IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz...
Transcript of IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz...
IT-Sicherheit und Datenschutz im Unternehmen
Sicherheit der Verarbeitung
nach der Datenschutz-Grundverordnung
Helmut Eiermann
Stellv. Landesbeauftragter / Leiter Bereich Technik
Digikon18, 11.6.2018, Mainz
Folie: 2 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Helmut Eiermann
Stellvertretender Landesbeauftragter
für den Datenschutz und die Informationsfreiheit
Leiter Bereich Technik
Postanschrift: Postfach 30 40
55020 Mainz
Büroanschrift: Hintere Bleiche 34
55116 Mainz
Telefon: +49 (6131) 208-2226
Telefax: +49 (6131) 208-2497
E-Mail: [email protected]
Web: www.datenschutz.rlp.de
Folie: 3 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Internet - Infrastruktur für Wirtschaft und Gesellschaft
Folie: 4 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Industriegesellschaft
Warenflüsse
grenzüberschreitend
global
Informationsgesellschaft
Datenflüsse
grenzüberschreitend
global
Folie: 5 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Mai 2016
Bundesdatenschutzgesetz
Verabschiedung
EU DSGVO
25. Mai 2018
In-Kraft-Treten
EU DSGVO
EU Datenschutz-Grundverordnung
Datenschutz-Grundverordnung
Bundesdatenschutzgesetz-neu
Folie: 6 Eiermann
Sicherheit der Verarbeitung nach DSGVO
EU Richtlinie 95/46/EG „Datenschutzrichtlinie“
Harmonisierung durch
Festlegung eines Rahmens
Ausfüllen durch nationale
Regelungen
6
28 nationale Datenschutz-
gesetze
Folie: 7 Eiermann
Sicherheit der Verarbeitung nach DSGVO
EU Verordnung 2016/679 „Datenschutzverordnung“
Einheitliche Regelungen
Öffnungsklauseln
(mit Vorbehalt)
7
Folie: 8 Eiermann
Sicherheit der Verarbeitung nach DSGVO
• Einheitliche Regeln für den digitalen Binnenmarkt
(Ziele: Datenschutz + freier Datenverkehr)
• Beitrag zu gleichen Wettbewerbsbedingungen
• Marktortprinzip (Marktangebot/EU Datenschutz)
• One-Stop-Shop-Prinzip ( ein Ansprechpartner)
• Kohärenzmechanismen (eine Auffassung)
• Unmittelbare Geltung ( eine Regelung)
Prinzipien
Folie: 9 Eiermann
Sicherheit der Verarbeitung nach DSGVO
• Digitalisierung der Wirtschaft unterliegt Regeln
• Datenverarbeitung im eigenen Unternehmen kennen
• Nachholbedarf schon nach bisherigem Recht?
• Errichtung eines angemessenen Managements der
Datenverarbeitung im Unternehmen
– Risiko-basierter Ansatz
• Selbstregulierung der Verantwortlichen
Prinzipien
Folie: 10 Eiermann
Sicherheit der Verarbeitung nach DSGVO
• Allgemeine Grundsätze, Art. 5
– Richtigkeit, Zweckbindung, Datensparsamkeit
• Datenschutz bei der Gestaltung der Produkte,
Dienstleistungen usw.
– Privacy by design
• Datenschutzfreundliche Voreinstellungen
– Privacy by default
Prinzipien
Folie: 11 Eiermann
Sicherheit der Verarbeitung nach DSGVO
• Pflichten gegenüber dem Einzelnen
– Information, Art. 13, 14
– Zweckänderung, Art. 14 Abs. 4
– Datenportabilität, Art. 20
• Kooperations- und Mitwirkungspflichten zur
Ermöglichung der Kontrolle
– Meldepflicht mit Fristen, Art. 33
Möglichst 72 Stunden
– Verzeichnis von Verarbeitungstätigkeiten, Art. 30
Prinzipien
Folie: 12 Eiermann
Sicherheit der Verarbeitung nach DSGVO
• Datensicherheit
– Vorkehrungen gegen Hacking, Cyber Crime,
Wirtschaftsspionage
• Verschlüsselung
• Pseudonymisierung
Prinzipien
Folie: 13 Eiermann
Sicherheit der Verarbeitung nach DSGVO
• Risikobasierter Ansatz
• Datenschutzfolgenabschätzung, Art. 35
– Hohes Risiko der Rechtsverletzung
• Datenschutzmanagementsystem, Art. 32 (1) d
• Rechenschaftspflicht, Art. 5 (2)
• Verhaltensregeln, Art. 40
• Datenschutzbeauftragte, Art. 37
• Datenschutz im wirtschaftlichen Wettbewerb
– Akkreditierung, Art. 41
– Gütesiegel, Art. 42
– Zertifizierung, Art. 42, 43
Instrumentarium
Folie: 14 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Aufgaben und Befugnisse des LfDI
• Überwachung, Kontrolle, Aufsicht, Durchsetzung,
Beratung
• Akkreditierung, Genehmigung
• Zusammenarbeit
• Unterstützung des Einzelnen, Beschwerden
• Unterstützung der Wirtschaft
• Aufklärung, Information, Sensibilisierung
Folie: 15 Eiermann
Sicherheit der Verarbeitung nach DSGVO
datenschutz.rlp.de
Folie: 16 Eiermann
Sicherheit der Verarbeitung nach DSGVO
• Untersuchungs- und Prüfungsrechte,
Betretungs- und Auskunftsrechte (Art.58 DSGVO)
• Abhilfebefugnisse (Art. 58 Abs. 2)
– z.B. Anweisung, Untersagung
• Sanktionen (Art. 83, 84 i.V.m. § 42, 43 BDSG-neu)
- z.B. Verwarnung, Bußgeld
Exekutive Möglichkeiten
Aufgaben und Befugnisse des LfDI
Folie: 17 Eiermann
Sicherheit der Verarbeitung nach DSGVO
• RLP: ca. 160.000 Unternehmen
• Ca. 2.000 Verwaltungen
Aufgaben und Befugnisse des LfDI
165.000 zu kontrollierende
Stellen
220 Arbeitstage/Jahr
1 Kontrolle/Tag
________________
750 Jahre
Folie: 18 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Quelle: www.pwc.de/de/compliance
Aufgaben und Befugnisse des LfDI
Folie: 19 Eiermann
Sicherheit der Verarbeitung nach DSGVO
• Eingabe-“Risiko“
• Bußgeldrisiko
Aber ...
Aufgaben und Befugnisse des LfDI
Folie: 20 Eiermann
Sicherheit der Verarbeitung nach DSGVO
• Art. 83 – Geldbußen
– Abs. 1: Wirksamkeit
– Abs. 2: Verhältnismäßigkeit
– Abs. 4: 10 000 000 Euro, 2 % des Umsatzes
– Abs. 5, 6: 20 000 000 Euro, 4 % des Umsatzes
• Weltweit erzielter Jahresumsatz des vergangenen
Geschäftsjahres
Bußgelder
Aufgaben und Befugnisse des LfDI
Bußgelder: Wirksam, verhältnismäßig + abschreckend
(Art. 83 DSGVO)
Folie: 21 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Kooperation der Aufsichtsbehörden
• One-Stop-Shop
• Kohärenzverfahren, Art. 60 ff.
• Federführende/ betroffene Aufsichtsbehörde
– Hauptniederlassung, Art. 4 Ziff. 16
Verfahren
Folie: 22 Eiermann
Sicherheit der Verarbeitung nach DSGVO
X
federführende AB
betroffene AB
Art. 4 Nr. 23
Datenverarbeitung in
einem Mitgliedsstaat mit
Auswirkungen auf
Betroffenene in anderen
Mitgliedsstaaten
Folie: 23 Eiermann
Sicherheit der Verarbeitung nach DSGVO
X
federführende AB
betroffene AB
Niederlassung
Hauptniederlassung
Art. 4 Nr. 23
Datenverarbeitung in
mehreren
Mitgliedsstaaten
Folie: 24 Eiermann
Sicherheit der Verarbeitung nach DSGVO
X
federführende AB
betroffene AB
Ansprechpartner
Außereuropäische
Anbieter
Folie: 25 Eiermann
Sicherheit der Verarbeitung nach DSGVO
X
federführende AB
betroffene AB
Hauptniederlassung
Beschwerdeführer
Eingabe/Beschwerde
von Betroffenen
Folie: 26 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Kooperation der Aufsichtsbehörden
Folie: 27 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Mai 2016
Bundesdatenschutzgesetz
Verabschiedung
EU DSGVO
25. Mai 2018
In-Kraft-Treten
EU DSGVO
EU Datenschutz-Grundverordnung
Datenschutz-Grundverordnung
Bundesdatenschutzgesetz-neu
Folie: 28 Eiermann
Sicherheit der Verarbeitung nach DSGVO
http://www.techconsult.de/it-security/der-security-aufschwung-
laesst-auf-sich-warten
Folie: 29 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Verhältnis Aufsichtsbehörde/Wirtschaft
• Datenschutz als Wettbewerbsvorteil
• Datenschutz als Chance im Rahmen der Digitalisierung
• Zusammenarbeitsverpflichtungen
• Zusammenarbeitsoptionen
• Gemeinsame Anstrengungen zum Grundrechtsschutz
…aber
Folie: 30 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Materialwirtschaft
Produktion
Finanz- und Rechnungswesen
Controlling
Personalwirtschaft
Forschung und Entwicklung
Verkauf und Marketing
Stammdatenverwaltung
Produktdatenmanagement
Dokumentenmanagement
Digitale
Unternehmenswerte
Folie: 31 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Unternehmen
Lieferanten IT-Dienstleister
Kunden Joint Venture
Unternehmen
Konzern
unternehmen Call Center
Geschäftspartner
Digitale
Unterehmens-
werte
Folie: 32 Eiermann
Sicherheit der Verarbeitung nach DSGVO
http://www.golem.de/0903/66215.html
Folie: 33 Eiermann
Sicherheit der Verarbeitung nach DSGVO
http://www.faz.net/aktuell/wirtschaft/unternehmen/datenpanne-telekom-stellt-strafanzeige-
gegen-vertriebspartner-1868281.html
Folie: 34 Eiermann
Sicherheit der Verarbeitung nach DSGVO
http://www.aerzteblatt.de/nachrichten/40040/Datenpanne-bei-BBK-Gesundheit
Folie: 35 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Individuelle Datenverarbeitung
mobile Datenverarbeitung
mobile Datenverarbeitung
+ Internet
Individuelle Datenverarbeitung
+ Internet
Cloud
Computing
IT-Entwicklung – Der Wandel
Location Based Services
Ubiquitous Computing
Smart Home/Car/Metering ...
RFID, VR, …
Big Data
Autonome Systeme
...
Folie: 36 Eiermann
Sicherheit der Verarbeitung nach DSGVO
http://www.techconsult.de/it-security/der-security-aufschwung-
laesst-auf-sich-warten
Folie: 37 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Sicherheitsvorfälle
http://www.verizonenterprise.com/resources/reports/rp_DBIR_2016_Report_en_xg.pdf
Folie: 38 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Anmeldeaufforderung .HTACCESS
Folie: 39 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Tool-Unterstützung ...
... für eine beliebige
Kennung mit einem
beliebigem Passwort
(Brute Force)
Folie: 40 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Tool-Unterstützung ...
... für vorgewählte
Kennungen in einer
Datei mit einem
beliebigem Passwort
(Wörterbuchattacke)
z.B.
admin
administrator
system
sa
nimda
service
lvarp
test
...
Folie: 41 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Web-Anwendung
Folie: 42 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Web-Anwendung
Folie: 43 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Dahinter stehende SQL-Anweisung:
select ... from ... where name=‘ ... ‘ and passwd=‘ ...‘
Web-Anwendung
Folie: 44 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Dahinter stehende SQL-Anweisung:
select ... from ... where name=‘ ... ‘ and passwd=‘ ...‘
Benutzereingabe führt zu:
select ... from ... where name=‘4711‘ or ‘1=1‘
Web-Anwendung
Folie: 45 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Anmeldung ohne
gültige
Benutzerkennung
oder Passwort war
möglich
Zeitaufwand ca. 5 sec
Web-Anwendung
Folie: 46 Eiermann
Sicherheit der Verarbeitung nach DSGVO
„Wir finden Dich …“
... admin.asp, admin.js, admin.html
... login.asp, login.js, login.html
... anmeldung.asp, anmeldung.js, anmeldung.html
Folie: 47 Eiermann
Sicherheit der Verarbeitung nach DSGVO
“Hackers Google”
Folie: 48 Eiermann
Sicherheit der Verarbeitung nach DSGVO
“Hackers Google”
Folie: 49 Eiermann
Sicherheit der Verarbeitung nach DSGVO
“Hackers Google”
Folie: 50 Eiermann
Sicherheit der Verarbeitung nach DSGVO
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
Sicherheit der Verarbeitung
Folie: 51 Eiermann
Sicherheit der Verarbeitung nach DSGVO
http://www-01.ibm.com/common/ssi/cgi-
bin/ssialias?subtype=WH&infotype=SA&htmlfid=SEW03059DEEN&attach
ment=SEW03059DEEN.PDF
Sicherheit der Verarbeitung
Folie: 52 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Künftige Anforderungen der DS-GVO
Sicherheit der Verarbeitung
Folie: 53 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Gesetzliche Vorgaben für den
technisch-organisatorischen Datenschutz
heute
§ 9 BDSG + Anlage:
Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Weitergabekontrolle
Eingabekontrolle
Auftragskontrolle
Verfügbarkeitskontrolle
Datentrennung
§ 3a BDSG:
Datenvermeidung
Datensparsamkeit
Anonymisierung/Pseudonymisierung
ab 25. Mai 2018
Art. 25 DS-GVO Datenschutz durch Technik:
Art. 32 DS-GVO Sicherheit der Verarbeitung:
Art. 5 DS-GVO Grundsätze:
Datenminimierung
Speicherbegrenzung
Rechenschaftspflicht (Dokumentation)
… sind an dem Ziel
auszurichten …
… müssen …
Privacy by Design (Gestaltung)
Privacy by Default (Voreinstellungen)
Integrität, Vertraulichkeit, Verfügbarkeit
Risikobewertung
Pseudonymisierung/Verschlüsselung
Regelmäßige Evaluation
(Datenschutzmanagement)
Art. 30 DS-GVO Verarbeitungsverzeichnis
§ 4e/g BDSG Verfahrensverzeichnis
Folie: 54 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Datenschutz
Art. 32 Sicherheit der Verarbeitung
IT-Sicherheit
Verfügbarkeit
Vertraulichkeit
Integrität
Auf Maßnahmen und Methoden der IT-Sicherheit
kann bei der Sicherheit der Verarbeitung nach der
DS-GVO zurückgegriffen werden
Technisch-organisatorischer Datenschutz
Folie: 55 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Verfügbarkeit
Vertraulichkeit
Integrität
IT-Grundschutz-
Kompendium
www.bsi.de
Risikoanalyse
Sicherheitskonzept
Sicherheitsmanagement
Art. 32 Sicherheit der Verarbeitung
Art. 32 DS-GVO Sicherheit der Verarbeitung:
Integrität, Vertraulichkeit, Verfügbarkeit
Risikobewertung
Pseudonymisierung/Verschlüsselung
Regelmäßige Evaluation
(Datenschutzmanagement)
Rechenschaftspflicht (Dokumentation)
Art. 5 DS-GVO Grundsätze:
IT-Grundschutz:
Folie: 56 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Risikoanalyse / Sicherheitskonzept
Sicherheit der Verarbeitung
Folie: 57 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Art. 32 DS-GVO Sicherheit der Verarbeitung:
Integrität, Vertraulichkeit, Verfügbarkeit
Risikobewertung
Pseudonymisierung/Verschlüsselung
Regelmäßige Evaluation
(Datenschutzmanagement)
Art. 25, 32, 35 Risikobewertung
Folie: 58 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Art. 32 DS-GVO Sicherheit der Verarbeitung:
Integrität, Vertraulichkeit, Verfügbarkeit
Risikobewertung
Pseudonymisierung/Verschlüsselung
Regelmäßige Evaluation
(Datenschutzmanagement)
Risiko?
Art. 35 DS-GVO Datenschutz-Folgenabschätzung
Art. 25, 32 Risikobewertung
voraussichtlich
Folie: 59 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Bewertung / Scoring
Kernpunkte WP 248
9 Kriterien für ein voraussichtlich hohes Risiko:
Automatisierte Entscheidungen
Systematische Überwachung
Sensible Daten (Art. 9, 10 DS-GVO)
Umfangreiche Verarbeitung
Zahl Betroffener
Datenumfang
Dauer der Verarbeitung/Speicherung
Geografische Reichweite
https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/wp248rev01_de.pdf
Folie: 60 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Verknüpfung von Datenbeständen,
die zu unterschiedlichen Zwecken
erhoben wurden
Kernpunkte WP 248
Kriterien für ein voraussichtlich hohes Risiko:
Verarbeitung von Daten schutz-
bedürftiger/abhängiger Personen
(z.B. Beschäftigte, Patienten, Alte,
Schutzsuchende)
Innovative Verarbeitungstechniken
(z.B. Gesichtserkennung, -analyse)
Hinderung an Rechtsausübung, Nutzung
einer Dienstleistung oder Vertragsdurch-
führung (z.B. Auskunfteien)
Bei 2 zutreffenden Kriterien:
DSFA
Folie: 61 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Art. 32 DS-GVO Sicherheit der Verarbeitung:
Integrität, Vertraulichkeit, Verfügbarkeit
Risikobewertung
Pseudonymisierung/Verschlüsselung
Regelmäßige Evaluation
(Datenschutzmanagement)
Risiko?
Art. 35 DS-GVO Datenschutz-Folgenabschätzung
Normaler Schutzbedarf
(pauschalisierte Risiken)
Art. 25, 32 Risikobewertung
voraussichtlich
Folie: 62 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Elementare Gefährdungen
www.bsi.de
Verfügbarkeit
Vertraulichkeit
Integrität
Folie: 63 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Bausteine + Umsetzungshinweise
www.bsi.de
Elementare Gefährdungen
Folie: 64 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Bausteine + Umsetzungshinweise
www.bsi.de
Elementare Gefährdungen
Maßnahmen
Folie: 65 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Art. 83 Bußgelder bei Defiziten bei der
Sicherheit der Verarbeitung
Art. 32 Sicherheit der Verarbeitung
Folie: 66 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Datenschutzmanagement
Sicherheit der Verarbeitung
Folie: 67 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Art. 32 Datenschutzmanagement
Verfahren zur regelmäßigen
Überprüfung, Bewertung und
Evaluierung der Maßnahmen
zur Sicherheit der Verarbeitung.
Folie: 68 Eiermann
Sicherheit der Verarbeitung nach DSGVO
BSI Standard 200-1 IT-Sicherheitsmanagement ISO 27001
Verfahren nach Art 32 (2) Buchst. d) DS-GVO
Sicherheit der Verarbeitung nach DS-GVO
Die Methodik der ISO 27001 kann übernommen werden
Folie: 69 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Art. 32 Datenschutzmanagement
Leitungsvorgaben
Vearbeitungsverzeichnis
Risikoanalyse
Maßnahmen/Dokumentation
Verantwortlichkeiten
Ressourcen
Umsetzung
Evaluation/Anpassung
Folie: 70 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Art. 32 Datenschutzmanagement
IT-Grundschutzkompendium: Sicherheitsmanagement
Folie: 71 Eiermann
Sicherheit der Verarbeitung nach DSGVO
DS-GVO 25.5.18
Umsetzung Art. 32 Sicherheit der Verarbeitung
BDSG heute
Verarbeitungsverzeichnis
Risikoanalyse
Sicherheitskonzept
Datenschutzmanagement
DSFA
Folie: 72 Eiermann
Sicherheit der Verarbeitung nach DSGVO
datenschutz.rlp.de
Folie: 73 Eiermann
Sicherheit der Verarbeitung nach DSGVO
datenschutz.rlp.de
Folie: 74 Eiermann
Sicherheit der Verarbeitung nach DSGVO
datenschutz.rlp.de
Folie: 75 Eiermann
Sicherheit der Verarbeitung nach DSGVO www.datenschutz.rlp.de
Folie: 76 Eiermann
Sicherheit der Verarbeitung nach DSGVO
Helmut Eiermann
Stellvertretender Landesbeauftragter
für den Datenschutz und die Informationsfreiheit
Leiter Bereich Technik
Postanschrift: Postfach 30 40
55020 Mainz
Büroanschrift: Hintere Bleiche 34
55116 Mainz
Telefon: +49 (6131) 208-2226
Telefax: +49 (6131) 208-2497
E-Mail: [email protected]
Web: www.datenschutz.rlp.de