Datenschutz in Rechnernetzen



Ähnliche Dokumente
WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Datenschutz und Systemsicherheit

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Vernetzung ohne Nebenwirkung, das Wie entscheidet

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

BYOD Bring Your Own Device

Datenschutz der große Bruder der IT-Sicherheit

Anlage zum Zertifikat TUVIT-TSP Seite 1 von 7

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Einführung in die Datenerfassung und in den Datenschutz

Technische und organisatorische Maßnahmen der

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

DATENSCHUTZ FÜR SYSTEM- ADMINISTRATOREN

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit

Monitoring und Datenschutz

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Leseprobe zum Download

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Datenschutz-Vereinbarung

Datenschutzanwendung

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG)

Datenschutz eine Einführung. Malte Schunke

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

Datenschutz und Schule

Datenschutz im Spendenwesen

Anlage zur AGB von isaac10 vom [ ] Auftragsdatenverarbeitung. Präambel

Der Schutz von Patientendaten

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG

Datenschutz-Unterweisung

Datenschutz für den Betriebsrat PRAXISLÖSUNGEN

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Vollzug des Bayerischen Datenschutzgesetzes (BayDSG)

Checkliste: Technische und organisatorische Maßnahmen

Datenschutz im E-Commerce

Gesetzliche Grundlagen des Datenschutzes

IT-Compliance und Datenschutz. 16. März 2007

GPP Projekte gemeinsam zum Erfolg führen

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Aufstellung der techn. und organ. Maßnahmen

Checkliste zum Datenschutz in Kirchengemeinden

Übersicht über den Geltungsbereich der DATENSCHUTZ- ORDNUNG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser

Landesbeauftragte für Datenschutz und Informationsfreiheit. Freie Hansestadt Bremen. Orientierungshilfe zur Erstellung eines Datenschutzkonzeptes

Welchen Weg nimmt Ihr Vermögen. Unsere Leistung zu Ihrer Privaten Vermögensplanung. Wir machen aus Zahlen Werte

Der Datenschutzbeauftragte

Informationen zum Thema Datensicherheit

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH

Cybercrime betrifft jeden.

Ansätze für datenschutzkonformes Retina-Scanning

Vernichtung von Datenträgern mit personenbezogenen Daten

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Guter Datenschutz schafft Vertrauen

Meine Daten. Mein Recht

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Lizenzen auschecken. Was ist zu tun?

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

Datenschutzerklärung der emco electroroller GmbH für die emcoelektroroller.de

Datenschutz bei kleinräumigen Auswertungen Anforderungen und Grenzwerte 6. Dresdner Flächennutzungssymposium. Sven Hermerschmidt, BfDI

Nutzung dieser Internetseite

Öffentliches Verfahrensverzeichnis

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Welche Vorteile bietet die Anmeldung eines Kindes mit dem kita finder+?

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

«Zertifizierter» Datenschutz

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Wenn Sie jünger als 18 sind, benötigen Sie vor dem Zugriff auf die Dienste die Zustimmung Ihrer Eltern.

Das Persönliche Budget in verständlicher Sprache

Datenschutz im Telemonitoring:

Facebook und Datenschutz Geht das überhaupt?

GDD-Erfa-Kreis Berlin

BSI Technische Richtlinie

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Transkript:

Datenschutz in Rechnernetzen Regierungsdirektor W. Ernestus Bundesbeauftragter für den Datenschutz Referat VI (Technologischer Datenschutz) Motivation Auf meine Daten darf im Netzwerk nur ich Hacking zugreifen und Cracking! machen erst im Netzwerk spass! Wenig Aufwand, Netzwerk Zugriff auf alles! Benutzer Bei Benutzung des Netzwerkes hinterlasse ich Spuren ( Verhaltens- und Leistungskontrolle) Benutzer Benutzer Administration 1

Technisch-organisatorische Maßnahmen Datei:tOM01.ppt Grundgedanke des Datenschutzes ist es, den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten und beim Technikeinsatz in seinem Persönlichkeitsrecht beeinträchtigt wird. Bei allen heute schon möglichen Verarbeitungsvorgängen nimmt nicht nur die Zahl der erfassten und verarbeitenden personenbezogenen Daten zu, die Rückschlüsse auf Personen zulassen, sondern auch deren Sensibilität. Es geht nicht mehr nur um die Tatsache, dass eine sichere Verarbeitung stattfindet, sondern immer öfters auch darum, "was" dabei passiert. Bedrohungen im Netzwerk Adresse x Abhören Falsche Identität: Login des System-Administrator Verfälschung von Netzwerkadressen Profilbildung Adresse y Datei: Netzwerkbedrohungen 2

Gefahren für den Netzwerk-Arbeitsplatz Hack- und Cracksoftware Der Einsatz von objektorientierten Techniken Verteilung von Viren etc. Publikationen von Angriffen Effektivität der Hacker steigt Browser-Plug-In -Technik IT-Umfeld Shareware +Verbreitungsgrad quasi Standardisierung Vereinheitlichung Sicherheitsaspekte und Software Bananenprodukte = reifen beim Kunden Datei: Gefahren-Internet-Arbeitsplatz Datenarten in Netzen Benutzer- Stamm- daten Inhalts- daten Protokoll- daten (Benutzername, Funktion, Arbeitsplatz, Berechtigungen etc.) (Inhalte, Bilder, Töne) (Daten über Verhalten, der Mitarbeiter, Administratoren) 3

Benutzerverhalten Eventuell bewusste Falscheingaben machen!! Nur notwendige Angaben machen! Alle Eingaben von mir, können gegen mich und weiter verwendet werden Vortäuschen einer höheren Arbeitsleistung Datensicherung Zulässigkeit/Erforderlichkeit Verpflichtungen verantwortlichen Stellen Datei: Datensicherung01.ppt 4

Grundsätze bei der Verarbeitung personenbezogener Daten Personenbezogene Daten dürfen ohne Einwilligung nur und in dem Umfang erhoben, verarbeitet und genutzt werden, wie dies gesetzlich erlaubt und im Einzelnen erforderlich ist Dabei sind angemessene technische und organisatorische Maßnahmen zur Datensicherung zu treffen Datei: Grundsaetze.ppt 9 BDSG nebst Anlage Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Datei: Para9BDSG 5

Die Acht Gebote der Datensicherung Zutrittskontrolle Weitergabekontrolle Zugriffskontrolle Zugangskontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle (Zweckbindung) Datenschutzbeauftragter Datei: DieAchtGebote Beispiel: Weitergabekontrolle Vorschrift: zu gewährleisten, dass personenbezogene Daten bei der elektronischen Über- tragung oder während ihres Transports oder ihrer Speicherung auf Daten- träger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen len eine Übermittlung personenbezogener Daten durch Einrichtungen zur r Daten- übertragung vorgesehen ist. Kritik: Hier fordert das BDSG technisch unmögliches! Bei der elektronischen Übertragung kann zwar die Vertraulichkeit gesichert werden, das kopieren und verändern der Daten nicht!!! Datei: BeispielZugriffskontrolle 6

Beispiel: Zugriffskontrolle Vorschrift: zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegendenu Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Vorschrift zielt auf die Vertraulichkeit und Integrität! Aber: Was bedeutet Daten entfernen? Begriff entfernen ist im BDSG nicht definiert! Datei: BeispielZugriffskontrolle Beispiel: Zutrittskontrolle Vorschrift: Unbefugten ist der Zutritt zu Datenverarbeitungslagen zu verwehren, wenn dort personenbezogene Daten verarbeitet werden! Kritik: Ist die Regelung im Zeitalter des Internets noch durchsetzbar? Ist diese Vorschrift in Zeiten der Netzwerktechnik überhaupt durchsetzbar? 7

IT-Sicherheit Datei: IT-Sicherheit Was bedeutet IT-Sicherheit? Verfügbarkeit Integrität IT-Sicherheit ist der Zustand eines Systems einer Systemkomponente oder eines Verfahrens, der ein vorher bestimmtes Maß an Vertraulichkeit, Integrität und Verfügbarkeit für die Daten garantiert. Vertraulichkeit Was ist zu tun? Es müssen technisch-organisatorische Maßnahmen ergriffen werden zur Gewährleistung der Datensicherheit Nützlich ist die Entwicklung eines Datenschutzkonzepts Regelmäßig Überprüfung der ergriffenen Maßnahmen Überprüfung der Wirksamkeit der ergriffenen Maßnahmen Maßnahmen müssen dem Stand der Technik berücksichtigen Für den Netzwerkbetrieb ist eine Policy zu entwickeln 8

Datensicherung ist die Gesamtheit aller Regelungen und Maßnahmen, zur Herstellung und Erhaltung der Datensicherheit, die erforderlich sind, um einen wirksamen Datenschutz zu gewährleisten Datei: Datensicherung02 Privacy Policy Welche Daten werden gesammelt? Wo werden Daten genutzt? Was wird mit Daten gemacht? (Verhaltens- und Leistungskontrolle?) Können eigene Daten eingesehen werden? Vorsicht sehr schwieriges Authentisierungsproblem!!! Versteht der Benutzer (Normalbürger die (Ihre) Privacy Policy? Wurde die Policy überprüft? Was passiert bei Verstössen?!! 9

Datei: Methoden-IT-Sicherheitskonzept Methoden zur Erstellung eines IT-Sicherheitskonzepts IT-Sicherheitskonzept Sicherheitshandbuch Grundschutzhandbuch Abhängigkeiten der Sicherheitsmaßnahmen Stand der Technik Bedrohungslage Verarbeitungssystem Schutzbedarf der Daten Einzelfall Sicherheitsmaßnahmen Datei: AbhaengigkeitDerSicherheitsmass 10

Basismaßnahmen in lokalen Netzwerken Subnetz 1 Zentrale Server Subnetz 3 Datei: BasismassnahmenImNetz Subnetz 2 Sichere Übertragungswege Bildung von Subnetzen Starke Authentisierung Beschränkung der Dienste Protokollierung der Netzaktivitäten Verschlüsselungstechniken Gestaltung von Protokollen! 1. Wer hat wann mit welchen Mitteln was veranlasst bzw. worauf zugegriffen? 2. Wer hatte von wann bis wann welche Zugriffsrechte? Natürlich beachten wir das Datenschutzgesetz und treiben keinen Missbrauch mit Ihren Daten, Sie altes Ferkel, Sie! Randbedingungen: Umfang der Protokolldatei geeignete Tools zur Aus- wertung Datei: Gestaltungvon protokollen Morgens beim System-Admin Admin. 11

Aufbewahrungsdauer Allg. Löschregeln des BDSG Löschungspflicht 20 Abs. 2 BDSG Aufbewahrungsdauer richtet sich nach der Wahrscheinlichkeit, daß Unregelmäßigkeiten offenbar werden können Erfahrungsgmäß sollte 1 Jahr nicht überschritten werden bei gezielten Kontrollen schon früher Verwendung von Ringspeichern Datei: Aufbwahr Datenvermeidung und Datensparsamkeit Nach 3a BDSG Gestaltung und Auswahl von DV-Systemen an dem Ziel so wenig wie möglich personenbezogene Daten zu erheben, verarbeiten oder zu nutzen 12

Welche Prüfungsmöglichkeiten gibt es? Datenschutzaudit Zertifizierung durch das ULD in Kiel Quid! GmbH (Ver.di) Aber... Freiwillige Selbskontrolle!?? Hilfsmittel: Programme zur automatisierten Kontrolle von Sicherheitseinstellungen Beispiele: USEIT (BSI) oder für das Internet http://sad sad.inf..inf.fh-rhein-sieg.de/ Mitbestimmung Datei: Mitbestimmung01 - Verhaltens- oder Leistungskontrolle mit technischen Einrichtungen oder Leistungskontrolle mit technischen Einrichtungen - Mitbestimmungspflicht gemäß 75 Abs. 3 Nr.17 BPersVG oder 87 Abs. Nr.6 BetrVG erstreckt sich auf:...die Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen... 13

Rechte des Betroffenen Auskunft Berichtigung Sperrung Löschung Schadensersatz (Anrufung des BfD ) Datei: Rechte-des- Betr. 14

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback