Kryptographie (Schaubild)
Kryptographie Ziele
Verschlüsselung um Vertraulichkeit zu ermöglichen
Integritätsmaßnahmen um Veränderungen zu erkennen
Kryptographie im weiteren Sinne
Vertraulichkeit
Zugriffsschutz
Integrität
Änderungsschutz
Authentizität
Fälschungsschutz
Zurechenbarkeit
Nichtabstreitbarkeit
Kryptographie im engeren Sinne
Geheimhaltung
Nicht (!): Organisatorische Sicherheit
Nicht (!): Physische Sicherheit
SONDERN:
Kommunikation unter Verwendung geheimer Zusatzinformationen
Gesetzliche Grundlagen: DSGVO
Art. 5 Abs 1
Zweckbindung (abgeschwächt)
Datenvermeidung/-sparsamkeit
Richtigkeitsgewähr
Datensicherheit nunmehr ausdrücklich bei den Grundsätzen genannt!
Art. 6
Verbot mit Erlaubnisvorbehalt
Art. 9, 10
Unterscheidung sensible/ nicht sensible Daten
Art. 22
Verbot automatisierter Entscheidungen
Art. 5 Abs. 2
“Rechenschaftspflicht”
Der Verantwortliche ist für die Einhaltung des Absatzer 1 verantwortlich und muss dessen Einhaltung nachweisen können
Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen (räumlich)
Maßnahmen:
Zutrittsüberwachungs- und kontrollsystem
Magnet- oder Chipkarten, Schlüssel
Register von Schlüsselinhabern
Vorgaben für Externe (Besucherausweise)
Zugangskontrolle
Keine unbefugte Systembenutzung
Benutzer-Identifikation und Authentifizierung
(sichere) Kennwörter / 2 Faktor Authentifizierung
Genehmigungs- und Monitoringsysteme
automatische Speermechanismen an Arbeitsplätzen
Zugriffskontrolle (allgemein)
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Daten innerhalb des Systems
Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte
Protokollierung von Zugriffen
Arbeitsplätze mit funktionsgebundenen Zugriffsschlüsseln
Regelmäßige Prüfung des Berechtigungskonzeptes
Zugriffskontrollen (Modelle)
Regelbasierten Zugriffkontrollen (MAC)
Steuerung des Informationsflusses
Sicherheitsmarkierungen, anhan der entschieden wird, ob Informationsfluss stattfinden darf
Wahlfreie oder diskrete Zugriffskontrolle (DAC)
Annahme: Eigentümer für Schutz alleine verantwortlich
freie Regeln festlegen
Rollenbasierte Zugriffkontrolle (RBAC)
explizit modellierte Rollen, die Aufgabenprofil des Rollenträgers beschreiben
Benutzer werden Rollen zugeordnet
vereinfach Administration
Chinese-Wall-Modell
speziell für beratende Berufe, um den Informationsmissbrauch einzuschränken
Anwalt für Partei des Klägers darf nicht mehr als Vertreter für den Beklagten arbeiten (selbe Konfliktklasse)
Zuletzt geändertvor 6 Monaten