Informationssicherheit.und. Datenschutz. Anforderungen.und.technische. Lösungsmöglichkeiten

Größe: px

Ab Seite anzeigen:

Download "Informationssicherheit.und. Datenschutz. Anforderungen.und.technische. Lösungsmöglichkeiten"

Helmut Beyer
vor 8 Jahren
Abrufe

1 Informationssicherheit.und. Datenschutz Anforderungen.und.technische. Lösungsmöglichkeiten "Lars"Christiansen,"2015

2 Datenschutz.und.Informationssicherheit Datenschutz..Datensicherheit Beim"Datenschutz geht"es"um"den"schutz"der"person," deren"daten"verarbeitet"werden."schutz"des"rechts"auf" informationelle"selbstbestimmung." Bei"der"Datensicherheit geht"es"um"die"technische"und" organisatorische"sicherung"der"datenverarbeitung." "Lars"Christiansen,"2015 2

3 Datenschutz.und.Informationssicherheit. Datenschutz..Informationssicherheit Die"gesetzlichen"Forderungen"zum"Datenschutz geht"direkt" aus"der"gesetzgebung"hervor."die"datenschutzpflichten"von" Unternehmen"haben"eine"gesetzliche"Grundlage. BDSG,&TKG,&TMG,&SGB,&UWG,&BetrVG,&... Bei"der"Informationssicherheit gibt"es"keine"direkten" gesetzlichen"vorgaben."es"können"anforderungen"aus"einer" Reihe"von"rechtlichen"Regelungen"abgeleitet"werden: KonTraG,&AktG,&GmbHG,&BDSG,&GoBS,&GDPdU,&SigG,& Compliance&Anforderungen,&... "Lars"Christiansen,"2015 3

"die"datenschutzpflichten"von" Unternehmen"haben"eine"gesetzliche"Grundlage. BDSG,&TKG,&TMG,&SGB,&UWG,&BetrVG,&.

4 Datenschutz.und.Informationssicherheit Datenschutz Informationsscherheit personenbezogene& alle&daten Daten Informationelles" Selbstbestimmungsrecht Im.Focus.steht.die. einzelne.person 9"BDSG technischer" Datenschutz Vertraulichkeit Integrität"(Verlässlichkeit) Verfügbarkeit Authentizität"(Verbindlichkeit) Im.Focus.steht.das. Unternehmen "Lars"Christiansen,"2015 4

Informationelles" Selbstbestimmungsrecht Im.Focus.steht.die. einzelne.

5 Datenschutz.und.Informationssicherheit. Warum.sollte.ein.Unternehmen.Datenschutz.und. Informationssicherheit.umsetzen? Erfüllung"der"rechtlichen"Anforderungen Reduzierung"des"Haftungsrisikos Schutz"von"Betriebsgeheimnissen Schutz"vor"Industriespionage Kontrolle"und"Transparenz"über"die"eigenen"Daten Anpassung"und"die"veränderte"Bedrohungslage "Lars"Christiansen,"2015 5

Erfüllung"der"rechtlichen"Anforderungen Reduzierung"des"Haftungsrisikos

6 Schutzmaßnahmen.in.der.IT Etablierte,.allgemein.akzeptierte.Maßnahmen: 1. Firewall 2. Virenscanner 3. Datensicherung 4. Berechtigungskonzept"(nicht"flächendeckend!) "Lars"Christiansen,"2015 6

7 Schutzmaßnahmen.in.der.IT Risiken: Veralteter"Sicherheitsbegriff Unzureichende"Maßnahmen Maßnahmen"werden"aktuellen"Bedrohungen"nicht" gerecht Systeme"werden"von"aktuellen"Angriffen"umgangen Komplexere"Anforderungen"an"das"Designe"von" Schutzmaßnahmen" "Lars"Christiansen,"2015 7

Maßnahmen"werden"aktuellen"Bedrohungen"nicht" gerecht

8 Vielfältige.neue.Anforderungen.z.B.:. Mobile.Endgeräte Smartphone,&Tablet,&Laptop,&Wearable Devices,&... Mobile.Datenträger CD/DVD,&Smartphone,&MP3JPlayer,&USBJSticks,&... Offene.WLANOVerbindungen Hotspots&(Hotels,&Bahnhöfe,&Restaurants,&...) CloudOComputing Dropbox,&Office365,&iCloud,&AmazonJCloud,&... Fernwartung Teamviewer,&PCVisit,&&Ammyy,&... "Lars"Christiansen,"2015 8

Datenträger CD/DVD,&Smartphone,&MP3JPlayer,&USBJSticks,&... Offene.

9 Warum.sollen.wir.uns.damit. beschäftigen? Bei.uns.ist.noch.nie etwas.passiert! "Lars"Christiansen,"2015 9

10 Das.können.sie.nicht.wissen,. nur.vermuten! "Lars"Christiansen,"

11 Ohne.Kontrolle.über.ihre Datenbestände.und.Datenflüsse befinden.sie.sich.im.blindflug!. "Lars"Christiansen,"

12 Was.tun? um: Bedrohungen"zu"erkennen Datenverluste"zu"bemerken"/"zu"vermeiden gesetzliche"anforderungen"zu"erfüllen"(bdsg"anlage"zu" 9" und" 42a) benötigen.sie: Kontrolle"über"ihre"Daten Transparenz"ihrer"Datenströme Kontrolle"über"alle"Endgeräte,"besonders"über"deren" Schnittstellen! "Lars"Christiansen,"

gesetzliche"anforderungen"zu"erfüllen"(bdsg"anlage"zu" 9" und" 42a) benötigen.

13 Wie.vorgehen? 1. Individuelle.Ermittlung.des.Schutzbedarfs.und.der. Anforderungen.an.einen.sicheren.ITOBetrieb. Erstellung"eines"Sicherheitskonzepts Festlegen"von"Maßnahmen 2. Umsetzung.von.technischen.und.organisatorischen. Maßnahmen. Einsatz"geeigneter"SicherheitsfHardware"und"fSoftware" Schulung"und"Sensibilisierung"der"Anwender "Lars"Christiansen,"

Umsetzung.von.technischen.und.organisatorischen. Maßnahmen.

14 Mögliche.Maßnahmen Neben"den"etablierten"Standardmaßnahmen"werden"z.B."eingesetzt: 1. Mobile.Device.Management Verwaltung&von&Geräten,&Kontrolle&über&installierte&Apps,& Fernlöschung&oder&Sperrung 2. Intruder Detection System Erfassung&von&Datenströmen,"Erkennen&von& ungewöhnlichen&datenströmen&und&zugriffen,&erkennen&von& Angriffsversuchen 3. Endpointsecurity Zugriffskontrolle,&Datenverschlüsselung,&sicheres&Löschen,& Kontrolle&über&eingesetzte&Software,&Analyse&und&Filterung&von& Dateninhalten "Lars"Christiansen,"

Intruder Detection System Erfassung&von&Datenströmen,"Erkennen&von& ungewöhnlichen&datenströmen&und&zugriffen,&erkennen&von&

15 Umsetzung Informationssicherheit"und"Datenschutz"sind"keine" normalen " Aufgaben"für"eine"ITfAbteilung. Hohe"Anforderungen"werden"an"das"technische"und" organisatorische"knowfhow"gestellt. Keine"Aufgabe"die" mal"eben"nebenbei "erledigt"werden"kann. Ist"Chefsache,"die"Maßnahmen"müssen"von"der" Unternehmensleitung"getragen"und"vorgelebt"werden. Lassen.sie.sich.in.diesen.Bereichen.von. Spezialisten.unterstützen! "Lars"Christiansen,"

Keine"Aufgabe"die" mal"eben"nebenbei "erledigt"werden"kann.

16 Praktische.Beispiele USBOSticks: Gefährlich"oder"nicht? Quelle:" Einer"von"beiden"wir"automatisch"Schadsoftware"ausführen, aber"welcher? "Lars"Christiansen,"

17 Praktische.Beispiele USBOSticks: Quelle:" USBfStick"mit"eigenem"Controller wird"als"tastatur"erkannt"(uid) kann"automatisch"schadsoftware"ausführen wird"von""virenscannern"nicht"automatisch"überprüft" "Lars"Christiansen,"

18 Praktische.Beispiele USBOSticks: Geringer"Preis,"Payload"online"frei"verfügbar." Quelle:" Quelle:" "Lars"Christiansen,"

19 Praktische.Beispiele WLAN: Freie"WLANfNetze"als"Gefahr"für"MITMfAngriffe." Was"sie"möchten. Quelle:" "Lars"Christiansen,"

20 Praktische.Beispiele WLAN: Was"passieren"kann. Quelle:" "Lars"Christiansen,"

21 Praktische.Beispiele WLAN: Fertige"Systeme"sind" out"of the Box "einsetzbar. "Lars"Christiansen," Quelle:"

22 Praktische.Beispiele WLAN: Freie"WLANfNetze"als"Gefahr"für"MITMfAngriffe." Quelle:" Anschaffungspreis"ca."100$ einfache"handhabung,"infusions online"frei"verfügbar mobil"einsetzbar vielfältige"angriffsmöglichkeiten"(wlanfautofharvest,"sslf Strip,"HTML"Code"Injection,"...) "Lars"Christiansen,"

23 Noch.Fragen? "Lars"Christiansen,"

24 Lars.Christiansen Datenschutz.Datensicherheit Mitglied"im Berufsverband"der Datenschutzbeauftragten (BvD)"e.V. Gutenbergstr." "Lemgo Fon:" +49"5261"/" Fax:" +49"5261"/" Mobil:"+49"170" udisfzertifizierter Datenschutzbeauftragter "Lars"Christiansen,"2015 ITfSicherheitsbeauftragter

Ähnliche Dokumente

Was Kommunen beim Datenschutz beachten müssen

Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde