Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Copyright: Dr. Klaus Röber 1 Workshop: Grundlagen des IT-Projektmanagements - Version 3.0 - 01/2004Modul: IT-Sicherheit und Datenschutz Modul IT-Sicherheit.

Ähnliche Präsentationen


Präsentation zum Thema: "Copyright: Dr. Klaus Röber 1 Workshop: Grundlagen des IT-Projektmanagements - Version 3.0 - 01/2004Modul: IT-Sicherheit und Datenschutz Modul IT-Sicherheit."—  Präsentation transkript:

1 Copyright: Dr. Klaus Röber 1 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz Modul IT-Sicherheit und Datenschutz

2 Copyright: Dr. Klaus Röber 2 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz IV-Sicherheit/Datenschutz festlegen (Quelle: Prof. Dr. K. Pommerening, M. Sergl – Uni Mainz) Dies ist ein eigenes – sehr umfangreiches – Thema. Im Rahmen dieses Workshops über Projektmanagement können wir nur die Grundbegriffe betrachten. Wer mehr Interesse an der Thematik hat: (hervorragende Vorlesung!)

3 Copyright: Dr. Klaus Röber 3 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz Gefahren für die IT-Sicherheit Computerkriminalität Spionage Viren und andere Schadprogramme (`Malware') Offene Systeme Security by Obscurity (Schlüssel unter der Fußmatte - »Wird schon keiner finden!«) Trügerische Sicherheit in in kommerziellen Produkten (Tür nur zugezogen, nicht abgeschlossen - »Wird schon keiner merken!«) Risiken der Monokultur Systemfehler Mangelndes Sicherheitsbewusstsein –Arglosigkeit bei Nutzern, –Nachlässigkeit bei Entwicklern, fehlende Sicherheitsmodelle und -spezifikationen, »penetrate & patch«-Ansatz Computerzeitung 12/2001: »Security-Ignoranz der Chefs bedroht das ganze E- Business« Blinder technischer Fortschritt Abhängigkeit von verletzlicher, nichtverlässlicher Technik Immer größere Teile der kritischen Infrastruktur werden computergestützt gesteuert, z. T. sogar über das Netz.

4 Copyright: Dr. Klaus Röber 4 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz Gefährdung des Datenschutzes Politischer Aktionismus nach Terroranschlägen Sammel- und Speicherwut von Behörden und Firmen Datenabgleich, Persönlichkeitsprofile, der gläserne Bürger Spionage (Politik und Wirtschaft) Telekommunikation, Vernetzung Aufhebung zeitlicher und räumlicher Schranken, Perfektion der Abfrage- und Suchmöglichkeiten Mangelnde internationale Abstimmung, Datenoasen Mangelndes Datenschutzbewusstsein Zielkonflikte, Subsidiarität der Datenschutzgesetze Blinder technischer Fortschritt, nichtverlässliche Technik

5 Copyright: Dr. Klaus Röber 5 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz Wie sicher ist die Technik? Sind die Daten auf meinem Rechner sicher vor Unbefugten? Wie verhindere ich ungebetene Eindringlinge? (Schadprogramme, Viren, Makros) Wer alles kann die Daten auf meinem Server lesen oder ändern? Was nützt der Passwortschutz? Welchen Weg nehmen die Daten im Netz? Mit welchem Partner oder Server bin ich verbunden? Welche Gefahren drohen vom Internet? Von Modemanschlüssen? Ist Fernwartung gefährlich? Welche Daten verschicke ich wirklich? (Cave: Datenmüll in Dokumenten! Beispiel: Word) Welche Daten stehen wirklich auf meinem Rechner? (Cave: Versteckte Dateien auf Microsoft-Systemen.) Halten meine Sicherheitsmaßnahmen dem technischen Fortschritt stand? Kann ich den Herstellern vertrauen? Wie wichtig nehmen sie meine Sicherheit? Wie kompetent sind sie?

6 Copyright: Dr. Klaus Röber 6 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz Globale Trends Die Überwachung und Ausspähung wird immer gründlicher und lückenloser - Ansätze zur Anonymität werden verdrängt (Beispiel: e-cash, Anonymisierungsdienste). Die Sicherheit der Informationstechnik wird immer lückenhafter. Der PC verwandelt sich von einem Instrument der totalen Freiheit zu einem Instrument der totalen Kontrolle. Die Enteignung des Personal Computer: Die Wirtschaft führt mit Hilfe des Internet einen Großangriff –auf die Privatheit der PCs, –auf die Privatheit der persönlichen Wünsche, –auf die Verbraucherrechte (z. B. Kopien zum persönlichen Gebrauch). Die politische Macht verlagert sich mit Hilfe der Informationstechnik immer mehr hin zu demokratisch nicht legitimierten Institutionen.

7 Copyright: Dr. Klaus Röber 7 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz Datenschutz (juristisch) Datenschutz: –Grundrecht, Persönlichkeitsrecht, Recht auf informationelle Selbstbestimmung [BVG-Urteil zur Volkszählung, ]. »Nicht irgendwelche Daten sollen etwa um ihrer selbst willen geschützt werden, sondern geschützt werden sollen Menschen in ihren grundrechtlich garantierten Kommunikationsmöglichkeiten. Sie sollen grundsätzlich selbst darüber entscheiden können und informiert sein, wer was wann wie lange und bei welcher Gelegenheit über sie weiß.« (14. Datenschutzbericht in NRW) Um Missverständnissen vorzubeugen, sollte man den Begriff »Datenschutz« nur im juristischen Sinne verwenden, nicht, wie früher oft üblich, im informatischen als Schutz von Daten vor Missbrauch, unberechtigter Einsicht oder Verwendung, Änderung oder Verfälschung.

8 Copyright: Dr. Klaus Röber 8 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz Datensicherheit Katastrophenschutz: –Schutz von Informationen und IT-Systemen vor Zerstörung durch äußere Gewalten oder Sabotage. Auch Schutz vor Nichtverfügbarkeit.äußere GewaltenSabotage Datensicherheit: –Schutz von Daten vor Missbrauch, unberechtigter Einsicht oder Verwendung, Änderung oder Verfälschung (einschließlich Katastrophenschutz). IT-Sicherheit: –Datensicherheit in einem System der Informationstechnik (IT). Auch Schutz der Integrität des Systems. Verlässlichkeit: –Das System tut das, was man von ihm erwartet und nichts anderes. Insbesondere gewährt es IT-Sicherheit.

9 Copyright: Dr. Klaus Röber 9 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz Zusammenhang der Begriffe

10 Copyright: Dr. Klaus Röber 10 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz Die zehn Gebote des Datenschutzes Anlage zu § 9 Satz 1 BDSG Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind, 1. Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle), 2. zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle), 3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle), 4. zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle), 5. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle), 6. zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden können (Übermittlungskontrolle), 7. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle), 8. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 9. zu verhindern, dass bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle), 10. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

11 Copyright: Dr. Klaus Röber 11 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz Technische Realisierung der 10 Gebote 1. Zugangskontrolle –Türsicherung, Sicherheitsschloss, abschließen der Räume, Schlüsselregelung, Verschluss von Datenträgern, Wechsel-Festplatten, nicht einsehbare Aufstellung von Geräten, Überwachungs- und Alarmanlagen. 2. Datenträgerkontrolle –Spezielle Räume zur Aufbewahrung, Datensafes, nur kontrolliertes und dokumentiertes Kopieren, Bestandskontrollen, kontrollierte Vernichtung, ordnungsgemäße Verwaltung von Disketten und Druckausgaben. 3. Speicherkontrolle –Trennung von Programm- und Datenbereichen verschiedener Benutzer, Löschen von Speicherbereichen vor Wiederverwendung, Sperrung von Diskettenlaufwerken. 4. Benutzerkontrolle –Nutzung durch Unbefugte verhindern, Passwortregelungen und sonstige Identifikationsverfahren, Kontrolle der Netzverbindungen, kontrollierter Einsatz der Betriebssystemfunktionen. 5. Zugriffskontrolle –Festlegung und Prüfung der Zugriffsberechtigungen, Protokollierung von Zugriffen, zeitliche Begrenzung von Zugriffen, revisionsfähige Dokumentation der Benutzerprofile. 6. Übermittlungskontrolle –Sender, Definition von Empfänger und Art der zu übermittelnden Daten, Dokumentation von Datum und Ziel, Festlegung von Art und Zweck eines Abrufverfahrens, Verschlüsselung, Netzdokumentation. 7. Eingabekontrolle –Unbefugte Eingabe verhindern, manipulationssichere Protokollierung. 8. Auftragskontrolle –Protokoll über Auftrag und Erledigung, eindeutige Vertragsgestaltung. 9. Transportkontrolle –Festlegung von Boten und Transportwegen, Quittung, Transportkoffer, Verschlüsselung. 10. Organisationskontrolle –Verantwortlichkeiten, Planung, Verpflichtungen und Dienstanweisungen, Verfahrens-, Dokumentations- und Programmierrichtlinien, Funktionstrennung.

12 Copyright: Dr. Klaus Röber 12 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz Überblick über die Gesetzgebung (1) Überblick über die europäische Gesetzgebung: Datenschutz-Recht In Deutschland relevante Gesetze: Bundesdatenschutzgesetz (BDSG). Bundesdatenschutzgesetz Landesdatenschutzgesetze. Landesdatenschutzgesetze Bundesstatistikgesetz (§11). Landesstatistikgesetze. Hochschulstatistikgesetze. Meldegesetz. Verwaltungsverfahrensgesetz (§4, §5, §30, §84). Bundesverpflichtungsgesetz. Sozialgesetzbuch (§35: Sozialgeheimnis). Fernmeldeanlagengesetz. Urheberrechtsgesetz. Strafgesetzbuch (§202a, §263a, §269, §303a, §303b). Landeskrankenhausgesetze.

13 Copyright: Dr. Klaus Röber 13 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz Überblick über die Gesetzgebung (2) Heilberufegesetz. Gesundheitsstrukturgesetz bzw. Gesundheitsreformgesetz. Bundeskrebsregistergesetz. Landeskrebsregistergesetze. Grundsätze ordnungsgemäßer Speicherbuchführung. Warenzeichengesetz. Warenzeichengesetz Gesetz über den unlauteren Wettbewerb. TELEKOM-Datenschutz-Verordnung. Teledienste-Datenschutzgesetz Datenschutz-Richtlinie der EU von Datenschutz-Richtlinie der EU von 1995 Signaturgesetz. Signaturgesetz Signaturverordnung. Signaturverordnung Begründung zur Verordnung zur digitalen Signatur. Begründung zur Verordnung zur digitalen Signatur Informations- und Kommunikationsdienste-Gesetz Bundesverfassungsgerichts-Urteil vom 14. Juli 1999 zum Verbrechensbekämpfungsgesetz/G10 Bundesverfassungsgerichts-Urteil vom 14. Juli 1999 zum Verbrechensbekämpfungsgesetz/G Dutzende von einschlägigen OLG-Entscheidungen.

14 Copyright: Dr. Klaus Röber 14 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz Wichtige Begriffe des Datenschutzrechts »Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).« Erheben Verarbeiten (speichern, verändern, übermitteln, sperren, löschen) Nutzen »Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.« Speichernde Stelle Datengeheimnis: »Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind bei der Aufnahme ihrer Tätigkeit hierauf zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.«

15 Copyright: Dr. Klaus Röber 15 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz Zulässigkeit der Datenverarbeitung Grundlage: Gesetze oder Rechtsvorschriften (z. B. Alkoholtest, Bundesseuchengesetz) oder Einwilligung des Betroffenen - in der Regel schriftlich, keine Nachteile durch Verweigerung, widerrufbar. Für Forschungszwecke also Einwilligung erforderlich, bei gesetzlicher Grundlage reicht Information. Zweck: im Rahmen der Zweckbestimmung eines Vertragsverhältnisses, [Arztpraxis: Einwilligung gilt durch Abschluss des Behandlungsvertrags als erteilt. (Mit Übernahme der Behandlung wird stillschweigend, auch ohne schriftliche Form, ein Vertrag abgeschlossen.)] oder zur Wahrung berechtigter Interessen der speichernden Stelle. Wissenschaftsklausel (BDSG, LDSG): gewisse Abschwächungen der Einwilligungspflicht, möglichst frühe Anonymisierung.

16 Copyright: Dr. Klaus Röber 16 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz Rechte der Betroffenen Primärinformation über Speicherung, egal, auf welcher rechtlichen Grundlage erhoben und gespeichert wird. Auskunft. Berichtigung. Sperrung (zur Einschränkung der weiteren Nutzung). Löschung. Anrufung des Datenschutzbeauftragten. Schadensersatz.

17 Copyright: Dr. Klaus Röber 17 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz Was sagt das Strafgesetzbuch? §202a: »Wer unbefugt Daten, die nicht für ihn bestimmt und gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.« Auch ein trivialer Passwortschutz gilt hier schon als besondere Sicherung. Ausspähen von Daten (§202a StGB) beinhaltet: Softwarediebstahl, Ausspähen von Daten, Wirtschaftsverrat, Verschaffen von Unternehmensgeheimnissen. Computerbetrug (§263a StGB): Jeder Eingriff in einen Datenverarbeitungsvorgang, der Vermögensschäden verursacht, z. B. Kontenmanipulationen in Bankcomputern oder Erschwindeln von Sozialleistungen. Fälschung beweiserheblicher Daten (§269 StGB): Veränderung von Urkunden, die in Rechenanlagen gespeichert sind (»elektronische Urkundenfälschung«), z. B. bei elektronischer Buchhaltung. Datenveränderung (§ 303a StGB): Veränderung oder Vernichtung von Daten, auch durch Viren. Computersabotage (§ 303b StGB): Anschläge auf die Datenverarbeitung durch Veränderung oder Vernichtung von Computerdaten, Datenträgern oder Anlagen

18 Copyright: Dr. Klaus Röber 18 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz Zusammenfassung Die Datenschutzgesetzgebung versucht, die Folgen des technischen Fortschritts sozialverträglich zu gestalten. Es gibt eine Flut von einschlägigen Gesetzen, aber eine Ebbe bei den Kontrollen. Wirksamer Datenschutz erfordert –rechtliche Handhaben, –Kontrollmöglichkeiten, –Datenschutzbewusstsein, –technische Sicherheit: Verhindern ist besser als (nur) verbieten. Datenschutzanforderungen sind bereits bei der Konzeption von informationstechnischen Systemen zu berücksichtigen. Dies ist eine Aufgabe für Informatiker.

19 Copyright: Dr. Klaus Röber 19 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz Die Dimensionen der Verlässlichkeit AusfallsicherheitIntegritätRechtssicherheitPrivatheitEigentum ZuverlässigkeitUnversehrtheitBeweissicherheitAnonymitätKopierschutz Überlebensfähig- keit AuthentizitätVerantwortlichkeitUnbeobachtetheitUrheberrecht BeständigkeitUrheberschaftNachweisbarkeitVerschwiegenheitVersionskontrolle RobustheitUnbestreitbarkeitGeheimhaltungKonsistenz Informationsquali tät Unwiederholbar- keit Widerrufbarkeit Verfügbarkeit Echtheit Verbindlichkeit Vertraulichkeit Einmaligkeit

20 Copyright: Dr. Klaus Röber 20 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: IT-Sicherheit und Datenschutz Ziele, Dienste und Algorithmen der IT-Sicherheit Authentisierung (Identitätsnachweis)Passworteingabe Challenge-Response-Protokoll Autorisierung (Rechtevergabe)Zugriffsmatrizen Zugriffskontrolllisten Rechtelisten AusfallsicherheitBackup-Verfahren Plattenspiegelung Fehlerbehandlung UnversehrheitSchreibschutz Prüfziffern Hash-Funktionen Digitale Signatur GeheimhaltungLeseschutz Kryptografische Verschlüsselung Steganografische verfahren NachweisbarkeitLog-Dateien Digitale Signatur Quittungen Sicherheitsdienste passende Sicherheitsmechanismen


Herunterladen ppt "Copyright: Dr. Klaus Röber 1 Workshop: Grundlagen des IT-Projektmanagements - Version 3.0 - 01/2004Modul: IT-Sicherheit und Datenschutz Modul IT-Sicherheit."

Ähnliche Präsentationen


Google-Anzeigen