1

Datenschutz in der Praxis

für

DGQ-Regionalkreis Oberschwaben-Bodensee

Referenten: Dipl. Verw. Wiss. Daniel VoigtländerDipl. Wi. Ing. Thomas Schmischke

Datenschutz in der Praxis

für

DGQ-Regionalkreis Oberschwaben-Bodensee

Referenten: Dipl. Verw. Wiss. Daniel VoigtländerDipl. Wi. Ing. Thomas Schmischke

2

Inhalt

1. Einführung: Gesetzliche Forderungen zum Thema Datenschutz und Informationssicherheit

2. Umsetzung der gesetzlichen Forderungen mit Praxisbeispielen

3. Das Datenschutzprojekt (mit Beispielen aus der Praxis)

4. Kosten Nutzen Betrachtungen 5. Technisch-organisatorische Aspekte des

Datenschutzes 6. Datenschutz und Informationssicherheit in ERP-

Umgebungen (am Beispiel SAP)

3

Teil 1

Einführung:

Gesetzliche Forderungen zum Thema Datenschutz und Informationssicherheit

4

Begriffe

Datenschutz

IT-Sicherheit

Informationsschutz

IT-Compliance

InformationssicherheitDatensicherheit

Datenqualität

5

Begriffe

Datenschutz64 Mio

IT-Sicherheit

6,3 Mio

Informationsschutz26.000

IT-Compliance276.000

Informationssicherheit161.000

Datensicherheit

1,8 Mio

Datenqualität242.000

6

Datenschutz

Daten-/IT-Sicherheit

InformationssicherheitDatenqualität

IT-Compliance

Informationsschutz

DatenschutzDatenschutzDatenschutzDatenschutzDatenschutz

7

Abgrenzung Datenschutz zu IT-Sicherheit

IT-Sicherheit in Ihrem eigenen Interesse• Das Unternehmen für sich selbst• Der Mitarbeiter für sich selbstDatenschutz im Interesse der Betroffenen• Das Unternehmen für die Mitarbeiter

Aber:Ohne IT-Sicherheit kein Datenschutz!

8

Abgrenzung Datenschutz zu Datensicherheit

Datenschutz Datensicherheit

Schutznatürlicher Personen

vor

Verletzung des Rechtsauf informationelleSelbstbestimmung

§ 9 BDSGundAnlage

Schutz von Daten jeder Art sowie von Hard- und

Software

vor

Verlust, Zerstörung,Missbrauch durch

Unbefugte

9

Das BDSG ist die gesetzliche Grundlage und regelt den Umgang mit personenbezogenen Daten im Gebiet der Bundesrepublik Deutschland.

Zweck des Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten durch Dritte in seinem Persönlichkeitsrecht nicht beeinträchtigt wird.

Das Bundesdatenschutzgesetz (BDSG)

10

sind Einzelangaben über persönliche und sachliche Verhältnisse einerbestimmten oder einer bestimmbaren Person.Personenbezogen • sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten

oder bestimmbaren natürlichen Person, gleichgültig, ob Mitarbeiter, Kollege oder Kunde bzw. Lieferant oder deren Ansprechpartner (Betroffener).

• sind alle Angaben, die zu einer identifizierbaren Person gehören, z.B. Adresse, Telefonnummer, Geburtsdatum, Familienstand, Staatsangehörigkeit, Konfession, Beruf, Foto, Arbeitgeber, Gehalt, Einkommen, Vermögen, Besitz, Urlaubsplanung, Arbeitsverhalten, Arbeitsergebnisse, Zeugnisnoten, Beurteilungen, Krankheiten, Vorstrafen, Steuern, Versicherungen, Vertragskonditionen.

• können auch Daten ohne direkten Personenbezug (z.B. ohne Namensangabe) sein, wenn aus ihnen auf die zugehörigen Personen Bezug genommen werden kann (z.B. Personalnummer, PC-Benutzerkennung, maschinenbezogene Nutzungszeiten bei nur einem infrage kommenden Benutzer).

Personenbezogene Daten

11

Diese Daten gehören nicht dazu

• Technologiedaten

• Betriebswirtschaftliche Daten

• Strategische Daten

• Qualitätsdaten

Personenbezogene Daten

12

Stufe A: Frei zugängliche Daten, in die Einsicht gewährt wird, ohne dass der Einsichtnehmende ein berechtigtes Interesse geltend machen muss, z.B. Adressbücher, Mitgliederverzeichnisse, Benutzerkataloge in Bibliotheken.

Stufe B: Personenbezogene Daten, deren Missbrauch zwar keine besondere Beeinträchtigung erwarten lässt, deren Kenntnisnahme jedoch an ein berechtigtes Interesse des Einsichtnehmenden gebunden ist, z.B. beschränkt zugängliche öffentliche Dateien, Verteiler für Unterlagen.

Stufe C: Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann („Ansehen“), z.B. Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten.

Stufe D: Personenbezogene Daten, deren Missbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann („Existenz“), z.B. Unterbringung in Anstalten, Straffälligkeit, Ordnungswidrigkeiten schwerwiegender Art, dienstliche Beurteilungen, psychologisch-medizinische Untersuchungsergebnisse, Schulden, Pfändungen, Konkurse.

Stufe E: Daten, deren Missbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann, z.B. Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können. (Identität eines verdeckten Ermittlers)

Schutzstufen personenbezogener DatenQuelle: Landesdatenschutzbeauftragter Niedersachsen

13

Der „richtige“ Datenschutzbeauftragte (Ulmer Beschluß 1990)

• Voraussetzungen• Fachkunde• Genaue Kenntnisse der Organisation des Hauses • Organisationstalent • Didaktische und pädagogische Fähigkeiten • Verschwiegenheit und Zuverlässigkeit

• Tätigkeit• Datenschutzkonzepte erstellen und kontrollieren• Rechtskenntnisse anwenden• Schulung der Mitarbeiter• Verpflichtet zur Weiterbildung

• Individuell zu klären• Ein Computerexperte als Datenschutzbeauftragter?• Konflikte mit sonstigen Aufgaben; Zeitmangel oder Auslastung zu gering

• Er ist nicht Erfüllungsgehilfe der Geschäftsleitung

14

Teil 2

Umsetzung der gesetzlichen Forderungen

15

Im Kern geht es um „techn.-organisatorischen“Datenschutz gem. §9 BDSG (Anlage)

• Zutrittskontrolle• Zugangskontrolle• Zugriffskontrolle• Weitergabekontrolle• Eingabekontrolle• Auftragskontrolle• Verfügbarkeitskontrolle• Trennungsgebot (Getrennte

Verarbeitung/Zweckbindung)• Organisation

16

Definitionen und Massnahmen I

Zutrittskontrolle: Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, verwehren. Beispiel: Türcode, ChipkarteZugangskontrolle: Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (= Eindringen / Zugriff auf Netzwerk oder Applikationen desEDV-Systems)Beispiel: Passwortschutz, Firewalls,Zugriffskontrolle: Maßnahmen, die gewährleisten sollen, dass die zur Benutzung eines Datenverarbeitungssystems berechtigten Personen ausschließlich auf die Daten zugreifen können, zu denen sie eine Berechtigung haben.Beispiel: Verwaltung von Zugriffsrechten in einem ERP-System

17

Beispiel für Zugangskontrolle (per Authentifizierung über Token)

Remote-Zugang per VPN

1. Sicherheitszertifikat installieren

2. Login mit Token-Code

18

Zugriffskontrolle in SAP

19

Definitionen und Massnahmen II

Weitergabekontrolle: Maßnahmen, die verhindern sollen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können sowie Überprüfung, an welchen Stellen eine Übermittlung (DFÜ) vorgesehen ist.Beispiel: CD-Safe zum Transport, VPN-TunnelEingabekontrolle: gewährleistet, dass feststellbar ist, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sindBeispiel: System-Log; ÄnderungshistorieAuftragskontrolle: gewährleistet, dass im (Fremd-) Auftrag verarbeitete personenbezogene Daten nur entsprechend der Weisungen des Auftraggebers verarbeitet werden könnenBeispiel: externes Rechenzentrum

20

Mängel bei Weitergabe- und Auftragskontrolle

21

Verfügbarkeitskontrolle: gewährleistet, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind Beispiel: Datensicherung (ggf. doppelt an getrennten Orten)Datentrennung (Trennungsgebot, Zweckbindung): Gewähr dafür, dass zu unterschiedlichen Zwecken erhobene Daten (technisch) getrennt verarbeitet werdenBeispiel bei SAP-Applikationen: Trennung in Test-, Schulungs- und Produktivsystem; Gegenbeispiel: Rasterfahndung

Definitionen und Massnahmen III

22

Teil 3

Das Datenschutzprojekt (mit Beispielen aus der Praxis)

23

Datenschutz-Projekt

Ökonomischer Ansatz:

Projekt zur Einführung eines Datenschutz-Managements …… zur Umsetzung des BDSG wg. gesetzlichem Zwang seit 1990

-> Focus personenbezogene Daten

… und dabei „Mitnahme“ von Aktivitäten zum Informationsschutz

-> Focus Unternehmensdaten

24

Phasenmodell Einführung Datenschutzmanagement

Phase 1: Datenschutz-Bestandsaufnahme („Inventur“)

Phase 2:Umsetzung des Bundesdatenschutzgesetzes(Aktivitäten zur Verbesserung des Informationsschutzes)

Phase 3:Laufender Betrieb

25

Phase 1: Datenschutz-Bestandsaufnahme (Inventur)

Feststellung des Ist – Zustandes:

• Datenschutzaudit (Prüfung Status des technisch organisatorischen Datenschutzes)

• Aufnahme der Organisation (Wie ist das Unternehmen aufgestellt, Verantwortlichkeiten, Organigramm)

• Aufnahme der Sicherheitskonzepte, falls vorhanden (Virenschutz, Berechtigung Datensicherung…)

• Aufnahme der Infrastruktur• Aufnahme der installierten Software• Erstellung Maßnahmenkatalog

26

Phase 2: Umsetzung des Bundesdatenschutzgesetzes

• Erarbeitung der Verfahrensverzeichnisse (Einbeziehung der Abteilungen die personenbezogene Daten verarbeiten)

• Umsetzung des festgestellten HandIungsbedarfes

• Schulung der Mitarbeiter, die Umgang mit personenbezogenen Daten haben

• Verpflichtung der Mitarbeiter zur Einhaltung des Datenschutzes

• Bestellung Datenschutzbeauftragter

27

Phase 2: Bsp. Externes Verfahrensverzeichnis

1.) Verantwortliche Stelle:Name des Unternehmens2.) Vorstand / Geschäftsführung:Auflistung aller Vorstands- Geschäftsführungsmitglieder3.) Leiter der DatenverarbeitungVerantwortlicher für IT4.) Anschrift der verantwortlichen Stelle:Postalisch vollständige Adresse5.) Zweckbestimmung der DatenverarbeitungUnternehmensinhalt und Einsatzgebiet der DV6.) Betroffene PersonengruppenAuflistung der Personengruppen von denen Daten gespeichert werden7.) Daten und DatenkategorienAuflistung der Kategorien getrennt nach Kunden, Lieferanten, Mitarbeiter 8.) Empfänger der DatenAuflistung der Datenempfänger9.) Regelfristen für die Löschung der DatenHinweis auf gesetzliche oder interne Aufbewahrungsregelungen10.) Übermittlung in DrittstaatenEine Übermittlung an Drittstaaten ist geplant / nicht geplant.11.) DatenschutzbeauftragterNennung des Datenschutzbeauftragten

28

Phase 3: Laufender Betrieb

• Führen und Pflegen von Verfahrensverzeichnissen• Prüfung der datenschutzrechtlichen Relevanz bei neu einzuführenden IT-

Systemen (Vorabkontrolle)• Überwachung der ordnungsgemäßen Anwendung von DV-Programme• Durchführung von Schulungen von neuen Mitarbeitern• Beratung der Fachbereiche und Mitarbeiter in datenschutzrelevanten Fragen • Pflege der in der Einführungsphase erstellten Dokumentation und installierten

Werkzeugen• Benachrichtigung und Auskunft an Betroffene• Überwachung des Prozesses der Berichtigung, Löschung und Sperrung von

Daten • Mitwirkung an Projekten mit datenschutzrechtlichen Auswirkungen• Unterstützung im Kontakt nach Außen: Kommunikation mit der Aufsichtsbehörde• Unterstützung bei Kontrollbesuchen, Datenschutzgespräche mit Betroffenen• Durchführung regelmäßiger Datenschutzbegehungen • Erstellung des jährlichen Datenschutzberichtes

29

Teil 4

Kosten – Nutzen - Betrachtungen

30

Praxisbeispiele für den externen Aufwand bei Einführung und laufendem Betrieb

5 PT

10 PT

3 PT

Umsetzung BDSG

6 PT

10 PT

3 PT

Bestands-aufnahme

4 PT

8 PT

2-3 PT

Laufender Betrieb

Aufwand / Jahr

Gemeinnütziger Verein Behindertenhilfe (450 MA)

Mittelständischer Konzern mit mehreren Gesellschaften (In-und Ausland, 2000 MA)

Mittelständischer Industriebetrieb (100 MA)

31

Kosten – Nutzen - Relation Datenschutz

Im Bußgeldniveau 50.000.-€ (je Einzelfall!) liegt z.B.• Automatisiertes Verfahren nicht gemeldet und kein DSB bestellt• Datenschutzbeauftragter nicht oder zu spät bestellt• Datenübermittlung kann nicht überprüft werden

Im Bußgeldniveau 300.000.-€ liegt z.B. • Unbefugte Verarbeitung personbezogener Daten (Schutzstufe C

oder höher)• Unbefugte Beschaffung personenbezogener Daten, die nicht

allgemein zugänglich sind

32

Nutzenfaktoren

Ein guter Datenschutz-Standard erzeugt bzw unterstützt

• Mitarbeiterzufriedenheit / Sicherheitsgefühl• Gutes Unternehmens-Image • Macht Datenpannen sehr unwahrscheinlich• Besseren Status IT-Compliance• Bessere Prozesssicherheit• Gute Vorbereitung auf DIN ISO 27001

33

Teil 5

Technisch-organisatorische Aspekte des Datenschutzes

34

Praktizierter Datenschutz im Büroalltag

Schützen Sie die Daten auf Ihrem PC bzw. Server-Laufwerk• Nur sichere Passwörter auswählen

35

Praktizierter Datenschutz im Büroalltag

Beispiel gutes Passwort• Grundsatz: Nicht das Passwort merken, sondern die

Methode, wie es gebildet wird!• Akronym-Methode

– Bildung eines Passwortsatzes– Verwendung der Anfangs- oder auch der Endbuchstaben der

einzelnen Wörter als Passwort– Zusätzlich mindestens zwei Ziffern oder Sonderzeichen

einfügen

Passortsatz: Maus & Elefant gehen zusammen 1 Pizza essenPasswort: M&Egz1Pe

36

Zugriffskontrolle in SAP- Regeln für Passwortvergabe -

37

Praktizierter Datenschutz im Büroalltag

Schützen Sie die Daten auf Ihrem PC bzw. Server-Laufwerk• Passwörter regelmäßig wechseln• Bildschirme und PCs bei Abwesenheit vom Arbeitsplatz

sperren (auch bei nur kurzzeitiger Abwesenheit, sofern kein Blickkontakt besteht)

• unerlaubte Einsichtnahme auf PC-Bildschirme vermeiden• Problembereich USB-Anschlüsse und Laufwerke• Laptops sorgfältig sichern, anbinden

z.B. Kensington-Schloss

38

Praktizierter Datenschutz im Büroalltag

Fax bzw. E-Mail ist nicht automatisch vertraulich• Verschlüsselung bei vertraulichem Inhalt (E-Mail)• Antwortfunktion kann Falsche erreichen• Auf Verteiler achten• Virengefahr bei Anlagen (E-Mail)• Schaden durch unsinnige Weiterleitungen• vertrauliche Informationen grundsätzlich durch

telefonische Absprache mit dem Empfänger

39

Praktizierter Datenschutz im Büroalltag

„Plaudertasche“ Mobiltelefon• Wer hört mit? • Telefonbuch-Adresslisten• SMS-Nachrichten• PIN-Nummer / Paßwortschutz• Diebstahlgefahr• Unberechtigter Zugang in das Hausnetz (Smartphones)• Keine zentrale Datensicherung

40

Praktizierter Datenschutz im Büroalltag

Büro und Schreibtisch• Aufgeräumter Schreibtisch (vertrauliche Akten oder

Berichte nicht offen liegen lassen)• Unterlagen verschließen• Vertrauliches nur persönlich abgeben• Ablagefächer Mitarbeiter-Hauspost• Abhol - “Bahnhöfe“ für Boten

41

Der Papierkorb ist das gefährlichste Möbelstück!• Shredder oder Datenschutztonnen verwenden• Datenträger (CDs, Disketten) nicht in den Müll werfen• Entsorgung von PCs und Festplatten nur über die IT-

Abteilung

Technisch-organisatorische Aspekte des Datenschutzes im Büroalltag

42

Microsoft-Office-Dokumente verraten mehr, als Sieglauben! • Microsoft-Office-Dokumente enthalten viele versteckte

Informationen• Die Geschwätzigkeit solcher Dokumente ist gefährlich• nicht an Betriebsfremde/Kunden versenden• besser in PDF umwandeln

Technisch-organisatorische Aspekte des Datenschutzes im Büroalltag

43

Faustregel:

Behandeln Sie die Daten anderer so, wie Sie selbst Ihre eigenen Daten behandelt wissen möchten.

Technisch-organisatorische Aspekte des Datenschutzes

44

Neben allen Sach-Investitionen muß auch die Aufklärung der Mitarbeiter Raum bekommen. Informationssicherheits-Risiken werden u.a. vermieden durch

• Keine vertraulichen Gespräche im Zug führen• Geschäftspapiere zu Hause/auf Reisen nicht herumliegen lassen

(z.B. beim Gang zur Toilette) • Laptop/Handy stets mit Zugangsschutz• Etc.

Ziel: Mitarbeiter müssen Ihr Verhalten hinterfragen!

Technisch-organisatorische Aspekte des Datenschutzes außerhalb Büro

45

Teil 6

Datenschutz und Informationssicherheit in ERP-Umgebungen (am Bsp. SAP)

46

Zugriffskontrolle in SAPam Beispiel der SAP Business Suite 7

Nach Verarbeitung: lesen/schreiben/ändern/löschenNach Organisationseinheit: Nur Holding und Tochter A, nicht

Tochter B; Nur Vertriebssparte A, nicht B, etc.

Nach Datenobjekt: nur Transaktion A, B, C und Report A, BInnerhalb Datenobjekt: Transaktion „Bestellung anzeigen“, aber

ohne das Datenfeld „Preis“Nach Kontierung: Nur Daten für Kostenstelle 120, Auftrag

„Stihl“ oder Projekt „7B“Temporär: Nur für den Zeitraum 1. Sep. – 1. Nov

2009

Und fast alle Kombinationen daraus

47

Zugriffskontrolle in SAP

• Mächtiges Instrument: SAP-Berechtigungskonzept• Prinzipiell kann Datenzugriff unterschieden werden nach lesen /

schreiben / ändern / löschen …• … und sehr fein, z.T bis auf Feld-Ebene, festgelegt werden.

• Nachteile• sehr aufwendig zu konzipieren, einzurichten und zu pflegen• Probleme im Vertretungsfall• Probleme, falls Berechtigungen nicht gut an Geschäftsvorgänge

angepasst oder sich diese oft ändern.• Mittelweg „Rollen“

• Schaffung von „Berechtigungsclustern“ für den „typischen“Einkäufer, Vertriebsinnendienstler oder QM-Manager

Jedes Unternehmen muß seinen Detaillierungslevel selbst bewußterarbeiten, umsetzen und aktuell halten!

48

Zugriffskontrolle in SAP

Quelle: SAP Seminarunterlage

49

Zugriffskontrolle in SAP: Objektklassen

50

Zugriffskontrolle in SAP

51

Zugriffskontrolle in SAP: Berechtigungsobjekte

52

Zugriffskontrolle in SAP

53

Zugriffskontrolle in SAP: Berechtigung

54

Zugriffskontrolle in SAP

55

Zugriffskontrolle in SAP: User-Stammsatz

Berechtigungsprofil im User-Stammsatz

5656

Vereine / VerbändeDeutsche Vereinigung für Datenschutz e.V: http://www.datenschutzverein.de/Gesellschaft für Datenschutz und Datensicherung e.V.: http://www.gdd.de/Berufsverband der Datenschutzbeauftragten Deutschlands - http://www.bvdnet.deÖsterreichische Gesellschaft für Datenschutz - http://www.argedaten.atZeitschriftenDuD - Datenschutz und Datensicherheit - http://www.dud.deDatenschutz Berater - http://www.vhb.de/datenschutz-beraterKES - http://www.kes.info/Verlage:Secumedia Verlag: http://www.secumedia.de/Datakontext: http://www.datakontext.deBeck Verlag: http://www.beck.deSonstige Seiten: IT-Revision und IT-Sicherheit - http://www.it-audit.de/Bundesamt für Sicherheit in der Informationstechnik - http://www.bsi.de/Virtuelles Datenschutzbüro - http://www.datenschutz.de/Unabhängiges Landeszentrum für Datenschutz SH - http://www.datenschutzzentrum.deBundesbeauftragten für den Datenschutz - http://www.bundesdatenschutzbeauftragter.deVerschiedene Artikel: http://www.btq.de/artikel.html

Nützliche Links

57

Daniel Voigtländer

MSO ConsultingZeisigweg 1171397 NellmersbachFon: 07195/9772959Mobil: 0172/7160997Fax: 07195/9772961daniel.voigtlaender@mso.dewww.mso.de

Schwerpunkte:Externer DatenschutzbeauftragterQualitätsmanagementDokumentenmanagement

Ihre Ansprechpartner bei Fragen

Thomas Schmischke

Return on Concept GmbH & Co. KGManfred-von-Ardenne-Allee 1971522 Backnang Fon: 07191/3529-60Mobil: 0172/4033233Fax: 07191/3529-69Thomas.schmischke@roconcept.dewww.roconcept.de

Schwerpunkte:SAP-ConsultingInterims- und ProjektmanagementExterner Datenschutzbeauftragter

5858

Backup

5959

E-Mail Sicherheitstipps

• Vertrauliche E-Mails-Inhalte verschlüsseln (z.B. Dokumentenschutz mit sicherem Passwort)

• Keine aktiven Inhalte öffnen (.com, .exe, .vbs, …)• Nicht jedem Link folgen• Vertrauenswürdigkeit prüfen

- Autor bekannt- Anlagen angekündigt- E-Mail-Inhalt stimmig

60

BerechtigungsobjekteJede Berechtigung im R/3-System basiert auf einem Berechtigungsobjekt. Technisch gesehen ist ein

Berechtigungsobjekt ein Baustein, der aus einem Namen, Feldern und möglichen Werten, die die Aktionen darstellen, besteht. Die Zuordnung eines Berechtigungsobjekts zu einem Handlungsablauf (Report, Transaktion, Verbuchung) ist dabei von der SAP fest vorgegeben.

Zur besseren Unterscheidung wurde eine Unterteilung nach Themengebieten, den sogenannten Objektklassen vorgenommen.

Die Berechtigung ist die kleinste Einheit im Berechtigungskonzept der SAP.

61

Definition von Rollen: Profil-GeneratorEinstieg: Auswahl einer vorhandenen oder Definition einer neuen Rolle

62

Definition von Rollen: Profil-GeneratorAuswahl der entsprechenden Transaktionen aus dem Menübaum. Der Profilgenerator sucht automatisch die

Berechtigungsobjekte für diese Transaktion und bindet diese in die Rolle ein.

63

Definition von Rollen: Profil-GeneratorNun kann man die Rolle (Aktivitätsgruppe) den Benutzern zuweisen.

Nach Eingabe der Benutzer muss mit dem Button “Benutzer abgleichen” die Zuweisung durchgeführt werden.

Der Benutzer-Abgleich garantiert die Konsistenz der Benutzerstammsätze

Berechtugungen könne für bestimmte Gültigkeiteszeiträumefreigegeben werden.

64

Zuordnung von Rollen im Benutzerstamm

6565

Das BDSG

Das Gesetz gilt für alle „öffentlichen Stellen“ und „nicht-öffentlichen Stellen“ (ausgenommen sind rein private oder familiäre Zweckbestimmungen).

Verantwortlich sind zwar diese Stellen, letztlich muss aber jeder Mitarbeiter dieser Stellen das Gesetz beachten.

66

IT-Compliance

• IT-Compliance beschreibt in der Unternehmens-führung die Einhaltung der gesetzlichen, unter-nehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft.

• Die IT-Compliance ist im Zusammenhang mit der IT-Governance zu sehen, die das Thema um die Bereiche Controlling, Geschäftsprozesse und Management erweitert.

• Zu den Compliance-Anforderungen in der IT gehören hauptsächlich Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz.

67

Informationsschutz

• Keine einheitliche Definition. Beispiel: „Maßnahmen zum Schutz innerbetrieblicher Informationen zur Wahrung von Betriebs- und Geschäftsgeheimnissen.“

• Eidgenössisches Finanzdepartment: „Das Hauptanliegen des Informationsschutzes ist der Schutz klassifizierter Informationen vor unberechtigter Zugriff- oder Einsichtnahme, sowie die Nachvollziehbarkeit von Vorgängen in Bezug auf klassifizierte Informationen. Also: Wer hatte wann von was Kenntnis“

68

IT-Sicherheit

69

Datensicherheit

• nach DIN 44300 genormt:Datensicherheit (= Datenintegrität, Integrität) handelt es sich um einen Zustand der ist und dazu dient Daten in der elektronischen Datenverarbeitung vor Datenverlust, sowie vor unberechtigter Einsicht und Manipulation zu schützen. D. muss den Schutz der Daten vor fahrlässigen bzw. technischen Fehlern, physikalischen Schäden, externen Schadensquellen und durch Spionage bzw. Sabotage garantieren.

• Instrumente u.a.:Datensicherung = Schutz vor Verlust, Manipulation, Beschädigung und Fehlern.Anti-Virenschutz = Erhöhung Datensicherheit und Wahrung Datenintegrität

• Bedeutung steigt wg. zunehmender Vernetzung und einhergehenden Verbreitung von Passwort-Phishing, Trojanischen Pferden (auch: Trojaner), Würmer, Hijacker und Viren

70

Datenqualität

• = Informationsqualität bezeichnet die Qualität, also Relevanzund Korrektheit von Informationen. Sie beschreibt, wie gut eine Information (bzw. ein Datensatz) geeignet ist, die Realität zu beschreiben ( … ) Insbesondere besagt sie, wie verlässlich eine Information ist und inwieweit man sie als Grundlage für eine Planung des eigenen Handelns verwenden kann.

• Nach der Deutschen Gesellschaft für Informations- und Datenqualität (DGIQ) sind typische, häufig verwendete Qualitätskriterien – Korrektheit, – Vollständigkeit– Relevanz– Konsistenz.

71

Weitergabekontrolle

Ein aktuell starker Trend ist die Zunahme von Vernetzung und Cloudcomputing. Hier muß der Schutz die Daten „begleiten“ –technisch und organisatorisch.

Erforderliche Maßnahmen• Konzept und Umsetzung von Verschlüsselungsverfahren• Verträge zum Umgang mit Daten und Informationen• Audits zur Prüfung der Umsetzung• Konzept zum Aufspüren- / Umgang mit Sicherheitslücken

72

Daniel Voigtländer

MSO ConsultingZeisigweg 1171397 NellmersbachFon: 07195/9772959Mobil: 0172/7160997Fax: 07195/9772961daniel.voigtlaender@mso.dewww.mso.de

Schwerpunkte:Externer DatenschutzbeauftragterQualitätsmanagementDokumentenmanagement

Ihre Ansprechpartner bei Fragen

Thomas Schmischke

Return on Concept GmbH & Co. KGManfred-von-Ardenne-Allee 1971522 Backnang Fon: 07191/3529-60Mobil: 0172/4033233Fax: 07191/3529-69Thomas.schmischke@roconcept.dewww.roconcept.de

Schwerpunkte:SAP-ConsultingInterims- und ProjektmanagementExterner Datenschutzbeauftragter