Datensicherheits-maßnahmen

Mitarbeiterschulung

© Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen

Agenda

Gesetzliche Anforderungen

4 Schutzstufen

Kontrollarten

Hinweise zu speziellen Sicherheitsmaßnahmen

2

Technische und organisatorische Maßnahmen

müssen nach § 9 BDSG

erforderlich sein

geeignet sein, die in der Anlage zu § 9 BDSG genannten Anforderungen zu gewährleisten

angemessen sein im Verhältnis zwischen dem Aufwand den sie verursachen und dem Schutzzweck dem sie dienen

3

Schutzstufen

1 niedriger Schutzbedarf

2 mittlerer Schutzbedarf

3 hoher Schutzbedarf

4 sehr hoher Schutzbedarf

4

sehr hoch

hoch

mittel

niedrig

Besondere Arten personenbez. Daten gemäß § 3 Abs. 9 BDSG

rassische Herkunft

ethnische Herkunft

politische Meinungen

Überzeugungen religiöse

philosophische

Gewerkschaftszugehörigkeit

Gesundheit

Sexualleben

5

SPEZIAL

Acht Kontrollarten gemäß der Anlage zu § 9 Satz 1 BDSG

Zutrittskontrolle

Zugangskontrolle

Zugriffskontrolle

Weitergabekontrolle

Eingabekontrolle

Auftragskontrolle

Verfügbarkeitskontrolle

Trennungsgebot oder Trennungskontrolle

6

Ziele

Gewährleistung der

Vertraulichkeit

Integrität

Verfügbarkeit

Authentizität

Revisionsfähigkeit

7

Zutrittskontrolle

Definition

Beispielsmaßnahmen

Festlegung der Sicherheitszonen

Bestimmung der zutrittsberechtigten

Personen

Einsatz von Zugangskontrollsystemen

Verschluss der Arbeitsplätze

Zutrittsregelungen für betriebsfremde

Personen

8

Zugangskontrolle

Definition

Beispielsmaßnahmen

Zugangsbeschränkung

Netzwerkabschottung

Bildschirmschoner

Identifizierung/Authentisierung

9

Sicherheitsmaßnahmen innerhalb des lokalen Netzes Erstellung von Dienstanweisungen

restriktive Vergabe von Zugangs- und Zugriffsberechtigungen

Einsatz geeigneter Sicherheitsmechanismen zur Identifizierung und Authentisierung

Überwachung der Datenzugriffe Dienstvereinbarung zur Protokollierung Abschottung der Teilnehmer

untereinander

10

Abschottung des lokalen Netzes gegen externe Netze

lokales Sicherheitskonzept Kommunikationsbedarfsfeststellung Absicherung der Übergänge Auswertung von Protokollen Einsatz von Firewalls/VPN Ausfiltern unerwünschter

Seitenzugriffe Virenscanner auf allen Ebenen

11

Firewall

Zwecke Abschottung des internen Netzes Abschottung der Netzteilnehmer Erkennung und Abwehr von Angriffen Verhinderung des unerlaubten Transportes

interner Daten nach außen

Absicherung der Firewall Intrusion Detection Intrusion Response Virenscanner

12

Virtuelle private Netze (VPN) Nutzung der öffentlichen Telekommunikationsstruktur

Einsatz von sogenannten Tunneling- und Sicherheitsprotokollen

Realisierung über das Internet

Nutzung der VPN-Funktionen einer Firewall

Datenverschlüsselung

13

Verbreitung von Schadenssoftware

Internet und E-Mail als Medien zur Verbreitung von

Schadenssoftware (z. B. in Mails bzw. Anhängen)

Viren

Trojaner

Würmer

Spam etc.

Authentisierung

Passwortaufbau

Passwortvergabe

Passwortverwaltung

Sanktionen

Sonstiges

15

Zugriffskontrolle

Definition

Beispielsmaßnahmen Benutzerprofile Zugriffsbeschränkungen Zugriffsprotokollierung Datenverschlüsselung Datenträgeraufbewahrung datenschutzgerechte Entsorgung

16

Protokollierung

Begriff

Rechtsgrundlage

Anforderungen

Aufzeichnungsumfang

Aufbewahrung

Auswertung

Einbindung der Personalvertretung

17

Zugriffsschutzverletzungen

Verschlüsselungsarten

Symmetrische Verfahren ein Schlüssel zum Ver- und Entschlüsseln schnelle Datenübertragung Gefahr der Weitergabe des Schlüssels

Asymmetrische Verfahren Private- und Public Key Public Key wird öffentlich bekannt gegeben elektronische Signatur

18

Datenträgerentsorgung

Datenträgerarten

Sicherheitsnormen DIN 32757 DIN 33858

Entsorgungsmaßnahmen

Entsorgung in Form der Auftragsdatenverarbeitung

19

Weitergabekontrolle

Definition

BeispielsmaßnahmenFestlegung der BerechtigtenProtokollierungFestlegung der VersandartenSicherer DatenträgertransportVirenschutzVerschlüsselung

20

Eingabekontrolle

Definition

Beispiele von Maßnahmenelektronische SignaturPlausibilitätskontrollenAufbewahrungsfristenProtokollierungProtokollauswertungEingabebelege

21

Elektronische Signatur

Wahrung der Authentizität und Integrität

rechtliche Voraussetzungen

Zertifikate

Trust Center

PKI

Chipkarte

22

Zertifikate …… binden die Identität an einem Public Key

vergleichbar mit Personaldokumenten (Ausweis, Reisepass,Führerschein, …)Signiert von einer vertrauten Certificate Authority oder auch Trust CenterErlaubt die Überprüfung der wahren Identität

Name wird gebunden an Public Key

Authentizität des Zertifikats wird garantiert durch die Signatur (mit privaten Schlüssel) der CA o. Trust Centers

Ablaufdatum

Subject Name: “Internet, Organization, Bob”

Expires: 12/18/2000

Signed: CA’s signature

Serial #: 29483756

Public key:

Other data: 10236283025273

Spez. Attribute

Private

Public

Auftragskontrolle

Definition

Beispiele von Maßnahmen

Auswahl des Auftragnehmers

Vertragsgestaltung

Rechte und Pflichten

Sicherheitsmaßnahmen

Kontrolle der Vertragsausführung

24

Verfügbarkeitskontrolle

Definition

Beispiele von Maßnahmen

Risiko- und Schwachstellenanalyse

Anwenderschulung

Brandschutz

Datensicherung

Wartung und Fernwartung

25

Trennungskontrolle bzw. Trennungsgebot

Definition

Beispiele von Maßnahmen

Dokumentation der Datenbank

logische Datenbanken

physikalische Trennung

Trennung Produktion/Test

Pseudonyme

26

Vielen Dank für Ihre Aufmerksamkeit!

Haben Sie noch Fragen?

27