Post on 17-Sep-2018
1
Datenschutz in der Praxis
für
DGQ-Regionalkreis Oberschwaben-Bodensee
Referenten: Dipl. Verw. Wiss. Daniel VoigtländerDipl. Wi. Ing. Thomas Schmischke
Datenschutz in der Praxis
für
DGQ-Regionalkreis Oberschwaben-Bodensee
Referenten: Dipl. Verw. Wiss. Daniel VoigtländerDipl. Wi. Ing. Thomas Schmischke
2
Inhalt
1. Einführung: Gesetzliche Forderungen zum Thema Datenschutz und Informationssicherheit
2. Umsetzung der gesetzlichen Forderungen mit Praxisbeispielen
3. Das Datenschutzprojekt (mit Beispielen aus der Praxis)
4. Kosten Nutzen Betrachtungen 5. Technisch-organisatorische Aspekte des
Datenschutzes 6. Datenschutz und Informationssicherheit in ERP-
Umgebungen (am Beispiel SAP)
3
Teil 1
Einführung:
Gesetzliche Forderungen zum Thema Datenschutz und Informationssicherheit
4
Begriffe
Datenschutz
IT-Sicherheit
Informationsschutz
IT-Compliance
InformationssicherheitDatensicherheit
Datenqualität
5
Begriffe
Datenschutz64 Mio
IT-Sicherheit
6,3 Mio
Informationsschutz26.000
IT-Compliance276.000
Informationssicherheit161.000
Datensicherheit
1,8 Mio
Datenqualität242.000
6
Datenschutz
Daten-/IT-Sicherheit
InformationssicherheitDatenqualität
IT-Compliance
Informationsschutz
DatenschutzDatenschutzDatenschutzDatenschutzDatenschutz
7
Abgrenzung Datenschutz zu IT-Sicherheit
IT-Sicherheit in Ihrem eigenen Interesse• Das Unternehmen für sich selbst• Der Mitarbeiter für sich selbstDatenschutz im Interesse der Betroffenen• Das Unternehmen für die Mitarbeiter
Aber:Ohne IT-Sicherheit kein Datenschutz!
8
Abgrenzung Datenschutz zu Datensicherheit
Datenschutz Datensicherheit
Schutznatürlicher Personen
vor
Verletzung des Rechtsauf informationelleSelbstbestimmung
§ 9 BDSGundAnlage
Schutz von Daten jeder Art sowie von Hard- und
Software
vor
Verlust, Zerstörung,Missbrauch durch
Unbefugte
9
Das BDSG ist die gesetzliche Grundlage und regelt den Umgang mit personenbezogenen Daten im Gebiet der Bundesrepublik Deutschland.
Zweck des Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten durch Dritte in seinem Persönlichkeitsrecht nicht beeinträchtigt wird.
Das Bundesdatenschutzgesetz (BDSG)
10
sind Einzelangaben über persönliche und sachliche Verhältnisse einerbestimmten oder einer bestimmbaren Person.Personenbezogen • sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten
oder bestimmbaren natürlichen Person, gleichgültig, ob Mitarbeiter, Kollege oder Kunde bzw. Lieferant oder deren Ansprechpartner (Betroffener).
• sind alle Angaben, die zu einer identifizierbaren Person gehören, z.B. Adresse, Telefonnummer, Geburtsdatum, Familienstand, Staatsangehörigkeit, Konfession, Beruf, Foto, Arbeitgeber, Gehalt, Einkommen, Vermögen, Besitz, Urlaubsplanung, Arbeitsverhalten, Arbeitsergebnisse, Zeugnisnoten, Beurteilungen, Krankheiten, Vorstrafen, Steuern, Versicherungen, Vertragskonditionen.
• können auch Daten ohne direkten Personenbezug (z.B. ohne Namensangabe) sein, wenn aus ihnen auf die zugehörigen Personen Bezug genommen werden kann (z.B. Personalnummer, PC-Benutzerkennung, maschinenbezogene Nutzungszeiten bei nur einem infrage kommenden Benutzer).
Personenbezogene Daten
11
Diese Daten gehören nicht dazu
• Technologiedaten
• Betriebswirtschaftliche Daten
• Strategische Daten
• Qualitätsdaten
Personenbezogene Daten
12
Stufe A: Frei zugängliche Daten, in die Einsicht gewährt wird, ohne dass der Einsichtnehmende ein berechtigtes Interesse geltend machen muss, z.B. Adressbücher, Mitgliederverzeichnisse, Benutzerkataloge in Bibliotheken.
Stufe B: Personenbezogene Daten, deren Missbrauch zwar keine besondere Beeinträchtigung erwarten lässt, deren Kenntnisnahme jedoch an ein berechtigtes Interesse des Einsichtnehmenden gebunden ist, z.B. beschränkt zugängliche öffentliche Dateien, Verteiler für Unterlagen.
Stufe C: Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann („Ansehen“), z.B. Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten.
Stufe D: Personenbezogene Daten, deren Missbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann („Existenz“), z.B. Unterbringung in Anstalten, Straffälligkeit, Ordnungswidrigkeiten schwerwiegender Art, dienstliche Beurteilungen, psychologisch-medizinische Untersuchungsergebnisse, Schulden, Pfändungen, Konkurse.
Stufe E: Daten, deren Missbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann, z.B. Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können. (Identität eines verdeckten Ermittlers)
Schutzstufen personenbezogener DatenQuelle: Landesdatenschutzbeauftragter Niedersachsen
13
Der „richtige“ Datenschutzbeauftragte (Ulmer Beschluß 1990)
• Voraussetzungen• Fachkunde• Genaue Kenntnisse der Organisation des Hauses • Organisationstalent • Didaktische und pädagogische Fähigkeiten • Verschwiegenheit und Zuverlässigkeit
• Tätigkeit• Datenschutzkonzepte erstellen und kontrollieren• Rechtskenntnisse anwenden• Schulung der Mitarbeiter• Verpflichtet zur Weiterbildung
• Individuell zu klären• Ein Computerexperte als Datenschutzbeauftragter?• Konflikte mit sonstigen Aufgaben; Zeitmangel oder Auslastung zu gering
• Er ist nicht Erfüllungsgehilfe der Geschäftsleitung
14
Teil 2
Umsetzung der gesetzlichen Forderungen
15
Im Kern geht es um „techn.-organisatorischen“Datenschutz gem. §9 BDSG (Anlage)
• Zutrittskontrolle• Zugangskontrolle• Zugriffskontrolle• Weitergabekontrolle• Eingabekontrolle• Auftragskontrolle• Verfügbarkeitskontrolle• Trennungsgebot (Getrennte
Verarbeitung/Zweckbindung)• Organisation
16
Definitionen und Massnahmen I
Zutrittskontrolle: Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, verwehren. Beispiel: Türcode, ChipkarteZugangskontrolle: Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (= Eindringen / Zugriff auf Netzwerk oder Applikationen desEDV-Systems)Beispiel: Passwortschutz, Firewalls,Zugriffskontrolle: Maßnahmen, die gewährleisten sollen, dass die zur Benutzung eines Datenverarbeitungssystems berechtigten Personen ausschließlich auf die Daten zugreifen können, zu denen sie eine Berechtigung haben.Beispiel: Verwaltung von Zugriffsrechten in einem ERP-System
17
Beispiel für Zugangskontrolle (per Authentifizierung über Token)
Remote-Zugang per VPN
1. Sicherheitszertifikat installieren
2. Login mit Token-Code
18
Zugriffskontrolle in SAP
19
Definitionen und Massnahmen II
Weitergabekontrolle: Maßnahmen, die verhindern sollen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können sowie Überprüfung, an welchen Stellen eine Übermittlung (DFÜ) vorgesehen ist.Beispiel: CD-Safe zum Transport, VPN-TunnelEingabekontrolle: gewährleistet, dass feststellbar ist, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sindBeispiel: System-Log; ÄnderungshistorieAuftragskontrolle: gewährleistet, dass im (Fremd-) Auftrag verarbeitete personenbezogene Daten nur entsprechend der Weisungen des Auftraggebers verarbeitet werden könnenBeispiel: externes Rechenzentrum
20
Mängel bei Weitergabe- und Auftragskontrolle
21
Verfügbarkeitskontrolle: gewährleistet, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind Beispiel: Datensicherung (ggf. doppelt an getrennten Orten)Datentrennung (Trennungsgebot, Zweckbindung): Gewähr dafür, dass zu unterschiedlichen Zwecken erhobene Daten (technisch) getrennt verarbeitet werdenBeispiel bei SAP-Applikationen: Trennung in Test-, Schulungs- und Produktivsystem; Gegenbeispiel: Rasterfahndung
Definitionen und Massnahmen III
22
Teil 3
Das Datenschutzprojekt (mit Beispielen aus der Praxis)
23
Datenschutz-Projekt
Ökonomischer Ansatz:
Projekt zur Einführung eines Datenschutz-Managements …… zur Umsetzung des BDSG wg. gesetzlichem Zwang seit 1990
-> Focus personenbezogene Daten
… und dabei „Mitnahme“ von Aktivitäten zum Informationsschutz
-> Focus Unternehmensdaten
24
Phasenmodell Einführung Datenschutzmanagement
Phase 1: Datenschutz-Bestandsaufnahme („Inventur“)
Phase 2:Umsetzung des Bundesdatenschutzgesetzes(Aktivitäten zur Verbesserung des Informationsschutzes)
Phase 3:Laufender Betrieb
25
Phase 1: Datenschutz-Bestandsaufnahme (Inventur)
Feststellung des Ist – Zustandes:
• Datenschutzaudit (Prüfung Status des technisch organisatorischen Datenschutzes)
• Aufnahme der Organisation (Wie ist das Unternehmen aufgestellt, Verantwortlichkeiten, Organigramm)
• Aufnahme der Sicherheitskonzepte, falls vorhanden (Virenschutz, Berechtigung Datensicherung…)
• Aufnahme der Infrastruktur• Aufnahme der installierten Software• Erstellung Maßnahmenkatalog
26
Phase 2: Umsetzung des Bundesdatenschutzgesetzes
• Erarbeitung der Verfahrensverzeichnisse (Einbeziehung der Abteilungen die personenbezogene Daten verarbeiten)
• Umsetzung des festgestellten HandIungsbedarfes
• Schulung der Mitarbeiter, die Umgang mit personenbezogenen Daten haben
• Verpflichtung der Mitarbeiter zur Einhaltung des Datenschutzes
• Bestellung Datenschutzbeauftragter
27
Phase 2: Bsp. Externes Verfahrensverzeichnis
1.) Verantwortliche Stelle:Name des Unternehmens2.) Vorstand / Geschäftsführung:Auflistung aller Vorstands- Geschäftsführungsmitglieder3.) Leiter der DatenverarbeitungVerantwortlicher für IT4.) Anschrift der verantwortlichen Stelle:Postalisch vollständige Adresse5.) Zweckbestimmung der DatenverarbeitungUnternehmensinhalt und Einsatzgebiet der DV6.) Betroffene PersonengruppenAuflistung der Personengruppen von denen Daten gespeichert werden7.) Daten und DatenkategorienAuflistung der Kategorien getrennt nach Kunden, Lieferanten, Mitarbeiter 8.) Empfänger der DatenAuflistung der Datenempfänger9.) Regelfristen für die Löschung der DatenHinweis auf gesetzliche oder interne Aufbewahrungsregelungen10.) Übermittlung in DrittstaatenEine Übermittlung an Drittstaaten ist geplant / nicht geplant.11.) DatenschutzbeauftragterNennung des Datenschutzbeauftragten
28
Phase 3: Laufender Betrieb
• Führen und Pflegen von Verfahrensverzeichnissen• Prüfung der datenschutzrechtlichen Relevanz bei neu einzuführenden IT-
Systemen (Vorabkontrolle)• Überwachung der ordnungsgemäßen Anwendung von DV-Programme• Durchführung von Schulungen von neuen Mitarbeitern• Beratung der Fachbereiche und Mitarbeiter in datenschutzrelevanten Fragen • Pflege der in der Einführungsphase erstellten Dokumentation und installierten
Werkzeugen• Benachrichtigung und Auskunft an Betroffene• Überwachung des Prozesses der Berichtigung, Löschung und Sperrung von
Daten • Mitwirkung an Projekten mit datenschutzrechtlichen Auswirkungen• Unterstützung im Kontakt nach Außen: Kommunikation mit der Aufsichtsbehörde• Unterstützung bei Kontrollbesuchen, Datenschutzgespräche mit Betroffenen• Durchführung regelmäßiger Datenschutzbegehungen • Erstellung des jährlichen Datenschutzberichtes
29
Teil 4
Kosten – Nutzen - Betrachtungen
30
Praxisbeispiele für den externen Aufwand bei Einführung und laufendem Betrieb
5 PT
10 PT
3 PT
Umsetzung BDSG
6 PT
10 PT
3 PT
Bestands-aufnahme
4 PT
8 PT
2-3 PT
Laufender Betrieb
Aufwand / Jahr
Gemeinnütziger Verein Behindertenhilfe (450 MA)
Mittelständischer Konzern mit mehreren Gesellschaften (In-und Ausland, 2000 MA)
Mittelständischer Industriebetrieb (100 MA)
31
Kosten – Nutzen - Relation Datenschutz
Im Bußgeldniveau 50.000.-€ (je Einzelfall!) liegt z.B.• Automatisiertes Verfahren nicht gemeldet und kein DSB bestellt• Datenschutzbeauftragter nicht oder zu spät bestellt• Datenübermittlung kann nicht überprüft werden
Im Bußgeldniveau 300.000.-€ liegt z.B. • Unbefugte Verarbeitung personbezogener Daten (Schutzstufe C
oder höher)• Unbefugte Beschaffung personenbezogener Daten, die nicht
allgemein zugänglich sind
32
Nutzenfaktoren
Ein guter Datenschutz-Standard erzeugt bzw unterstützt
• Mitarbeiterzufriedenheit / Sicherheitsgefühl• Gutes Unternehmens-Image • Macht Datenpannen sehr unwahrscheinlich• Besseren Status IT-Compliance• Bessere Prozesssicherheit• Gute Vorbereitung auf DIN ISO 27001
33
Teil 5
Technisch-organisatorische Aspekte des Datenschutzes
34
Praktizierter Datenschutz im Büroalltag
Schützen Sie die Daten auf Ihrem PC bzw. Server-Laufwerk• Nur sichere Passwörter auswählen
35
Praktizierter Datenschutz im Büroalltag
Beispiel gutes Passwort• Grundsatz: Nicht das Passwort merken, sondern die
Methode, wie es gebildet wird!• Akronym-Methode
– Bildung eines Passwortsatzes– Verwendung der Anfangs- oder auch der Endbuchstaben der
einzelnen Wörter als Passwort– Zusätzlich mindestens zwei Ziffern oder Sonderzeichen
einfügen
Passortsatz: Maus & Elefant gehen zusammen 1 Pizza essenPasswort: M&Egz1Pe
36
Zugriffskontrolle in SAP- Regeln für Passwortvergabe -
37
Praktizierter Datenschutz im Büroalltag
Schützen Sie die Daten auf Ihrem PC bzw. Server-Laufwerk• Passwörter regelmäßig wechseln• Bildschirme und PCs bei Abwesenheit vom Arbeitsplatz
sperren (auch bei nur kurzzeitiger Abwesenheit, sofern kein Blickkontakt besteht)
• unerlaubte Einsichtnahme auf PC-Bildschirme vermeiden• Problembereich USB-Anschlüsse und Laufwerke• Laptops sorgfältig sichern, anbinden
z.B. Kensington-Schloss
38
Praktizierter Datenschutz im Büroalltag
Fax bzw. E-Mail ist nicht automatisch vertraulich• Verschlüsselung bei vertraulichem Inhalt (E-Mail)• Antwortfunktion kann Falsche erreichen• Auf Verteiler achten• Virengefahr bei Anlagen (E-Mail)• Schaden durch unsinnige Weiterleitungen• vertrauliche Informationen grundsätzlich durch
telefonische Absprache mit dem Empfänger
39
Praktizierter Datenschutz im Büroalltag
„Plaudertasche“ Mobiltelefon• Wer hört mit? • Telefonbuch-Adresslisten• SMS-Nachrichten• PIN-Nummer / Paßwortschutz• Diebstahlgefahr• Unberechtigter Zugang in das Hausnetz (Smartphones)• Keine zentrale Datensicherung
40
Praktizierter Datenschutz im Büroalltag
Büro und Schreibtisch• Aufgeräumter Schreibtisch (vertrauliche Akten oder
Berichte nicht offen liegen lassen)• Unterlagen verschließen• Vertrauliches nur persönlich abgeben• Ablagefächer Mitarbeiter-Hauspost• Abhol - “Bahnhöfe“ für Boten
41
Der Papierkorb ist das gefährlichste Möbelstück!• Shredder oder Datenschutztonnen verwenden• Datenträger (CDs, Disketten) nicht in den Müll werfen• Entsorgung von PCs und Festplatten nur über die IT-
Abteilung
Technisch-organisatorische Aspekte des Datenschutzes im Büroalltag
42
Microsoft-Office-Dokumente verraten mehr, als Sieglauben! • Microsoft-Office-Dokumente enthalten viele versteckte
Informationen• Die Geschwätzigkeit solcher Dokumente ist gefährlich• nicht an Betriebsfremde/Kunden versenden• besser in PDF umwandeln
Technisch-organisatorische Aspekte des Datenschutzes im Büroalltag
43
Faustregel:
Behandeln Sie die Daten anderer so, wie Sie selbst Ihre eigenen Daten behandelt wissen möchten.
Technisch-organisatorische Aspekte des Datenschutzes
44
Neben allen Sach-Investitionen muß auch die Aufklärung der Mitarbeiter Raum bekommen. Informationssicherheits-Risiken werden u.a. vermieden durch
• Keine vertraulichen Gespräche im Zug führen• Geschäftspapiere zu Hause/auf Reisen nicht herumliegen lassen
(z.B. beim Gang zur Toilette) • Laptop/Handy stets mit Zugangsschutz• Etc.
Ziel: Mitarbeiter müssen Ihr Verhalten hinterfragen!
Technisch-organisatorische Aspekte des Datenschutzes außerhalb Büro
45
Teil 6
Datenschutz und Informationssicherheit in ERP-Umgebungen (am Bsp. SAP)
46
Zugriffskontrolle in SAPam Beispiel der SAP Business Suite 7
Nach Verarbeitung: lesen/schreiben/ändern/löschenNach Organisationseinheit: Nur Holding und Tochter A, nicht
Tochter B; Nur Vertriebssparte A, nicht B, etc.
Nach Datenobjekt: nur Transaktion A, B, C und Report A, BInnerhalb Datenobjekt: Transaktion „Bestellung anzeigen“, aber
ohne das Datenfeld „Preis“Nach Kontierung: Nur Daten für Kostenstelle 120, Auftrag
„Stihl“ oder Projekt „7B“Temporär: Nur für den Zeitraum 1. Sep. – 1. Nov
2009
Und fast alle Kombinationen daraus
47
Zugriffskontrolle in SAP
• Mächtiges Instrument: SAP-Berechtigungskonzept• Prinzipiell kann Datenzugriff unterschieden werden nach lesen /
schreiben / ändern / löschen …• … und sehr fein, z.T bis auf Feld-Ebene, festgelegt werden.
• Nachteile• sehr aufwendig zu konzipieren, einzurichten und zu pflegen• Probleme im Vertretungsfall• Probleme, falls Berechtigungen nicht gut an Geschäftsvorgänge
angepasst oder sich diese oft ändern.• Mittelweg „Rollen“
• Schaffung von „Berechtigungsclustern“ für den „typischen“Einkäufer, Vertriebsinnendienstler oder QM-Manager
Jedes Unternehmen muß seinen Detaillierungslevel selbst bewußterarbeiten, umsetzen und aktuell halten!
48
Zugriffskontrolle in SAP
Quelle: SAP Seminarunterlage
49
Zugriffskontrolle in SAP: Objektklassen
50
Zugriffskontrolle in SAP
51
Zugriffskontrolle in SAP: Berechtigungsobjekte
52
Zugriffskontrolle in SAP
53
Zugriffskontrolle in SAP: Berechtigung
54
Zugriffskontrolle in SAP
55
Zugriffskontrolle in SAP: User-Stammsatz
Berechtigungsprofil im User-Stammsatz
5656
Vereine / VerbändeDeutsche Vereinigung für Datenschutz e.V: http://www.datenschutzverein.de/Gesellschaft für Datenschutz und Datensicherung e.V.: http://www.gdd.de/Berufsverband der Datenschutzbeauftragten Deutschlands - http://www.bvdnet.deÖsterreichische Gesellschaft für Datenschutz - http://www.argedaten.atZeitschriftenDuD - Datenschutz und Datensicherheit - http://www.dud.deDatenschutz Berater - http://www.vhb.de/datenschutz-beraterKES - http://www.kes.info/Verlage:Secumedia Verlag: http://www.secumedia.de/Datakontext: http://www.datakontext.deBeck Verlag: http://www.beck.deSonstige Seiten: IT-Revision und IT-Sicherheit - http://www.it-audit.de/Bundesamt für Sicherheit in der Informationstechnik - http://www.bsi.de/Virtuelles Datenschutzbüro - http://www.datenschutz.de/Unabhängiges Landeszentrum für Datenschutz SH - http://www.datenschutzzentrum.deBundesbeauftragten für den Datenschutz - http://www.bundesdatenschutzbeauftragter.deVerschiedene Artikel: http://www.btq.de/artikel.html
Nützliche Links
57
Daniel Voigtländer
MSO ConsultingZeisigweg 1171397 NellmersbachFon: 07195/9772959Mobil: 0172/7160997Fax: 07195/9772961daniel.voigtlaender@mso.dewww.mso.de
Schwerpunkte:Externer DatenschutzbeauftragterQualitätsmanagementDokumentenmanagement
Ihre Ansprechpartner bei Fragen
Thomas Schmischke
Return on Concept GmbH & Co. KGManfred-von-Ardenne-Allee 1971522 Backnang Fon: 07191/3529-60Mobil: 0172/4033233Fax: 07191/3529-69Thomas.schmischke@roconcept.dewww.roconcept.de
Schwerpunkte:SAP-ConsultingInterims- und ProjektmanagementExterner Datenschutzbeauftragter
5858
Backup
5959
E-Mail Sicherheitstipps
• Vertrauliche E-Mails-Inhalte verschlüsseln (z.B. Dokumentenschutz mit sicherem Passwort)
• Keine aktiven Inhalte öffnen (.com, .exe, .vbs, …)• Nicht jedem Link folgen• Vertrauenswürdigkeit prüfen
- Autor bekannt- Anlagen angekündigt- E-Mail-Inhalt stimmig
60
BerechtigungsobjekteJede Berechtigung im R/3-System basiert auf einem Berechtigungsobjekt. Technisch gesehen ist ein
Berechtigungsobjekt ein Baustein, der aus einem Namen, Feldern und möglichen Werten, die die Aktionen darstellen, besteht. Die Zuordnung eines Berechtigungsobjekts zu einem Handlungsablauf (Report, Transaktion, Verbuchung) ist dabei von der SAP fest vorgegeben.
Zur besseren Unterscheidung wurde eine Unterteilung nach Themengebieten, den sogenannten Objektklassen vorgenommen.
Die Berechtigung ist die kleinste Einheit im Berechtigungskonzept der SAP.
61
Definition von Rollen: Profil-GeneratorEinstieg: Auswahl einer vorhandenen oder Definition einer neuen Rolle
62
Definition von Rollen: Profil-GeneratorAuswahl der entsprechenden Transaktionen aus dem Menübaum. Der Profilgenerator sucht automatisch die
Berechtigungsobjekte für diese Transaktion und bindet diese in die Rolle ein.
63
Definition von Rollen: Profil-GeneratorNun kann man die Rolle (Aktivitätsgruppe) den Benutzern zuweisen.
Nach Eingabe der Benutzer muss mit dem Button “Benutzer abgleichen” die Zuweisung durchgeführt werden.
Der Benutzer-Abgleich garantiert die Konsistenz der Benutzerstammsätze
Berechtugungen könne für bestimmte Gültigkeiteszeiträumefreigegeben werden.
64
Zuordnung von Rollen im Benutzerstamm
6565
Das BDSG
Das Gesetz gilt für alle „öffentlichen Stellen“ und „nicht-öffentlichen Stellen“ (ausgenommen sind rein private oder familiäre Zweckbestimmungen).
Verantwortlich sind zwar diese Stellen, letztlich muss aber jeder Mitarbeiter dieser Stellen das Gesetz beachten.
66
IT-Compliance
• IT-Compliance beschreibt in der Unternehmens-führung die Einhaltung der gesetzlichen, unter-nehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft.
• Die IT-Compliance ist im Zusammenhang mit der IT-Governance zu sehen, die das Thema um die Bereiche Controlling, Geschäftsprozesse und Management erweitert.
• Zu den Compliance-Anforderungen in der IT gehören hauptsächlich Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz.
67
Informationsschutz
• Keine einheitliche Definition. Beispiel: „Maßnahmen zum Schutz innerbetrieblicher Informationen zur Wahrung von Betriebs- und Geschäftsgeheimnissen.“
• Eidgenössisches Finanzdepartment: „Das Hauptanliegen des Informationsschutzes ist der Schutz klassifizierter Informationen vor unberechtigter Zugriff- oder Einsichtnahme, sowie die Nachvollziehbarkeit von Vorgängen in Bezug auf klassifizierte Informationen. Also: Wer hatte wann von was Kenntnis“
68
IT-Sicherheit
69
Datensicherheit
• nach DIN 44300 genormt:Datensicherheit (= Datenintegrität, Integrität) handelt es sich um einen Zustand der ist und dazu dient Daten in der elektronischen Datenverarbeitung vor Datenverlust, sowie vor unberechtigter Einsicht und Manipulation zu schützen. D. muss den Schutz der Daten vor fahrlässigen bzw. technischen Fehlern, physikalischen Schäden, externen Schadensquellen und durch Spionage bzw. Sabotage garantieren.
• Instrumente u.a.:Datensicherung = Schutz vor Verlust, Manipulation, Beschädigung und Fehlern.Anti-Virenschutz = Erhöhung Datensicherheit und Wahrung Datenintegrität
• Bedeutung steigt wg. zunehmender Vernetzung und einhergehenden Verbreitung von Passwort-Phishing, Trojanischen Pferden (auch: Trojaner), Würmer, Hijacker und Viren
70
Datenqualität
• = Informationsqualität bezeichnet die Qualität, also Relevanzund Korrektheit von Informationen. Sie beschreibt, wie gut eine Information (bzw. ein Datensatz) geeignet ist, die Realität zu beschreiben ( … ) Insbesondere besagt sie, wie verlässlich eine Information ist und inwieweit man sie als Grundlage für eine Planung des eigenen Handelns verwenden kann.
• Nach der Deutschen Gesellschaft für Informations- und Datenqualität (DGIQ) sind typische, häufig verwendete Qualitätskriterien – Korrektheit, – Vollständigkeit– Relevanz– Konsistenz.
71
Weitergabekontrolle
Ein aktuell starker Trend ist die Zunahme von Vernetzung und Cloudcomputing. Hier muß der Schutz die Daten „begleiten“ –technisch und organisatorisch.
Erforderliche Maßnahmen• Konzept und Umsetzung von Verschlüsselungsverfahren• Verträge zum Umgang mit Daten und Informationen• Audits zur Prüfung der Umsetzung• Konzept zum Aufspüren- / Umgang mit Sicherheitslücken
72
Daniel Voigtländer
MSO ConsultingZeisigweg 1171397 NellmersbachFon: 07195/9772959Mobil: 0172/7160997Fax: 07195/9772961daniel.voigtlaender@mso.dewww.mso.de
Schwerpunkte:Externer DatenschutzbeauftragterQualitätsmanagementDokumentenmanagement
Ihre Ansprechpartner bei Fragen
Thomas Schmischke
Return on Concept GmbH & Co. KGManfred-von-Ardenne-Allee 1971522 Backnang Fon: 07191/3529-60Mobil: 0172/4033233Fax: 07191/3529-69Thomas.schmischke@roconcept.dewww.roconcept.de
Schwerpunkte:SAP-ConsultingInterims- und ProjektmanagementExterner Datenschutzbeauftragter