Informationssicherheit 2018

Verschlüsselung -

DIE Schutzmaßnahme für Datensicherheit.

Dienstag, 27. März 2018

Andreas Pieri

Informationstechnik 2018

Staubsaugen 2018

Quelle: iRobot.com

Einkaufen 2018

Quelle: Rewe.de

Medizin 2018

Quelle: goettinger-tageblatt.de

Kommunikation 2018

Quelle: Instagram

Industrie 2018

Quelle: Linde.com

IT - Infrastruktur 2018

Autofahren 2018

Schöne neue Welt?

Quelle: Mercedes-Benz.com

Informationssicherheit 2018

Informationssicherheit 2018

Quelle: Spiegel.de

Informationssicherheit 2018

Quelle: BR.de

Informationssicherheit 2018

Quelle: SZ.de (Foto: Regina Schmeken)

Informationssicherheit 2018

Informationssicherheit 2018

Überwachung 2018

Informationssicherheit 2018 - Der Gesetzgeber greift ein

Kurztitel: Datenschutz-Grundverordnung

Rechtsnatur: Verordnung

Geltungsbereich: Europäische Union

Rechtsmaterie: Datenschutzrecht

Veröffentlichung: 4. Mai 2016

Inkrafttreten: 24. Mai 2016

Anzuwenden ab: 25. Mai 2018

Ersetzt Richtlinie 95/46/EG (Datenschutzrichtline)

Zentrale Inhalte - DSGVO

Artikel 5 - Grundsätze für die Verarbeitung

(1) Verarbeitung muss…Rechtmäßig, Datenmindernd, Richtig,

Integer & Vertraulich…sein

(2) Nachweisbar (Rechenschaftspflicht)

Artikel 25 - Datenschutz durch Technikgestaltung

(1) ... geeignete technische ... Maßnahmen…wie z. B. Pseudonymisierung-...,

die dafür ausgelegt sind, die Datenschutzgrundsätze...wirksam umzusetzen ...

Zentrale Inhalte - DSGVO

Artikel 32 – Sicherheit der Verarbeitung

(1).. geeignete technische und organisatorische Maßnahmen, ... ; diese

Maßnahmen schließen unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit

der Systeme ... auf Dauer sicherzustellen; ...

2) Bei der Beurteilung des angemessenen Schutzniveaus sind ... Risiken zu

berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch

... unbefugten Zugang zu ... Daten, ...

Zentrale Inhalte - DSGVO

Artikel 33 & 34 - Meldung von Verletzungen

(1) Im Falle einer Verletzung des Schutzes …unverzüglich..möglichst binnen 72

Stunden, der ... Aufsichtsbehörde ...(melden)

…..

(3) Die Benachrichtigung...ist nicht erforderlich, wenn...

a) ... Daten ..., unzugänglich gemacht werden, etwa durch Verschlüsselung

Zentrale Inhalte - DSGVO

Artikel 83 - Bedingungen für Verhängung von Geldbußen

(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen ...

in jedem Einzelfallwirksam, verhältnismäßig und abschreckend ist.

.....

(5) Bei Verstößen gegen die folgenden Bestimmungen ... werden ... Geldbußen

von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 %

seines gesamten weltweit erzielten Jahresumsatzes ... verhängt, je nachdem,

welcher der Beträge höher ist:

Zusammenfassung Datenschutz-Grundverordnung

- Nur Verarbeiten was angemessen ist!

- Datenschutz durch Organisation und Technik:

Verschlüsselung , Pseudonymisierung, Zugriffsschutz

- Empfindliche Strafen:

Veröffentlichungspflicht, abschreckende Geldstrafen

Ist die Welt damit sicherer?

Es gibt keine Sicherheit,

nur unterschiedliche Grade der Unsicherheit(Anton Tschechow)

Was tun?

"Verschlüsselung funktioniert!

Sauber implementierte,

starke Verschlüsselung ist eines der

wenigen Dinge, auf die man sich noch

verlassen kann."

Datenschutz-Grundverordnung

- Verschlüsselung

- Zugriff

BENUTZERANFORDERUNGENUmgebung – Risiken – Schutzmassnahmen

UMGEBUNG

Personen – Daten – Prozesse

MENSCHEN

Mitarbeiter - 3rd parties –externe Mitarbeiter

DATA LOCATIONS

DB – File – Folder – VM –Network

RISIKOMANAGEMENT UND MENSCHENVERSTAND

DATEN TYPEN

HR – Credit Card – Health Care –Geistiges Eigentum –

Börsenrelevante Daten

RISIKEN

Wie angehen?

ERFORDERLICHE KOMPONENTEN

Schützen und besitzen

der Encryption Keys

Zentrales Management

für Keys und Policies

Strong Key

Management

AuthentifizierungSicherstellen das nur

authorisierte Benutzer

und Dienste Zugriff haben

Access Control

At-Rest im Storage

In-Motion im Netzwerk

On-Premises und in der

Cloud

Verschlüsseln der

sensiblen Daten

ZUGRIFF REGELNWer & Was kann auf sensible Daten zugreifen

DATEN SCHÜTZENDatenorientierte Schutzmassnahmen

1 2

S a f e N e t T r u s t e d A c c e s s

Orchestration / Business Logic

Policy Management Risk Assessment Session Management

OTP Push KerberosPKIWindows

HelloPassword

AUTHENTICATION CONTEXT

Network

logonCloud IT

Legacy

Web VDI

GEOFENCING

3rd PartyFIDO

*

* Coming soon

***

Gemalto Verschlüsselung auf allen Ebenen

Applikation

Datenbank

Speicher

Transport

• Eigene Applikation

• Standard Applikation

• TDE

• Tokenisation

• File/Folder

• Virtuelle Maschinen

• Cloud

• Archive

• LAN

• WAN

Key Lifecycle Management

$

Keys getrennt und unkopierbar

Gemalto Hardware Security Module (HSM)

Gemalto Identity & Data Protection Portfolio

ENCRYPTIONKEY MANAGEMENT

AND PROTECTION

IDENTITY AND ACCESS

MANAGEMENT

• Data-at-rest encryption

• Data-in-motion encryption

• Enterprise key lifecycle management

• High assurance key protection

• HSM orchestration and crypto operations

• Access management

• Multi-factor authentication

• PKI credential management

Hybrid

On-PremisesHardware or Software

On DemandCloud-based | as-a-Service

CO

NS

UM

PT

ION

MO

DE

LS

UN

IFIE

D D

AT

A

SE

CU

RIT

Y S

OL

UT

ION

S

Digital Payments &Transactions

Compliance EnterpriseSecurity

Internet ofThings

Big Data CloudPR

OT

EC

T

AN

YT

HIN

G

Integrationen

Vielen Dank!

Andreas.pieri@gemalto.com