Grundlagen des Datenschutzes und der IT-Sicherheit (12) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

Größe: px

Ab Seite anzeigen:

Download "Grundlagen des Datenschutzes und der IT-Sicherheit (12) Vorlesung im Sommersemester 2005 von Bernhard C. Witt"

Walter Franke
vor 8 Jahren
Abrufe

1 und der IT-Sicherheit (12) Vorlesung im Sommersemester 2005 von

2 Struktur der heutigen Vorlesung Lösung potentieller Prüfungsfragen Fortsetzung der Vertiefung zu grundlegenden Anfragen: Risikobewertung nach dem IT-Sicherheitshandbuch des BSI von 1992 Hinweise zum V-Modell XT Zusammenhang Sicherheitskriterien & Zertifizierung Verknüpfung unterschiedlicher Grundlagen: SPAM-Mails Sicherheitsmaßnahmen & Notfall-Vorsorge-Konzept Zusammenfassung (insb. aus den Übungen) 2

zum V-Modell XT Zusammenhang Sicherheitskriterien & Zertifizierung Verknüpfung unterschiedlicher

3 Aufgabe: Prüfungsfragen Formulieren Sie je eine Prüfungsfrage zu den Grundlagen der IT-Sicherheit soweit diese bisher in Vorlesung oder Übung behandelt wurden! Erstellen Sie zu einer Frage Ihre Musterlösung! Geben Sie zur Musterlösung die Punktevergabe an! Zeit: 15 Minuten! (pro Teil ca. 5 min) Ziel: Präsentierbare Lösung! 3

Erstellen Sie zu einer Frage Ihre Musterlösung!

4 Risikomanagement nach IT- Sicherheitshandbuch des BSI 4

5 Risikobewertung nach dem IT- Sicherheitshandbuch des BSI Schadensskala: 4+ lebensgefährdend 4 existenzbedrohend 3 groß 2 mittel 1 gering 0 unbedeutend Skala zur Schadenshäufigkeit: 4 sehr häufig 3 häufig 2 mittel 1 selten 0 gering 0- ausgeschlossen 5

2 mittel 1 gering 0 unbedeutend Skala zur Schadenshäufigkeit:

6 Überblick zum V-Modell XT 6

7 Zusammenhang Sicherheitskriterien & Zertifizierung 7

8 Ergebnis: Vertiefung einzelner Grundlagen Einblick in die Praxis der Tätigkeit von Datenschutzbeauftragten Wichtige Datenschutz-Normen außerhalb der Datenschutzgesetze Strafrechtsnormen Beispiel zu Nutzerprofil: Cookies Erstellung eines Verfahrensverzeichnisses (am Beispiel Netzwerktrafficanalyse) Beispiele zur Verschlüsselung Risikomanagement und bewertung nach IT-Sicherheitshandbuch des BSI Zusammenhang zwischen Sicherheitskriterien und Zertifizierung 8

Erstellung eines Verfahrensverzeichnisses (am Beispiel Netzwerktrafficanalyse) Beispiele zur Verschlüsselung

9 Verknüpfung unterschiedlicher Grundlagen 9

10 SPAM-Mails SPAM = unaufgeforderte Massen-Mail in Anlehnung an einen Sketch aus Monty Python s Flying Circus: kein Gericht ohne SPAM (= Büchsenfleisch) Typische Gegenmaßnahmen: - Nichtzustellung und serverseitige Löschung eingehender SPAM- Mails - Zustellung und serverseitige Markierung eingehender SPAM-Mails - Zurückhaltung (Quarantäne) und automatische Mitteilung des Empfängers über eingegangene SPAM-Mails - Nutzung von SPAM-Filter durch Einwilligung der Nutzer Probleme: - Nichtzustellung = Unterdrückung einer fernmeldegeschützten Sendung 206 Abs. 2 Nr. 2 StGB (OLG Karlsruhe 1 Ws 152/04) - Markierung = ggf. Datenveränderung 303a StGB - Filterung = Kenntnisnahme des Umstandes der Telekommunikation bei privater (=öffentlicher) Nutzung evtl. Lösung über 109 Abs. 2 TKG 10

eingegangene SPAM-Mails - Nutzung von SPAM-Filter durch Einwilligung der Nutzer Probleme: - Nichtzustellung = Unterdrückung einer fernmeldegeschützten Sendung 206 Abs. 2 Nr.

11 Sicherheitsmaßnahmen Sicherheit bei der Konzeption (Architektur): Aufteilung in Sicherheitszonen Verschlüsselung des Datentransports Härtung der IT-Systeme ( Absicherung gegen Angriffe) Ergebnis: DMZ Sicherheit im laufenden Betrieb: Sensibilisierung der Mitarbeiter Authentisierung bei Zugang und Zugriff Schutz vor Viren, Würmer, Trojanische Pferde etc. Protokollierung ( Überwachung der Technik & Datenströme) Kontrollen (z.b. durch Penetrationstests) 11

Betrieb: Sensibilisierung der Mitarbeiter Authentisierung bei Zugang und Zugriff Schutz vor Viren, Würmer,

12 Äußere Einflüsse der IT-Sicherheit 12

13 Notfall-Vorsorge-Konzept Notwendige Inhalte: Verzeichnis der IT-Systeme & Vernetzung Anforderungen an die Verfügbarkeit ( Prioritätssetzung) Verantwortlichkeiten ( CERT) Wiederanlaufplan & Notfallübungen Redundanzkonzept (Technik & Daten) Ergebnis: Notfall-Handbuch Das Notfall-Vorsorge-Konzept ist schwerpunktmäßig auf Fragen der Safety ausgerichtet Regelmäßige Revision erforderlich (PDCA-Ansatz) Zum IT-Sicherheitsprozess s.a. Guideline von ISO/IEC TR

(Technik & Daten) Ergebnis: Notfall-Handbuch Das Notfall-Vorsorge-Konzept ist schwerpunktmäßig auf Fragen der

14 Ergebnis: Verknüpfung zur Praxis bei Datenschutz & IT-Sicherheit Verhältnis und Gegensätze von Datenschutz und IT-Sicherheit Verknüpfung von Datenschutz- und Telekommunikationsrecht (am Beispiel Netzwerktrafficanalyse) Anwendung von Datenschutzrecht bei der Videoüberwachung durch nicht-öffentliche Stellen Beschränkungen beim Umgang mit Mails Umsetzung von Datenschutz und IT-Sicherheit bei Datenbanken Typische Sicherheitsmaßnahmen bei Konzeption und im laufenden Betrieb Äußere Einflüsse auf die Gestaltung der IT-Sicherheit Notwendige Bestandteile für ein Notfall-Vorsorge-Konzept 14

nicht-öffentliche Stellen Beschränkungen beim Umgang mit Mails Umsetzung von Datenschutz und IT-Sicherheit bei Datenbanken Typische

Ähnliche Dokumente

Grundlagen des Datenschutzes und der IT-Sicherheit (11) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

Grundlagen des Datenschutzes und der IT-Sicherheit (11) Vorlesung im Sommersemester 2005 von Bernhard C. Witt und der IT-Sicherheit (11) Vorlesung im Sommersemester 2005 von Struktur der heutigen Vorlesung Fortsetzung der Vertiefung zu grundlegenden Anfragen: Beispiele zu kryptographischen Grundlagen - symmetrische