Zielkonflikte zwischen Funktionalität, Sicherheit und Datenschutz econique, Mainz, 13. September 2006



Ähnliche Dokumente
Akzeptanz von Portallösungen durch Datenschutz Compliance Meike Kamp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Alle unter Generalverdacht

Orientierung ja, Überwachung nein Location Based Services auf dem Prüfstand

Datenschutz der große Bruder der IT-Sicherheit

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Datenschutz in lose gekoppelten Systemen

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Pervasive Computing und Informationelle Selbstbestimmung

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Kirchlicher Datenschutz

CONTInuität und Leistung seit 1970

Einführung in die Datenerfassung und in den Datenschutz

Schriftwechsel mit Behörden Ratgeber zum Datenschutz 1

Sicher einkaufen Trusted Shop Gütesiegel - Preiswerte Baustoffe online kaufen.

Widerrufsbelehrung der Free-Linked GmbH. Stand: Juni 2014

Datenschutzrechtliche Anforderungen an Big- Data Konzepte

Statuten in leichter Sprache

Benutzerhandbuch - Elterliche Kontrolle

Anleitung vom 4. Mai BSU Mobile Banking App

Was sagt der Anwalt: Rechtliche Aspekte im BEM

Drei Fragen zum Datenschutz im. Nico Reiners

Wärmebildkamera. Arbeitszeit: 15 Minuten

STRATO Mail Einrichtung Mozilla Thunderbird

Datenschutz und Schule

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Dokumentenverwaltung im Internet

Hinweise zum Datenschutz, Einwilligungs-Erklärung

Ausbildung von Datenschutzbeauftragten Zertifizierung der Fachkunde

Konzentration auf das. Wesentliche.

Herzlich willkommen bei tetraguard Ihrem Spezialisten für Sicherheitssoftware!

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

IT-Trend-Befragung Xing Community IT Connection

Elektronischer Kontoauszug

Dominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Erfahrungen mit Hartz IV- Empfängern

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

Arbeit zur Lebens-Geschichte mit Menschen mit Behinderung Ein Papier des Bundesverbands evangelische Behindertenhilfe e.v.

Soziale Netzwerke. Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie studivz, Facebook & Co.

Moderne Konzepte für Datenschutz und IT-Sicherheit im Smart Grid

Synchronisations- Assistent

Auftrag zum Fondswechsel

Studie Internet-Sicherheit

- Dem Administrator auf die Finger schauen - Revisionsfeste Protokollierung und Datenschutz. Martin Rost

SCHRITT 1: Öffnen des Bildes und Auswahl der Option»Drucken«im Menü»Datei«...2. SCHRITT 2: Angeben des Papierformat im Dialog»Drucklayout«...

Stellvertretenden Genehmiger verwalten. Tipps & Tricks

Umzug der abfallwirtschaftlichen Nummern /Kündigung

Ein Betriebsrat. In jedem Fall eine gute Wahl.

Elektronischer Kontoauszug

Lehrer: Einschreibemethoden

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

» Smartphones im Unternehmen: Must-have oder Donʼt-use?

Norton Internet Security

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Unterrichtsmaterialien in digitaler und in gedruckter Form. Auszug aus:

D i e n s t e D r i t t e r a u f We b s i t e s

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

Informationsblatt zur Umstellung von Inhaber- auf Namensaktien

Ansätze für datenschutzkonformes Retina-Scanning

Schul-IT und Datenschutz

teamsync Kurzanleitung

Alice & More Anleitung. GigaMail.

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Der Jazz Veranstaltungskalender für Deutschland, Österreich und die Schweiz

Wir machen neue Politik für Baden-Württemberg

Deutsches Rotes Kreuz. Kopfschmerztagebuch von:

Einrichtung eines -konto mit Thunderbird

Moodle-Kurzübersicht Kurse Sichern und Zurücksetzen

S Sparkasse Hohenlohekreis. Leitfaden zu Secure

Einstellung!der!österreichischen!Bevölkerung! zum!rechtssystem:!imas"umfrage!2013!

Entwicklung des Dentalmarktes in 2010 und Papier versus Plastik.

TYPO3 Tipps und Tricks

Deutschland-Check Nr. 35

Qualitätskriterien patientenorientierter Forschung: Der rechtliche Rahmen im Spannungsfeld von Datenschutz und Wissenschaftsfreiheit

INNER WHEEL DEUTSCHLAND

Lausanne, den XX yyyyy Sehr geehrte Frau/ Herr,

Internationales Altkatholisches Laienforum

Datenschutz im Alters- und Pflegeheim

Nutzung dieser Internetseite

* Leichte Sprache * Leichte Sprache * Leichte Sprache *

Anleitung für die Einrichtung weiterer Endgeräte in 4SELLERS SalesControl

Neomentum Coaching. Informationsbroschüre für Studienteilnehmer

Unified Communication Client Installation Guide

Datenschutz und Qualitätssicherung

Fragen und Antworten. Kabel Internet

Test zur Bereitschaft für die Cloud

Studie Autorisierungsverfahren Online-Banking n = 433, Befragungszeitraum: Februar bis März 2014

Komitee für Zukunftstechnologien. Teilnahmeerklärung

Leitfaden Internet-Redaktion kursana.de

Anlage zum Zertifikat TUVIT-TSP Seite 1 von 7

Auditmanager. Vorbereitung, Durchführung und Maßnahmenumsetzung von Audits leicht gemacht. Auditmanager. im System

Anleitung für den Zugriff auf Mitgliederdateien der AG-KiM

Dokumentation. Black- und Whitelists. Absenderadressen auf eine Blacklist oder eine Whitelist setzen. Zugriff per Webbrowser

Würfelt man dabei je genau 10 - mal eine 1, 2, 3, 4, 5 und 6, so beträgt die Anzahl. der verschiedenen Reihenfolgen, in denen man dies tun kann, 60!.

Anleitung für die Hausverwaltung

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Transkript:

Zielkonflikte zwischen Funktionalität, Sicherheit und Datenschutz econique, Mainz, 3. September 006 Martin Rost Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Germany (ULD) Überblick Kurzvorstellung des ULD und ULDi Funktionalität, Sicherheit, Datenschutz Firewall/Proxy Anonymisierung Identitätsmanagement, Type 3 Protokollierung Kontakt Tallin, September 006

Kurzvorstellung ULD / ULD-i 3 Die 7 Säulen des ULD Prüfung Beratung Schulung inkl. DATEN- SCHUTZ- AKADEMIE IT-Labor Modellprojekte Gütesiegel Audit Primäre Adressaten: Verwaltung Wirtschaft Bürger Wirtschaft, Wissenschaft, Verwaltung 4 Tallin, September 006

Projekte im ULD http://www.uld-i.de/projekte/ Ubiquitäres Computing TAUCIS Identitätsmanagement - Prime und FIDIS Nutzerorientiertes Digital Rights Management - Privacy4DRM Datenschutzanforderungen für die Forschung PRISE Europäische Melderegisterauskunft - RISER Verbraucherdatenschutz und Datenschutzrecht im Scoring Anonymität im Internet - AN.ON 5 Projekterfahrung des ULD Seit 999: ULD-Projekte zu Datenschutz & Datensicherheit Unser Kooperationsnetzwerk national & international: Projektvolumina: 0.000 6 Mio Partner: 4 6 Tallin, September 006 3

Datenschutzparadigmen des ULD Datenschutz durch Recht und politischen Einfluß (Institutionalisierung) Datenschutz durch Technik (PET, Projekte) Privacy sells! (Audit, Gütesiegel) 975 983 995 00 006 Datenschutz als Kommunikationsmanagement 7 Funktionalität, Sicherheit, Datenschutz 8 Tallin, September 006 4

Funktionalitätsanforderung Anforderung: Es sollen netzgestützte Transaktionen stattfinden können. (Recherchen, Bestellungen, Überweisungen, Buchungen, Ummeldungen, Formularausfüllungen, Serverbzw. Systemmanagement,...) 9 Sicherheitsanforderungen Integrität von Daten Daten davor schützen, dass sie unbefugt verändert wurden bzw. werden können. Schutz durch Signieren Vertraulichkeit von Daten Keine Einsichtnahme in Daten durch Unbefugte möglich. Schutz durch Verschlüsselung Verfügbarkeit Redundanz Authentizität von Daten Daten überprüfen können, ob sie aus der angegebenen Quelle stammen. Schutz durch Signieren Authorisierung/Zugriffe nach Login/ Passworteingabe 0 Tallin, September 006 5

Datenschutzregeln Zweckbindung Engst möglicher Zuschnitt auf die wesentlichen Daten. Datenminimierung Bei jedem Einzelschritt weitest möglich auf Daten verzichten/ löschen. Löschung Einhaltung von Speicher- bzw. Löschfristen Einwilligung Wenn möglich, Zustimmung der Betroffenen einholen Pseudonymisierung / Anonymisierung Wenn möglich, so früh wie möglich personenbezogene Daten anonymisieren/ pseudonymisieren. Datensicherheit ungleich Datenschutz Funktionalität IT- Arbeitspunkt einer Organisation Sicherheit Datenschutz Tallin, September 006 6

3 Beispiele für Zielkonflikte zwischen Funktionalität, Sicherheit und Datenschutz 3 Firewall/Proxy Vorrang der internen Sicherheitsanforderungen? 4 Tallin, September 006 7

Der Firewall/Proxy-Konflikt Der FW- oder Proxy-Admin kann / muss / will aus Gründen der sicherheitstechnischen Systemanalyse in Prinzip jederzeit sämtliche Päckchen einsehen bzw. loggen können, die die FW passieren. Aus Gründen des innerbetrieblichen Datenschutzes soll der Administrator der FW oder des Proxy keinen Zugriff auf E-Mails oder Webabrufe haben. Ihn geht es nichts an, wofür sich einzelne Mitarbeiter, das Management, der Betriebsrat, die Marketing- und Forschungsabteilung interessieren. 5 Lösung des FW-Konflikts Betriebsvereinbarung schließen, unter welchen Bedingungen an der Firewall oder auf dem Proxyserver geloggt werden darf. Es müssen Aussagen getroffen werden darüber: zu welchen Anlässen protokolliert werden darf. (Anlaßbezogen oder dauerhaft?) was protokolliert wird. (Zweckbindung, Datenminimierung, Pseudonymisierung der Daten) wie der Zugriff auf die Logdaten geregelt ist. (Vier-Augenprinzip, Einbezug von Management, betrieblicher Datenschützer, Betriebsrat, Einwilligung durch den Betroffenen) dass kommuniziert wird, dass das Mitprotokollieren angeschaltet ist. (organisationsweite Kommunikation) 6 Tallin, September 006 8

Anonymisierung Vorrang des Datenschutzes? 7 ANONymisierung, die auch vor dem Betreiber schützt http://anon.inf.tu-dresden.de/ 8 Tallin, September 006 9

Lösung der Nutzung von Schutzdiensten Betriebsvereinbarung schließen darüber, unter welchen Bedingungen ein Schutzdienst - wie Anonymisierung oder rechner-/personenbezogene Verschlüsselung (bspw. Abruf von per https geschützten Mails) - nicht genutzt werden darf. Kommunikation, dass ein bestimmter Dienst am Port der Firewall unter Angabe eines Grunds gesperrt ist und wann mit der Aufhebung zu rechnen ist. 9 Identitätsmanagement Nichtverkettbarkeit durch Pseudonymverwaltung 0 Tallin, September 006 0

Type 3: Management of own identities User Supporting device and / or supporting party Trusted area Contextdependent pseudonyms Protokollierung Versuch des Nachweises, dass das von einer Organisation gefundene Verhältnis von Funktionalität, Sicherheits- und Datenschutz-Anforderungen stimmt. Tallin, September 006

Das Protokollierungsproblem Automatisierte Protokoll/Logdaten sind leicht, in der gegenwärtigen Praxis allerdings unkontrollierbar ohne Zweckbindung und Datensparsamkeit, herausgeschrieben. Und genau so einfach sind sie unterdrück-, manipulier- oder löschbar. Administratorentätigkeiten sind auf Standardbetriebssystemen nicht beweisfest protokollierbar. Die Kontrolle von Protokollen geschieht ungeregelt und findet in der Praxis insbesondere auch in Bezug auf Nachweisbarkeit, dass die Auftragsdatenverarbeitung bzw. das Outsourcing korrekt erfolgt, praktisch nicht statt. 3 Protokollierungspraxis unter Windows003 http://www.datenschutzzentrum.de/sommerakademie/006/somak06_infb07_rost.pdf 4 Tallin, September 006

Kontakt Martin Rost Mail: LD3@datenschutzzentrum.de Tel: 043 988 39 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 403 Kiel, Holstenstraße 98 Mail: mail@datenschutzzentrum.de Tel: 043 988 00 Fax: 043 988 3 Web: www.datenschutzzentrum.de 5 Tallin, September 006 3

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback