DSGVO: Konkrete Hilfe bei der Umsetzung. Was bei der Verarbeitung von personenbezogenen Daten in Web-Anwendungen zu beachten ist

Transkript

1 DSGVO: Konkrete Hilfe bei der Umsetzung Was bei der Verarbeitung von personenbezogenen Daten in Web-Anwendungen zu beachten ist

2 Agenda Einführung DSGVO Risikobewusstsein und -minimierung unter der DSGVO Adaption und Prävention auf der technischen Ebene Arne Arnold, freier Redakteur für COMPUTERWOCHE Dr. Anna Schmits, EMEA Datenschutzbeauftragte, Akamai Gerhard Giese, Manager Enterprise Security Architects EMEA, Akamai

3 Datenschutz-Grundverordnung Risikobewusstsein und -minimierung unter der DSGVO Dr. Anna Schmits EMEA Datenschutzbeauftragte Akamai Technologies 26. Oktober 2017

4 DSGVO Die EU Datenschutz Grundverordnung, ist das neue EU Datenschutzgesetz. Sie tritt am 25. Mai 2018 in Kraft. Sie regelt die Verarbeitung personenbezogener Daten von EU Bürgern. Sie gilt innerhalb und außerhalb der EU.

5 DSGVO Risikobewusstsein und -minimierung Ziele der DSGVO: - Umfänglicher Schutz der EU Bürger. - Rechenschaftspflicht des datenverarbeitenden Unternehmens. Rechte des Betroffenen: - Recht auf Zugang zu den Daten. - Recht auf Richtigstellung. - Recht auf Löschung. - Recht auf Vergessen. Die Rechenschaftspflicht zielt darauf ab, das datenverarbeitende Unternehmen verantwortlich zu machen und die Einhaltung der DSGVO nachzuweisen zu lassen.

6 DSGVO Risikobewusstsein und -minimierung Die Datenschutz-Folgenabschätzung: Abschätzung der Folgen der Verarbeitung, für die Rechte und Freiheiten natürlicher Personen Was für Risiken bestehen unter Beachtung: der Art der personenbezogenen Daten, der jeweiligen Verarbeitungsvorgänge, der getroffenen Maßnahmen zum Schutz der Daten?

7 DSGVO Risikobewusstsein und -minimierung Geeignete Maßnahmen zum Schutz personenbezogener Daten. Hinweise, was angemessen ist: Verschlüsselung, Pseudonymisierung und Anonymisierung. Weitere Beispiele sind in dem ISO Standard und in dem Anhang zu 9 des BDSG zu finden. Ziel ist es, das Risiko zu minimieren, dass mit der Datenverarbeitung verbunden ist.

8 Adaption und Prävention auf der technischen Ebene Wie Akamai bei der Einhaltung der DSGVO unterstützt Gerhard Giese Manager Enterprise Security Architects EMEA Akamai Technologies 26. Oktober 2017

9 Security Know-how Mehr als 18 Jahre Erfahrung 1998 Akamai founded 2011 Kona Site Defender 2016 Bot Manager 2004 Largest DDoS <10 Gbps Mpps DDoS 2008 Largest DDoS >80 Gbps 2014 Prolexic acquired 2014 KRS Gbps DDoS 2007 Largest DDoS >50 Gbps 2003 Prolexic founded 2003 Site Prolexic Shield founded introduced 2009 First Cloud WAF 2013 CSI 2009 Korea DDoS attacks 2015 Managed WAF 2015 Client Reputation

10 Gartner: Akamai im Leader Quadrant für WAF* * Web Application Firewall Source: Magic Quadrant for Web Application Firewalls, Gartner (August 2017) Gartner unterstützt keine der Anbieter, Produkte oder Dienste, die in seinen Forschungspublikationen erwähnt werden, und rät Technologienutzern nicht, nur die Anbieter mit den höchsten Bewertungen oder sonstigen Attributen auszuwählen. Forschungspublikationen von Gartner geben die Ansichten der Gartner-Forschungsabteilung wieder und sollten nicht als Tatsachenbehauptungen verstanden werden. Gartner schließt jegliche ausdrückliche oder stillschweigende Gewährleistung in Bezug auf diese Forschung aus, einschließlich Gewährleistungen der Handelsüblichkeit oder Eignung für einen bestimmten Zweck.

11 OWASP Top 10 RC A1 Injection A2 Broken Authentication A3 Cross-Site Scripting A4 Broken Access Control A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Insufficient Attack Protection A8 Cross-Site Request Forgery A9 Using Components with Vul. A10 Under protected APIs

12 OWASP Top 10 RC2 Okt A1 Injection A2 Broken Authentication A3 Sensitive Data Exposure A4 XML External Entities A5 Broken Access Control A6 Security Misconfiguration A7 Cross-Site Scripting A8 Insecure Deserialization A9 Using Components with Vul. A10 Insufficient Logging & Mon.

13 Angriffe auf persönliche Daten Poisoned Angriff über DNS Web Page Fake Setup DNS Web Page Database Application Server

14 Angriffe auf persönliche Daten HACKED Web Page Injection Attacke über Web Applikation Injection Attacke über APIs Database Application Server API

15 Angriffe auf persönliche Daten ACCOUNT HACKED Web Page Credential Abuse Attacke Database Application Server API

16 Angriffe auf persönliche Daten ACCOUNT HACKED Web Page Credential Abuse Attacke Database Application Server API

17 Akamai Cloud Security Solution Bot Manager Detect Anomaly Bot and Control request/response from Bot. Cloud Security Intelligence Edge Server 230K+ Client Reputation Using reputation information from Cloud Security Intelligence to protect from malicious source. Kona Site Defender Integrated web security solution, protect customer Origin from DDoS / Web Attacks. Attack source on Bot Net Web Server user Data Center Prolexic Fast DNS Prolexic Fast DNS Protect from DDoS attacks Data Center level. Highly distributed authoritative DNS service to protect from DDoS attacks.

18 Akamai Cloud Security Solution DSGVO Bot Manager Detect Anomaly Bot and Control request/response from Bot. Cloud Security Intelligence Edge Server 230K+ Client Reputation Using reputation information from Cloud Security Intelligence to protect from malicious source. Kona Site Defender Integrated Integrated web web security security solution, solution, protect protect customer Origin Origin from from DDoS DDoS / Web / Web Attacks. Attacks. Attack source on Bot Net Web Server user Data Center Fast DNS Fast DNS Highly distributed authoritative DNS service to protect from DDoS attacks.

19 Sicherheitsansatz und Full Service Managed DDoS Protection API Protection Adaptive Caching Custom Rule Builder Fast DNS DDoS Fee Protection Origin Protection Security Monitor Compliance Management Client Reputation Web App Protection Site FailOver SIEM Integration Multi Security Configuration Bot Manager Security Performance Management Options

20 Vielen Dank! Gerne beantworten wir Ihre Fragen.