Datensicherheit Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX: (0231)755-4902 1
Inhalt Seite Begriffsklärung 3 Sicherheitsrisiken 4 Sicherheitsmaßnahmen 6 Datensicherung 7 Zugriffsschutz 9 Datenschutz 10 Datenschutzgesetze 12 Gefahrenbereiche 14 Datenschutzmaßnahmen 15 2
Begriffsklärung Datensicherheit beinhaltet die Verhinderung von Datenverlust oder Datenverfälschung Durch vorbeugende Maßnahmen soll die jederzeitige Vollständigkeit und Korrektheit der Daten gewährleistet werden Beispielhafte Folgen eines Datenverlustes Diebstahl der Kundendatei Großbrand im Bank-Rechenzentrum Überschreiben der Hausarbeit auf der Magnetplatte/Diskette 3
Sicherheitsrisiken Diebstahl Vom Gelegenheitsdieb bis zu spezialisierten Banden Von der Maus über den Notebook-PC bis zum Server Zerstörung von Hardware/Software Durch Katastrophen: Feuer Blitzschlag, Wassereinbruch,... Transportschäden Betriebsdefekte, wie Headcrash Durch direkten Angriff Sabotage 4
... Sicherheitsrisiken Unbefugter Zugriff Hacker Spione Menschliche Fehler Bedienungsirrtümer Nachlässigkeit Computerviren Schädliche Programme, die durch Wechseldaten-träger und über Rechnernetze verbreitet werden und sich selbständig vervielfältigen (replizieren) können Wirkungen: Von der harmlosen Bildschirmanzeige bis zu vollständigem Programm- und Datenverlust 5
Sicherheitsmaßnahmen Absicherung von Gebäuden, Geräten, Programmen und Datenbeständen Passwörter Chipkarten Biometrie Datensicherung Anlegen von Sicherungskopien aller relevanten Datenbestände Verschlüsselung von Daten Kryptographie Virtuelle private Netzwerke Verstecken von Daten Steganographie Virenvorbeugung Firewalls 6
Datensicherung (Back-ups) Anlegen von Sicherungskopien aller relevanten Datenbestände und deren Verwahrung an einem sicheren Ort Im Fall eines Datenverlustes oder einer Datenverfälschung sollen die Daten rasch und zuverlässig rekonstruiert werden können Sicherung auf einer zweiten lokalen Festplatte? Sicherung auf einem entfernten Server-Rechner RAID-Platten mit unterschiedlichen Sicherheitsstufen Sicherung auf Wechselmedien Nur Wechselmedien können dem Rechner entnommen und an einem anderen Ort - z.b. einem feuersicheren Safe - aufbewahrt werden Disketten Auswechselbare Magnetplatten Magnetbandkassetten Optische Speicherplatten Auswahlkriterien von Sicherungsmedien Speicherkapazität Datenübertragungsrate Kosten (Datenträger und Gerät) 7
... Datensicherung (Back-ups) Häufigkeit und Methode der Datensicherung hängen vom Umfang und der Wichtigkeit der Daten ab Vater-Sohn-Prinzip Einmal pro Woche wird der gesamte lokale Festplattenbestand gesichert An den Folgetagen nur Sicherung der jeweils bearbeiteten Dateien Bei wöchentlich fünf Arbeitstagen genügen sechs Wechselmedien Großvater-Vater-Sohn-Prinzip 8
Zugriffsschutz Bei Mehrbenutzersystemen: Zuordnung von Speicherbereichen und Benutzerklassen Identifizierung durch Benutzerkennung Benutzerklasse bestimmt Zulässige Systemkommandos (Lesen, Schreiben...) Priorität bei Auftragserledigung Schutz durch Paßwort Lange, sinnlose Zeichenkette Regelmäßige Änderung Durch Kombination und Verfeinerung individuelles Berechtigungsprofil 9
Datenschutz Schutz der Rechte von Personen vor Verletzung der Vertraulichkeit und der Sicherheit des Informationshaushaltes Gesetzliche Maßnahmen Betriebliche Maßnahmen Beispiele für Problemfelder Personalinformationssysteme Kaufverhaltensanalyse im Internet Kommunikationsanalyse bei digitalen Nebenstellenanlagen und dem ISDN 10
Der gläserne Mensch Arbeitgeber Läden, Versandhandel Schulen, Universitäten, Bibliotheken Hotels, Restaurants Versicherungen Nachtlokale, Prostituierte Reisebüros, Verkehrsbetriebe Ärzte, Krankenhäuser Telekom-Gesellschaften Banken, Kreditkartenorganisat. Finanzämter, sonst. Behörden 11
Datenschutzgesetze Interessengegensatz zwischen Betrieb und Mitarbeitern bzw. Geschäftspartnern Datenschutzgesetze in Mittel- und Nordeuropa weiter entwickelt als in Nordamerika Probleme bei internationaler Kommunikation Betroffene machen von ihren Rechten kaum Gebrauch Datenschutz ein käufliches Gut? 12
... Datenschutzgesetze Relevanz Nur für den Betriebszweck wesentliche Daten Publizität Auskunftsrecht des Betroffenen über seine Daten In Österreich: Zentrale Melde- und Auskunftsstelle in Form eines Registers Richtigkeit Der Betroffene hat ein Recht darauf, falsche Daten richtigstellen zu lassen und unzulässigerweise ermittelte Daten löschen zu lassen Weitergabebeschränkung Funktionstrennung Verpflichtung zu Datensicherungsmaßnahmen Statuierung einer eigenen Geheimhaltungspflicht (Datengeheimnis) Schaffung eigener Kontrollorgane Kontrolle des internationalen Datenverkehrs 13
Gefahrenbereiche Hacker Manuelle Abläufe Maschinelle Abläufe Lieferanten Rechner Programme Datenbanken Banken Spediteure Mitarbeiter Kunden Betrieb Netze Partner 14
Datenschutzmaßnahmen Betreffen das gesamte organisatorische, rechtliche, wirtschaftliche und technische Umfeld der Informationsverarbeitung Politisch, rechtlich und organisatorisch: Gesetze, Betriebsvereinbarungen und organisatorische Maßnahmen Technisch: Entwicklung einbruchsicherer" IT-Infrastruktur und Informationssysteme 15
Technisch-organisatorische Datenschutzmaßnahmen Zugangskontrolle Abgangskontrolle Speicherkontrolle Benutzerkontrolle Zugriffskontrolle Übermittlungskontrolle Eingabekontrolle Auftragskontrolle Transportkontrolle Organisationskontrolle 16