Anforderungen an die IT- Sicherheit Die Welt nach Wegfall der 8

Transkript

1 Anforderungen an die IT- Sicherheit Die Welt nach Wegfall der 8 Gebote aus 9 BDSG und der Anlage zu 9 BDSG uuuuuuu uu$$$$$$$$$$$uu uu$$$$$$$$$$$$$$$$$uu u$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$$$u u$$$$$$" "$$$" "$$$$$$u "$$$$" u$u $$$$" $$$u u$u u$$$ $$$u u$$$u u$$$ "$$$$uu$$$ $$$uu$$$$" "$$$$$$$" "$$$$$$$" u$$$$$$$u$$$$$$$u u$"$"$"$"$"$"$u $$u$ $ $ $ $u$$ $$$$$u$u$u$$$ "$$$$$$$$$"

2 Stand heute: 9 BDSG: Technische und organisatorische Maßnahmen Aufsichtsbehörde Es müssen Maßnahmen getroffen werden, solange diese Verhältnismäßig sind. Wer legt fest, was (in Bayern) getan werden muss? 8 Gebote: 1. Zutrittskontrolle 2. Zugangskontrolle 3. Zugriffskontrolle 4. Weitergabekontrolle 5. Eingabekontrolle 6. Auftragskontrolle 7. Verfügbarkeitskontrolle 8. Trennungsgebot insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen. ( 9 BDSG) 2

3 I Security vs. Safety

4 I Technischer Datenschutz und IT-Sicherheit Technischer Datenschutz IT-Sicherheit, Datensicherheit Verfügbarkeit Vertraulichkeit Betroffenen- Rechte Datensparsamkeit Anonymisierung & Pseudonymisierung Integrität Protokollierung Authentizität

5 Sicherheit der Verarbeitung - Was sagt die EU-DSGVO? Kapitel IV Verantwortliche und Auftragsverarbeiter Abschnitt 2 Artikel 32 Sicherheit personenbezogener Daten Sicherheit der Verarbeitung (1)Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

6 Sicherheit der Verarbeitung - Was sagt die EU-DSGVO? Kapitel IV Verantwortliche und Auftragsverarbeiter Abschnitt 2 Artikel 32 Sicherheit personenbezogener Daten Sicherheit der Verarbeitung a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

7 Sicherheit der Verarbeitung - Was sagt die EU-DSGVO? Kapitel IV Verantwortliche und Auftragsverarbeiter Abschnitt 2 Artikel 32 Sicherheit personenbezogener Daten Sicherheit der Verarbeitung (2)Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch ob unbeabsichtigt oder unrechtmäßig Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. (3)Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

8 Sicherheit der Verarbeitung - Was sagt die EU-DSGVO? Kapitel IV Verantwortliche und Auftragsverarbeiter Abschnitt 2 Artikel 32 Sicherheit personenbezogener Daten Sicherheit der Verarbeitung (4)Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

9 Angemessenes Schutzniveau Welchen Schutzbedarf haben personenbezogene Daten? Annäherung: Das Schadenspotential des Persönlichkeitsrechts, wenn etwas schief geht: Verlust Vertraulichkeit, Verlust Verfügbarkeit, Verlust Integrität Schutzbedarf normal Artikel 4 Abs. 1 : Personenbezogene Daten die nicht sensibel sind Beispiel: Anschrift eines Bürgers Schutzbedarf hoch und sehr hoch Artikel 9: Verarbeitung besonderer Kategorien personenbezogener Daten Beispiel: Diagnosedaten bei einer Krankheit des Betroffenen! der Merke: Der Schutzbedarf spielt eine sehr bedeutende Rolle bei der Auswahl geeigneten technischen und organisatorischen Maßnahmen.

10 Risiko - was sagt die EU-DSGVO dazu? EU-DSGVO - Anzahl Treffer: Risiko 47x Hohes Risiko 14x Wie ist der Begriff Risiko allgemein definiert: Duden: möglicher negativer Ausgang bei einer Unternehmung, mit dem Nachteile, Verlust, Schäden verbunden sind Glossar BSI: Risiko wird auch häufig definiert als die Kombination aus der Wahrscheinlichkeit, mit der ein Schaden auftritt, und dem Ausmaß dieses Schadens. NIST: Risk is a function of the likelihood of a given threat-source s exercising a particular potential vulnerability, and the resulting impact of that adverse event on the organization.

11 Risiko - Welche Faktoren spielen beim Risiko eine Rolle? Schutzbedarfskategorien Artikel 4 Abs. 1 normal Die Schadensauswirkungen sind begrenzt und überschaubar. Artikel 9 Verarbeitung besonderer Kategorien personen- Bezogener Daten hoch sehr hoch Die Schadensauswirkungen können beträchtlich sein. Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

12 Einfache Beispiele zur Schutzbedarfsfeststellung Online-Shopping normal Parteizugehörigkeit hoch HIV-Infektion sehr hoch

13 Risiko - was sagt die EU-DSGVO dazu? (52) Eintrittswahrscheinlichkeit und Schwere des Risikos sollten nach der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein hohes Risiko birgt. Ein hohes Risiko ist ein besonderes Risiko der Beeinträchtigung der Rechte und Freiheiten der betroffenen Personen.! Risikobewertung Wichtig: Der Betroffene steht im Mittelpunkt einer (und nicht die Unternehmenswerte!)

14 Risiko - was sagt die EU-DSGVO dazu? Anleitungen, wie der Verantwortliche oder Auftragsverarbeiter geeignete Maßnahmen durchzuführen hat und wie die Einhaltung der Anforderungen nachzuweisen ist, insbesondere was die Ermittlung des mit der (77) Verarbeitung verbundenen Risikos, dessen Abschätzung in Bezug auf Ursache, Art, Eintrittswahrscheinlichkeit und Schwere und die Festlegung bewährter Verfahren für dessen Eindämmung betrifft, könnten insbesondere in Form von genehmigten Verhaltensregeln, genehmigten Zertifizierungsverfahren, Leitlinien des Ausschusses oder Hinweisen eines Datenschutzbeauftragten gegeben werden. Risiko Maßnahmen Nachweis Code of Conduct Genemigte Zertifikate Datenschutzbeauftragter Datenschutzausschuss

15 Risiko: Generischer Ansatz Bedrohung z. B. mobile Schadsoftware Schwachstellen z. B. Programmierfehler im Smartphone-Betriebssystem Gefährdung z. B. Trojanersoftware auf Unternehmensgeräte

16 Risiko: Generischer Ansatz Installation einer kostenlosen Spiele-App, die den Schadcode Trojan.AndroidOS.MTK.a enthält Eintreten eines Bedrohungsereignisses VORFALL: Auslesen der vollständigen Kundenliste Smartphone wird Teil eines Botnetzes Vorfall Schwachstellen Das Unternehmen- Smartphone hat keine aktuelle Android-Version Bereitschaft, eine App aus einem alternativen App-Store zu installieren Reputationsverlust, da Adressen für Spear-Phishing Angriffe missbraucht wurden Schaden Kein Schaden Glück gehabt: Daten wurden nicht missbraucht Oder: Schaden tritt ein, ohne dies zu merken

17 Risiko: Generischer Ansatz Risiko = * P( ) Schaden Schaden Das quantifizierte Risiko ergibt sich aus dem Schaden mal der Eintrittswahrscheinlichkeit des Schaden (Eckert, IT-Sicherheit) Die Durchführung einer (vollständigen) Risikoanalyse erfordert großen technischen und methodischen Sachverstand Eine Risikoanalyse ist beim BSI-Grundschutz deswegen erst bei einem erhöhten Schutzbedarf notwendig

18 Risiko und Maßnahmen Bedrohung Schwachstellen Maßnahmen Für personenbezogene Daten: Technische und organisatorische Maßnahmen zur Reduzierung oder Behebung der Gefährdung Beispiele: Mobile-Device-Management Kundendaten nicht im Adressbuch Installation von Apps begrenzen Internetzugang nur über VPN (Datenabflusskontrolle durchführen)

19 Risiko und Maßnahmen Bedrohung Gefährdung Schwachstellen Maßnahmen Maßnahmen sollen Gefährdungen reduzieren Schäden kompensieren Vorfall Schaden Kein Schaden geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten

20 Risikobewertung bei großen Unternehmen Bestehende Risikobewertungsprozesse nutzen (z. B. für Compliance) Fokus auf Betroffenenrechte statt auf Unternehmenswerte (Umdenken gefordert!) ISO27001 oder IT-Grundschutz kann Basis sein

21 Risikobewertung bei KMUs Fokussierte Risikobewertung durchführen Fokus auf Betroffenenrechte statt auf Unternehmenswerte (Erstmal) unstrukturiert und Ad-Hoc ist besser als nichts Das Verfahrensverzeichnis ist Basis

22 Risikobewertung für Unternehmen allgemein Code of Conduct Datenschutzbeauftragter Genehmigte Zertifikate Kriterien Die Entwicklung auf europäischer Ebene verfolgen Stellungnahmen der Aufsichtsbehörden im Blick behalten Ggf. bei den eigenen Verbänden nachfragen Ggf. eine geeignete Zertifizierung wählen Bei der zuständigen Aufsichtsbehörde um Beratung ersuchen Datenschutzausschuss! Wichtig: Dokumentation vorbereiten/sichten und Verfahrensverzeichnis aktualisieren

23 Schutzziele - Was sagt die EU-DSGVO? Kapitel IV Verantwortliche und Auftragsverarbeiter Abschnitt 2 Artikel 32 Sicherheit personenbezogener Daten Sicherheit der Verarbeitung b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; Erwägungsgründe hierzu: (39) Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben (83) Zur Aufrechterhaltung der Sicherheit Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des! - gewährleisten, Stands der Technik und der Implementierungskosten ein Schutzniveau - auch hinsichtlich der Vertraulichkeit

24 Schutzziele Vertraulichkeit Kein unautorisierter Zugang auf personenbezogene Daten möglich Verfügbarkeit Personenbezogene Daten sind vorhanden, wenn diese gebraucht werden Integrität Personenbezogene Daten können nicht (unbemerkt) geändert werden Die drei Klassiker in der Informationssicherheit

25 Beispiel 1: Schutzziel Vertraulichkeit Angreifer Alle Daten eines Online-Shops ( -Adresse, Name, Anschrift, Bestellungen, ) werden aus der Ferne (über eine SQL-Injection-Lücke) gehackt Beispiel-Fokus auf Unternehmenswerte: Image-Schaden

26 Beispiel 2: Schutzziel Vertraulichkeit Neugieriger Angestellter Die Kontobewegungen eines ganzen Straßenzuges wurden von einem Mitarbeiter einer Bank unbefugt ausgelesen Fokus auf Betroffenenrechte: Verletzung des Rechts auf Datenschutz

27 Beispiel 3: Schutzziel Verfügbarkeit Zombie-Bot Zombie-Bot Zombie-Bot Ein Online-Shop ist aufgrund einer DDoS-Attacke nicht erreichbar Zombie-Bot Zombie-Bot Beispiel-Fokus auf Unternehmenswerte: Umsatz-Schaden

28 Beispiel 4: Schutzziel Verfügbarkeit Schadcode Das medizinische Arztinformationssystem (AIS) mit allen Patientendaten ist nach einem Malware-Befall mit einem Krypto-Trojaner vernichtet. Fokus auf Betroffenenrechte: kein Auskunftsanspruch mehr möglich

29 Beispiel 5: Schutzziel Integrität Download- Server Unternehmensnetz Ein Angreifer versieht einen Download eines Software- Updates mit einem Trojaner Angreifer Beispiel-Fokus auf Unternehmenswerte: Backdoor eines Hackers ins Unternehmensnetz

30 Beispiel 6: Schutzziel Integrität Unachtsame Angestellte RIP Datenbank Eine Mitarbeiterin einer Versicherung setzt aus Versehen im Datensatz eines Patienten den Wert verstorben Fokus auf Betroffenenrechte: Mühsames Heilen des Fehler, damit auch der Datensatz wieder lebt

31 Neu: Schutzziel Belastbarkeit Was bedeutet das? Englisch: resilience (dt. Resilienz) Lateinischen «resilire» bedeutet zurückspringen! Begriff aus der Psychologie: Das Resilienzkonzept umschreibt die Fähigkeit, zerrüttenden Herausforderungen des Lebens standzuhalten und aus diesen Erfahrungen gestärkt und bereichert hervorzugehen (Wustmann, 2012) Begriff aus der Physik: Eigenschaft hochelastischer Materialien, die nach einer Verformung wieder ihre ursprüngliche Form annehmen Evolutionsbiologie: Resilienz beschreibt das Potential eines Systems, Störungen und Schocks zu absorbieren und möglichst unbeschadet weiter existieren zu können

32 Neu: Schutzziel Belastbarkeit Was hat das mit Datenschutz zu tun? Bei (Cyber-)Resilienz geht es um das Management von Risiken und nicht um die Ausschaltung von Risiken Sicherheit muss über Systeme, Software und IT-Abteilungen hinausgehen und eine Erhöhung des Sicherheitsbewusstseins sämtlicher Mitarbeiter sowie optimierte Unternehmensprozesse beinhalten Vordergründig stabile Systeme sind meist fragiler als Systeme, in denen häufig Störungen auftreten Jede kleine Störung verbessert das System Vermeidung kleiner Fehler führen dazu, dass größere Fehler schlimmer ausfallen

33 Schutzziel Belastbarkeit In Unternehmen entsteht durch eine Abhängigkeit von Internet, Cloud Diensten, Dienstleistern (ADV-Vertrag schafft nur rechtliche Rahmenbedingung) und Kunden sowie aufgrund des hohen Einflusses der normalen Mitarbeiter auf die IT-Sicherheit ein sehr komplexes System Bewährte Management-/Steuerungsmethoden greifen hier nicht mehr

34 Schutzziel Belastbarkeit Wie wird Resilienz erreicht? Resilienz kann nicht durch Checklisten erreicht werden Aktuellen Bedrohungslagen sowie akzeptierte Risikolevel stehen im Fokus Die EU-DSGVO nennt hier keine weiteren Details Ein möglicher Ansatz: Eine vorausschauende IT-Sicherheitsstrategie muss her Erweiterung des defensiven Ansatzes ( Es darf nichts passieren ) um eine realistischere Komponente ( Es kann was schief gehen bereiten wir uns darauf vor ) Cyber-Resilienz geht IT-Sicherheit auf verschiedenen Ebenen an und bezieht Personen, Prozesse und Technologie mit ein.

35 Stand der Technik Wer legt den Stand der Technik fest? Und was ist das überhaupt? Die EU-DSGVO definiert den Begriff Stand der Technik nicht Anerkannte Regeln der Technik : Sind in der Praxis aktuell geschulten Technikern durchweg bekannt und haben sich aufgrund fortdauernder praktischer Erfahrung bewährt. Beispiele: Zugangskennungen mit Passwortschutz, Servern nicht öffentlich zugänglich, Virenscanner, Firewall (Paketfilter),HTTPS-Verschlüsselung Stand der Technik : Gesicherte Erkenntnis von Wissenschaft und Technik und für die praktische Anwendung verfügbar. Höhere Stufe der technischen Entwicklung als anerkannte Regeln der Technik, die sich in der allgemeinen Praxis noch nicht langfristig bewährt haben muss. Beispiele: Zwei-Faktor-Authentifizierung, Malwareschutz mit Sandboxing und IPS/IDS, Next-Generation- Firewall, HTTPS-Verschlüsselung mit TLS1.2 und PFS,

36 Technische und organisatorische Maßnahmen Generalle Frage: Wie werden Maßnahmen ausgewählt? Die EU-DSGVO hat keine (Check-)liste wie Anlage zu 9 BDSG Aber: Für einzelne Anwendungsszenarien machen Checklisten weiterhin Sinn: Beispiele: Physikalische Sicherheit des Unternehmens Berechtigungsmanagement Authentifizierung Löschkonzepte Verschlüsselung Schutz gegen Angreifer Backup-Konzepte

37 Technische und organisatorische Maßnahmen Generalle Frage: Wie werden Maßnahmen ausgewählt? Ansatz 1: anhand einer (fokussierten) Risikoanalyse Ansatz 2: ad hoc heute schon auf dem Weg zur Risikobewertung Für jedes Verfahren des Verfahrensverzeichnisses sowie einmal für das Unternehmen an sich ist Folgendes zu tun: Schutzbedarf feststellen Schutzmaßnahmen individuell auf Verfahren anwenden Auch Auftragsdatenverarbeitung mit einbeziehen Einbinden der IT-Administration bzw. des IT-Sicherheitsbeauftragten ad hoc Restrisikobewertung nach Bauchgefühl Ziel ist auch, einen Überblick über die eigenen Verfahren und die entsprechenden Schutzmaßnahmen zu bekommen

38 Verschlüsselung als Maßnahme? Was sagt die EU-DSGVO dazu: (83) Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen Art. 6 (Rechtmäßigkeit der Verarbeitung): geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann. Art. 32 (Sicherheit der Verarbeitung): Maßnahmen schließen unter anderem Folgendes ein: Verschlüsselung personenbezogener Daten Artikel 34 ( Benachrichtigung der Betroffenen bei Datenpannen ): Benachrichtigung nicht erforderlich unzugänglich gemacht werden, etwa durch Verschlüsselung;

39 Weiterer Einsatz von technischen und organisatorischen Maßnahmen in der DS-GVO Code of Conduct / Zertifizierung Security Datenschutzfolgeabschätzung Privacy by Default TOMs Datenschutzkonforme Verarbeitung Privacy by Design ADV/Cloud

40 uuuuuuu uu$$$$$$$$$$$uu uu$$$$$$$$$$$$$$$$$uu u$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$$$u u$$$$$$" "$$$" "$$$$$$u "$$$$" u$u $$$$" $$$u u$u u$$$ $$$u u$$$u u$$$ "$$$$uu$$$ $$$uu$$$$" "$$$$$$$" "$$$$$$$" u$$$$$$$u$$$$$$$u u$"$"$"$"$"$"$u $$u$ $ $ $ $u$$ $$$$$u$u$u$$$ "$$$$$$$$$" Vielen Dank für Ihre Aufmerksamkeit.