Grundlagen des Datenschutzes und der IT-Sicherheit (10) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

Größe: px

Ab Seite anzeigen:

Download "Grundlagen des Datenschutzes und der IT-Sicherheit (10) Vorlesung im Sommersemester 2005 von Bernhard C. Witt"

Günther Raske
vor 7 Jahren
Abrufe

1 und der IT-Sicherheit (10) Vorlesung im Sommersemester 2005 von

2 Struktur der heutigen Vorlesung Vertiefung zu grundlegenden Anfragen: 1. Ergänzungen zum Datenschutz - Tätigkeit eines Datenschutzbeauftragten - Verhältnis Datenschutz zu IT-Sicherheit - Abgrenzung zur Anwendung der Datenschutzgesetze - Cookies 2. Wichtige Strafrechtsnormen 3. Beispiele zu kryptographischen Grundlagen - symmetrische Verschlüsselung: Stromchiffre - asymmetrische Verschlüsselung: RSA 4. Sammlung potentieller Prüfungsfragen 2

3 Aus dem Alltag eines DSB Typische Tätigkeiten eines Datenschutzbeauftragten: Recherchen zur aktuellen Rechtslage Lesen & Auswerten von Fachartikeln Vorbereitung & Teilnahme an Meetings (Geschäftsführung, IT-Leitung, Fachverantwortliche) Erstellung von Sitzungsprotokollen & Stellungnahmen Durchführung & Dokumentation von Vor-Ort-Kontrollen Durchführung von Vorabkontrollen bei kritischen DV Erstellung & Begutachtung (=Audit) von Sicherheitskonzepten Planung & Durchführung von Mitarbeiterschulungen Gespräche mit Aufsichtsbehörden 3

4 zur DSB-Tätigkeit & Verhältnis Datenschutz zu IT-Sicherheit Inhaltliche Schwerpunkte der DSB-Tätigkeit im Alltag: System-Checks Mitarbeiterkontrolle (Mails, Internet, Telefon, Video) Schnittstellen zwischen Datenschutz und IT-Sicherheit: Notfallvorsorgekonzept Risikomanagement Sicherheitsvorfälle Verknüpfung von Datenschutz & Datensicherheit Datenschutzrecht ist Anforderung an IT-Sicherheit! 4

5 Abgrenzung BDSG & LDSGe BDSG: Anwendung für Unternehmen Bundesbehörden Behörden im Wettbewerb LDSGe: Anwendung für Landesbehörden kommunale Behörden keine Anwendung, wenn DV zur ausschließlichen persönlichen bzw. familiären Tätigkeit! Grundsatz: lex specialis hat Vorrang! 5

6 Wichtige Datenschutz-Normen außerhalb der DSGe (1) Arbeitnehmervertretungsrechte Betriebsverfassungsgesetz: 80 Abs. 1 BetrVG: Betriebsrat hat Einhaltung von Schutznormen zu überwachen auch Datenschutz! 87 Abs. 1 Nr. 6 BetrVG: technische Einrichtungen, die zur Leistungs- und Verhaltenskontrolle bestimmt sind, unterliegen der Mitbestimmung des Betriebsrats Bundespersonalvertretungsgesetz: 68 Abs. 1 Nr. 2 BPersVG: wie 80 BetrVG 75 Abs. 3 Nr. 17 BPersVG: wie 87 Abs. 1 Nr. 6 BetrVG 6

7 Wichtige Datenschutz-Normen außerhalb der DSGe (2) Sozialgesetzbuch Zehn: 67 85a SGB X: entspricht im Wesentlichen dem BDSG (allerdings detailliertere Hinweise zur Übermittlung von Sozialdaten an andere Stellen und stärkere Beschränkungen im Rahmen der technischen und organisatorischen Maßnahmen) Gesundheits- und Krankenhausgesetze der Länder Polizei- und Verfassungsschutzgesetze der Länder Statistik- und Volkszählungsgesetze Melderechtsgesetze Landeshochschulgesetz Baden-Württemberg: 5 LHG: Evaluation 12 LHG: Verarbeitung personenbezogener Daten 7

8 Cookies & Datenschutz Cookies = Datenstruktur, in der vom Server Informationen über den zugreifenden Benutzer codiert ist (s.a. RFC 2109 & 2964) Ziel: personalisierte Web-Seiten Gefahr von Nutzerprofilen Nach Aufruf einer Web-Seite (GET wird Cookie gesetzt (SET Cookie: id=123; id ist eindeutig und setzt sich oft aus IP-Adresse & Persönlichkeitsprofil zusammen) und auf der Festplatte des zugreifenden Nutzers gespeichert (ggf. mit Warnung oder nur nach Genehmigung), dabei erhält Cookie ein Verfallsdatum (ist meist entschieden zu lang!) bei nutzungsnotwendiger Billigung von Cookies: Verstoß gegen 4 Abs. 6 TDDSG (anonyme/pseudonyme Nutzung von Telediensten) geheimes Setzen verstößt gegen 4 Abs. 1 TDDSG (Unterrichtungspflicht); bußgeldbewährt! 8

9 Wichtige Strafrechtsnormen: StGB 201 StGB: Verletzung der Vertraulichkeit des Wortes 201 a StGB: Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen 202 StGB: Verletzung des Briefgeheimnisses 202a StGB: Ausspähen von Daten 203 StGB: Verletzung von Privatgeheimnissen 206 StGB: Verletzung des Post- oder Fernmeldegeheimnisses 263a StGB: Computerbetrug 267 StGB: Urkundenfälschung 268 StGB: Fälschung technischer Aufzeichnungen 269 StGB: Fälschung beweiserheblicher Aufzeichnungen 270 StGB: Täuschung im Rechtsverkehr bei Datenverarbeitung 271 StGB: Mittelbare Falschbeurkundung 303a StGB: Datenveränderung 303b StGB: Computersabotage 305a StGB: Zerstörung wichtiger Arbeitsmittel 9

10 Beispiel zur Kryptographie: Symmetrische Verschlüsselung Sender: Klartext: Schlüssel: [XOR] = Chiffre: Empfänger: Chiffre: Schlüssel: [XOR] = Klartext:

11 Beispiel zur Kryptographie: Asymmetrische Verschlüsselung Verfahren nach Rivest, Shamir und Adleman (RSA): Ausgangspunkt für Empfänger (!): wähle zwei Primzahlen p + q; z.b. p=3 und q=7 berechne das Produkt dieser Primzahlen und dessen Eulerschen Funktionswert; n=p*q=3*7=21 und ϕ(n)=(p-1)*(q-1)=2*6=12 wähle zufällig den geheimen Dechiffrierschlüssel d, für den gilt: ggt(d, ϕ(n))=1; z.b. d=5 berechne den zu d gehörenden öffentlichen Chiffrierschlüssel e, für den gilt: d*e 1 mod ϕ(n); 5*e 1 mod 12 e=17 (5*17=85=7*12+1); Anm: empfohlen sind e=3, e=17, e=65537 veröffentliche n und e 11

12 Beispiel zur Kryptographie: Asymmetrische Verschlüsselung Sender: (e=17, n=21) Klartext: Chiffre: 19 2 c i =(m i ) e mod n Empfänger: (d=5, n=21) Chiffre: 19 2 Klartext: m i =(c i ) d mod n 12

13 Aufgabe: Prüfungsfragen Formulieren Sie je eine Prüfungsfrage zu den Grundlagen der IT-Sicherheit soweit diese bisher in Vorlesung oder Übung behandelt wurden! Erstellen Sie zu einer Frage Ihre Musterlösung! Geben Sie zur Musterlösung die Punktevergabe an! Zeit: 15 Minuten! (pro Teil ca. 5 min) Ziel: Präsentierbare Lösung! 13

Ähnliche Dokumente

Grundlagen des Datenschutzes und der IT-Sicherheit (11) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

Grundlagen des Datenschutzes und der IT-Sicherheit (11) Vorlesung im Sommersemester 2005 von Bernhard C. Witt und der IT-Sicherheit (11) Vorlesung im Sommersemester 2005 von Struktur der heutigen Vorlesung Fortsetzung der Vertiefung zu grundlegenden Anfragen: Beispiele zu kryptographischen Grundlagen - symmetrische