Buffl
Buffl
Sicherheitsmanagement

Technische und organisatorische Grundlagen

RW
by Rebekka W.

Welche Datenarten gibt es?

  • Persönliche Daten

    • Informationen, die sich auf eine natürliche Person beziehen

  • Technische Daten

    • Informationen, die sich auf eine Sache bezihen

  • Anonyme bzw. freie Daten

    • Persönliche Daten, deren Personenbezug nur mit unverhältnismäßig hohem Aufwand wiederhergestellt werden kann

    • Informationen die legal frei zugänglich gemacht wuden


Was sind Daten bzw. Informationen?



Erklären Sie die Datenschutz-Semiotik





Welche Ziele hat Datensicherheit?

Vertraulichkeit (“Lesen)

Integrität (“Schreiben”)

Verfügbarkeit (“Ausführen”)

Schutzzweck: “Dient dem Interesse der verarbeitenden Stelle“

Schutzzweck: “Dient dem Interesse des Betroffenen“

Funktion: “Schützt vor dem Verlust der Vertraulichkeit, Integrität und Verfügbarkeit”

Funktion: “Schützt vor Technik, Intransparenz und ungerechtfertigten Verkettungen von Daten, Prozessen und Ereignissen mit Personenbezug”

Maßnahmen: “Technisch-Organisatorische IT-Sicherheitsmaßnahmen Realisieren auch DAtenschutz”

Maßnahmen: “Datenschutzmaßnahmen Realisiseren auch IT-Sicherheitsmaßnahmen”

Anwendungsbereich: “Automatisierte Datenverarbeitung”

Anwendungsbereich: “Alle Verarbeitungsarten”

Grenzen Sie die Schutzzwecke zwischen IT-Sicherheit und Datenschutz ab



Grenzen Sie die Funktion zwischen IT-Sicherheit und Datenschutz ab



Grenzen Sie die Maßnahmen zwischen IT-Sicherheit und Datenschutz ab



Grenzen Sie die Anwendungsbereiche zwischen IT-Sicherheit und Datenschutz ab



Nennen Sie Aufgaben des IT-Sicherheitsbeauftragten


  • stimmt die Informationssicherheitsziele mit den Zielen des Unternehmens ab

  • erstellt die Leitlinie zur Informations- sicherheit und stimmt diese mit der Leitungsebene ab

  • verantwortet den Aufbau, Betrieb und Weiterentwicklung der Informations- sicherheitsorganisation innerhalb des Unternehmens

  • erstellt und erlässt Richtlinien und Regelungen für die Informationssicherheit

  • berät die Leitungsebene in allen Fragen der Informationssicherheit

  • initiiert und kontrolliert die Umsetzung von Informationssicherheitsmaßnahmen

  • plant und konzeptualisiert die Notfallvorsorge und erstellt ein Notfallhandbuch zur Bewältigung von Notfällen


Nennen Sie die Aufgaben eines Datenschutzbeauftragten


  • allgemeine betriebswirtschaftliche und organisatorische Beratung des Auftraggebers zur Realisierung des Datenschutzes und der Datensicherheit

Aufgaben

  • Überwachungspflicht

  • ordnungsgemäße Anwendung der DV- Programme

  • Vorabinformation des DSB über Vorhaben der automatisierten Verarbeitung

  • Einbindung in: Unternehmensprozesse Beschaffungsentscheidungen Auftragsprozesse

  • Schulung der Mitarbeiter

  • Grundschulung bei Aufnahme der Tätigkeit

  • Laufende Auffrischungen


Welche Schutzziele stehen konträr zueinander?



Nennen Sie die Untergeordneten Schutzziele der Transparenz

  • Revisionsfähigkeit

  • Authentizität

  • Zurechenbarkeit


Nennen Sie die Untergeordneten Schutzziele der Kontingenz

  • Glaubhafte Abstreitbarkeit


Nennen Sie die Untergeordneten Schutzziele der Vertraulichkeit

  • Pseudonymität

  • Anonymität

  • Verdecktheit

  • Unbeobachtbarkeit

  • Nicht-Verfolgbarkeit

  • Unverkettbarkeit


Nennen Sie die Untergeordneten Schutzziele der Integrität

  • Nicht-Vermehrbarkeit

  • Beherrschbarkeit

  • Verlässlichkeit


Nennen Sie die Untergeordneten Schutzziele der Verfügbarkeit

Es gibt keine Unterziele ;)

Welches Ziel verfolgt die Vertraulichkeit?

Nur autorisierte Personen haben Zugriff zu den Informationen.

Wie wird das Schutzziel Vertraulichkeit umgesetzt?

  • Zugriffsschutz (z.B. nach dem Need-to-Know-Prinzip)

  • Symmetrische und asymmetrische Verschlüsselung

Grundlagen:

  • Festlegung von Kontrollen und Berechtigungen, die unterbinden, dass Subjekte unautorisiert Kenntnisse von Informationen erlangen

  • Festlegung zulässiger Informationsflüsse

  • Abwehr unzulässiger Informationsflüsse





Was ist das Need-to-know-Prinzip?

Jeder Anwender soll nur so viele Berechtigungen haben, wie er für die Erfüllung seiner Aufgaben unbedingt benötigt.


Was ist das Separation-of-Duties-Prinzip?

Jeder Geschäftsprozess soll von mehr als einem Anwender bearbeitet werden, so dass Manipulationen bemerkt werden können.


Was ist das Rotation-of-Duties-Prinzip?

Aufgabenbereiche zwischen den Anwendern regelmäßig tauschen, so dass ein ausgefallener Anwender durch Kollegen vertreten werden kann und dass Manipulationen durch diese Kollegen bemerkt werden können.


Welches Ziel verfolgt das untergeordnete Schutzziel Pseudonymität?

  • Schutz vor namentlicher Identifizierung

  • Ähnlich Anonymität mit dem Unterschied, dass der Bezug zu einer Person nicht gänzlich aufgehoben ist und somit der Personenkreis, der die Zuordnungsregel kennt, die Möglichkeit hat die Personen zur Verantwortung zu ziehen.

  • Kompromiss aus Vertraulichkeit und Transparenz [Bedner et al., 2010, S. 325]


Wie erfolgt die Umsetzung des untergeordnete Schutzziels Pseudonymität

  • PbD werden mit Hilfe einer Zuordnungsvorschrift derart verändert, sodass eine Zuordnung der Daten ohne Kenntnis der Zuordnungsvorschrift zu einem Individuum nicht erfolgen kann.

  • Der Besitzer der Übersetzungstabelle bleibt jederzeit in der Lage, den Bezug zwischen einem Datensatz und der betroffenen Person wiederherzustellen.

Achtung!

  • Datenbestände mit Pseudonymen unterliegen generell dem Datenschutz [vgl. auch Hammer et al., 2015]


Welches Ziel verfolgt das untergeordnete Schutzziel Anonymität?

  • PbD werden derart verändert, sodass eine Zuordnung der Daten zu einem Individuum gar nicht oder nur mit unverhältnismäßig großem Aufwand an Kosten und Zeit erfolgen kann.

Ziel

  • Schutz von Identifizierung [Biskup, 2009, S. 44]

  • ... ist eine Folge der Unverkettbarkeit, das bedeutet die Daten der Informationen können der Person nicht zugeordnet werden.

  • Siehe auch Art. 6 Abs. 4 lit. e DSGVO, EG 26 DSGVO


Wie kann das untergeordnete Schutzziel Anonymität umgesetzt werden?

  • Kappung der Zuordnung von Daten zu bestimmten Personen

  • Identifizierung erheblich erschweren oder gänzlich unmöglich machen

  • Verschlüsselung


Welches Ziel hat das untergeordnete Schutzziel Verdecktheit und Unbeobachtbarkeit?

  • Es lässt sich nicht erkennen, wer Daten sendet oder empfängt. [Biskup, 2009, S. 43]

  • Niemand außer den Kommunikationspartnern weiß, dass Kommunikation stattfindet.


Wie wird das Schutzziel untergeordnete Verdecktheit und Unbeobachtbarkeit umgesetzt?

  • Schutz von Kommunikationssystemen, auch der Räumlichkeiten vor optischen, akustischen, oder auch elektromagnetischer Aufklärung

  • „Mix“-Server, siehe Unverkettbarkeit

  • Steganographie

  • Verstecken von Informationen in Bild- oder Musikdateien

  • „Hidden Volumes“

    z.B. VeraCrypt, TrueCrypt

    Siehe auch „Glaubhafte Abstreitbarkeit“


Welches Ziel hat das untergeordnete Schutzziel Unverkettbarkeit und Nicht-Verfolgbarkeit

  • Unverkettbarkeit von Subjekten, Objekten oder Aktionen bedeutet, dass durch Beobachtungen des Szenarios die Wahrscheinlichkeit einer Relation zwischen enthaltenen Elementen unverändert bleibt. [vgl. Bedner et al., 2010]

Ziel

  • ... soll gewährleisten, dass mehrere kommunikative Ereignisse, etwa aufeinander folgende Abrufe von Informationen auf verschiedenen Webservern im Internet, nicht miteinander in Verbindung gebracht werden können.

  • Nicht-Verfolgbarkeit erweitert die Unverkettbarkeit, indem es zusätzlich die Informationsinhalte keiner eindeutig identifizierbaren Person zulässt. [Bedner et al., 2010]


Wie wird das untergeordnete Schutzziel Unverkettbarkeit und Nicht-Verfolgbarkeit umgesetzt?

  • Verschiedene Pseudonyme bei verschiedenen Diensten [Biskup, 2009]

  • Kopplung eines Bezahldienstes mit Dienstleistungen, ohne dass der Anbieter erfährt, wer sein Käufer ist.

  • „Mix“-Server

    • Zuordnung eines Datenpakets zu einem Nutzer verschleiern, indem Nachrichten nicht direkt vom Sender zum Empfänger, sondern über mehrere Zwischenstationen übertragen und untereinander verwürfelt werden.

    • Dadurch auch Umsetzung der „Unbeobachtbarkeit“



Was ist ein “Mix“-Server?

  • „Mix“-Server

    • Zuordnung eines Datenpakets zu einem Nutzer verschleiern, indem Nachrichten nicht direkt vom Sender zum Empfänger, sondern über mehrere Zwischenstationen übertragen und untereinander verwürfelt werden.


Welches Ziel hat das Schutzziel Transparenz?

  • ... strebt im Kontext der Datenschutzziele Klarheit, Erkennbarkeit und Nachvollziehbarkeit an [vgl. Rost/Pfitzmann, 2009]

Ziel / Umsetzung

  • Dokumentation der Verarbeitungstätigkeiten [Art. 30 DSGVO] (Schutzziel)

  • Auskunftsrechte der betroffenen Person [Art. 15 DSGVO] (Gewährleistungsziel)


Wie wird das untergeordnete Schutzziel Authentizität umgesetzt?


  • ... ist die anhand von eindeutigen Charakteristika nachweisbare Echtheit und Glaubwürdigkeit von Objekten und Subjekten.

  • Nachweisliche Garantie von Integrität und Herkunft von Information

Umsetzung

  • Charakteristika:

    • Something you know (Passwort)

    • Something you have (Token)

    • Something you are (biometrisches Merkmal)

    • Authentifizierung mit Nutzername und Passwort vs. Privacy-freundliche Authentifizierung

  • Maßnahmen zur Authentifizierung (Identifizierung und Authentisierung)

    • Individuelle Benutzerpasswörter

    • Biometrische Merkmale

    • 2-Faktor-Authentifizierung

    • Digitale Signaturen


Nenne Maßnhmen zur Authentifizierung

  • Individuelle Benutzerpasswörter

  • Biometrische Merkmale

  • 2-Faktor-Authentifizierung

  • Digitale Signaturen


Nenne Beispiele für die drei grundsätzlichen Arten von Authentifikation.

(Something you know/have/are)

Something you know

  • Passwort

  • Passphrase

  • Sicherheitsfrage

Something you have

  • Token

  • Softtoken

  • Smartcard

Something you are

  • Irisscan

  • Handvenenscan

  • Fingerabdruck


Erklären Sie das untergeordnete Schutzziel Zurechenbarkeit

  • Zuordnung von Aktionen oder Dokumenten zu Urhebern

  • Protokollierung, welche Benutzer welche Systemressourcen in Anspruch genommen haben

Umsetzung:

  • Zugriffskontrolle und Nicht-Abstreitbarkeit

  • Protokollierung, Nutzung digitaler Signaturen und Zeitstempel


Erklären Sie das Schutzziel Revisionsfähigkeit

Nachvollziehbarkeit und Nachprüfbarkeit, wer, wann, welche Daten in welcher Weise verarbeitet hat [Pohl, 2004]

Umsetzung

 Protokollierung und Dokumentation von Prozessschritten


Welche Schutzziele sind Übergeordnete Schutzziele?

Welches Ziel verfolgt das Schutzziel Integrität?

  • Es soll gewährleistet werden, dass Subjekten keine unautorisierten und unbemerkten Manipulationen an Datenobjekten ermöglicht wird

  • Korrektheit der Daten, als auch die adäquate Funktionsweise des Systems (Systemintegrität)

  • Garantie, dass Daten in unveränderter Form (im „Originalzustand“) vorliegen


Wie wird das Schutzziel Integrität umgesetzt?

  • Umsetzung

    • Hash-Funktionen (bei jeder Veränderung der Daten verändert sich auch der Hash-Wert („Elektronischer Fingerabdruck“)

    • Message Authentication Codes (MAC)

    • Digitale Signaturen

  • Grundlagen

    • Festlegung von Rechten zur Nutzung von Daten

    • Verfahren und Techniken zur Manipulationserkennung


Erklären Sie das untergeordnete Schutzziel Verlässlichkeit

  • Eigenschaft eines stabilen Systems, welches keine unzulässigen oder undefinierten Zustände annimmt

  • Gewährleistung zuverlässiger Funktionen


Erklären Sie das untergeordnete Schutzziel Beherrschbarkeit

  • Sorgt für die Sicherheit des Betroffenen

  • der Einzelne sowie die Gesellschaft wird von unerwünschten Auswirkungen durch die Systemnutzung verschont


Erklären Sie das untergeordnete Schutzziel Nicht-Vermehrbarkeit

Informationen dürfen von Unberechtigten nicht kopiert oder in anderer Form vermehrt werden


Welches Ziel verfolgt das Schutzziel Kontingenz?

Kontingenz erlaubt die Feststellung, dass „etwas anders sein könnte, als es scheint“.

Interventionsmöglichkeiten beim Einsatz technischer Mittel

Wie wird das Schutzziel Kontingenz umgesetzt?

  • zielt auf den bewussten Verzicht technischer Integritäts- und Sicherheitsmaßnahmen ab [Rost/Pfitzmann, 2009]

  • Steganographie

  • VeraCrypt


Erklären Sie das untergeordnete Schutzziel Nicht-Anstreitbarkeit

  • Gewährleistung, dass weder Absender noch Empfänger das Versenden (den Empfang) einer Meldung abstreiten kann

  • Verbindlichkeit

    • Es ist keinem Subjekt möglich, eine Aktion zu einem späteren Zeitpunkt abzustreiten

    • Die Verbindlichkeit oder Nicht-Abstreitbarkeit ist die Grundlage für rechtsverbindliche Transaktionen

  • Umsetzung

    • Kombinierte Verfahren auf Basis von Authentifikation, Integrität und Bestätigungen

    • erfolgt i.d.R. durch elektronische Signaturen

    • Herausforderung: Anonyme Transaktionen, die rechtsverbindlich ablaufen (analog zur Bezahlung einer Ware durch Bargeld)


Welches Ziel hat das Schutzziel Verfügbarkeit?

Gewährleistung, dass Dienste den berechtigten Benutzern stets zur Verfügung stehen

Welche möglichen Attacken betreffen das Schutzziel Verfügbarkeit?

  • Denial-of-Service-Attacke(DoS)/Distributed-Denial-of-Service-Attacke (DDoS): Ein Server wird mit “sinnlosen“ Anfragen überflutet, sodass er seiner ursprünglichen Aufgabe nicht (oder nicht im vollen Umfang nachkommen kann

  • Ransomware/Verschlüsselungstrojaner


Welche Maßnahmen können für den Schutz der Verfügbarkeit getroffen werden?

  • Erkennen von atypischen Nutzungsmustern

  • Beschränkung der REssourcenzuweisung an einzelne Benutzer

  • Backup


Nennen Sie Pflichten der verantwortlichen Stelle nach DSGVO

-          Ermächtigungsgrundlage

-          Datensparsamkeit

-          Mandantentrennung

-          Anwendbares Recht

-          TOMs

-          Dokumentation

-          Information/Auskunft

-          Löschkonzept


Join Course
Preview

Author

Rebekka W.

Information

Last changed

Report course
© 2023 Buffl GmbH