Sicherheit mit System

Transkript

1 Sicherheit mit System Kerstin Herschel +49 (0) Robert Doberstein +49 (0)

2 1. Sicherheit mit System Welche Gefahren bestehen für meine Daten und IT-System?

3 Agenda 1. Vorstellung PRODATIS CONSULTING AG 2. Einführung Sicherheit mit System Welche Gefahren bestehen für meine Daten und IT-System? 3. Daten, Datenschutz, Datensicherheit 4. IT-Errungenschaften 5. Innerbetriebliche Organisation 6. Fragen und Antworten

4 Das Unternehmen PRODATIS CONSULTING AG IT Beratungs-,Technologie und Outsourcing-Dienstleister gegründet 1999 als PRODATIS CONSULTING GmbH seit 2002 Aktiengesellschaft seit 2005 PRODATIS Consulting GmbH Schweiz 2007 Zusammenschluss mit Canaletto Internet GmbH mehr als 2000 Kunden in Europa Eigenes, zertifiziertes Rechenzentrum

5 Kompetenzen DMS/ECM Konzeptionen, Einführung, Betrieb ERP/CRM - Konzeptionen, Einführung, Betrieb AVE! CRM IT-Infrastruktur- Security Konzepte, Cloud Services IT-Revision - Analyse und Prüfung der Gesetzeskonformität nach GDPdU, AO, GoBS, Erstellen von Verfahrensdokumentationen Datenschutz - Audits, Datenschutzdokumentationen, Stellen eines Externen Datenschutzbeauftragten Oracle - Datenbankadministration

6 Daten Daten sind zum Zweck der Verarbeitung zusammengefasste Zeichen, die aufgrund bekannter oder unterstellter Abmachungen Informationen d. h. Angaben über Sachverhalte und Vorgänge darstellen (Gabler) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Bsp.: Name, Kundennummer, Bankdaten Singular: Datum

7 Datenschutz Grundgesetz BDSG Strafgesetzbuch Krankenhausgesetz Steuerberatungsgesetz Handelsgesetzbuch allgemeine Persönlichkeitsrechte Schutz der Persönlichkeit Zeugnisverweigerung, Mitwirkungspflicht Ärztliche Schweigepflicht Berufsgeheimnisträger Aufbewahrungspflicht von steuerrelevanten Dokumenten Grundsatz Verbot mit Erlaubnisvorbehalt Eine Erhebung, Speicherung oder Nutzung von Daten ist verboten, außer ich habe eine Erlaubnis (Einwilligung) oder existiert eine gesetzliche Vorschrift!

8 Datenschutz - Regelungsinhalte BDSG Geltungsbereich: öffentliche und nichtöffentliche Stellen Regelung der Datenverarbeitung Zulässigkeit, Erforderlichkeit, Zweckbindung Ordnungsmäßigkeit der Datenverarbeitung, Beweislastumkehr Rechte der Betroffenen Benachrichtigung, Auskunft, Berichtigung, Sperrung, Löschung Schadensersatz, Anrufung der Aufsichtsbehörde Kontrolle des Datenschutzes 1. Stufe: Datenschutzbeauftragter 2. Stufe: Aufsichtsbehörde

9 Datenschutz vs. Datensicherheit Datensicherheit = Informationssicherheit Umfasst alle relevanten Informationen einer Organisation oder eines Unternehmens einschließlich personenbezogener Daten Vertraulichkeit Erheben, Verarbeiten und Speichern nur von autorisierten Benutzern Integrität Verfügbarkeit Nachvollziehbare Änderungen Zugriff auf Daten, Verhinderung von zufälliger Zerstörung oder Verlust

10 Informationstechnologie heute Wachstum Integration Verringerung von Masse und Energieverbrauch Vernetzung Mitwirkung

11 Cloud Computing

12 Cloud Computing für das Handwerk infrastruktur/cloud-computing-losungen-fur-das-handwerk ?localLinksEnabled=false

13 Cloud Modell nach NIST 5 Wesentliche Merkmale 3 Servicemöglichkeiten 4 Einsatzmöglichkeiten On-demand self-service Zusammenfassen von Ressourcen Kurzfristige, schnelle Erweiterbarkeit Abrechnung n. Verbrauch Zugriff/Zugang über das Internet SaaS (Software als Service) PaaS (Plattform als Service) IaaS (Infrastruktur als Service) Public Cloud Private Cloud Community Cloud Hybrid Cloud

14 Cloud - Servicemöglichkeiten Vom Cloud Kunden zu erbringen Anwendung (SaaS) Plattform (PaaS) Bereitgestellt durch die Cloud Infrastruktur (IaaS)

15 Cloud - Servicemöglichkeiten SaaS: Bereitstellen von Anwendungen/ Applikationen für Endkunden/Unternehmen über das Internet (z.b. Oracle CRM On Demand, SAP by Design, AVE!CRM, Paymentsysteme) PaaS: Bereitstellen von Entwicklungs- und Betriebsplattformen für Anwendungen/Applikationen, beinhaltet meist Datenbanken, Middleware, Entwicklungstools IaaS: Bereitstellen von Servern, Speichern, und Netzwerktechnik (z.b. Oracle VM)

16 Cloud - Einsatzmöglichkeiten Private Clouds: Exklusive von einer Organisation/einem Unternehmen genutzt im privaten Rechenzentrum, für Services (z.b. Wartung) kann u.u. ein externer Anbieter auf die Cloud zugreifen Public Clouds: Von mehr als einer Organisation/einem Unternehmen auf der gleichen Umgebung (Infrastruktur, Plattform und/oder Software) genutzt

17 Cloud - Einsatzmöglichkeiten Community Clouds In einer Beziehung stehende Organisationen/ Unternehmen nutzen gemeinsam Cloudumgebungen z.b. Universitätsportale, Lieferantenportale Hybrid Clouds Eine Organisation/ein Unternehmen nutzt sowohl eine Private als auch eine Public Cloud für eine Anwendung cloudbursting z.b. bei saisonaler Überlastung eigener Rechnerkapazitäten

18 Cloud - Evolution Geschäftsentwicklung Cloud Broker Private Cloud Cloudbursting Konsolidierung Virtualisierung Single-Server Server-Cluster Steigende Anforderungen und Möglichkeiten Entwicklung der Technik

19 Protokoll Protokoll Innerbetriebliche Organisation Zutritt Zugang Auskunftsrecht Zutritt Zugang Büro Serverraum Mitarbeiter/in Gebäude Lebenszyklus der Daten Betroffene Person (Kunden, Lieferanten, Mitarbeiter u.a.) Kommunikation Erheben, Verarbeiten, Nutzen Datenweitergabe Zugriff von außen Arbeitsplatz Personenbezogene Daten Protokoll Protokoll Logs Speicherung Externer Dienstleister Homeoffice Übermittlung Backup Datenträger

20 Innerbetriebliche Organisation Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Räumlicher Zutritt Nutzung von DV Berechtigte auf eigene Daten Elektronische Übertragung Wer und wie Weisungen des AG Verfügbarkeitskontrolle Zerstörung/Verlust Trennungsgebot Unterschiedliche Zwecke

21 Bedrohungen / Angreifer / Gefahren nach BSI-Grundschutz Höhere Gewalt Feuer, Wasser, Katastrophen Organisatorische Mängel Zuständigkeiten, Benutzerrechte, Backup Menschliche Fehlhandlungen Löschen, Veröffentlichen, ungeschulte MA Technisches Versagen Fehlerhafte Software, Systemausfall Vorsätzliche Handlungen Hacker, MA mit bösartiger Absicht, Konkurrenz Achtung: Telefonische Auskünfte sollten in der Regel unterbleiben (Social Engineering).

22 Umgang mit Internet Sichere Passwörter verwenden (mind. 8 Zeichen, Mix aus Groß- und Kleinbuchstaben, Ziffern, Zeichen ) Verstärkende Faktoren Schwächende Faktoren - Mix aus Groß- und Kleinbuchstaben, - Wörter, die im Duden stehen Ziffern, Zeichen - Nur Verwendung von Großbuchstaben - Zeichen, Symbole in der Mitte oder Buchstabensequenzen (z.b. ABCABC)

23 Umgang mit Internet Erster Zugriff Browser Benutzereingaben Rückantwort GET HTTP/1.1 Serverprogramm HTML-Page Cookies Nächster Zugriff Cookie NAME=client expires=; Path= domain=prodatis.com GET HTTP/1.1 Benutzerdaten Cookie Infos Wer hat was? Wann war der letzte Besuch?

24 Internet Google Analytics Beispiel: Webseiten Zugriff Auswertung mit Google Analytics

25 Maßnahmen nach BSI-Grundschutz Infrastruktur Eigene IT-Situation und Schwachstellen analysieren Organisation IT-Zuständigkeiten und Zugriffsrechte auf Rechner und Programme festlegen, sichere Passwörter Personal Risikobewusstsein stärken, Mitarbeiter sensibilisieren und schulen Hard- und Software Datensicherungskonzept (Backup und Recovery) Kommunikation Umgang mit personenbezogenen Daten von Kunden, Partnern, MA, Erstellen von Datenschutzrichtlinien Notfallvorsorge Erstellen eines Notfallkonzeptes *

26 Ihr Ansprechpartner Kerstin Herschel Managing Consultant Externe Datenschutzbeauftragte Tel.: