Inhaltsverzeichnis
- Überblick
- Datenverarbeitung im Beschäftigungskontext
- Einführung Datenschutz
- EU-Datenschutz Grundverordnung
- Geltungsbereich
- Inhalt der DSGVO
- Warum IT-Grundschutz?
- Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
- Kriterien zur Bewertung eines Risikos
- Wie wird der Stand der Technik definiert?
- Begriffsbestimmungen
- Kapitel 2 - Grundsätze
- Art. 83 - Geldbußen
- Kapitel 3 - Rechte der Betroffenen
- Kapitel 4 - Verantwortlicher und Auftragsverarbeiter
- Aufgaben des Verantwortlichen
- Aufgaben des Datenschutzbeauftragten
- Datenschutzaufsicht
- Standard-Datenschutzmodell
- Gefährliche IT-Entwicklungen
- KRITIS
- Bundesamt für Sicherheit in der Informationstechnik
- Modellierung
Haupt-Editoren für dieses Dokument: ZeroPointMax, RvNovae
- Governance heißt, dass Richtlinien empfohlen einzuhalten sind
- Compliance heißt, dass Richtlinien verpflichtend einzuhalten sind
- Legal Tech: Technologien zur Behandlung von Rechtsthemen, z.B. Weiterleitung von Whistleblowing
- Pflichtenlage: Wer muss welche Maßnahmen ergreifen?
- Haftungslage: Wer haftet?
- Beweislage: Wer muss im Streitfall welche Tatsachen wie beweisen?
- klassisches IT-Recht besitzt nur vereinzelt besondere Gesetze
- relevante Normen größtenteils über viele verschiedene Rechtsquellen verteilt
- u.a.: Zivil- und Urheberrechts; kartell- und strafrechtliche Regelungen; Normen aus AWG, DSGVO, Dual-Use VO, GeschGehG, HGB, InsO, KWG, ...
Grundrechte versprechen Schutz von Grundrechtsträgern (Personen) gegenüber Staaten und Dritten.
- verspricht Recht auf informationelle Selbstbestimmung
- gilt für alle personenbezogenen Daten
- Informationstechnische Systeme haben Anspruch auf Vertraulichkeit und Integrität
- Recht auf sichere Verschlüsselung und Selbstschutz (z.B. vor "Quellen-TKÜ")
- IT-Grundrecht gilt für alle Daten
- für IT gilt aufgrund oft veralteter Gesetzesbücher überwiegend Richterrecht
- oft liegen Erwägungsgründe bei: erläuternde Kommentare zu Artikeln
- DSGVO ermöglicht Anpassungen auf nationaler Ebene durch Öffnungsklauseln (durch BDSGnF, ThürDSGnF berücksichtigt)
Privacy by Design
- Kommunikationsdaten sind besonders vertraulich und durch eigenes Grundrecht geschützt (Art. 7 EU-Grundrechte-Charta)
- sollte mit der DSGVO kommen, wurde verzögert, kommt also bald™
Urheberrecht ist das Recht auf den Schutz geistigen Eigentums in ideeller und materieller Hinsicht. Es hat den Zweck, Werke wirtschaftlich zu verwerten und zu schützen.
- Verletzungen können zu hohen Schadensersatzforderungen führen
-
$\rightarrow$ bestimmte Verstöße gegen das Urhebergesetz sind zudem strafbar und mit Freiheitsstrafen bis zu fünf Jahren bedroht
-
- Software ist ein Werk und damit urheberrechtlich geschützt (wie Texte, Kompositionen, Gemälde, ...)
- höchstrichterlich entschieden: gebrauchte Software, Musik, etc. kaufen/verkaufen ist erlaubt
- Grundlage: Erschöpfungsgrundsatz
$\rightarrow$ Schutzrechte verbrauchen sich sobald der geschützte Gegenstand rechtmäßig in Verkehr gebracht wurde - aber: Nachweis der Löschung beim Verkäufer ist erforderlich
- Achtung: der Verkauf von gebrauchten Nutzungsrechten ist nicht gestattet (z.B. bei E-Books)
- Grundlage: Erschöpfungsgrundsatz
- ab einer gewissen Schöpfungshöhe sind auch Datenbanken urheberrechtlich geschützt
-
Schöpferprinzip
$\rightarrow$ Arbeitnehmer als alleiniger Urheber anzusehen- Rechtseinräumung zugunsten des Arbeitgebers wird nicht vermutet
- Ausnahme nach § 69b UrhG für die Entwicklung von Computerprogrammen
- Ausübung aller vermögensrechtlichen Befugnisse an dem geschützten Computerprogramm ausschließlich dem Arbeitgeber zu (wenn nichts anderes vereinbart)
- Adressen sollten zum Namen der Einrichtung passen (Verwechslungen vermeiden!)
- Vergabe von Adressen der TLD
.dedurch DENIC (keine Prüfung auf Rechteverletzung) - berechtigte Namensträger besitzen Möglichkeit auf Freigabe des Namens zu klagen
- Domain-Squatting ist illegal (Basis §12 BGB)
- Impressum (Anbieterkennung) muss unmittelbar und immer erreichbar sein (Informationspflichten
$\rightarrow$ §5,6 TMG) - sobald personenbezogenen Daten erhoben, verarbeitet oder genutzt werden, sind Datenschutzhinweise erforderlich
- Hinweis: IP-Adressen sind auch personenbezogen
- alle Datenerhebungen müssen auf das Notwendige beschränkt sein (siehe Datensparsamkeit) sowie zweckgebunden sein
- Mithaftung bei illegalen Inhalten in bspw. Foren, digitalen Gästelisten, ... (Verpflichtung zur regelmäßigen Prüfung und Entfernung)
- Eröffnung eines elektronischen Kommunikationskanals und De-Mail-Zugangs (Bundesbehörden) verpflichtend
- Grundsätze elektronischer Aktenführung
- Erleichterung bei der Erbringung von elektronischen Nachweisen
- Schriftformerfordernis durch elektronischen Signatur (eID-Perso), De-Mail
- Erfüllung von Publikationspflichten durch elektronische Amts- und Verkündungsblätter
- Prozessdokumentation ist für Behörden verpflichtend
- Bereitstellung von maschinenlesbaren Datenbeständen durch die Verwaltung (Open Data!)
- Transparenz der Verwaltung (kein Behördengeheimnis mehr!)
- Erhöhung der Akzeptanz von Verwaltungshandeln
- Möglichkeiten aktiver Mitgestaltung staatlicher Entscheidungen
- subjektives Recht der Bürger/innen auf Informationszugang durch Antragsstellung
- aktive Veröffentlichungen von Informationen durch die Verwaltung und Einrichtung eines zentralen elektronischen Informationsregisters
- betrifft alle Betreiber kritischer Infrastrukturen (KRITIS)
- Meldepflicht bei Angriffen auf digitale Systeme (sobald nicht mindestens automatisiert abgewehrt)
- Unternehmen sollen innerhalb von zwei Jahren Sicherheitsstandards für ihre jeweilige Branche festlegen
- Zuständigkeit des Bundeskriminalamts (BKA) für zahlreiche Cyberdelikte
- Etablierung des BSI als Aufsichtsbehörde
- Aufstellung aller Sicherheitsaudits, Prüfungen und Zertifizierungen müssen durch Unternehmen alle zwei Jahre an den BSI übermittelt werden
- einheitliche EU-Maßstäbe für IT-Sicherheit
- schafft einheitlichen Rahmen zur EU-Zertifizierung von Cybersicherheit (aktuell in Arbeit)
bei Regel-Missachtungen und unzureichenden Sicherheitsmaßnahmen können Schäden für Dritte entstehen
-
Amtshaftung
$\rightarrow$ Staat kann für solche Schäden haftbar gemacht werden - aber: grob fahrlässige oder vorsätzliches verursachen durch Angestellten/Beamten
$\rightarrow$ Zivilrechtliche Haftung - In der Wirtschaft gelten Haftungsbeschränkungen zugunsten des Arbeitnehmers:
- leichte Fahrlässigkeit: Arbeitnehmer haftet nicht
- normale Fahrlässigkeit: Arbeitnehmer haftet teilweise (zusammen mit Arbeitgeber)
- grobe Fahrlässigkeit oder Vorsatz: Arbeitnehmer haftet voll (Einzelfallbetrachtung)
- IT-Sicherheitsbeauftragte haften auch für Unterlassung
- geregelt durch Gesetze oder Kollektivvereinbarung (Betriebs-/Dienstvereinbarungen)
- Betriebs-/Personalrat hat Einfluss auf diese
- man unterscheidet in Fälle mit voller und normaler Mitbestimmung
- geregelt auf technischer und organisatorischer Ebene mit rechtlicher Gestaltung und Regeltransparenz
- z.B. wird die private Nutzung des Firmen-Internets eingeschränkt oder verboten
- Fälle der vollen Mitbestimmung
$\rightarrow$ Betriebs-/Personalrat muss zustimmen - Fälle der Mitwirkung
$\rightarrow$ Betriebs-/Personalrat kann mitwirken aber nicht entscheiden
- Sabotage und Datendiebstahl verhindern
- Verlust von Arbeitszeit/Produktivität verhindern
- Bandbreite sparen
- Urheberrechtsverstöße verhindern
- Rechtsverletzungen (z.B. Urheberrechtsverstöße) durch Mitarbeiter verhindern
Regelt z.B. Beschränkungen nach Umfang, Dauer, Art und Weise der E-Mail und Internetnutzung
- Aufzählung verbotener Nutzungen (Inhalte, Privat/Dienstlich)
- Umgang mit Protokolldateien
- et cetera
privat
- Erlaubnis oder Verbot einer privaten Nutzung von Internet muss geregelt werden
- private Nutzung darf keine negativen Auswirkungen auf die Arbeit oder den Arbeitgeber haben
- Wenn private Nutzung gestattet: Arbeitgeber ist Telekommunikationsanbieter
- Fernmeldegeheimnis!
- Datenerhebung nur ausnahmsweise, nicht systematisch
dienstlich
- kein Fernmeldegeheimnis, aber Datenschutzgesetze gelten
- Verhältnismäßigkeit!
- Metadaten: ok
- Inhaltskontrolle unzulässig
Bei illegalen Handlungen darf außerordentlich gekündigt werden, ansonsten muss vorher Abmahnung erfolgen
- DSGVO kennt keine Höchstgrenze zur Aufbewahrungsdauer
- Öffnungsklausel: nationales Recht kann Vorschriften festlegen
- Zweck muss klar sein, verhältnismäßige Speicherung
- Artikel 40 DSGVO: Branchen(-Verbände) sollen Standards festlegen
$\rightarrow$ Zertifikate
- moderne Technologien und Datenschutz
- Recht auf informationelle Selbstbestimmung (Volkszählung 1983)
- Mephisto-Urteil / Kunstfreiheit
- Gedankenexperiment: Daten als Eigentum
- IT-Grundrecht
- Auskunftssysteme (Privatwirtschaft)
- Scoring (§31 BDSG)
- Big Brother Award
- E-Privacy (Verordnung)
- Informationsfreiheitsgesetz (IFG)
- es gibt keine belanglosen Daten
-
"Wer weiß wann und bei welcher Gelegenheit was über mich?"
$\rightarrow$ Grundrecht
Das Bundesverfassungsgericht stellte fest, dass unter den Verarbeitungs- und Verknüpfungsmöglichkeiten der Informationstechnologie auch ein für sich gesehen belangloses Datum einen neuen Stellenwert bekommen kann und es insoweit keine belanglosen Daten gibt.
- Aufklärungspflicht der verantwortlichen Stelle
- Vorrang der Selbstauskunft
- Einschränkungen des Rechts müssen gesetzlich geregelt sein
- Zweckbindung und Verhältnismäßigkeit der Erhebung und Verarbeitung personenbezogener Daten
- Sammeln auf Vorrat ist nicht erlaubt
- zunehmend werden vermeintlich kostenfreie Dienste mit Daten bezahlt
- Cloud-Dienste haben den Verlust der Souveränität über die Daten zur Folge
- Big Data und KI
- Rechtsverletzungen werden nicht effektiv beendet
- das in Planung befindliche IT-Sicherheitsgesetz bleibt hinter den Forderungen zurück
- Zertifizierungsverfahren
- Untersuchungsbefugnisse: darf Serverraum öffnen und Inhalt einsehen
- Abhilfebefugnisse: Anweisung zur Änderung oder Abschaltung eines Servers
- Datenschutzbeauftragten sollten zeitliche und monetäre Mittel zur Verfügung gestellt werden
- DSGVO ist unmittelbares Gesetz (2016 veröffentlicht)
- Artikel 91: "Gilt in allen Mitgliedsstaaten verbindlich und unmittelbar."
- Schutz der Grundrechte und -freiheiten natürlicher Personen
- damit steht jedes Datum unter dem Schutz des Grundgesetzes
- Ermöglichen einer legalen Digitalwirtschaft
- der freie Verkehr personenbezogener Daten darf weder eingeschränkt noch verboten werden
- Schutz der Grundrechte: die DSGVO zwingt lediglich Unternehmen dazu, die Nutzung der Daten transparent zu machen und den Regeln folgen
- Die Einhaltung kann man sich zertifizieren lassen
- Artikel 24 und 32 sagt, dass alle Unternehmen den IT-Grundschutz erfüllen sollen (nicht nur kritische Infrastruktur)
data protection by default and by design
- erforderliche Sicherheitsmaßnahmen müssen in die Verarbeitung von Anfang an integriert werden
- unter Berücksichtigung des Standes der Technik und der Implementierungskosten
- und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung
- sowie der Risiken unterschiedlicher Eintrittswahrscheinlichkeit
- Unternehmen müssen ISMS etablieren
- Wahrscheinlichkeit der Gefährdung
- Schwere der Gefährdung
- Implementierungskosten für die Lösung
Die Bausteine des IT-Grundschutz-Kompendiums (BSI-Dokument) bilden den Stand der Technik ab.
- Betroffene
- Verantwortlicher
- Auftragsverarbeiter
- Dritte
- Datenschutzbeauftragte(r) (DSB)
- Aufsichtsbehörde
- identifizierte Person: Daten können bekannter Person zugeordnet werden
- identifizierbare Person: mit zusätzlichen Informationen kann auf die Identität geschlossen werden
- Bsp.: Kennnummer, Standortdaten, Online-Pseudonym, Eigenschaften einer Person, ...
- jede Person oder Stelle, die:
- bei personenbezogenen Daten über Zwecke und Mittel der Verarbeitung entscheidet oder
- im Auftrag durch Auftragsverarbeiter verarbeiten lässt
- egal ob mit oder ohne automatisierter Verfahren
- Beispiele Verarbeitungsarten: Erheben, Speichern, Verändern, Übermitteln (Offenlegen), Einschränken, Löschen (Vernichten)
Daten werden nach Außen an Dritte übermittelt, verbreitet, etc.
bezieht sich auf das Restrisiko
- Löschen: Datenträger bleibt intakt
- Vernichten: Datenträger wird zerstört
- Auftragnehmer erhält Daten nur für bestimmten Zeitraum
- Art der Nutzung durch Auftraggeber vorgeschrieben (gehnehmigungspflichtig)
- Vertraglich geregelt nach Art. 28 DSGVO (nicht ohne Vertrag!)
natürliche oder juristische Personen, die befugt sind, die Daten zu verarbeiten.
Jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist ....
- Verarbeitung personenbezogener Daten in einer Weise, dass die P-Daten ohne zusätzliche Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.
- automatisierte Verarbeitung von personenbezogenen Daten zur Bewertung von bspw. wirtschaftlicher Leistung, Gesundheit, Aufenthaltsort, Vorlieben
- Verarbeitung muss rechtmäßig und zweckgebunden erfolgen
- auf dem Grundsatz von Treu und Glauben
- Datenminimum
- Richtigkeit der Daten
- Speicherminimum / Datensparsamkeit
- Integrität und Sicherheit mit TOMs
- Rechenschaftspflicht (Verarbeitungsübersicht, SiKo)
die Verarbeitung Personenbezogener Daten ist rechtmäßig bei:
- Einwilligung des Betroffenen
- Erforderlichkeit zur Vertragserfüllung
- rechtlicher Verpflichtung (Gesetz, Verordnung, Dienstvereinbarung)
- Ausnahme von Zweckbindung ist gegeben, wenn
- Wahrung der "berechtigten Interessen" (Betroffener kann berechtigtem Interesse allerdings folgen oder ablehnen)
- lebenswichtige Interessen
- öffentliches Interesse
- Gesundheits- und biometrische Daten
- Politische Meinungen
- Religion
- Ethnie
- Gewerkschaftsangehörigkeit
Diese sensiblen Daten besitzen einen hohen Schutzbedarf und benötigen besondere technisch-organisatorische Maßnahmen
- bis 20 Mio. Euro oder
- bis 4% des weltweiten Jahresumsatz
Höhere von beiden!
Mitteilungen an Betroffene unverzüglich, aber maximal innerhalb von drei Monaten, und unentgeltlich
- Recht auf Auskunft
- Recht auf Berichtigung
- Recht auf Löschung
- Recht auf Datenübertragbarkeit
- Recht auf Widerspruch
- Verschlüsselung
- Pseudonymisierung: ohne Hinzuziehung zusätzlicher Informationen keiner spezifischen Person zuordenbar
- Maßnahmen für den Schutz müssen erbracht und nachgewiesen werden
- sehr viele Überschneidungen zwischen Datenschutz und technischer und organisatorischer Sicherheit
- Schutzmaßnahmen müssen an die Art der Daten angepasst sein (höherer Schutz für sensible Daten
$\rightarrow$ Art. 9) - eine Risikobewertung muss durchgeführt werden
- IT-Grundschutz durchführen!
- Auftragsverarbeitung nicht ohne Vertrag
- Verantwortung liegt beim Auftraggeber
- Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen
- Mitarbeiter des Auftragsverarbeiters sind zur Vertraulichkeit zu verpflichten
- Sicherheitsmaßnahmen nach Artikel 32 sind erforderlich
- der Auftragnehmer ist nach Angebot der TOMs sorgfältig zu wählen
- Funktionsübertragung nicht mehr in Datenschutzgesetzen zu finden
- Outsourcing-Partner agiert so frei, das er nicht mehr als bloßer Auftragnehmer betrachtet werden kann
- wird als selbstständig agierender Dritter angesehen (z.B. Inkasso, ...)
- Verantwortung verbleibt beim Auftraggeber
- Auftragnehmer sorgfältig auszuwählen (unter besonderer Berücksichtigung der technischen und organisatorischen Maßnahmen)
- Datenschutzbeauftragter
- Zweck der Verarbeitung
- vorgesehene Löschfristen für Kategorien von Daten
- allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
- notwendig für Nachweise (erst ab >250 Mitarbeiter)
- innerhalb von 72h nach Bekanntwerden (an Aufsichtsbehörde)
- Artikel 34: auch betroffene Personen müssen benachrichtigt werden (wenn hohes Risiko für diese besteht)
Durchzuführen, wenn Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat.
Insbesondere:
- systematische umfassende Auswertung persönlicher Aspekte einer natürlichen Person
- umfangreiche Verarbeitung spezieller Kategorien von Daten (gemäß Art. 9)
- weiträumige Überwachung von öffentlich zugänglichen Bereichen
- systematische Beschreibung der Verarbeitungsvorgänge und Zwecke der Verarbeitung
- Bewertung der Notwendigkeit und Verhältnismäßigkeit in Bezug auf Zweck
- Bewertung in Bezug auf Recht und Freiheiten der Betroffenen
- vorgesehene Maßnahmen
- Verarbeitungsvorgänge, die eine Risikofolgeabschätzung voraussetzen
- z.B. Blacklist des Thüringer Datenschutzbeauftragten
- Art. 30: Verarbeitungsübersicht
- Art. 28: Verträge zur Auftragsverarbeitung
- Art. 33, 34: Meldepflichten
- Art. 35: Datenschutzfolgenabschätzung (DSFA) bei Risikoverfahren
- Art. 32: TOMs (technisch-organisatorische Maßnahmen)
$\rightarrow$ Informationssicherheitsmanagementsystem (ISMS) etablieren
- Art: 37: Konzernprivileg (u.a.)
- Art. 39:
- Unterrichtung und Beratung des Verantwortlichen
- Überwachung der Einhaltung dieser Verordnung
- Zusammenarbeit mit Aufsichtsbehörde
- Tätigkeiten als Anlaufstelle für Aufsichtsbehörde
- Bürger und Wirtschaft sensibilisieren
- Mitarbeit in Projekten der Staatsverwaltung und Wirtschaft
- Beratung bestellter DSB
- Kontrolle und Prüfung der Datenverarbeitung in Öffentlicher Verwaltung, Wissenschaft und Privatwirtschaft
- Befassung mit Beschwerden betroffener Personen
- Befassung mit Datenschutzvorfällen nach Art. 33 (Meldepflicht)
- Verfolgung von Verstößen gegen die DSGVO (Ordnungswidrigkeitsverfahren)
- Akkreditierung von Zertifizierungsprogrammen und -stellen
- Jährlicher Tätigkeitsbericht
Formeller Zusammenschluss der Datenschutzaufsichtsbehörden (zweimal jährlich)
- einheitliche Auslegung und Interpretation der DSGVO innerhalb Deutschlands
- Wissenstranfer zwischen Behörden (Einige Bundesländer besitzen spezielles Know-How)
Technik
- Laboruntersuchung Windows 10 Telemetrie, MS Office 365
- Bewertung Datenaustausch Voratsdatenspeicherung mit Ermittlungsbehörden
- UAK SDM
Zertifizierung
- Entwicklung von Akreditierungsanforderungen an Zertifizierungsprogrammen
Medien
- Anforderungen an Videokonferenzsysteme, Messenger
- Websiteprüfung WEC
- Beobachtung und Untersuchung Google Analytics
vgl. Datenschutzkonferenz auf EU-Ebene
- Europäischer Datenschutzausschuss (unabhängige europäische Einrichtung)
- Beratung der Europäischen Kommission
- Beschlüsse zu grenzüberschreitenden Datenschutzvorfällen
- Zusammenarbeit zwischen nationalen Aufsichtsbehörden
- Checkliste für Gewährleistungsziele zum Nachweis der Datenschutzkonformität
- Steigender Vernetzungsgrad
- IT-Verbreitung und Durchdringung
- Verschwinden der Netzgrenzen
- Angriffe kommen schneller
- Höhere Interaktivität von Anwendungen
- Verantwortung der Nutzer
- Schäden für Institution und den einzelnen Betroffenen
- Negative Innen- und Außenwirkung
- Verstoß gegen Gesetze, Vorschriften, Verträge
- Beeinträchtigung des informationellen Selbstbestimmungsrechts
- Beeinträchtigung der Aufgabenerfüllung
- Finanzielle Auswirkungen
- Höhere Gewalt (Naturkatastrophen)
- Organisatorische Mängel (z.B. fehlende Konzepte)
- Menschliche Fehlhandlungen (z.B. Phishing)
- Technisches Versagen (z.B. Hardware-Defekte)
- Vorsätzliche Handlungen (z.B. Sabotage durch Mitarbeiter)
- Unzureichende IT-Sicherheits-Strategie
- Sicherheit hat niedrigen Stellenwert
- keine Dokumentation
- Kontrollmechanismen fehlen
- Schlechte Konfiguration von IT-Systemen
- Rechtevergabe zu großzügig
- keine / schlechte Nutzung von Sicherheitsfunktionen in Software
- schlechtes Firewalling
- Nichtbeachtung von Sicherheitsanforderungen
- z.B. aus Bequemlichkeit oder unzureichender Schulung
- Optimierung: IT-Betrieb effektiver und effizienter
- erhöht Attraktivität für Kunden
- Identifizierung mit dem Erreichten
- Boni bei Versicherungen
- Informations-Sicherheit ist Chefsache!
- IT-Sicherheit wird oft ausschließlich mit der IT-Abteilung assoziiert
- Informationssicherheit drückt aus, dass es alle Abteilungen angeht
- in KMUs wird InfSec generell wenig Wert zugeordnet
- Verfügbarkeit, Vertraulichkeit, Integrität
- aus Integrität werden Authentizität, Verbindlichkeit (Nichtabstreitbarkeit) und Zuverlässlichkeit
- Verfügbarkeit wird messbar, indem eine maximale Service-Downtime vereinbart wird
- Informationen müssen in ihrer Wichtigkeit klassifiziert werden
- Grundwerte dienen als Kriterien
- von Data Auditor durchgeführt
Betrachtet...
- Schutz nach außen: Hacker, Viren, Trojaner
- Schutz nach innen: Mitarbeiter als Risikofaktor
- Geschäftskontinuität
- Unternehmen tun von sich aus zu wenig für Informationssicherheit
- Staat zwingt dazu mit Vorschriften und Richtlinien
- Bedarfsgerechte Umsetzung der Regularien
- Dokumentierbarkeit und Audits von zentraler Bedeutung
- Bundesamt für Sicherheit und Informationstechnik
- Aufgaben: Schutz, Prävention, Reaktion, Beratung und Entwicklung mit Bezug Informationssicherheit
- Zielgruppen:
- Regierung und Verwaltung
- Wirtschaft
- Bürger
- Wissenschaft
- Computer Emergency Response Team
- zentrale Anlaufstelle für präventive und reaktive Maßnahmen
- Klassifizierung von Schwachstellen, Hinweise veröffentlichen
- Informationen in Bezug auf ihre Vertraulichkeit, Integrität und Verfügbarkeit klassifizieren
- Rollen zur Klassifizierung: Data Creator, Owner, User, Auditor
- IT-Koordination
- IT-Standards: XDOMEA
- Digitalisierung der Verwaltung
- E-Government-Projekte
- veralteter Standard an Sicherheitsstufen
- Level D bis A
- vgl. TCSEC, etwas besser aber zu bürokratisch
- Funktionalitätsklassen und Qualitätsklassen
- Bewerbung auf Zertifizierung bei lokaler Behörde (in Deutschland BSI)
- Hinweise zu Bewerbung etc. auf der Seite des BSI
- BSI stellt nach Prüfung Report und Zertifikat aus
- Zertifikat ist 5 Jahre gültig
- Definition des Target Of Evaluation (TOE)
- TCSEC und ITSEC haben CC maßgeblich beeinflusst
- sind Einrichtungen mit Bedeutung für das staatliche Gemeinwesen
- 7 Bereiche
- Datenminimierung
- Verfügbarkeit
- Integrität
- Vertraulichkeit
- Nichtverkettung
- Transparenz
- Intervenierbarkeit
- Cyber-Sicherheitsbehörde des Bundes
- Gestaltung der Informationssicherheit in der Gesellschaft durch:
- Prävention
- Detektion
- Reaktion
- Dienstleister der Ressorts des Bundes (Verteidigung, Inneres, Wirtschaft, Gesundeheit, Finanzen, Verkehr, ...)
Alle Fragen im Umfeld der Informationssicherheit
- Operativer Schutz (Regierungsnetze und Bundesverwaltung)
- Aufsicht (der Betreiber Kritischer Infrastruktur)
- Beratung (Unterstützung bei der Umsetzung geeigneter Maßnahmen)
- Information (Alle Themen der Informationssicherheit von Cybersicherheit bis digitaler Verbraucherschutz)
- Entwicklung (Standards, IT-Sicherheitsanwendungen)
- Zertifizierung (IT-Systeme, Dienstleistungen, Personen)
kein Nachrichten-Dienst, keine Aufsichtsbehörde!
- Strukturanalyse des Informationsverbundes (inkl. Verknüpfung)
- Schutzbedarfsfeststellung
- Modellierung (Anforderungen auswählen, Umsetzungsstatus definieren)
- Risikoanalyse
- Erstellung einer Gefährdungsübersicht
- Risikoeinschätzung (Eintrittshäufigkeit, Schadenshöhe)
- Risikoeinstufung
- Risikobehandlung
- direkt relevant
$\rightarrow$ Gefährdung des betrachteten Objektes - indirekt relevant (z.B. Feuer)
- nicht relevant
- hoher oder sehr hoher Schutzbedarf
- zusätzlicher Analysebedarf (untypisches Einsatzszenario für Baustein)
- passender Baustein fehlt (z.B. Windows Server 2012 vs. 2019)
- Risikovermeidung
- Risikoreduktion (Zusatzmaßnahmen treffen)
- Risikotransferierung (Versicherung/Outsourcing)
- Risikoakzeptanz