Datensicherheit und -schutz aus informationstechnischer Sicht



Ähnliche Dokumente
Datenschutz als Qualitäts- und Wettbewerbsfaktor

Big Data, Amtliche Statistik und der Datenschutz

Welchen Weg nimmt Ihr Vermögen. Unsere Leistung zu Ihrer Privaten Vermögensplanung. Wir machen aus Zahlen Werte

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

Cloud Computing - und Datenschutz

Datenschutz - Ein Grundrecht

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Das Persönliche Budget in verständlicher Sprache

Informatik für Ökonomen II HS 09

Datenschutz online: Was helfen Gesetze?

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Gesetzesänderungen «Nominee», Entwurf

Datenschutz & Datensicherheit

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Datensicherheit. Datensicherheit. Datensicherheit. Datensicherheit

Internet- und - Überwachung am Arbeitsplatz

Werte und Grundsätze des Berufskodexes für interkulturell Dolmetschende. Ethische Überlegungen: Was ist richtig? Wie soll ich mich verhalten?

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

WAS finde ich WO im Beipackzettel

Datenschutz und Social Communities

Was meinen die Leute eigentlich mit: Grexit?

Informationen zum Thema Datensicherheit

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

Wechselbereitschaft von. Bevölkerungsrepräsentative Umfrage vom 09. Januar PUTZ & PARTNER Unternehmensberatung AG

Stammtisch Recklinghausen. Datenschutz gestern heute - morgen. Mark Spangenberg mark.spangenberg@googl .com

Der Schutz von Patientendaten

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Content Management System mit INTREXX 2002.

Datenschutz und neue Medien

Meine Daten. Mein Recht

Datenschutz und Datensicherheit in mittelständischen Betrieben

Vertrauen in Medien und politische Kommunikation die Meinung der Bürger

SharePoint Demonstration

Kundenleitfaden zur Sicheren per WebMail

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Anleitung zum DKM-Computercheck Windows Defender aktivieren

Was sind Soziale Netzwerke? Stelle dazu selbstständig Überlegungen an!

%HVRQGHUH$UWHQ3HUVRQHQEH]RJHQHU'DWHQ

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Selbstauskunft. Tiroler Bauernstandl GmbH Karin Schützler Eurotec-Ring Moers Deutschland. Foto. Name:

IT-Trend-Befragung Xing Community IT Connection

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Widerrufsbelehrung der Free-Linked GmbH. Stand: Juni 2014

Installation & Konfiguration AddOn Excel Export Restriction

Tag des Datenschutzes

Ist Fernsehen schädlich für die eigene Meinung oder fördert es unabhängig zu denken?

Datenschutz-Unterweisung

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Meine Lernplanung Wie lerne ich?

Abschluss und Kündigung eines Vertrages über das Online-Portal der Netzgesellschaft Düsseldorf mbh

Digitaler*Ausstellungsbegleiter*für*Mobilgeräte ** * * * Alter: Studiengang: Geschlecht: $ $ $ $ Datum: Falls%Ja,%welches? Falls%ja, %welches?

Die Post hat eine Umfrage gemacht

Nutzung dieser Internetseite

Einführung in die Datenerfassung und in den Datenschutz

Catherina Lange, Heimbeiräte und Werkstatträte-Tagung, November

Simulation LIF5000. Abbildung 1

Hans-Günter Rolff. Zielvereinbarungen

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Datensicherung und Wiederherstellung

Womit beschäftigt sich Soziologie? (1) Verschiedene Antworten:

Verbraucherinsolvenzverfahren & Restschuldbefreiung

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

Mail-Account Unimail mit der Einstellungen für Outlook Express 5.0

Gutes Leben was ist das?

Installation & Konfiguration AddOn Excel Export Restriction

Um dies zu tun, öffnen Sie in den Systemeinstellungen das Kontrollfeld "Sharing". Auf dem Bildschirm sollte folgendes Fenster erscheinen:

Grundzüge des Datenschutzes

! " # $ " % & Nicki Wruck worldwidewruck

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

SMS Marketing. Broschüre

Welche technischen Voraussetzungen sind für die Nutzung von Zertifikaten notwendig?

Drei Fragen zum Datenschutz im. Nico Reiners

Der Arbeitsrechtler. GHR Arbeitsrechtsteam. Vertrauen ist gut Kontrolle besser?

PRESman. Presentation Manager. Reduzieren Sie nachhaltig die Kosten für das. Erstellen, Verwalten und Verteilen Ihrer

Updatehinweise für die Version forma 5.5.5

Die Cloud der Gruppe Clubmädchen

Holiday plans: ein Gespräch über Urlaubspläne

Herr Müller möchte anderen Menschen helfen. Er bekommt kein Geld für diese Arbeit. Aber die Arbeit macht ihm Freude.

Erstellen einer in OWA (Outlook Web App)

Leichte-Sprache-Bilder

Gesetzliche Aufbewahrungspflicht für s

Berechtigungen im Kalender Anleitung für die Rechtevergabe im Outlook Kalender FHNW, Services, ICT

Die perfekte Bewerbung richtig schreiben online & klassisch

Schriftliche Opfererklärung und Rederecht

Steuern. Die elektronische Lohnsteuerkarte

Bürgerhilfe Florstadt

Hinweise zum Datenschutz, Einwilligungs-Erklärung

Zahlen und das Hüten von Geheimnissen (G. Wiese, 23. April 2009)

SEMINAR Modifikation für die Nutzung des Community Builders

Die Bundes-Zentrale für politische Bildung stellt sich vor

Hinweise zur Erbengemeinschaft Stand: 1. Januar 2009

Frage 11. Antwort 11. Bewegung ist sehr wichtig für die Entwicklung des Kindes. Frage 12. Antwort 12

Studie Autorisierungsverfahren Online-Banking n = 433, Befragungszeitraum: Februar bis März 2014

Geld Verdienen im Internet leicht gemacht

Transkript:

1 Datensicherheit und -schutz aus informationstechnischer Sicht Andreas Pfitzmann TU Dresden, Fakultät Informatik, D-01062 Dresden Nöthnitzer Str. 46, Raum 3071 Tel.: 0351/ 463-38277, e-mail: pfitza@inf.tu-dresden.de, http://dud.inf.tu-dresden.de/

Gliederung 2 Was bedeutet Datensicherheit? Was ist zu schützen? Vor wem ist zu schützen? Wie und wodurch kann Sicherheit erreicht werden? Vorausschau auf Schutzmechanismen Angreifermodell Blindes vs. Überprüfendes Vertrauen Was bedeutet Datenschutz? Wichtige Datensicherheitsaspekte im Mautumfeld Ich lokalisiere mich vs. Ich werde lokalisiert Ich empfange vs. Ich sende Ich werde identifiziert vs. Ich bleibe anonym Mir wird Berechtigung zugeordnet vs. Ich weise meine Berechtigung nach Wichtige Datenschutzaspekte im Mautumfeld Hilfssheriffisierung der Provider untergräbt Vertrauen Abhörschnittstellen Vorratsdatenspeicherung Freiwillige Teilnahme oder faktischer Benutzungszwang? Opt-in vs. Opt-out Balance gesucht Nutzen(verteilung) vs. Risiko(verteilung)

Bedrohungen und korrespondierende Schutzziele 3 Bedrohungen: 1) Informationsgewinn Schutzziele: Vertraulichkeit 2) Modifikation von Information Integrität 3) Beeinträchtigung der Funktionalität Verfügbarkeit für berechtigte Nutzer 1) nicht erkennbar, aber verhinderbar; nicht rückgängig zu machen 2)+3) nicht verhinderbar, aber erkennbar; rückgängig zu machen

Definitionen für die Schutzziele 4 Vertraulichkeit (confidentiality) Informationen werden nur Berechtigten bekannt. Integrität (integrity) Informationen sind richtig, vollständig und aktuell oder aber dies ist erkennbar nicht der Fall. Verfügbarkeit (availability) Informationen sind dort und dann zugänglich, wo und wann sie von Berechtigten gebraucht werden. - subsumiert: Daten, Programme, Hardwarestrukturen - es muss geklärt sein, wer in welcher Situation wozu berechtigt ist - kann sich nur auf das Innere eines Systems beziehen

Transitive Ausbreitung von Fehlern und Angriffen 5 Symbolerklärungen Rechner transitive Fehlerausbreitung Programm A benutzt B, um C zu entwerfen A B C Maschine X führt Programm Y aus Y X

Universelles Trojanisches Pferd 6 Handlungsanweisungen (verdeckter) Eingabekanal universelles (verdeckter) Ausgabe-Kanal Schreibzugriff Schreibzugriff Nichtterminieren Betriebsmittelverbrauch Informationsgewinn unbefugte Modifikation von Informationen Trojanisches Pferd Beeinträchtigung der Funktionalität

Vor wem ist zu schützen? 7 Naturgesetze und Naturgewalten - Bauteile altern - Überspannung (Blitzschlag, EMP) - Spannungsausfall - Überschwemmung (Sturmflut, Wasserrohrbruch) - Temperaturänderungen... Menschen - Außenstehende - Benutzer des Systems - Betreiber des Systems - Wartungsdienst - Produzenten des Systems - Entwerfer des Systems - Produzenten der Entwurfs- und Produktionshilfsmittel - Entwerfer der Entwurfs- und Produktionshilfsmittel - Produzenten der Entwurfs- und Produktionshilfsmittel der Entwurfs- und Produktionshilfsmittel - Entwerfer... Fehlertoleranz Trojanisches Pferd universell transitiv jeweils auch Benutzer, Betreiber, Wartungsdienst... des verwendeten Systems

Welche Schutzmaßnahmen gegen welche Angreifer 8 Schutz bzgl. Schutz vor Entwerfer und Produzent der Entwurfs- und Produktionshilfsmittel Entwerfer des Systems Produzenten des Systems Wartungsdienst Betreiber des Systems Benutzer des Systems Außenstehende Erwünschtes leisten Unerwünschtes verhindern Zwischensprachen; Zwischenergebnisse, die unabhängig analysiert werden wie oben + mehrere unabhängige Entwerfer unabhängige Analysen der Produkte Kontrolle wie bei neuem Produkt, s. o. physischen Zugriff beschränken, logischen Zugriff beschränken und protokollieren physischen und logischen Zugriff beschränken physisch vom System, kryptographisch von den Daten fernhalten physische Verteilung und Redundanz Unbeobachtbarkeit, Anonymität, Unverkettbarkeit: Erfassungsmöglichkeit unnötiger Daten vermeiden

Maximal berücksichtigte Stärke eines Angreifers 9 Geld Zeit Angreifermodell Schutz vor einem allmächtigen Angreifer ist unmöglich. Rollen des Angreifers (Außenstehender, Benutzer, Betreiber, Wartungsdienst, Produzent, Entwerfer ), auch kombiniert Verbreitung des Angreifers Verhalten des Angreifers passiv / aktiv beobachtend / verändernd (bzgl. seiner erlaubten Handlungen) dumm / intelligent Rechenkapazität: unbeschränkt: informationstheoretisch beschränkt: komplexitätstheoretisch

Beobachtender vs. verändernder Angreifer 10 die Welt die Welt Verbreitungsbereich des Angreifers betrachtetes IT-System Verbreitungsbereich des Angreifers betrachtetes IT-System beobachtender Angreifer verändernder Angreifer nur erlaubtes Verhalten auch verbotenes Verhalten

Blindes vs. Überprüfendes Vertrauen 11 Beispiele Mental Poker Massenspeicher: USB-Stick, Festplatte Blindes Vertrauen: Ich kann nicht überprüfen, ob mein Vertrauen gerechtfertigt ist bzw. war. Überprüfendes Vertrauen: Ich kann überprüfen, ob mein Vertrauen gerechtfertigt war... Und daran mein Verhalten anpassen. Vertrauen in die Wahrung von Vertraulichkeitseigenschaften ist nahezu immer blind, Vertrauen in die Wahrung von Integritätsund Verfügbarkeitseigenschaften ist typischerweise überprüfend.

Was bedeutet Datenschutz? 12 Umsetzung des Grundrechts auf Informationelle Selbstbestimmung: Jeder hat das Recht, grundsätzlich selbst zu bestimmen, wer bei welcher Gelegenheit was über ihn weiß. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. [ ] Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist. Hieraus folgt: Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Dieser Schutz ist daher von dem Grundrecht des Art 2 Abs. 1 in Verbindung mit Art 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Einschränkungen dieses Rechts auf "informationelle Selbstbestimmung" sind nur im überwiegenden Allgemeininteresse zulässig. BVerfG 15. Dez. 1983

Wichtige Datensicherheitsaspekte im Mautumfeld 13 Ich lokalisiere mich vs. Ich werde lokalisiert GPS mobilfunk- oder RFID-basiert Ich empfange vs. Ich sende GPS, Radio mobilfunk- oder RFID-basiert Ich werde identifiziert vs. Ich bleibe anonym Dig. Signaturen, Adressen, Dig. Pseudonyme, analoge Funkcharakteristika nur empfangen oder aufwendiger Schutz des Senders Mir wird Berechtigung vs. Ich weise meine Berechtigung zugeordnet nach aufbauend auf Identifizierung Tickets, umrechenbare Credentials

Wichtige Datenschutzaspekte im Mautumfeld 14 Hilfssheriffisierung der Provider untergräbt Vertrauen Abhörschnittstellen Vorratsdatenspeicherung Freiwillige Teilnahme oder faktischer Benutzungszwang? Opt-in vs. Opt-out

Balance gesucht 15 Nutzen(verteilung) vs. Risiko(verteilung) Innerhalb von Anwendungen Über Anwendungen und Infrastrukturen hinweg Schutz der strukturell Schwächeren Macht Know how (Infrastruktur)Nutzer

16 Gemeinsamer Rahmen für Datensicherheit und Datenschutz? Wäre sehr wünschenswert Durchaus denkbar: Mehrseitige Sicherheit

Mehrseitige Sicherheit 17 Jeder Beteiligte hat eigene Sicherheitsinteressen. Jeder Beteiligte kann seine Sicherheitsinteressen formulieren. Konflikte werden erkannt und Lösungen ausgehandelt. Jeder Beteiligte kann seine Sicherheitsinteressen in den ausgehandelten Lösungen durchsetzen. Sicherheit mit minimalen Annahmen über andere

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback