03.04.2019

1

DSGVO: Keine Angst vor TOMs

4. April 2019

Prof. Mag. Dr. Manfred WöhrlAllgemein beeideter und gerichtlich zertifizierter

Sachverständiger für Informationstechnikund zertifizierter Datenschutzbeauftragter

Universitätä Wien(Experimentalphysik)

Versuchsanstalt fürDatenverarbeitung

(HTL-Spengergasse)

R.I.C.S. EDV-GmbH(Research Institute for Computer Science)

BigData

Internet IoT

Security

Cloud

BCM

Digital Society(NGO)

Networking

Prof. Mag. Dr. Manfred Wöhrl AustrianStandards

ASI

EU-DSGVO

SV

1

2

03.04.2019

2

Ziel der DSGVO: Der Schutz der Betroffengegen Verletzungen deren persönlichen Rechte und Freiheiten

TOMs

Rechtliche Fragen

Wie setze ichdiese in derPraxis um ?

3

4

03.04.2019

3

Daten

Firmen-kritische

Daten

Personen-bezogene

Daten

SensibleDaten • Rassische und ethnische Herkunft

• Politische Meinungen• Religiöse Überzeugungen• Weltanschauliche Überzeugungen• Gewerkschaftszugehörigkeit• Genetischen Daten• Biometrischen Daten • Gesundheitsdaten• Daten zum Sexualleben• Sexuellen Orientierung

Artikel9

Minimalprinzip

Datenverarbeiter müssen ihre Produkte und Dienste durch Technik und entsprechende

Voreinstellungen datenschutzkonform ausgestalten damit personenbezogene Daten nur im

erforderlichen Umfang gesammelt und verarbeitet werden.

Zweck

Ermittlung und Verarbeitung unbedingt notwendiger persönlicher Daten

Berechtigung

Für den jeweiligen Zweck muß gemäß DSGVO eine Berechtigung für die Speicherung, Verarbeitung und Weitergabe bestehen.

Speicherdauer

Speicherung nur für unbedingt notwendige Mindestdauer

5

6

03.04.2019

4

VerfahrenZyklische Überprüfung

PDCA – Plan-Do-Check-Act

Rechtmäßigkeitder Verarbeitung

Dokumentation:Verarbeitungs-

Verzeichnis

DSFA notwendig?

TOMs:Technische &OrganisatorischeMaßnahmen

Date

nve

rarbe

itun

gexte

rn

Auftrags-verarbeitung

Drittstaaten-Übermittlung

Rechte derBetroffenenbeachtet ?

Abbildung auf Prozesse

TOMs

TOMs

Protokoll

Umsetzung des Verfahrens intern

Sicherheit der Verarbeitung

Betroffene

(B)

(V)

Verantwortliche(AV) Auftragsverarbeiter

Personen-bezogene

Daten

schriftlich

Art.28 Abs.9

TOMs

TOMs

Meldung

Check

7

8

03.04.2019

5

Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes

personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).

Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das

Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm

beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.

„Three can keep a secretif two of them are dead.“- Benjamin Franklin

„Absolute Informationssicherheitist und bleibt eine Illusion.“- Manfred Wöhrl

„There are only two types of companies – thosethat have been hacked and those that will be.“- Robert Müller, ehemaliger FBI-Direktor

Hacker

User

Systeme

Was ist zu tun?

9

10

03.04.2019

6

Sicherheit

Aufwand / Kosten BenutzbarkeitRentabilität

Verfügbarkeit

Die richtige Balance entscheidet über den Erfolg

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Artikel32

11

12

03.04.2019

7

▪ Risiken berücksichtigen

➢ angemessenens Schutzniveau für die Verarbeitung

➢ personenbezogenen Daten, die ➢ übermittelt ➢ gespeichert ➢ auf andere Weise verarbeitet werden

➢ Speziell beachten

➢ Vernichtung➢ Verlust➢ Veränderung➢ unbefugte Offenlegung➢ unbefugter Zugang. DSMS

DSMS: Datenschutzmanagementsystem

Artikel32

▪ Pseudonymisierung und Verschlüsselung ➢ personenbezogener Daten

▪ Sicherstellen auf Dauer für die Systeme & Dienste➢ Vertraulichkeit➢ Integrität➢ Verfügbarkeit➢ Belastbarkeit

▪ Rasche Wiederherstellung der Verfügbarkeit➢ nach einem physischen oder technischen Zwischenfall

▪ Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit regelmäßig➢ Überprüfen➢ Bewerten➢ Evaluieren der Wirksamkeit der technischen und organisatorischen

Maßnahmen

Artikel32

13

14

03.04.2019

8

Quelle :

➢ Reliability = Zuverlässigkeit

❖Betriebssicherheit

❖Ausfallsicherheit

❖Funktionssicherheit

In der IT-Security wird oft vernachlässigt:

Safety

→ Strategie !

Information• Ausbildung• Weiterbildung• Belehrung

• Gesetze• Compliance

Awareness

• Zugriffskontrolle• Zutrittskontrolle• Backup/Restore• Monitoring• Logging

• Firewall• IDS/IPS• VPN• Encryption

Organisation

Technik

Organisation

15

16

03.04.2019

9

KontrolleTOMs

Adaptierung

Maßnahmen-

umsetzung

WirksamkeitM

aß

na

hm

en

-

au

sw

ah

l

Ris

iko

-

an

aly

se

key performance indicators

key risk indicators

reaktiv

proaktiv

z.B. Logging

z.B. Auditing

“early warning indicator”

KRIs bieten die Möglichkeit für einproaktives strategisches Risikomanagement

KPI und KRI

Nachweis der

Wirksamkeitvon Maßnahmen(TOMs).

Pflicht zurRechenschaft

17

18

03.04.2019

10

„Setzen Sie bitte sofort ihr Passwort auf A3141, wir müssen einen Systemcheck durchführen! Ihr Systemadministrator.“

APR 2018 JUN 2018 JUL 2018

Durchgeführt Mitarbeiter Durchgeführt von 33% Schulung von 13%

Das Zauberwort:

19

20

03.04.2019

11

C: D:SystemPartition

DatenPartition

Crypted

Performance & Security

Container-Files/Encrypted

Files

C:

S:„Mount"

„Dismount"APP

21

22

03.04.2019

12

Container-Files/Encrypted

Files

C:

Sicheres Backup

kopieren

Container-Files/Encrypted

Files

C:

SecureCloud

Synchronisieren

Backup

23

24

03.04.2019

13

BitLockerFull disk encryption feature

Beinhaltet in Windows seit Vista

Die Entwicklung von TrueCrypt endete 5/2014

Warum migrieren?• Eventuelle bugs• Keine weiteren Updates

http://www.cvedetails.com/

Die organisatorische Basis:

25

26

03.04.2019

14

• Richtlinien vorgeben

• Verantwortung / Kompetenzen regeln

• Schulung / Einweisung der Mitarbeiter

• Klassifizierung von Information und Daten

• Maßnahmen entsprechend der Klassifizierung

• Aufrechthalten der Geschäftsfähigkeit

• Einhaltung gesetzlicher und selbst auferlegter Richtlinien / Verordnungen (Compliance)

• User-Policyz.B.:Umgang mit Daten und Rechnern

• Guidlinesz.B.„Umgang mit den Systemen und dem QM“

• Prozedurenz.B. Backup, Incident-Reporting

• Checklistenz.B.Konfigurations-Daten, Lizenzdaten

• Trainingz.B. Verhalten bei Virenbefall, PDA/Notebook-Verlust

Eine Policy ist nie komplett, sie ist eine phasenorientierte, zyklische Annäherung

an ein optimales Management .

27

28

03.04.2019

15

Definierter

InputProzess

Aufgabe 1

Aufgabe 2

Mitarbeiter 1

Rolle 1 Rolle 2

Mitarbeiter 1 Mitarbeiter 2

Definierter

Ouput

• Zeitabstimmung (Urlaubsregelung…)• Rollenwechsel• Zyklische Überprüfung• Risikominimierung gegen Ausfall

Vertreter-Regelung

Bedarfsorientiert

Zielorientiert

planen…→Welche personenbezogenen Daten brauchen Sie für die

unmittelbare nächste Aufgabe.• Geöffnete Dateien• Dokumente am Arbeitsplatz

pausieren…→Keine personenbezogene Daten auf dem Schreibtisch zurücklassen

• Passwortgeschützter Bildschirmschoner• Auto-Logoff

packen…→Am Ende eines Arbeitstages/in der Freizeit/im Urlaub keinesfalls

personenbezogene Daten frei verfügbar am Arbeitsplatz zurücklassen• Ablage in einem verschlossenen Fac• Herunterfahren des Arbeitsplatzrechner• Papierkörbe prüfen• Aktenvernichter mit Cross-Cut

29

30

03.04.2019

16

TIPP:Mittels E-Zustellung können Sie vertrauliche Nachrichten und Dokumente elektronisch,einfach und schnell wie per E-Mail, aber viel sicherer, versenden und empfangen.

https://www.wko.at/Content.Node/kampagnen/e-zustellung/start.html

• Sichere Übertragung per Public/Privat-Keytechnik oder Zertifikaten• Alternative: Webserver upload - download

• Keine Personenbezogene Daten frei lesbar versenden• Attachments: verschlüsseln

• Problem: Free-Mailer

DSGVO & Mobilität

Mobile-Device-Management (MDM)

Risiko:• Diebstahl (aus dem PKW?)

• Verlust (vergessen im Zugsabteil ?)

• Fremder Zugriff (Familienmitglieder ?)

• Service (Einsendung zum Hersteller)

• Übergabe an Mitarbeiter

• Entsorgung

• BYOD !!

…….

MDM:

• Datenverschlüsselung

• Fernortung

• Fernsperrung

• Fernlöschung

• Remote AdministrationContainer?

SMS

Internet

31

32

03.04.2019

17

TOMs: Wie konkret ?

Audit: konkret, je nach

Möglichkeit, Vertrag und NDA

Auftrag

AuftragsverarbeiterUnternehmen

(Verantwortlicher)

Betroffene

33

34

03.04.2019

18

Daten

Firmen-kritische

Daten

Personen-bezogene

Daten

SensibleDaten

Von den DSGVO-TOMszu allgemeinen TOMsfür ALLE Daten, die inIT-Prozessen verwendetWerden!

?

Gemäß OGH stellen Normen den Stand der Technik dar unter Berücksichtigung des Geltungsbereiches, v.a. auch zeitlich gesehen, sofern sie nicht durch eine gesetzliche Regelung allgemein verpflichtend sind.

DSGVOArt.32

35

36

03.04.2019

19

CEN is one of three European Standardization Organizations (together with CENELEC and ETSI) being responsible for developing and defining voluntary standards at European level.CEN: Comité Européen de NormalisationCENELEC: Comité Européen de Normalisation ÉlectrotechniqueETSI: European Telecommunications Standards Institute

International ElectrotechnicalCommission

International Organization forStandardization

• ISO 27000 Overview & Terminology• ISO 27001 Requirements• ISO 27002 Code of practice for information security controls• ISO 27003 Implementing information security management systems• ISO 27004 Security techniques -- Information security management –

Monitoring, measurement, analysis and evaluation• ISO 27005 Security techniques -- Information security risk management

DRAFT INTERNATIONAL STANDARD ISO/IEC DIS 27552

Normentwurf ISO/IEC „Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirementsand guidelines“

Voting: 20.3.2019

37

38

03.04.2019

20

ÖNORM A 2017 DSMS: in statu nascendiDatenschutz-Management-System

Die Basis ist überall ein Managementsystem

ISO-9000 ISO-14000 ISO-19500 ISO-22300 ISO-27000 ISO 31000 EU-DSGVO

Die letzte Großrevision der ISO 9001 im Jahr 2015 führte nicht nur zu deutlichen inhaltlichen Erweiterungen der Norm, sondern auch zu einer gänzlich neuen Struktur. So wurde die ISO

9001:2015 erstmalig nach der High Level Structure (HLS) gegliedert. Dabei handelt es

sich um eine spezifische Gliederung von Normabschnitten, nach der künftig auch die Normen zu anderen Managementsystemen aufgebaut sind.

ISO-19500 Compliance Management Systeme http://highlevelstructure.com/hls/

„Nicht die Normen per se sind vorerst wichtig, sondern das, was sie uns sagen wollen!“

Normen und Standards stellen eine Sammlung von Erfahrungen dar, die Experten in jahrelanger Arbeit zusammengetragen haben. Auf diesem Erfahrungsschatz sollte man aufbauen, die wesentlichen Punkte, die einen persönlich und im Unternehmen betreffen herausarbeiten und somit in Anlehnung an diese Normen und Standards vorgehen. Eine Zertifizierung im Bedarfsfall sollte nur mehr das i-Tüpfelchen auf dem I sein..

- Zitat: Manfred Wöhrl -

39

40

03.04.2019

21

➢ Security by Design

➢ Informationssicherheit → In allen Prozess vom Anfang an

➢ Standards verwenden, wenn möglich: „Good Practice“

➢ Hersteller/Integrator/Betreiber → Security für ALLE

➢ Sichere Kommunikationswege und Zusammenarbeit

➢ „Kritische Infrastrukturen“ nicht mit dem Internet verbinden

➢ Segementieren/Zoning – „Defence in Depth“

➢ Überwachung aller Systeme

➢ Mitarbeiterschulung/Ausbildung/Weiterbildung

➢ Bei Bedarf Spezialisten hinzuziehen

➢ Datenschutz IST Teil der Informationssicherheit

„Nach Umsetzen der TOMs ist meinUnternehmen jetztauch besser gegenAngriffe geschützt!“

„Jetzt durchschaue ich die Abläufe imUnternehmen vielklarer!“

41

42

03.04.2019

22

Bundessparte Information und Consulting

→ IT-Sicherheitshandbücher

https://media.wko.at/epaper/Leitfaden-Sicherheitsmassnahmen-DSGVO/#0

Initiative:

→ Seminar DSGVO: Datensicherheitsmaßnahmen in der Praxis

https://seminare.austrian-standards.at/detail/55949/

Prof. Mag. Dr. Manfred Wöhrl

Manfred.Woehrl@rics.at

R.I.C.S.EDV-GmbHSchönbrunner Schloßstr. 5/1

A-1120 Wien

Sie haben Fragen ?

Wir haben die Antwort !

Termine:JAN2019: it-safe Leitfaden zu TOMs(WKO-E-Book)FEB+JUN2019: 1-tägiges TOMs-Seminar(Austrian-Standards)

43

44