IT-Sicherheit - · PDF file Datenschutz und Datensicherheit WS 2015/2016 1 IT-Sicherheit Schutzziele und technisch-organisatorische Maßnahmen Vorlesung am

www.datenschutzzentrum.de

Datenschutz und Datensicherheit WS 2015/2016 1

IT-SicherheitSchutzziele und technisch-organisatorische

Maßnahmen

Vorlesung am 01.12.2015

Christian Prietz

Unabhängiges Landeszentrum für Datenschutz

Schleswig-Holstein, Kiel

[email protected]



Die 7 Regeln des Datenschutzes

1. Rechtmäßigkeit� Für jede Verarbeitung personenbezogener Daten ist eine rechtliche

Grundlage nötig� z.B. Gesetz, Vertrag, Einwilligung

2. Einwilligung� Einwilligung: Der Betroffene wurde umfassend informiert und hat

freiwillig eingewilligt

3. Zweckbindung

• Personenbezogene Daten dürfen nur für den Zweck verarbeitet werden für den sie erhoben wurden

4. Erforderlichkeit und Datensparsamkeit� Es dürfen nur die personenbezogenen Daten verwendet werden, die für

den jeweiligen Verarbeitungszweck erforderlich sind

� Sie müssen gelöscht werden, sobald sie nicht mehr erforderlich sind



Die 7 Regeln des Datenschutzes

5. Transparenz und Betroffenenrechte� Die Erhebung und Verarbeitung personenbezogener Daten muss

gegenüber Betroffenen transparent sein

� Betroffene haben das Recht auf Auskunft und Berichtigung sowie (eingeschränkt) auf Sperrung und Löschung

6. Datensicherheit

• Unberechtigte Zugriffe müssen durch technische und organisatorische Maßnahmen ausgeschlossen werden

7. Kontrolle

• Die Datenverarbeitung muss einer internen und externen Kontrolle unterliegen.



Materielles Datenverarbeitungsrecht (1)

• Grundsatz: Die Verarbeitung personenbezogener Daten ist ohne eine Legitimation unzulässig.

• Beispiele für materielles Datenverarbeitungsrecht:

• § 28 Abs. 1: Zur Abwicklung von Verträgen

• § 40 BDSG Datenverarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen

• §83 Betriebsverfassungsgesetz (Einsicht in Personalakten)



Materielles Datenverarbeitungsrecht (2)

• Im BDSG gibt relativ wenig konkrete Rechtsvorschriften zur Datensicherheit, die unmittelbare Beschreibungen enthalten (materielles Recht).

• Datensicherheitsrecht leitet sich im BDSG hauptsächlich aus dem § 9 und der Anlage zu § 9 ab.



Datensicherheit und Datenschutz

• Datensicherheit:

� Grundlage des Datenschutzes

� Schutz der Daten und ihrer Verarbeitung vor unberechtigten Zugriffen und/oder Zerstörung oder anderen Beeinträchtigungen

• Datenschutz:

� Schutz der Menschen vor Missbrauch ihrer personenbezogenen Daten

� Kontrolle des Einzelnen über seine personenbezogenen Daten



Datensicherheit

Wie wird das Thema Datensicherheit angegangen?



Schutzziele

• Abstrakte Formulierung von Anforderungen an technische und organisatorische Systeme

• Bieten Maßstäbe zur Entwicklung technischer und organisatorischer Infrastrukturen

• Bestandteil von Gesetzen und Verträgen

• Sind Grundlage für entsprechende Schutzmaßnahmen (Redundanz, Verschlüsselung etc.)

• erzeugen (mittels der ausgewiesenen Maßnahmen) Kontrollfähigkeit von Organisationen und Testbarkeit von Funktionen



Schutzziele

• Technische Schutzziele „CIA“� Vertraulichkeit (Confidentiality)� Integrität (Integrity)� Verfügbarkeit (Availability)� Authentizität *� Zurechenbarkeit *� Revisionsfähigkeit *

• Datenschutz Schutzziele � Intervenierbarkeit� Transparenz� Nicht-Verkettbarkeit

* nicht Prüfungsrelevant



Vertraulichkeit (Confidentiality)

Vertraulichkeit: Informationen dürfen nur Berechtigten bekannt werden.

Maßnahmen zur Sicherung der Vertraulichkeit:

� Verschlüsselung (Kryptographie, PGP)

� Verstecken von Informationen (Steganographie)

� Verhindern des Zugriffs auf Daten (Zugriffskontrolle)

� Sicheres Löschen/Entsorgungskonzept

Es geht also um die Frage:

Wer darf welche Daten lesen und von ihnen Kenntnis erlangen und unter welchen Voraussetzungen?



Verschlüsselung

Kryptographische Mechanismen, um Kommunikationsinhalte zu schützen

Ziel: Vertraulichkeit und/oder Authentizität

Folie von Andreas Pfitzmann



Steganographie

Steganographische Mechanismen, um Kommunikationsinhalte zu schützen

Ziel: Vertraulichkeit der Vertraulichkeit

Folie von Andreas Pfitzmann



Integrität (Integrity)

Integrität: Informationen sind richtig, vollständig oder aber dies ist erkennbar nicht der Fall.

Maßnahmen zur Sicherung der Integrität:

� Digitale Signaturen

� Hashwertbildung

� Protokollierung

Es geht also um die Frage:

Wer darf welche Daten bzw. IT Systeme ändern und unter welchen Bedingungen?



Verfügbarkeit (Availability)

Verfügbarkeit:Informationen sind zugänglich, wann und wo sie von Berechtigten gebraucht werden.

Maßnahmen zur Sicherung der Verfügbarkeit:

� Redundanz

� Backups

� Vermeiden von Single Points of Failure (durch Redundanz oder Diversität)



weitere technische Schutzziele

• Authentizität

� Möglichkeit der Überprüfung von Echtheit und Glaubwürdigkeit einer/s Person/Dienstes müssen gegeben sein (d.h. Daten können u.a. ihrem Ursprung zugeordnet werden)

� Byzantine Generals

� Maßnahme: digitale Signaturen

• Zurechenbarkeit

� Eine Aktion kann einem Kommunikationspartner eindeutig zugeordnet werden

� Maßnahme: digitale Signaturen

Nicht prüfungsrelevant



weitere technische Schutzziele

• Revisionsfähigkeit � Feststellbarkeit, wer wann welche Daten in welcher

Weise erhoben, verarbeitet oder genutzt hat

(Beispiele: § 6 LDSG-Sachsen-Anhalt, § 21 LDSG

M-V, § 10 LDSG-NRW)

Nicht prüfungsrelevant



Datenschutz Schutzziele

• Ähnlich wie in der IT Sicherheit

• Schutzziele zur Definition konkreter Anforderungen im Hinblick auf Datenschutzbelange und notwendige Maßnahmen

• Intervenierbarkeit

• Transparenz

• Nicht-Verkettbarkeit



Schutzziele §5 Abs. 1 LDSG SH

• Seit Januar 2012 sind Vertraulichkeit, Integrität, Verfügbarkeit, Intervenierbarkeit, Transparenz und Nicht-Verkettbarkeit aufgenommen im LDSG-SH

• § 5 Abs.1 Nr. 1-6

Die Ausführung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz im Sinne von § 3 Abs. 3 ist durch technische und organisatorische Maßnahmen sicherzustellen, die nach dem Stand der Technik und der Schutzbedürftigkeit der Daten erforderlich und angemessen sind. Sie müssen gewährleisten, dass



Schutzziele

1. Verfahren und Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß angewendet werden können (Verfügbarkeit),

2. Daten unversehrt, vollständig, zurechenbar und aktuell bleiben (Integrität),

3. nur befugt auf Verfahren und Daten zugegriffen werden kann (Vertraulichkeit),

4. die Verarbeitung von personenbezogenen Daten mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden kann (Transparenz),

5. personenbezogene Daten nicht oder nur mit unverhältnismäßig hohemAufwand für einen anderen als den ausgewiesenen Zweck erhoben, verarbeitet und genutzt werden können (Nicht-Verkettbarkeit) und

6. Verfahren so gestaltet werden, dass sie den Betroffenen die Ausübung der ihnen zustehenden Rechte nach den §§ 26 bis 30 wirksam ermöglichen (Intervenierbarkeit).



Schutzziele

• § 5 LDSG SH enthält also neben den aus der IT Sicherheit bekannten Schutzziele auch Schutzziele für Datenschutz

• Beschreiben konkrete Anforderungen im Hinblick auf Datenschutzbelange

• Diese Anforderungen sind dann durch entsprechende Maßnahmen umzusetzen

• Im Gegensatz zu Schutzzielen der IT Sicherheit nicht ausschließlich technisch umsetzbar/erreichbar

• Oftmals sind organisatorische Maßnahmen (flankierend) notwendigBsp.: Transparenz der DV -> bspw. Protokollierung und

geeignete Informationen über die DV



Security vs. Safety



• Gesamtsicherheit eines Systems ist abhängig von Security und Safety

• Beispiel: Bedrohungen der Verfügbarkeit

• Security:

� Schutz vor zielgerichteten und böswilligen Angriffen von innen und außen. (DDOS-Angriff, Spam etc.)

• Safety:

� Schutz vor technischem und/oder menschlichem Versagen. (Systemausfälle, Leitungsausfälle, Verschleiß, Bedienungsfehler,...)

Sicherheit = Security und Safety



Bedrohungen der Verfügbarkeit

Beispiele:

• Blockade der CPU durch Java-Applets (z.B. durch Endlosschleifen)

• Überschwemmen des Netzes mit E-Mails (SPAM)

• DDOS (Distributed Denial of Service)

• Hardware-Versagen (z.B. Festplatte)

• Stromausfall (Netzteil, Kühlung)

• Wasserschaden

Security-Bedrohungen

Safety-Bedrohungen



Gesetzliche Anforderungen



Welche Gesetz sind einschlägig?

• EU-Recht EU-Datenschutzrichtlinie (95/46/EG),

e-Privacy-Richtlinie (2002/58/EG)

• Nationale Gesetze

� Allgemeine Gesetze Bundesdatenschutzgesetz, Landesdatenschutzgesetze

� Spezielle Gesetze (z.B. sektorspezifisch)Telekommunikationsgesetz (TKG)

Telemediengesetz (TMG)

Sozialgesetzbuch (SGB)



Technischer Datenschutz / Systemdatenschutz

• Der Begriff “technischer Datenschutz / Systemdatenschutz” umfasst alle Vorkehrungen und Instrumente, d. h. alle technisch-organisatorischen Maßnahmen zur

Gewährleistung der Datensicherheit und zum Schutz der personenbezogenen Daten.

• Er dient dem Schutz auf informationelle Selbstbestimmung und umfasst auch die technisch-organisatorische Umsetzung der Prinzipien von Datenvermeidung undDatensparsamkeit.



Technische und organisatorische Maßnahmen

§ 9 BDSG Technische und organisatorische Maßnahmen

Öffentliche und nichtöffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischenMaßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.




Anlage (zu § 9 Satz 1 BDSG)Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

Maßnahmenbeispiele� Chipkartensysteme� Biometrische Zutrittskontrollsysteme� Besuchermanagement� Schlüssel, Zäune etc.




2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

Maßnahmenbeispiele� Kennwortgeschützte IT Systeme

� Biometrische Systeme

� Entsorgungsprozess

� Firewalls




3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

Maßnahmenbeispiele� Berechtigungssystem (logische Zugriffskontrolle)

� Schlüssel, Zäune etc. (physikalische Zugriffskontrolle)




4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

Maßnahmenbeispiele� Verschlüsselung

� Protokollierung




5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

Maßnahmenbeispiele� Protokollierung

� Zeitlich und personell gebundene Zugriffsrechte




6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

Maßnahmenbeispiele� Verträge

� Vorortkontrollen/Audits




7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

Maßnahmenbeispiele� Redundanz

� Backups

� Wartung

� Patch- und Updatemanagement




8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Maßnahmenbeispiele� Keine abteilungsübergreifende Datennutzung

� rollenbasierte Zugriffsberechtigungen



Weitere technische und organisatorische Maßnahmen

• „Datenschutzfreundliche“ Prozessmodellierung

• Klare Rollen- und Stellenkonzepte

• Umfassende und klare Dokumentation

• Löschen

� Fragen: Wie muß ein solcher Löschvorgang ausgestaltet sein? Stichwort: sauberes Löschen

� Was ist sauberes Löschen und wie kann es realisiert werden?

• Test und Freigabe

• Sicherheits- und Risikoanalysen

• Regelmäßige Checks relevanter Systeme



Allgemeine Datenschutzanforderungen nach §3a BDSG

• Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen.

• Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.



Allgemeine Datenschutzanforderungen nach §3a BDSG

• Beispiele: • Prepaid-Verfahren,

• Protokolldateien,

• medizinische Forschung,

• Biobanken,

• IP-Adressen (Beispiele: Targeting, Suchmaschinen).



Zusammenfassung

• Recht auf informationelle Selbstbestimmung ist wichtiges Gut (Datenschutz = Grundrechtsschutz)

• Schutzziele als Grundlage für technisch-organisatorische Maßnahmen und deren Bewertung

• Es existieren eine Vielzahl von technischen und organisatorischen Maßnahmen

• Abstrakte Darstellung in der Anlage zu §9 BDSG

• Konkrete Ausgestaltung (Maßnahmen) notwendig



Vielen Dank



Quellen- und Herkunftsnachweis

• Rost, Pfitzmann: „Datenschutz-Schutzziele – revisited“, DuD 6/2009

• Rost, Speck: „Modellgestützte Validierung von WebService-Ketten“, DuD 1/2008

• Dieser Vortrag enthält darüber hinaus Folien von Andreas Pfitzmann (TU Dresden), Marit Hansen (ULD), Thomas Probst (ULD) und Martin Rost (ULD)

Documents

IT-Sicherheit - · PDF file Datenschutz und Datensicherheit WS 2015/2016 1 IT-Sicherheit Schutzziele und technisch-organisatorische Maßnahmen Vorlesung am