Löschen Rollenmodell, Berechtigungen und Ber.-Verwaltung Verschlüsselung... 3.b) Technische Gestaltungs- Vorschläge / Realisierung Wie werden tgz für konkrete Funktionen,... realisiert Konkrete technische Gestaltung von Datenbeständen, Funktionen... Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

22 Inhalt Datenschutz ( Kernbohrung ) Methodik: TORA und NORA Gruppenarbeit: Datenschutz und Sicherheit für OurPaper Zusammenfassung Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

23 Gruppenarbeit Ebene 3.1 Für die verschiedene Datenobjekte (DO): Erforderlichkeit I: (A-Teams) Wer braucht das DO wozu? Erforderlichkeit II: Löschregel (B-Teams) Wie lange wird das DO gebraucht - wann kann es gelöscht werden? Sonderfälle suchen! Zweckbindung: (C-Teams) Wer darf DO wie verwenden? Zugriffsrechteverwaltung, Rollenmodell: Sicherheitsanforderung berücksichtigen, falls Klassifikation vertraulich Je Team: 5 Personen Aufgabenstellung (inkl. Mittagspause) Lifecycle-Analyse durchführen (ca. 20 min.) Abstimmung mit anderen Gruppen für DO, Präsentation vorb. (ca. 10 min.) Gemeinsam Präsentation je DO (max. 3 min.) Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

24 Inhalt Datenschutz ( Kernbohrung ) Methodik: TORA und NORA Gruppenarbeit: Datenschutz und Sicherheit für OurPaper Zusammenfassung Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

25 Schrittweise Konkretisierung Konkretisierung erfolgt in 3 Dimensionen Anwendungsfeld (hier: kooperatives Erstellen von Dokumenten) Technikfeld (hier: Mindmap-Editor, Text-Editor, Review-Funktionen, el. Bibliothek,... ) Anforderungsbereiche (hier: Ausschnitte aus Recht und Informationssicherheit) NORA wird in einem iterativen Prozess angewandt Konkretisierung auf allen 4 Ebenen jeweils: Selektion und Anreicherung der Modelle Top Down und Bottom Up Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

26 Nicht-Funktionale Anforderungen? Anforderungstyp (in Abgrenzung zu funktionalen Anforderungen) Eigenschaften die ein Produkt aufweisen muss oder Randbedingungen, unter denen das Produkt funktionieren / die es einhalten muss Umsetzung auf niedrigeren Anforderungsebenen funktional, z.b. Unterstützung durch spezielle Funktionen per Design, z.b. Sicherheitsaspekte per Programmierung, z.b. performante Implementierung, Kommentare, Implikationen für Qualitätssicherung? Auch funktionale Ausgangsanforderungen können zu nichtfunktionalen Anforderungen auf unteren Ebenen führen Beispiel: Börsentransaktion Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

27 Zielkonflikte... bestehen zwischen Anforderungsbereichen innerhalb von Abforderungsbereichen zwischen Stakeholdern Wer entscheidet? Requirements Engineer? Systementwickler? Hohes Risiko für Fehlentscheidungen Hilfreiche Hintergrundinformation: saubere rechtliche Analyse Umgang mit Zielkonflikten u.a.: Nicht vorschnell entscheiden, sondern mitführen Entscheidungen durch alle Stakeholder treffen lassen (z.b. Mitbestimmungsverfahren, Workshops) System konfigurierbar gestalten (= Entscheidung kann von verschiedenen Betreibern unterschiedlich getroffen werden) Aushandlungsmechanismen in der Technik bereitstellen (= Benutzer können in der Anwendungssituation unterschiedlich entscheiden) Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

28 ... Reste zum Datenschutz... Weitere Anforderungen aus dem BDSG z.b. Einwilligung Unterrichtung des Betroffenen Auskunft nach 34 BDSG Berichtigung / Löschen bei berechtigtem Verlangen des Betroffenen Sperren Weitere Maßnahmen nach Anlage zu 9 BDSG: Eingabekontrolle, Weitergabekontrolle... Ich möchte nicht ungefragt im Web auftauchen! Blog, Social Network, Bewertungsplattformen... Geben Sie mir Ihre Rückmeldung einfach persönlich. Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

29 Materialien I Rechtliche Regelungen Gute Nachweis-Seite für Gesetze: Datenschutz: Der Bundesbeauftragte für Datenschutz und Informationsfreiheit: Virtuelles Datenschutzbüro: IT-Sicherheit (mit Evaluierungsniveaus): Allgemeine generische Anforderungskataloge = Common Criteria Produktspezifische Anforderungskataloge = Protection Profiles Grundschutzkataloge Einstieg über Requirements Engineering: Volere: Gliederungsvorschlag f. Rq s und Übersicht zu RE-Tools Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

30 Materialien II KORA / NORA / TORA Hammer, V. / Pordesch, U. / Roßnagel, A. (1993): Betriebliche Telefon- und ISDN-Anlagen rechtsgemäß gestaltet, Heidelberg, New York, Kumbruck, C. / Hammer, V. (1995): Psychologische Technikwirkungsforschung und -gestaltung im Bereich Telekooperationstechnologie, provet-projektbericht Nr. 15, Darmstadt, September Hammer, V. (1999): Die 2. Dimension der IT-Sicherheit - Verletzlichkeitsreduzierende Technikgestaltung am Beispiel von Public Key Infrastrukturen, Braunschweig/ Wiesbaden, Hammer, V. / Sesink, W. (2000): Normative Anforderungsanalyse im Normbereich Bildung für Lernumgebungen, in: Sesink, W. (Hrsg.): Bildung ans Netz - Implementierung Neuer Technologien in Bildungseinrichtungen, Hessisches Ministerium für Wirtschaft, Verkehr und Landesentwicklung, (Reihe Hessen-Media Band 23), Wiesbaden, 2000, 117 ff. Hammer, V. (2002): TORA - Three Level Ordered Requirements Analysis, Version 1.0, TU Darmstadt, Institut für Praktische Informatik, Report No. PI- R 3/02 Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer

31 Materialien III Datenschutzrechtliche Grundlagen und Umsetzung eines Löschkonzepts: Fraenkel, R. / Hammer, V. (2007): Rechtliche Löschvorschriften, DuD 12/2007, 899 ff. Hammer, V. / Fraenkel, R. (2007): Löschkonzept, DuD 12/2007, 905 ff. Download-Möglichkeit der Beiträge unter dort unter Publikationen 2007 Nicht-funktionale Anforderungen / NORA / Datenschutz; Volker Hammer