Datenschutz. Beispiel



Ähnliche Dokumente
Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Nutzung dieser Internetseite

* Leichte Sprache * Leichte Sprache * Leichte Sprache *

Informationssicherheitsmanagement

Anleitung über den Umgang mit Schildern

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Statuten in leichter Sprache

Tag des Datenschutzes

Herzlich willkommen bei tetraguard Ihrem Spezialisten für Sicherheitssoftware!

Qualität und Verlässlichkeit Das verstehen die Deutschen unter Geschäftsmoral!

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Integrierte Dienstleistungen regionaler Netzwerke für Lebenslanges Lernen zur Vertiefung des Programms. Lernende Regionen Förderung von Netzwerken

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Hinweise in Leichter Sprache zum Vertrag über das Betreute Wohnen

FRAGEBOGEN ANWENDUNG DES ECOPROWINE SELBSTBEWERTUNG-TOOLS

Protect 7 Anti-Malware Service. Dokumentation

Nutzungsbedingungen und Datenschutzrichtlinie der Website

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

Zwischenablage (Bilder, Texte,...)

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

Virtual Roundtable: Perspektiven für SAP-Profis

Anlage zum Zertifikat TUVIT-TSP Seite 1 von 7

Erfahrungen mit Hartz IV- Empfängern

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Elternzeit Was ist das?

Fragebogen zur Mitarbeiterzufriedenheit in Rehabilitationskliniken

Rethink. Website! your. AUSWIRKUNGEN DES EU-TABAKWERBEVERBOTS BTWE-Portal Tabak-Check in

Datenschutz der große Bruder der IT-Sicherheit

Lehrer: Einschreibemethoden

Soziale Netzwerke. Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie studivz, Facebook & Co.

MY-CAREER-HOMEPAGE.com

Vorratsgesellschaften Der schnelle Weg zum eigenen Unternehmen interna

Professionelle Seminare im Bereich MS-Office

D a s P r i n z i p V o r s p r u n g. Anleitung. - & SMS-Versand mit SSL (ab CHARLY 8.11 Windows)

Kirchlicher Datenschutz

IT-Trend-Befragung Xing Community IT Connection

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

1. EINLEITUNG 2. GLOBALE GRUPPEN Globale Gruppen anlegen

Mit dem Tool Stundenverwaltung von Hanno Kniebel erhalten Sie die Möglichkeit zur effizienten Verwaltung von Montagezeiten Ihrer Mitarbeiter.

Meine Daten. Mein Recht

Informationen zum Ambulant Betreuten Wohnen in leichter Sprache

3 Wie bekommen Sie Passwortlevel 3 und einen Installateurscode?

Die richtigen Partner finden, Ressourcen finden und zusammenführen

Hautkrebsscreening. 49 Prozent meinen, Hautkrebs sei kein Thema, das sie besorgt. Thema Hautkrebs. Ist Hautkrebs für Sie ein Thema, das Sie besorgt?

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Anleitung zum Öffnen meiner Fotoalben bei web.de

Studie Autorisierungsverfahren Online-Banking n = 433, Befragungszeitraum: Februar bis März 2014

Moni KielNET-Mailbox

» IT-Sicherheit nach Maß «

Mehr Geld verdienen! Lesen Sie... Peter von Karst. Ihre Leseprobe. der schlüssel zum leben. So gehen Sie konkret vor!

Das Festkomitee hat die Abi-Seite neu konzipiert, die nun auf einem (gemieteten) Share Point Server

1. Adressen für den Serienversand (Briefe Katalogdruck Werbung/Anfrage ) auswählen. Die Auswahl kann gespeichert werden.

Erstellen einer Collage. Zuerst ein leeres Dokument erzeugen, auf dem alle anderen Bilder zusammengefügt werden sollen (über [Datei] > [Neu])

Sicherheitsaspekte der kommunalen Arbeit

Ein Betriebsrat. In jedem Fall eine gute Wahl.

BSI Technische Richtlinie

teamsync Kurzanleitung

Welche Gedanken wir uns für die Erstellung einer Präsentation machen, sollen Ihnen die folgende Folien zeigen.

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Ist Fernsehen schädlich für die eigene Meinung oder fördert es unabhängig zu denken?

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Erstellen von x-y-diagrammen in OpenOffice.calc

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

- durch die Pax-Familienfürsorge Krankenversicherung AG im Raum der Kirchen selbst (unter 2.1.),

Herzlich Willkommen zum Vortrag: Mitarbeiterführung und Ausbildung. für UNITEIS e.v. Andrea Mills M.A.

Evident VDDS-Anbindung von MIZ

6 Schulungsmodul: Probenahme im Betrieb

Meinungen zur Altersvorsorge

Geld Verdienen im Internet leicht gemacht

Gemeinsame Erklärung zur inter-kulturellen Öffnung und zur kultur-sensiblen Arbeit für und mit Menschen mit Behinderung und Migrations-Hintergrund.

Gruppenrichtlinien und Softwareverteilung

Technische und organisatorische Maßnahmen der

Selbstauskunft. Tiroler Bauernstandl GmbH Karin Schützler Eurotec-Ring Moers Deutschland. Foto. Name:

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Anleitung für die Online-Bewerbung über LSF auf Lehrveranstaltungen aller Lehramtsstudiengänge

Schnellstart - Checkliste

Leichte-Sprache-Bilder

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

2) Geben Sie in der Anmeldemaske Ihren Zugangsnamen und Ihr Passwort ein

Kapitel 3 Bilder farblich verändern - Arbeiten mit Objekten

PING e.v. Heimvernetzung und Sicherheit im Internet. HobbyTronic Nächster Vortrag: 12:15 Uhr. PING e.v. Weiterbildung -

Internationales Altkatholisches Laienforum

Stand: Adressnummern ändern Modulbeschreibung

Welche Vorteile bietet die Anmeldung eines Kindes mit dem kita finder+?

Deutliche Mehrheit der Bevölkerung für aktive Sterbehilfe

TYPO3 Tipps und Tricks

Alice & More Anleitung. GigaMail.

So geht s Schritt-für-Schritt-Anleitung

Die SPD und die Grünen machen im Niedersächsischen Landtag. Alle Menschen sollen in der Politik mitmachen können.

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

So geht s Schritt-für-Schritt-Anleitung

MORE Profile. Pass- und Lizenzverwaltungssystem. Stand: MORE Projects GmbH

Windows-Sicherheit in 5 Schritten. Version 1.1 Weitere Texte finden Sie unter

Bürgerhilfe Florstadt

Kurzanleitung fu r Clubbeauftragte zur Pflege der Mitgliederdaten im Mitgliederbereich

Benutzerhandbuch - Elterliche Kontrolle

Workflows verwalten. Tipps & Tricks

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

Transkript:

Datenschutz Die Regelungen für das Unternehmen münden in einer Privacy Policy. Dort werden die fundamentalen Verhaltenregeln des Unternehmens zu pdaten festgeschrieben Die Beschäftigten werden über diese Regelungen unterrichtet 26.10.2003 1 Beispiel Es wird grundsätzlich gefragt, ob der Kunde damit einverstanden ist, Werbung zu erhalten, er erhält nur dann Werbung, wenn er zustimmt Jeder MA wird zu Anfang seiner Tätigkeit auf das Datengeheimnis verpflichtet, diese Verpflichtung wird in Verbindung mit einer 30 minütigen Schulung alle 2 Jahre wiederholt.. 26.10.2003 2 Datenschutz - Datensicherheit Anlage zu 9 BDSG Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle) zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 26.10.2003 3 1

Warum Datensicherheit Zugriffskontrolle Eingabekontrolle Weitergabekontrolle Verfügbarkeitskontrolle Diese Anlage wird als Argumentationshilfe zu Fragen der Datensicherheit genutzt. Was heisst nun aber Datensicherheit? 26.10.2003 4 Datensicherheit (data security) Sachlage, bei der Daten*unmittelbar oder mittelbar so weit wie möglich vor Beeinträchtigung oder Mißbrauch bewahrt sind, und zwar unter Berücksichtigung verarbeitungsfremder Risiken wie auch im Verlauf auftrags- und ordnungsgemäßer Erbringung einer Datenverarbeitungsleistung* 26.10.2003 5 Fortsetzung Daten dürfen also weder bei datenverarbeitenden Prozessen oder auftragsbedingten Vor- und Nacharbeiten noch in Funktionseinheiten zur Abwicklung auftragsbedingter Arbeiten, noch durch das das Handeln von an auftragsbedingten Arbeiten beteiligten Personen beeinträchtigt werden. Anmerkung: Beeinträchtigung von Daten umfaßt u.a. Verlust, Zerstörung, Verfälschung. 26.10.2003 6 2

IT-Sicherheit (it-security) Sachlage, bei der IT-Systeme oder deren Komponenten unmittelbar oder mittelbar so weit wie möglich vor Beeinträchtigung oder Mißbrauch bewahrt sind, und zwar unter Berücksichtigung verarbeitungsfremder Risiken wie auch im Verlauf auftrags- und ordnungsgemäßer Erbringung einer Datenverarbeitungsleistung. 26.10.2003 7 Daten dürfen also weder bei datenverarbeitenden Prozessen oder auftragsbedingten Vor- und Nacharbeiten noch in Funktionseinheiten zur Abwicklung auftragsbedingter Arbeiten noch durch das Handeln von an auftragsbedingten Arbeiten beteiligten Personen beeinträchtigt werden. 26.10.2003 8 Datensicherung (data security measures) Maßnahmen und Einrichtungen, die Datensicherheit herbeiführen oder aufrechterhalten. Anmerkung: Beeinträchtigung von Daten umfaßt u.a. Verlust, Zerstörung, Verfälschung. 26.10.2003 9 3

IT Security The objective of security in information systems is the protection of the interests of those relying on information systems from harm resulting from failures of availability, confidentiality, and integrity. Protection of the interests kann sowohl als Beherrschbarkeit als auch als Verläßlichkeit verstanden werden. 26.10.2003 10 (it-security) IT-Sicherheit ist eine dem Individuum und der Gesellschaft bekannte und verständliche Sachlage, bei der das Risiko, das mit einem informationstechnischen Vorgang oder Zustand verbunden ist, das Grenzrisiko nicht überschreitet, daß jedes Individuum für sich hieraus, früher oder später, erfahren könnte: eine Beeinträchtigung oder Verlust von Geist, Körper, Seele, Freiheit, Lebenssraum, Hab und Gut. 26.10.2003 11 Anmerkungen Die in der IT auftretenden Risiken sind sowohl Folgeschäden der unbefugten Nutzung von Daten und Funktionen, verursacht durch (menschliche) Fahrlässsigkeit oder Absicht, Oder Schäden, die aus konstruktiven oder materiellen Fehlern erwachsen. 26.10.2003 12 4

Datenschutz (privacy protection) eine Menge von Anforderungen, die die Zulässigkeit der Zugriffe auf Daten und die Ausführbarkeit der Informationsgewinnung aus Daten festlegen Def. GDD 1988 Quelle: Dierstein Datensicherheit Vortrag bei der GDD 26.10.2003 13 Das war die Theorie Praxis: Bei einer Studie von AA erklären 85 % aller Befragten, das sie über ein Paket von einander ergänzender IT-Sicherheitsstrategien verfügen Nur 25 Prozent der Befragten meinen allerdings, dass dieses Paket permanent überwacht und aktualisiert wird. 26.10.2003 14 Security Policy Anm: 16 Prozent geben an, über eine Security Policy zu verfügen, sie aber nicht zu benutzen 26.10.2003 15 5

Unberechtigte Zugriffe auf Systeme Kernaussagen: - 94 Prozent der Befragten bewerten die Vertraulichkeit und Integrität der Unternehmensdaten als wichtig oder sehr wichtig. - 44 Prozent der Hackerangriffe sind unternehmensintern, 55 Prozent kommen von außen Quelle: IT-Sicherheit in Europa (Andersen) 05.2002 26.10.2003 16 Datensicherheit Wie wird Datensicherheit eingeführt? Wer definiert Datensicherheit? Für was wird Datensicherheit definiert? Wie geht man vor? Welche Ansatzpunkte? 26.10.2003 17 Fundamentalkomponenten eines sicheren Systems Vertraulichkeit Integrität Verfügbarkeit Zurechenbarkeit Rechtsverbindlichkeit 26.10.2003 18 6

Im Einzelnen Vertraulichkeit kein Einsehen von Daten oder Erschließen von Information kontrollierter Zugriff auf Daten und Funktionen Integrität keine unbemerkte Veränderung der Daten keine unbemerkten Veränderungen der Funktionen Verfügbarkeit Ausführung von Funktionen zum geforderten Zeitpunkt und im geforderten Zeitrahmen (nix Win95!) 26.10.2003 19 Erweiterung Zurechenbarkeit Wer hat wann was veranlasst? Rechtsverbindlich Ist die durchgeführte Aktion rechtsverbindlich Muss sie es sein? (E-Commerce) SigG? GOB? 26.10.2003 20 Möglicher Weg (!) Globale Security Policy Sicherheitskonzept (Policy) für die einzelnen Jobs (Dienstleistungen, Datenbanken, Web- Anbindung,...) Entsorgung Wartungsverträge Auftragsdatenverarbeitung Produktbezogene Richtlinien 26.10.2003 21 7

Warum Sicherheitspolicy Forderungen aus: IT-Abteilung Wirtschaftsprüfer Auditing Vorstand KontraG (Risikofrüherkennung) E-Business... 26.10.2003 22 Probleme Komplexität Heterogene Systeme und Netze, mehrere Betriebssysteme, Middleware etc. Verteilung Über Standorte, Komponenten Änderungsrate Permanente Änderungen der HW und Software 26.10.2003 23 Anspruch Angemessenes Sicherheitsniveau Keine Behinderung für operatives Geschäft Nachweisbarkeit Messbar 26.10.2003 24 8

Sicherheitskonzept Bezogen auf eine Anwendung oder ein Produkt Abgeleitet aus der Security Policy Spezifische Regelungen zu dieser Software I.d.R. nur Vorgaben was einzuhalten ist In enger Absprache mit dem Kunden 26.10.2003 25 Identifikation der zu sichernden Werte Methodik Sicherheitskonzept Identifikation der Bedrohungen Bewertung der Eintrittswahrscheinlichkeit der Bedrohungen Bewertung der potentiellen Schäden Priorisierung der Gegenmassnahmen Bewertung des Risikos Restrisiko Auswahl der Gegenmassnahmen 26.10.2003 26 0. Analyse der Kundenwünsche Basierend auf den Fundamentalkomponenten wird der Kunde - der muss auch zahlen - gefragt, welche dieser Komponenten für ihn von Bedeutung sind und welche nicht Allgemein geht man von einem gewissen Grundschutz aus D.h. niemand erwartet heute das ein System 3 Tage ausfällt, ohne das es bemerkt wird 26.10.2003 27 9

1. Bedrohungen Welche Bedrohungen gibt es für dieses System? Ausgehend von der richtigen - d.h. vollständigen - Funktion, was kann nicht funktionieren? Die Bedrohungen ergeben sich in erster Linie aus dem Negieren der vollständigen Funktion 26.10.2003 28 Beispiel Funktion: Wenn der Taster gedrückt wird, brennt die Lampe Wenn der Taster losgelassen wird, geht die Lampe aus 26.10.2003 29 2. Schwachstellen Basierend auf den Bedrohungen des Systems, werden die Schwachstellen herausgearbeitet Jede Schwachstelle wird mit einer Gegenmassnahme versehen Das Risiko eines Eintretens der Schwachstelle wird i.d.r. mit einer Kennzahl oder einem Risikowert versehen 26.10.2003 30 10

Risikowert Hier spielt das Expertenwissen eine Rolle Die Werte sind naturgemäß nicht nachprüfbar, sondern nur nachvollziehbar - oder auch nicht (!) - Der Rechenweg ist dabei von Unternehmen zu Unternehmen mehr als unterschiedlich 26.10.2003 31 Risiken R = P * S (Risiko = Eintrittswahrscheinlichkeit * Schadenswert R = N * A * B (Risiko = NICHTEntdeckungswahrscheinlichkeit * Auftretenswahrscheinlichkeit * Bedeutung) Günstig ist es hier, den einzelnen Werten Bezugsgrößen zuzuordnen 26.10.2003 32 Beispiel für A (Auftreten) unwahrscheinlich : Fehler wird nicht eintreten, Auftreten ist sehr unwahrscheinlich aber denkbar - 1 niedrig : Auftreten ist unwahrscheinlich, aber möglich. 2-3 mittel : Kann auftreten, es ist damit zu rechnen - 4-6 hoch : Kann aus technischer Sicht auftreten, wird aus mögl. technischer Sicht auftreten 7-8 sehr hoch : Dieser Schaden wird auftreten 9-10 26.10.2003 33 11

Beispiel E (Entdeckung) Fehler wird unmittelbar entdeckt, bevor der Schaden eintreten kann. Die Fehlerursache wird behoben. (1) Der Fehler äußert sich erst durch das Auftreten eines Schadens. Die Fehlerursache kann beseitigt werden. Das Schadensausmaß kann noch begrenzt werden. (4) Der Fehler wird erst durch den Schaden entdeckt. Die Beseitigung der Fehlerursache hilft nicht mehr. Eine Wiederholung des Fehlers kann dadurch aber verhindert werden. (7) Der Fehler verursacht Schäden. Der Zusammenhang mit der Fehlerursache ist nicht mehr erkennbar. Irreversible Schäden die wiederholt auftreten (10) 26.10.2003 34 Beispiel B (Bedeutung) Auftretender Schaden niedrig, Größenordnung (Peanuts) Summe < 0,01% Jahresumsatz (1) Mittlere Auswirkungen des Schadens Summe < 0,1 % Jahresumsatz (4) Schwerwiegender Schaden Summe < 1 % (7) Bedrohlich für den Fortbestand des Unternehmens Summe > 1 % (10) 26.10.2003 35 Nach dieser Abschätzung Die gefundenen Schwachstellen werden zusammen mit dem Kunden diskutiert Der Kunde entscheidet, welche Schwachstellen wie behoben werden -> Priorisierung Die restlichen Schwachstellen gelten als Restrisiko und müssen vom Kunden getragen werden -> Restrisiken 26.10.2003 36 12

Anwenden der Methodik Geg: NOZAMA - Web Buchhändler Anforderungen an das System: Jeder Kunde soll den aktuellen Bestand an vorhandenen Büchern erkennen können aus diesem Vorrat soll er eines oder mehrere Bücher aussuchen können Die Auswahl soll gespeichert werden und nach der Angabe einer Adresse - Gültigkeit der Adresse (!) - zugeschickt werden 26.10.2003 37 Anforderungen Die Übertragung von pdaten soll verschlüsselt erfolgen Die Nutzer sollen sich auch registrieren können (auf Wunsch) Jeder Kunde soll nur auf seine eigenen Bestellungen Zugriff haben Die Erreichbarkeit soll bei 99,9 % liegen 26.10.2003 38 Alternativ Vorgehen nach Grundschutzhandbuch BSI Kastenvorgehen Für jedes Betriebssystem Vorschläge zur Absicherung - Welche Maßnahmen sind vorzunehmen Gilt auch für bekanntere Anwendungen wie z.b. SAP 26.10.2003 39 13

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback