IT Sicherheit: Einleitung & Grundbegriffe · Personalia / Formalia Meine Person I B uro: CASED (S4/14), Raum 4.3.04 I Telefon: +49 6151 16 70478 I Sprechstunde: nach Vereinbarung

IT Sicherheit:Einleitung & Grundbegriffe

Dr. Christian Rathgeb

Hochschule Darmstadt, CASED, da/sec Security Group

14.10.2015

Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 1/54

Personalia / Formalia

Leitung und Unterlagen

I VO-Leiter (Gruppe C): Rathgeb

I PR-Leiter: Balyschew / Gohring / Scherhag / Wagner

I Email-Adressen:[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

I URL der Lehrveranstaltung:https://www.dasec.h-da.de/teaching/

it-sicherheit-dr-rathgeb-ws20152016/

(Folien und Praktikumsblatter)


[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

https://www.dasec.h-da.de/teaching/it-sicherheit-dr-rathgeb-ws20152016/

https://www.dasec.h-da.de/teaching/it-sicherheit-dr-rathgeb-ws20152016/


Meine Person

I Buro: CASED (S4/14), Raum 4.3.04

I Telefon: +49 6151 16 70478

I Sprechstunde: nach Vereinbarung per Mail

I Personliche URL:https:

//www.dasec.h-da.de/staff/christian-rathgeb/


https://www.dasec.h-da.de/staff/christian-rathgeb/

https://www.dasec.h-da.de/staff/christian-rathgeb/


Termine und Ablauf

I Termine Vorlesung und Praktikum: 18 + 5, siehe OBS(5 Aufgabenblatter)

I Praktikum:

I Anwesenheitspflicht

I Bearbeitung der Aufgaben in 2er-Gruppen

I Bearbeitung der Aufgaben vor dem Praktikum

I Prufungsvorleistung: Testate aller Praktikumsaufgaben



Umgang mit Linux Betriebssystem

I Praktikumsaufgaben erfordern den Umgang mit LinuxBetriebssystem

I Empfehlung: Kali Linux VM-Image

I Kali Linux: Link auf Website und USB-Sticks

I Linux Tutorium (Skript) und Termine auf Website derLehrveranstaltung

I Erster Termin: heute, 16:00-17:30, D14/303



Inhalt der Vorlesung

I Kapitel-Ubersicht:

1. Einleitung & Grundbegriffe

2. Kryptologie

3. Netzwerksicherheit

4. Authentisierung

5. Biometrie

6. IT-Forensik

7. Bewertungskriterien

8. IT-Sicherheitmanagement


Einleitung

Aktuelle Angriffe

Beinahe taglich werden sicherheitskritische Schwachstelle von undAngriffe auf informationsverarbeitende Systeme veroffentlicht(vgl. www.heise.de/security)

I Aktuell: Sicherheitslucke in TeamSpeak-Desktop-Clienterlaubt es Angreifern, Dateien auf Client-PCs hochzuladen.

I Mai 2015: Interne Daten des Bundestags werden durchTrojaner abgezweigt.

I Anfang 2015: Mutmaßliche Anonymous-Anhanger drohen mitAttacken gegen die Islamkritiker Pegida.


www.heise.de/security

Einleitung

Motivation fur Angriffe

Klassische Angreifer:

I White-Hacker : Aufdecken von Sicherheitslucken

I Geheimdienste: Spionage, Sabotage und Uberwachung

I Unternehmen: Wirtschaftsspionage (Zusammenarbeit mitGeheimdiensten)

Neuere Entwicklungen:

I Cracker : Etablierung einer stark professionalisiertenSchattenwirtschaft

I Whistleblower : Veroffentlichung geheimer Informationen


Einleitung

Schattenwirtschaft

Mit erfolgreichen Angriffen lasst sich viel Geld verdienen, z.B.:

I Abgreifen von Kreditkarteninformationen (Warenkreditbetrug)

I Phishing-Angriffe im Bereich Online-Banking

Daruber hinaus gibt es einen etablierten Schwarzmarkt furVerwundbarkeiten von IT-Systemen (Exploits).


Einleitung

Angriffsarten

Wir erleben unterschiedliche Arten von Angriffen:

I Ungezielte Angriffe, z.B. uber Massenmails, mit denen Viren,Wurmer und Trojaner versandt oder Phishing-Angriffedurchgefuhrt werden.

I Gezielte Angriffe, z.B. zur Sabotage und Spionage, die aufbestimmte Institutionen gerichtet sind (DDoS-Angriffe aufstaatliche Infrastrukturen).


Einleitung

Schwachstellen in Software

Einer der Grunde fur erfolgreiche Angriffe ist die Fehleranfalligkeitvon Software:

I Heutige Betriebssysteme haben ca. 90.000.000 ZeilenSource-Code

I Untersuchungen zeigen: Fehlerquote liegt bei ca. 0.25%

I Also ca. 200.000 potentiell ausnutzbare Fehler

I Hinzu kommt die Anwendungssoftware


Grundbegriffe

Grundlegende Begriffe

Definition und Prazisierung der Begriffe

I Information und Daten

I IT-System und IT-Verbund

I Sicherheit (Betriebs- und Informationssicherheit)

I Bedrohung, Gefahrdung, Angriff, Risiko

I Schutzziele (z.B. Vertraulichkeit, Integritat, Verfugbarkeit)

I Datenschutz

I Privacy by Design


Grundbegriffe

Motivation

Informationen sind schutzenswerte Guter, z.B. hinsichtlich

I Verlust des informationellen Selbstbestimmungsrechts(Datenschutz): Informationen uber Krankheiten, Einkommen

I finanzieller Verluste: Geschaftsgeheimnissen, Vertragen,Zugangsdaten zum Online-Banking

I personlicher Unversehrtheit: Fehlfunktionen medizinischerUberwachungsgerate, Verkehrsleitsysteme

Informationelles Selbstbestimmungsrecht

Das Recht auf informationelle Selbstbestimmung ist das Recht desEinzelnen, grundsatzlich selbst uber die Preisgabe und Verwendungseiner personenbezogenen Daten zu bestimmen.


Grundbegriffe

Information

Definition des Begriffs Information nach deutschem Duden:

1 das Informieren; Unterrichtung uber eine bestimmte Sache;Kurzwort: Info

2a [auf Anfrage erteilte] uber alles Wissenswerte in Kenntnissetzende, offizielle, detaillierte Mitteilung uber jemanden,etwas

2b Außerung oder Hinweis, mit dem jemand von einer [wichtigen,politischen] Sache in Kenntnis gesetzt wird

Eine Information hat fur den Empfanger einen Neuigkeitsgehalt.

Ihre Form kann unterschiedlich sein: gesprochen, geschrieben,gedacht, elektronisch.


Grundbegriffe

IT- und Informationssicherheit

I Informationssicherheit: Sicherheit bzgl. Informationen,unabhangig von ihrer Reprasentation

I IT- Sicherheit: Sicherheit bzgl. Schutz der elektronischenInformationen

I IT-Sicherheit bildet somit ein Teilgebiet derInformationssicherheit!


Grundbegriffe

Daten

Daten sind Reprasentationen von Informationen, z.B.

I als Bytefolge gespeichert auf einer Festplatte

I als Netzwerkpaket bei der Ubertragung uber das Internet

Interpretation der Daten ergibt die Information:

I Beispiel: Daten in Bytefolge ASCII (hex): 44 31 34

I Information (interpretiert): D14

I ASCII (hex): 44 → Buchstabe (D)


Grundbegriffe

IT-System

Ein IT-System ist ein dynamisches technisches System mit derFahigkeit zur Speicherung und Verarbeitung von Daten.

Beispiele:

I Computer, Tablets, Smartphones

I Router, Switches, Netze

I Drucker, Scanner


Grundbegriffe

IT-Verbund

Ein Informationsverbund (oder IT-Verbund) ist die Gesamtheit voninfrastrukturellen, organisatorischen, personellen und technischenObjekten, die der Aufgabenerfullung in einem bestimmtenAnwendungsbereich der Informationsverarbeitung dienen.

Ein IT-Verbund kann verschiedene Auspagungen haben.

Beispiele:

I eine gesamte Institution (z.B. Firma, Behorde)

I einzelne Bereiche einer Institution, die in organisatorischeStrukturen (z.B. Abteilungen) gegliedert sind


Grundbegriffe

Sicherheit

Sicherheit ist der Schutz vor negativen Konsequenzen ausvorsatzlichen und berechtigten Handlungen.

Bzgl. IT-Systeme unterschiedet man zwei Arten von Sicherheit:

I Schutz vor negativen Konsequenzen aus berechtigtenHandlungen: Betriebssicherheit/Funktionssicherheit(engl. Safety)

I Ist-Funktionalitat stimmt mit der spezifiziertenSoll-Funktionalitat uberein (alles lauft wie geplant)

I Schutz vor negativen Konsequenzen aus vorsatzlichenHandlungen: Informationssicherheit (engl. Security)

I Resistenz gegenuber Angriffen (keine unautorisierteInformationsveranderung oder -gewinnung moglich)


Grundbegriffe

Pravention

Kernbestandteil von Betrachtungen uber Sicherheit ist in ersterLinie Pravention.

Beispiele:

I Physikalische Sicherheitsmerkmale auf Geldscheinen(Ziel Falschungssicherheit), wie z.B. Wasserzeichen, Infrarot-und UV-Farben

I Verschlusselung von Dokumenten, E-Mails


Grundbegriffe

Schutzziele

Klassische Schutzziele:

I Vertraulichkeit (engl. Confidentiality)

I Integritat (engl. Integrity)

I Authentizitat (engl. Authenticity)

I Nichtabstreitbarkeit (engl. Non-Repudiation)

I Verfugbarkeit (engl. Availability)

Schutzziele bzgl. Datenschutz:

I Anonymitat

I Pseudonymitat


Grundbegriffe

Beispiel I

I Alice sendet die Nachricht”Hallo Bob, heute um 10 Uhr bei

mir? Alice“ an den Empfanger Bob.

I Wir betrachten nun folgende Szenarien:

1. Lauscherin Eve hort diese Nachricht ab.

2. Angreiferin Eve andert die Nachricht auf”Hallo Bob, heute

um 12 Uhr bei mir? Alice“ und sendet diese an Bob.

3. Angreiferin Eve andert die Nachricht auf”Hallo Bob, heute

um 10 Uhr bei mir? Anne“ und sendet diese an Bob.(Signatur wird verandert)


Grundbegriffe

Beispiel II

4. Eve sendet”Ich bin Alice“ an Bob. (Vortauschung anderer

Identitat)

5. Alice behauptet im Nachhinein, dass 9 Uhr die vereinbarteZeit war.

6. Eve sendet nichts an Bob. (Nachrichtentransport wirdabgebrochen – Denial of Service)

I Aus den gegebenen Szenarien lassen sich verschiedeneSchutzziele ableiten!


Grundbegriffe

Schutzziel Vertraulichkeit

Vertraulichkeit soll sicherstellen, dass Informationen nurautorisierten Personen zuganglich sind.

Maßnahmen zur Umsetzung des Schutzziels Vertraulichkeit:

I Kryptographische Verschlusselungsverfahren

I Uberbringen von Dokumenten durch vertrauenswurdigenKurier

I Zutrittsregeln (Gebaudesicherung, Raumsicherung)

I Zugriffskontrollen (geeignete Leserechte fur gespeicherteDateien/Verzeichnisse)


Grundbegriffe

Schutzziel Integritat

Unter Integritat versteht man die Vollstandigkeit undUnverfalschtheit der Daten fur den Zeitraum, in dem sie von einerautorisierten Person erstellt, ubertragen oder gespeichert wurden.Darin sind sowohl absichtliche als auch unabsichtliche, z. B. durchtechnische Fehler verursachte, Veranderungen enthalten.

Maßnahmen zur Umsetzung des Schutzziels Integritat:

I Kryptographische Hashfunktionen, etc.

I Sichere Aufbewahrung von Kopien zum spateren Abgleich mitdem Original

I Zugriffs- und Zutrittsregeln


Grundbegriffe

Schutzziel Datenauthentizitat

Die Authentizitat von Daten ist gewahrleistet, wenn der Urheberder Daten vom Empfanger eindeutig identifizierbar und seineUrheberschaft nachprufbar ist. Dies beinhaltet auch die Integritatder Daten.

Maßnahmen zur Umsetzung des Schutzziels Datenauthentizitat:

I elektronische Signaturen

I handisches Unterschreiben eines Dokumentes

I personliche Ubergabe von Daten


Grundbegriffe

Schutzziel Instanzauthentizitat

Ein Objekt oder Subjekt wird als authentisch bezeichnet, wenndessen Echtheit und Glaubwurdigkeit anhand einer eindeutigenIdentitat und charakteristischer Eigenschaften uberprufbar ist.

Maßnahmen zur Umsetzung des Schutzziels Instanzauthentizitat:

I Benutzername/Passwort

I Challenge-Response-Protokolle

I Ableich der Identitat auf Basis hoheitlicher Dokumente(Reisepass, Personalausweis)


Grundbegriffe

Schutzziel Nichtabstreitbarkeit

Die Nichtabstreitbarkeit von Daten ist gewahrleistet, wenn derErsteller der Daten die Erzeugung im Nachhinein nicht abstreitenkann (gerade auch gegenuber Dritten).

Maßnahmen zur Umsetzung des Schutzziels Nichtabstreitbarkeit:

I elektronische Signaturen

I handische Unterschrift

I Nutzung vertrauenswurdiger Zeugen (z.B. Notar)


Grundbegriffe

Schutzziel Integritat, Authentizitat, Nichtabstreitbarkeit

Abgrenzung der Begriffe Integritat, Authentizitat undNichtabstreitbarkeit:

I Offensichtlich gilt:

I Aus der Nichtabstreitbarkeit folgt die Authentizitat

I Aus der Authentizitat folgt die Integritat

I Die Umkehrung gilt im Allgemeinen nicht:

I Sicheres Aufbewahren einer Kopie zum spateren Abgleich sorgtfur die Integritat, es kann damit aber nicht festgestellt werden,wer die Daten erzeugt hat; Integritat ; Authentizitat

I Bei einer personlichen Ubergabe weiß der Empfanger, von wemer die Daten hat, kann dies aber gegenuber einem Drittennicht nachweisen; Authentizitat ; Nichtabstreitbarkeit


Grundbegriffe

Schutzziel Verfugbarkeit

Ein IT-System gewahrt Verfugbarkeit, wenn autorisierte Subjektein der Wahrnehmung ihrer Berechtigungen nicht unautorisiertbeeintrachtigt werden konnen.

Die Messung der Verfugbarkeit erfolgt nach folgender Formel:

Verfugbarkeit =Gesamtlaufzeit− Ausfallzeit

Gesamtlaufzeit

Maßnahmen zur Umsetzung des Schutzziels Verfugbarkeit:

I Datensicherung

I Vertretungsregeln

I Unterbrechungsfreie Stromversorgung


Grundbegriffe

Schutzziele Anonymitat und Pseudonymitat

I Anonymitat: Personenbezogene Daten werden so verandert,dass diese nicht oder nur mit unverhaltnismaßigem Aufwandeiner Person zugeordnet werden konnen.

I Pseudonymitat: Personenbezogene Daten werden soverandert, dass diese nur unter Kenntnis derZuordnungsvorschrift einer Person zugeordnet werden konnen.


Grundbegriffe

Anonymitat, Pseudonymitat

Abgrenzung der Begriffe Anonymitat, Pseudonymitat

I Beispiel fur Anonymitat

I Geheime Abstimmung bei Wahlen: Zuordnung zwischenWahlzettel und Wahler ist nicht moglich

I Beispiel fur Pseudonymitat

I E-Mail Adresse: Kommunikationspartner kennen nicht die realeIdentitat (aber der Dienstanbieter)


Grundbegriffe

Authentisierung, Authentifizierung

Abgrenzung der Begriffe Authentisierung, Authentifizierung(beide engl. authentification):

I Authentisierung: Nachweis der Identitat

I Ich weise mich durch Eingabe meinesBenutzernamens/Passwortes aus

I Ich weise mich mit meinem Personalausweis aus

I Authentifizierung: Prufung des Nachweises

I Benutzername/Passwort wird gepruft

I Personalausweis und Verknupfung mit meiner Person werdengepruft

Nach der Authentifizierung ist das Subjekt autorisiert entsprechendseiner Berechtigungen zu arbeiten.


Grundbegriffe

IT-Sicherheit

Ziel der IT-Sicherheit ist die Verfugbarkeit der Daten, Dienste undAnwendungen zu gewahrleisten, sowie die Integritat undVertraulichkeiten der Daten sicher zu stellen.

Hierzu benotigen wir ein Verstandnis fur die Begriffe,

I Gefahr, Bedrohung, Gefahrdung

I Schwachstelle

I Angriff

I Schadensszenario

I Risiko


Grundbegriffe

Gefahr

Eine Gefahr ist ein Sachverhalt, bei dem ohne konkreten zeitlichen,raumlichen oder personellen Bezug bei ungehindertem Ablauf deszu erwartenden Geschehens in absehbarer Zeit mit hinreichenderWahrscheinlichkeit ein Schaden fur ein schutzwurdiges Guteintreten wird.

Beispiele hierfur sind (ohne besonderen Bezug zur IT-Sicherheit):

I Beispiel: Hochwasser(Gefahr fur Leib und Leben, finanzieller Verlust)

I Beispiel: Pest (Gefahr fur Leib und Leben)


Grundbegriffe

Bedrohung

Eine Bedrohung ist eine Gefahr mit zeitlichem, raumlichem oderpersonellem Bezug zu einem Schutzziel.

Kurz: Bedrohungen sind potentielle Gefahren

I Beispiel: Hochwasser ist eine Bedrohung fur Leib und Lebenvon Menschen an der Nordsee(aber nicht in Darmstadt)

I Pest ist eine Gefahr fur Leib und Leben, aber keine Bedrohung(der Pesterreger ist ausgestorben)


Grundbegriffe

Gefahrdung

Eine Gefahrdung bezieht sich ganz konkret auf eine bestimmteSituation oder auf ein bestimmtes Objekt und beschreibt dieWahrscheinlichkeit, mit der eine potenzielle Gefahr (d.h.Bedrohung) zeitlich oder raumlich auftritt.

Anders ausgedruckt: Trifft eine Bedrohung auf eine Schwachstelle(z.B. technische oder organisatorische Mangel), so entsteht eineGefahrdung.

I Beispiel: bei zu niedrigen Deichen ist Hochwasser eineGefahrdung fur Leib und Leben von Menschen an der Nordsee


Grundbegriffe

Gefahrdungskategorien

Gefahrdungen finden sich ublicherweise in folgenden Kategorien:

I Hohere Gewalt (z.B. Hochwasser, Blitzeinschlag, globalerStromausfall)

I Technische Fehler (z.B. defekte Datentrager, Ausfall einerDatenbank)

I Fahrlassigkeit (z.B. Nichtbeachtung von Sicherheits-maßnahmen, ungeeigneter Umgang mit Passwortern)

I Organisatorische Mangel (z.B. fehlende oder unzureichendeRegelungen, nicht erkannte Sicherheitsvorfalle)

I Vorsatzliche Handlungen (z.B. Abhoren und Manipulation vonLeitungen, Schadprogramme, Diebstahl)


Grundbegriffe

Angriff

Ein Angriff bezeichnet einen unautorisierten Zugriff bzw.Zugriffsversuch auf ein IT-System oder eine Information.

Technische Angriffe lassen sich in zwei Kategorien unterteilen:

I Passive Angriffe: Zielen auf Informationsgewinnung(Schutzziel Vertraulichkeit)z.B. durch Abhoren von Datenleitungen

I Aktive Angriffe: Zielen auf Informationsveranderung(Schutzziel Integritat und Verfugbarkeit)z.B. Vortauschen einer falschen Identitat, um Zugriff auf einSystem zu erhalten


Grundbegriffe

Schadensszenario

Das Brechen der definierten Schutzziele (erfolgreicher Angriff aufein IT-Systeme durch Ausnutzen einer Schwachstelle) kannunterschiedliche Schaden verursachen.

Ublich ist die Einteilung in folgende Schadensszenarien:

I Beeintrachtigung des informationellenSelbstbestimmungsrechts

I Beeintrachtigung der personlichen Unversehrtheit

I Beeintrachtigung der Aufgabenerfullung

I Negative Innen- oder Außenwirkung

I Finanzielle Auswirkungen


Grundbegriffe

Risiko I

Ein Risiko ist das Produkt aus Eintrittswahrscheinlichkeit einesEreignisses und dessen Konsequenz, bezogen auf die Abweichungdes gesteckten Zieles.

In Bezug auf IT-Sicherheit, das Produkt aus

I Wahrscheinlichkeit dafur, dass ein Schutzziel gebrochen wird,und

I Hohe des Schadens, der sich daraus ergibt

Die Bestimmung der Risiken hilft bei der Priorisierungumzusetzender Maßnahmen


Grundbegriffe

Risiko II

Risiko = Eintrittswahrscheinlichkeit · Schadenshohe

Eintrittswahrscheinlichkeit und Schadenshohe lassen sich nurschwer quantifizieren.

I Eintrittswahrscheinlichkeit: Welche Mittel ein Angreifereinsetzt

I hangt von seiner Motivation ab

I ist nicht nur abhangig von finanziellen Gewinnaussichten,sondern teilweise auch vom personlichen Ergeiz(z.B. Whistleblower)

I Schadenshohe: Abschatzung, welche Folgen ein Angriff hat

I hangt von der konkreten Institution ab

I meist sind mehrere Schadensszenarien betroffenDr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 42/54

Grundbegriffe

Risiko III

Risiko = Eintrittswahrscheinlichkeit · Schadenshohe

Folgende Vereinfachung(nicht quantitative, sondern qualitative Bewertung):

I Klassifiziere Eintrittswahrscheinlichkeit inniedrig (1), mittel (2), hoch (3)

I Klassifiziere Schadenshohe inniedrig (1), mittel (2), hoch (3)

I Werte fur das Risiko: 1 (unbedeutend) bis 9 (kritisch)


Grundbegriffe

Rechtliche Rahmen

IT-Sicherheit sollte nicht nur im Eigeninteresse einer Institutionumgesetzt werden.

Vielfach fordern Gesetze die Umsetzung geeigneterIT-Sicherheitsmaßnahmen, z.B.:

I Bundesdatenschutzgesetz und Datenschutzgesetze derBundeslander

I Gesetz zur Kontrolle und Transparenz imUnternehmensbereich

I Teledienstedatenschutzgesetz

I Telekommunikationsgesetz


Grundbegriffe

Datenschutz

Mit Datenschutz wird der Schutz personenbezogener Daten vorMissbrauch durch Dritte bezeichnet.

I Die Privatsphare jedes Einzelnen soll geschutzt werden.

I Rechtlicher Ausgangspunkt ist das Grundrecht aufinformationelle Selbstbestimmung.

I Grundidee ist, dass der Einzelne die Moglichkeit haben soll,selbst zu bestimmen, wer bei welcher Gelegenheit welcheInformationen uber ihn erhalt.


Grundbegriffe

Bundesdatenschutzgesetz I

Grundpfeiler des Bundesdatenschutzgesetzes (BDSG) sind diePrinzipien

I Datenvermeidung und Datensparsamkeit: bei derDatenverarbeitung durfen nur so viele personenbezogeneDaten gesammelt werden, wie fur die jeweilige Anwendungunbedingt notwendig sind (§ 3a BDSG).

I das allgemeine Verbot der Verarbeitung personenbezogenerDaten: grundsatzlich durfen personenbezogene Daten nur mitEinwilligung der Betroffenen oder aufgrund gesetzlicherGestattung verarbeitet werden (§ 4 Abs. 1 BDSG).


Grundbegriffe

Bundesdatenschutzgesetz II

Das Bundesdatenschutzgesetz (§ 9) verpflichtet Datenverarbeitende Stellen, geeignete technische und organisatorischeMaßnahmen zum Schutz der erhobenen Daten zu treffen(Datensicherheit).

Personenbezogene Daten durfen

I nur Befugten zuganglich sein, da sie vertraulich sind, und

I durfen nicht unbemerkt verandert oder geloscht werden.


Grundbegriffe

Weitere Gesetze I

Gesetz zur Kontrolle und Transparenz im Unternehmensbereich:

I Verpflichtet u.a. Aktiengesellschaften zur Schaffung einesunternehmensinternen Risikofruherkennungssystems

I § 91 Abs. 2: Der Vorstand muss geeignete Maßnahmentreffen, um den Fortbestand der Gesellschaft gefahrdendeEntwicklungen fruh zu erkennen

I Gefahrdungen konnen auch durch fehlende IT-Sicherheitentstehen


Grundbegriffe

Weitere Gesetze II

Teledienstedatenschutzgesetz:

I § 4 Abs. 4 Nr. 3 besagt: Der Diensteanbieter hat durchtechnische und organisatorische Vorkehrungen sicherzustellen,dass der Nutzer Teledienste gegen Kenntnisnahme Drittergeschutzt in Anspruch nehmen kann.

I Anwendungsbereich:

I Internet- und E-Mailprovider wie Deutsche Telekom, usw.


Grundbegriffe

Privacy by Design

Entwickelt in den 90er Jahren von Ann Cavoukian (Information &Privacy Commissioner der Kanadischen Provinz Ontario)

Grundidee:

I Rechtsvorschriften allein sind nicht ausreichend fur dieGewahrleistung von Datenschutz

Hierfur wurden sieben Grundprinzipien aufgestellt.


Grundbegriffe

Privacy by Design: Sieben Grundprinzipien I

1. Proaktiv, nicht reaktiv; als Vorbeugung und nicht als AbhilfeDer Privacy by Design Ansatz sieht mogliche Verletzungen derPrivatssphare voraus und verhindert sie, bevor sie entstehenkonnten.

2. Datenschutz als StandardeinstellungEin IT-System bietet systemimmanent als Standardeinstellungden Schutz der Privatsphare und personenbezogener Daten.

3. Der Datenschutz ist in das Design eingebettetZur Entwurfsphase eines IT-Systems, einer Software odereines Geschaftsprozesses wird der Datenschutz bereitsberucksichtigt.


Grundbegriffe

Privacy by Design: Sieben Grundprinzipien II

4. Volle FunktionalitatDatenschutz und Sicherheit konnen in einem Systemgleichzeitig realisiert werden und nicht nur das eine auf dieKosten des anderen. Die Umsetzung von Sicherheit undDatenschutz bringt alle Vorteile fur alle Beteiligten.

5. Durchgangige Sicherheit - Schutz wahrend des gesamtenLebenszyklusPersonenbezogene Daten sind von der Erfassung bis zurVernichtung im gesamten Lebens- und Verarbeitungszyklusinnerhalb einer Software bzw. eines IT-Systems mittels starkerSicherheitsmaßnahmen geschutzt.


Grundbegriffe

Privacy by Design: Sieben Grundprinzipien III

6. Sichtbarkeit und Transparenz - Fur Offenheit sorgenKomponenten und Verfahren eines IT-Systems konnenunabhangigen Prufungen unterzogen werden. Sie sindeinsehbar und fur alle Beteiligten (Nutzer und Anbieter)transparent.

7. Die Wahrung der Privatsphare der Nutzer - nutzerzentrierteGestaltungBetreiber und Architekten von IT-Systemen stellen den Nutzerund seine Interessen bzgl. personenbezogener Daten undPrivatsphare in den Mittelpunkt. Voreinstellungen sinddatenschutz- und benutzerfreundlich. Daruber hinaus bietenIT-Systeme angemessene Benachrichtigungen bzgl.personenbezogener Daten an.


Grundbegriffe

Privacy by Design: Wettbewerbsvorteil

Werden solche Produkte von den NutzerInnen honoriert?

I Fur Datenschutz und IT-Sicherheit interessiert sich nur eineMinderheit

I Seit Bekanntwerden der massiven Uberwachungsprogrammeder US-amerikanischen und britischen Geheimdienste andertsich das

I US-amerikanische Firmen sehen einen klarenWettbewerbsnachteil durch die Verpflichtung, mit denGeheimdiensten zusammenzuarbeiten


Documents

IT Sicherheit: Einleitung & Grundbegriffe · Personalia / Formalia Meine Person I B uro: CASED (S4/14), Raum 4.3.04 I Telefon: +49 6151 16 70478 I Sprechstunde: nach Vereinbarung