Buffl
Buffl
Hannah Informationssicherheit

3. Technische und organisatorische Grundlagen

HM
von Hannah M.

Was sind Daten?

Werte und Befunde über Dinge, Ereignisse und Zustände -> ermittelt durch Beobachtung + Messung -> technisch festgehalten in Formulierung

Nenne 3 Arten von Daten

Persönliche Daten: Bezug Infos natürliche Person


Technische Daten: Bezug Infos Sache


Anonyme bzw. freie Daten:

  • Persönliche Daten -> Personenbezug nur mit hohem Aufwand herstellbar

  • legal frei zugängliche Infos


Wie ist die Semiotik aufgebaut im Bezug auf pbD?

Syntaktik: Beziehung Zeichen + Regeln zur betroffenen Person (pbD)

Semantik: Bedeutung im Kontext zu den pbD

Pragmatik: Zweck und Verwendung der pbD


Wie sieht ein Beispiel zu Datenschutz Semiotik aus im Bezug auf eine IP Adresse?



Grenze IT Sicherheit von Datenschutz ab



IT-Sicherheit

Datenschutz

Schutzzweck

Dient Interesse -> verarbeitende Stelle

Dient Interesse ->Betroffene

Funktion

Schützt vor Verlust: Vertraulichkeit + Integrität + Verfügbarkeit

Schützt vor:

Technik + Intransparenz + ungerechtfertigte Verkettung von Daten + Prozessen + Ereignissen mit Personenbezug

Maßnahmen

Technisch-Organisatorische IT Sicherheitsmaßnahmen Realisieren auch Datenschutz

Datenschutzmaßnahmen Realisieren auch IT Sicherheitsmaßnahmen

Anwendungsbereich

Automatisierte Datenverarbeitung

Alle Verarbeitungsarten


Welche Schutzziele fallen unter ISM und DSM?

Vertraulichkeit („Lesen“)

Integrität („Schreiben“)

Verfügbarkeit („Ausführen“)


Welche Funktionen erfüllt der IT-Sicherheitsbeauftragte

  • stimmt Informationssicherheitsziele mit Unternehmenszielen ab

  • Erstellung Leitlinie -> Informationssicherheit + Abstimmung Leitungsebene

  • Verantwortung -> Aufbau + Betrieb + Weiterentwicklung Informationssicherheitsorganisation in Unternehmens

  • erstellt + erlässt Richtlinien / Regelungen für Informationssicherheit


Welche Funktionen erfüllt der Datenschutzbeauftragte?

betriebswirtschaftliche und organisatorische Beratung des Auftraggebers zur Realisierung des Datenschutzes und der Datensicherheit


Aufgaben

  • Überwachungspflicht

  • ordnungsgemäße Anwendung der DVProgramme

  • Einbindung in: Unternehmensprozesse + Beschaffungsentscheidungen + Auftragsprozesse

  • Schulung der Mitarbeiter -> Grundschulung + Laufende Auffrischungen


Grenze den IT-Sicherheitsbeauftragten und Datenschutzbeauftragten voneinander ab

Datenschutzbeauftragter-> personenbezogene Daten schützen (gesetzlich vorgeschrieben)

Informationssicherheitbeauftragter -> Sicherheitskonzept Betrieb

IT-Sicherheit erhöhen

Management maßgebliche Entlastung

Erkläre das Ziel des Schutzziel Vertraulichkeit

  • Zugang unberechtigte Dritte vertrauliche/geheime Information verhindern

  • Vertraulichkeit eines IT-Systems = keine unerlaubte Informationsgewinnung findet statt



Welche Gesetzeregelungen sind relevant bei Vertraulichkeit?

  • Brief- sowie das Post- und Fernmeldegeheimnis

  • Sicherheit der Verarbeitung


Wie kann das Schutzziel Vertraulichkeit umgesetzt werden?

  • Zugriffsschutz

  • Symmetrische und asymmetrische Verschlüsselung


Welche Grundlagen sichert das Schutzziel Vertraulichkeit?

  • Festlegung von Kontrollen und Berechtigungen

    Ziel -> Subjekte keine unautorisiert Kenntnisse von Informationen

  • Festlegung zulässiger Informationsflüsse

  • Abwehr unzulässiger Informationsflüsse


Welches Ziel hat das Schutzziel Pseudonymität

  • Schutz -> namentliche Identifizierung

  • Anonymität

    -> Unterschied: Bezug zur Person nicht ganz aufgehoben ist -> Personenkreis (kennt Zuordnungsregeln) kann Betroffenen zur Verantwortung ziehen

  • Kompromiss aus Vertraulichkeit und Transparenz


Nenne gesetzliche Regelungen für Pseudonymität

  • DSGVO


Wie wird Pseudonymität umgesetzt?

  • Veränderung PbD mit Hilfe einer Zuordnungsvorschrift -> Zuordnung Daten <-> Individuum ohne Kenntnis der Zuordnungsvorschrift unmöglich

  • Besitzer der Übersetzungstabelle Möglichkeit Zuordnung Daten <-> Individuum

=> Datenbestände mit Pseudonymen unterliegen dem Datenschutz


Wie wird Anonymität definiert?

Veränderung PbD -> Zuordnung Daten <-> Individuum gar nicht /nur mit unverhältnismäßig großem Aufwand an Kosten und Zeit möglich


Was ist das Ziel von Anonymität?

  • Schutz vor Identifizierung

  • Folge der Unverkettbarkeit -> Daten / Informationen können der Person nicht zugeordnet werden


Wie wird Anonymität umgesetzt?

  • Kappung der Zuordnung von Daten zu bestimmten Personen

  • Identifizierung erheblich erschweren / unmöglich machen

  • Verschlüsselung


Welche 5 Anonymisierungskonzepte gibt es? BEISPIELE

  • Können die Datensätze im Ergebnisbestand auf eine konkrete Gruppe von Betroffenen bezogen werden?

  • Ist die Gruppe der Neugierigen begrenzt? Kann angenommen werden, dass sie geringere Mittel einsetzen können, als wenn die Daten veröffentlicht würden?

  • Welches Kontextwissen und welche Referenzwerte können für einen Neugierigen verfügbar sein?

  • Kann der Neugierige Zuordnungsregeln zwischen scheinbar unabhängigen Datenbeständen erschließen und daraus Informationen gewinnen?


Was ist Unverkettbarkeit und Nicht-Verfolgbarkeit?

Subjekten, Objekten oder Aktionen

Beobachtungen des Szenarios -> Wahrscheinlichkeit einer Relation zwischen enthaltenen Elementen (Subjekten, Objekten oder Aktionen) unverändert

Was ist das Ziel von Unverkettbarkeit und Nicht-Verfolgbarkeit?

  • mehrere kommunikative Ereignisse (Bsp. aufeinander folgende Abrufe von Informationen auf verschiedenen Webservern im Internet)können nicht miteinander in Verbindung gebracht werden

  • Nicht-Verfolgbarkeit erweitert die Unverkettbarkeit

    -> zusätzlich lässt die Informationsinhalte keiner eindeutig identifizierbaren Person zu


Wie wird Unverkettbarkeit und Nicht-Verfolgbarkeit umgesetzt?

Verschiedene Pseudonyme bei verschiedenen Diensten [Biskup, 2009]

  • Kopplung eines Bezahldienstes mit Dienstleistungen, ohne dass der Anbieter erfährt, wer sein Käufer ist

  • Namen durch IDs ersetzen

  • Trennung der Datensätze in Tabellen

„Mix“-Server

  • Zuordnung Datenpakets <-> Nutzer verschleiern

    -> Nachrichten über mehrere Zwischenstationen übertragen + untereinander verwürfelt werden

=>Umsetzung „Unbeobachtbarkeit“


Was ist Authentizität?

  • nachweisbare Echtheit + Glaubwürdigkeit von Objekten + Subjekten anhand von eindeutigen Charakteristika

  • nachweisliche Garantie von Integrität und Herkunft von Information


Wie wird Authentizität umgesetzt?

Charakteristika

  • Something you know (Passwort)

  • Something you have (Token)

  • Something you are (biometrisches Merkmal)

  • Authentifizierung mit Nutzername und Passwort vs. Privacy-freundliche Authentifizierung

Maßnahmen zur Authentifizierung (Identifizierung und Authentisierung)

  • Individuelle Benutzerpasswörter

  • Biometrische Merkmale

  • 2-Faktor-Authentifizierung


Was ist das Ziel von Integrität?

  • Subjekte -> keine Möglichkeit für unautorisierte und unbemerkte Manipulationen an Datenobjekten

  • Korrektheit der Daten + adäquate Funktionsweise des Systems (Systemintegrität)

  • Garantie->Daten liegen in unveränderter Form (im „Originalzustand“) vor


Wie wird Integrität umgesetzt?

  • Hash-Funktionen (bei jeder Veränderung der Daten verändert sich auch der Hash-Wert („Elektronischer Fingerabdruck“)

  • Message Authentication Codes (MAC)

  • Digitale Signaturen


Was sind die Grundlagen der Integrität?

  • Festlegung von Rechten zur Nutzung von Daten

  • Verfahren und Techniken zur Manipulationserkennung


Nenne die 3 Prinzipien für die Gewährleistung der Integrität und Vertraulichkeit

Need-to-Know-Prinzip

Anwender Anzahl Berechtigungen ->notwendig Erfüllung Aufgaben

Separation-of-Duties-Prinzip

Geschäftsprozess -> Bearbeitung >1 Anwender

=>Manipulationen aufdecken

Rotation-of-Duties-Prinzip

Aufgabenbereiche Anwender regelmäßig tauschen

Vertretung durch Kollegen möglich => Manipulationen aufdecken

Nenne die 4 Zugriffskontrollen

  1. Regelbasierten Zugriffskontrolle (MAC)

  2. Wahlfreie oder diskrete Zugriffskontrolle (DAC)

  3. Rollenbasierte Zugriffskontrolle (RBAC)

  4. Chinese-Wall-Modell


Definiere Chinese-Wall-Modell

Ein Anwalt (Subjekt) der für die Partei des Klägers (Objekt aus Konfliktklasse 1) arbeitet, darf dann nicht mehr als Vertreter für die Partei (Objekt aus Konfliktklasse 1) des Beklagten arbeiten (selbe Konfliktklasse)

=> entwickelt für beratende Berufe(Einschränkung Informationsmissbrauch)

Definiere Regelbasierten Zugriffskontrolle (MAC)

Ziel: Steuerung Informationsfluss

Subjekte (die Benutzer) + Objekte des Systems (Daten und Programme) erhalten Sicherheitsmarkierung

=>basierend Entscheidung Informationsfluss Subjekt <-> Objekt oder Subjekt <-> Subjekt findet statt

Definiere Wahlfreie oder diskrete Zugriffskontrolle (DAC)

Annahme: Eigentümer Objektes alleinverantwortlich für Schutz

Eigentümer legt freie Regeln fest => wer (aktive Komponente, Subjekt) auf seine Objekte (passive Komponente) in welcher Weise (Operation) zugreifen darf

Definiere Rollenbasierte Zugriffskontrolle (RBAC)

Ziel: Administration der Zugriffskontrollen vereinfachen

Zugriffsrechte vergeben an explizit modellierte Rollen(beschreiben Aufgabenprofil der Rollenträger)

Zuordnung Rolle ->Benutzer

=>Benutzer erhält Zugriffsrechte der Rollen


Beitreten
Vorschau

Author

Hannah M.

Informationen

Zuletzt geändert

Kurs melden
© 2023 Buffl GmbH