Informationssicherheit.und. Datenschutz Anforderungen.und.technische. Lösungsmöglichkeiten "Lars"Christiansen,"2015
Datenschutz.und.Informationssicherheit Datenschutz..Datensicherheit Beim"Datenschutz geht"es"um"den"schutz"der"person," deren"daten"verarbeitet"werden."schutz"des"rechts"auf" informationelle"selbstbestimmung." Bei"der"Datensicherheit geht"es"um"die"technische"und" organisatorische"sicherung"der"datenverarbeitung." "Lars"Christiansen,"2015 2
Datenschutz.und.Informationssicherheit. Datenschutz..Informationssicherheit Die"gesetzlichen"Forderungen"zum"Datenschutz geht"direkt" aus"der"gesetzgebung"hervor."die"datenschutzpflichten"von" Unternehmen"haben"eine"gesetzliche"Grundlage. BDSG,&TKG,&TMG,&SGB,&UWG,&BetrVG,&... Bei"der"Informationssicherheit gibt"es"keine"direkten" gesetzlichen"vorgaben."es"können"anforderungen"aus"einer" Reihe"von"rechtlichen"Regelungen"abgeleitet"werden: KonTraG,&AktG,&GmbHG,&BDSG,&GoBS,&GDPdU,&SigG,& Compliance&Anforderungen,&... "Lars"Christiansen,"2015 3
Datenschutz.und.Informationssicherheit Datenschutz Informationsscherheit personenbezogene& alle&daten Daten Informationelles" Selbstbestimmungsrecht Im.Focus.steht.die. einzelne.person 9"BDSG technischer" Datenschutz Vertraulichkeit Integrität"(Verlässlichkeit) Verfügbarkeit Authentizität"(Verbindlichkeit) Im.Focus.steht.das. Unternehmen "Lars"Christiansen,"2015 4
Datenschutz.und.Informationssicherheit. Warum.sollte.ein.Unternehmen.Datenschutz.und. Informationssicherheit.umsetzen? Erfüllung"der"rechtlichen"Anforderungen Reduzierung"des"Haftungsrisikos Schutz"von"Betriebsgeheimnissen Schutz"vor"Industriespionage Kontrolle"und"Transparenz"über"die"eigenen"Daten Anpassung"und"die"veränderte"Bedrohungslage "Lars"Christiansen,"2015 5
Schutzmaßnahmen.in.der.IT Etablierte,.allgemein.akzeptierte.Maßnahmen: 1. Firewall 2. Virenscanner 3. Datensicherung 4. Berechtigungskonzept"(nicht"flächendeckend!) "Lars"Christiansen,"2015 6
Schutzmaßnahmen.in.der.IT Risiken: Veralteter"Sicherheitsbegriff Unzureichende"Maßnahmen Maßnahmen"werden"aktuellen"Bedrohungen"nicht" gerecht Systeme"werden"von"aktuellen"Angriffen"umgangen Komplexere"Anforderungen"an"das"Designe"von" Schutzmaßnahmen" "Lars"Christiansen,"2015 7
Vielfältige.neue.Anforderungen.z.B.:. Mobile.Endgeräte Smartphone,&Tablet,&Laptop,&Wearable Devices,&... Mobile.Datenträger CD/DVD,&Smartphone,&MP3JPlayer,&USBJSticks,&... Offene.WLANOVerbindungen Hotspots&(Hotels,&Bahnhöfe,&Restaurants,&...) CloudOComputing Dropbox,&Office365,&iCloud,&AmazonJCloud,&... Fernwartung Teamviewer,&PCVisit,&&Ammyy,&... "Lars"Christiansen,"2015 8
Warum.sollen.wir.uns.damit. beschäftigen? Bei.uns.ist.noch.nie etwas.passiert! "Lars"Christiansen,"2015 9
Das.können.sie.nicht.wissen,. nur.vermuten! "Lars"Christiansen,"2015 10
Ohne.Kontrolle.über.ihre Datenbestände.und.Datenflüsse befinden.sie.sich.im.blindflug!. "Lars"Christiansen,"2015 11
Was.tun? um: Bedrohungen"zu"erkennen Datenverluste"zu"bemerken"/"zu"vermeiden gesetzliche"anforderungen"zu"erfüllen"(bdsg"anlage"zu" 9" und" 42a) benötigen.sie: Kontrolle"über"ihre"Daten Transparenz"ihrer"Datenströme Kontrolle"über"alle"Endgeräte,"besonders"über"deren" Schnittstellen! "Lars"Christiansen,"2015 12
Wie.vorgehen? 1. Individuelle.Ermittlung.des.Schutzbedarfs.und.der. Anforderungen.an.einen.sicheren.ITOBetrieb. Erstellung"eines"Sicherheitskonzepts Festlegen"von"Maßnahmen 2. Umsetzung.von.technischen.und.organisatorischen. Maßnahmen. Einsatz"geeigneter"SicherheitsfHardware"und"fSoftware" Schulung"und"Sensibilisierung"der"Anwender "Lars"Christiansen,"2015 13
Mögliche.Maßnahmen Neben"den"etablierten"Standardmaßnahmen"werden"z.B."eingesetzt: 1. Mobile.Device.Management Verwaltung&von&Geräten,&Kontrolle&über&installierte&Apps,& Fernlöschung&oder&Sperrung 2. Intruder Detection System Erfassung&von&Datenströmen,"Erkennen&von& ungewöhnlichen&datenströmen&und&zugriffen,&erkennen&von& Angriffsversuchen 3. Endpointsecurity Zugriffskontrolle,&Datenverschlüsselung,&sicheres&Löschen,& Kontrolle&über&eingesetzte&Software,&Analyse&und&Filterung&von& Dateninhalten "Lars"Christiansen,"2015 14
Umsetzung Informationssicherheit"und"Datenschutz"sind"keine" normalen " Aufgaben"für"eine"ITfAbteilung. Hohe"Anforderungen"werden"an"das"technische"und" organisatorische"knowfhow"gestellt. Keine"Aufgabe"die" mal"eben"nebenbei "erledigt"werden"kann. Ist"Chefsache,"die"Maßnahmen"müssen"von"der" Unternehmensleitung"getragen"und"vorgelebt"werden. Lassen.sie.sich.in.diesen.Bereichen.von. Spezialisten.unterstützen! "Lars"Christiansen,"2015 15
Praktische.Beispiele USBOSticks: Gefährlich"oder"nicht? Quelle:"http://hak5.org/ Einer"von"beiden"wir"automatisch"Schadsoftware"ausführen, aber"welcher? "Lars"Christiansen,"2015 16
Praktische.Beispiele USBOSticks: Quelle:"http://hak5.org/ USBfStick"mit"eigenem"Controller wird"als"tastatur"erkannt"(uid) kann"automatisch"schadsoftware"ausführen wird"von""virenscannern"nicht"automatisch"überprüft" "Lars"Christiansen,"2015 17
Praktische.Beispiele USBOSticks: Geringer"Preis,"Payload"online"frei"verfügbar." Quelle:"https://hakshop.myshopify.com Quelle:"http://www.ducktoolkit.com/ "Lars"Christiansen,"2015 18
Praktische.Beispiele WLAN: Freie"WLANfNetze"als"Gefahr"für"MITMfAngriffe." Was"sie"möchten. Quelle:"http://hak5.org/ "Lars"Christiansen,"2015 19
Praktische.Beispiele WLAN: Was"passieren"kann. Quelle:"http://hak5.org/ "Lars"Christiansen,"2015 20
Praktische.Beispiele WLAN: Fertige"Systeme"sind" out"of the Box "einsetzbar. "Lars"Christiansen,"2015 21 Quelle:"http://hak5.org/
Praktische.Beispiele WLAN: Freie"WLANfNetze"als"Gefahr"für"MITMfAngriffe." Quelle:"http://hak5.org/ Anschaffungspreis"ca."100$ einfache"handhabung,"infusions online"frei"verfügbar mobil"einsetzbar vielfältige"angriffsmöglichkeiten"(wlanfautofharvest,"sslf Strip,"HTML"Code"Injection,"...) "Lars"Christiansen,"2015 22
Noch.Fragen? "Lars"Christiansen,"2015 23
Lars.Christiansen Datenschutz.Datensicherheit Mitglied"im Berufsverband"der Datenschutzbeauftragten (BvD)"e.V. Gutenbergstr."6 32657"Lemgo Fon:" +49"5261"/"2172591 Fax:" +49"5261"/"2172593 Mobil:"+49"170"5301383 udisfzertifizierter Datenschutzbeauftragter https://www.dsfchristiansen.de info@dsfchristiansen.de "Lars"Christiansen,"2015 ITfSicherheitsbeauftragter