IT-Sicherheit: So schützen Sie sich vor Angriffen

Größe: px

Ab Seite anzeigen:

Download "IT-Sicherheit: So schützen Sie sich vor Angriffen"

Astrid Voss
vor 8 Jahren
Abrufe

1 IT-Sicherheit: So schützen Sie sich vor Angriffen Rechtliche Aspekte der IT-Sicherheit und des Datenschutzes Kathrin Schürmann, Rechtsanwältin 01

2 Datensicherheit und Datenschutz Die Datensicherheit schützt IT-Systeme, also insbesondere Hardware, Software und Daten vor der Gefahr des Verlustes, der Zerstörung oder des Missbrauchs durch Unbefugte Der Datenschutz schützt natürliche Personen vor der Gefahr der Verletzung ihres Persönlichkeitsrecht.

Verlustes, der Zerstörung oder des Missbrauchs durch Unbefugte Der

3 1 IT-Sicherheit 2 Datenschutz und IT-Sicherheit 3 Aktuelle Problemfelder

4 Herausforderung IT-Sicherheit Welche Gesetze sind zu beachten? Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) Änderungen im Aktiengesetz und GmbH-Gesetz Telemediengesetz (TMG) Telekommunikationsgesetz (TKG) Bundesdatenschutzgesetz (BDSG) Zugangskontrolldiensteschutz-Gesetz (ZKDSG) Urhebergesetz (UrhG) Jugendschutz-Gesetz (JuschG) und noch vieles mehr

Aktiengesetz und GmbH-Gesetz Telemediengesetz (TMG) Telekommunikationsgesetz (TKG)

5 Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)

6 Haftung gemäß KonTraG

7 Vermeidung der Haftung

8 IT-Sicherheitskonzept

9 Aktuelle Gesetzesvorhaben Geplantes IT-Sicherheitsgesetz & Geplante EU-Cybersecurity-Richtlinie Verpflichtung der kritischen IT-Infrastrukturen (Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanzund Versicherungswesen) Schutz informationstechnischer Systeme, Komponenten oder Prozesse Meldepflichten für IT-Sicherheitsvorfälle (z.b. an das Bundesamt für Sicherheit in der Informationstechnik)

Gesundheit, Wasser, Ernährung sowie Finanzund Versicherungswesen) Schutz informationstechnischer Systeme,

10 1 IT-Sicherheit 2 Datenschutz und IT-Sicherheit 3 Aktuelle Problemfelder

11 Die 8 Gebote des Datenschutzes Verfügbarkeitskontrolle Zutrittskontrolle Trennungsgebot Zugangskontrolle 8 Gebote Auftragskontrolle Eingabekontrolle Weitergabekontrolle Zugriffskontrolle

12 Die 8 Gebote des Datenschutzes 1. Zutrittskontrolle Die Zutrittskontrolle verlangt, Unbefugten den körperlichen Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren. Automatische Zutrittskontrolle Chipkarten Berechtigungsausweis Schlüsselregelung

körperlichen Zutritt zu Datenverarbeitungsanlagen, mit denen

13 Die 8 Gebote des Datenschutzes 2. Zugangskontrolle Die Zugangskontrolle soll die unbefugte Nutzung von Datenverarbeitssystemen verhindern. Gemeint ist hiermit das Eindringen in das EDV-System selbst. Protokollierung des Zugangs Identifikation und Authentisieren (z.b. durch Kennung und Passwort oder Chipkarte) Authentifizierungssystem

14 Die 8 Gebote des Datenschutzes 3. Eingabekontrolle Die Eingabekontrolle soll gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben, verändert, d. h. auch gelöscht und entfernt worden sind. Manipulationskontrolle Protokollierung eingegebener Daten Verarbeitungsprotokolle

festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in

15 Die 8 Gebote des Datenschutzes 4. Zugriffskontrolle Die Zugriffskontrolle soll gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. Zudem sollen personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Berechtigungskonzept Bestandskontrolle Mehraugenprinzip Kontrollierte Vernichtung (z.b. von Fehldrucken) Funktionelle Zuordnung einzelner Endgeräte Automatische Prüfung der Zugriffsberechtigung Protokollierung und Auswertung der Systemnutzung Ausschließliche Menüsteuerung

Zugriffsberechtigung unterliegenden Daten zugreifen können.

16 Die 8 Gebote des Datenschutzes 5. Weitergabekontrolle Durch die Weitergabekontrolle soll verhindert werden, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Standleitung Datenverschlüsselung Botentransport Postversand, verschlossen in Transportbehältern Vollständigkeits- und Richtigkeitsprüfung Regelung zur Datenträgervernichtung

oder entfernt werden können und dass überprüft werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch

17 Die 8 Gebote des Datenschutzes 6. Auftragskontrolle Im Rahmen der Auftragskontrolle hat der Auftragnehmer zu gewährleisten, dass die im Auftrag zu verarbeitenden Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Eindeutige vertragliche Abreden nebst Kontrollabreden (ADV) Leistungsumfang Aufbewahrung von Datenträgern Beiderseitige Verfügungsberechtigungen Beiderseits durchzuführende Kontrollmaßnahmen Maßnahmen bei Verlust von Datenträgern

verarbeitenden Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.

18 Die 8 Gebote des Datenschutzes 7. Trennungsgebot Das Trennungsgebot verlangt, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben werden, auf technischer Ebene nicht miteinander vermischt werden dürfen. Zu unterschiedlichen Zwecken erhobene Daten müssen getrennt voneinander gespeichert und verarbeitet werden Dateiseparierung bei Datenbanken Trennung über Zugriffsregelung Trennung von Test- und Routineprogrammen

erhoben werden, auf technischer Ebene nicht miteinander vermischt werden dürfen.

19 Die 8 Gebote des Datenschutzes 8. Verfügbarkeitskontrolle Unter Verfügbarkeitskontrolle versteht man, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust zu schützen sind. Auslagerung von Sicherungskopien Notstromaggregate Unterbrechungsfreie Stromversorgung Katastrophenplan

personenbezogene Daten gegen zufällige Zerstörung oder Verlust zu

20 Wer ist Verantwortlich für die Einhaltung des BDSG?

21 Verstöße gegen datenschutzrechtliche Bestimmungen Sanktionen für Verstöße

22 1 IT-Sicherheit 2 Datenschutz und IT-Sicherheit 3 Aktuelle Problemfelder

23 Cloud Dienste "Cloud Computing ist ein Modell, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider- Interaktion zur Verfügung gestellt werden können. National Institute of Standards and Technology (US) Bsp.: Internet Storage, Web-Mail, Google Docs, DropBox Anforderungen u.a.: Schutz personenbezogener Daten Archivierung steuerlich relevanter Daten Schutz von Know-How und Wissensdaten

24 Cloud Dienste Wahl eines Cloud Anbieters innerhalb der europäischen Union oder in einem sogenannten sicheren Drittstaat (außerhalb der EU und des EWR Rückgriff auf EU- Standardvertragsklauseln) Auftragsdatenverarbeitung nach 11 BDSG

25 Mobile Geräte Verwendung privater Geräte Erlauben / Verbieten / Bring Your Own Device Policy Probleme: keine Trennung von privaten und beruflichen Daten erforderliche Lizenzen werden nicht eingeholt Entstehen einer unkontrollierbaren Schatten-IT neben der unternehmenseigenen Soft- und Hardware keine Datensicherung keine Regelungen für Verlust oder zur Abrechnung von Verbindungskosten

26 Private Internetnutzung Private Internetnutzung Erlauben / Verbieten / Electronic Communication Policy Wenn private Internetnutzung erlaubt ist, darf Filter- und Protokollierungssoftware nicht zur Überwachung der Mitarbeiter genutzt werden und der Arbeitgeber kann zu Anbieter von Telekommunikationsleistungen werden und muss das Fernmeldegeheimnis beachten (Strafbarkeit nach 206 StGB).

27 Vielen Dank für Ihre Aufmerksamkeit. ISiCO Datenschutz GmbH Neue Grünstraße 17 / Berlin Germany Tel: +49 (0) Fax: +49 (0) info@isico-datenschutz.de isico-datenschutz.de Kathrin Schürmann, Rechtsanwältin

Ähnliche Dokumente

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer