Technische Maßnahmen zur Umsetzung der EU-Datenschutzgrundverordnung - Prof. Dr. Hannes Federrath Sicherheit in verteilten Systemen (SVS) ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
ista Fachtagung, Hannover, 14. und 15. März 2018
Technische Maßnahmen zur Umsetzung der
EU-Datenschutzgrundverordnung
Prof. Dr. Hannes Federrath
Sicherheit in verteilten Systemen (SVS)
hEp://svs.informaIk.uni-hamburg.de
1
Personenbezogene Daten – Warum Datenschutz?
Name, Vorname Geburtsdatum Telefonnummer
Wohnort Religionszugehörigkeit
Steuernummer
Krankenversicherungs-Nr.
Autokennzeichen
Kreditkarten-Nr.
Grundbuch- und
Katasterbezeichnung
«Personenbezogene Daten sind
Kontonummer E-Mail-Adresse Einzelangaben über persönliche
und sachliche Verhältnisse einer
besNmmten oder besNmmbaren
natürlichen Person (Betroffener).»
Def. gemäß § 3 Abs. 1 BDSG
2
Beispiele für Datenübermi7lungen
Privater
Bereich Kunde
Öffentlicher Bereich
Finanzamt (Internet) Service Provider
Polizei Private
Dienstleister
Ich als Mensch muss noch wissen dürfen, welche mich betreffenden
TOR
InformaOonen an welcher Stelle bekannt sind.
Ausland
Ich muss einschätzen können, welches Wissen meine
KommunikaOonspartner über mich haben. JAP/Jondonym
Einwohnermeldeamt
Bürger
3
Recht auf informationelle Selbstbestimmung
«Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen
der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung,
Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. …
Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn
betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt
bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht
einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich
gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu
entscheiden.
Mit dem Recht auf informationelle Selbstbestimmung wäre eine
Gesellschaftsordnung nicht vereinbar, in der Bürger nicht mehr wissen können,
wer was wann und bei welcher Gelegenheit über sie weiß.»
aus dem Volkszählungsurteil des Bundesverfassungsgerichts
vom 15. Dezember 1983 1. BvR 209/83 Abschnitt C II.1, S. 43
4
Recht auf informationelle Selbstbestimmung
Mit dem Begriff Datenschutz wird das Recht des Einzelnen auf
informa=onelle Selbstbes=mmung umschrieben.
§ Datenschutz
= Schutz der Menschen
≠ (Schutz der Daten = Datensicherheit)
§ Ab 2018 europaweit einheitlich
geregelt über eine
EU-Datenschutz-Grundverordnung
5
Recht auf informa0onelle Selbstbes0mmung
Mit dem Begriff Datenschutz wird das Recht des Einzelnen auf
informa0onelle Selbstbes0mmung umschrieben.
– Recht auf informa0onelle Selbstbes0mmung = Grundrecht
§ Herleitung des Rechts auf informa0onelle Selbstbes0mmung
– aus dem Allgemeinen Persönlichkeitsrecht gemäß Art. 2 Abs. 1 i.V.m. Art.
1 Abs. 1 Grundgesetz (GG) durch das
Bundesverfassungsgericht im Volkszählungsurteil
§ «Volkszählungsurteil» des Bundesverfassungsgerichts vom 15.12.1983:
– «Das Grundrecht gewährleistet [...] die Befugnis des Einzelnen,
grundsätzlich selbst über die Preisgabe und Verwendung seiner
persönlichen Daten zu bes0mmen.»
6
Abgrenzung von IT-Sicherheit und Datenschutz
§ IT-Sicherheit = Schutz der Daten
– IT-Sicherheit versucht, die mit Hilfe von Informationstechnik (IT)
realisierten Produktions- und Geschäftsprozesse in Unternehmen und
Organisationen systematisch gegen beabsichtigte Angriffe (Security) und
unbeabsichtigte Ereignisse (Safety) zu schützen.
§ Datenschutz = Schutz der Menschen
– Mit dem Begriff Datenschutz wird das Recht des Einzelnen auf
informationelle Selbstbestimmung umschrieben. «Das Grundrecht
gewährleistet [...] die Befugnis des Einzelnen, grundsätzlich selbst über
die Preisgabe und Verwendung seiner persönlichen Daten zu
bestimmen.» (BVerfG) Eine Organisation hat technisch-organisatorische
Maßnahmen zu treffen, um dieses Recht zu gewährleisten.
7
Verknüpfung von Sicherheit und Datenschutz
IT-Sicherheit Datenschutz
Schutz der Daten Schutz der Menschen
Schutz der
Vertraulichkeit
Integrität
Verfügbarkeit
8
EU-Datenschutzgrundverordnung (DSGVO)
§ EU-Datenschutzrichtlinie 95/46/EG durch DSGVO abgelöst
– Spannungsfeld: Harmonisierung der europäischen Datenschutzrechts vs.
nationaler Gesetzgebung
– Richtlinien müssen in nationales Recht umgesetzt werden
§ Seit Mai 2018 in Kraft
– kann unmittelbar in den Nationalstaaten angewendet werden
– tritt an die Stelle nationaler Gesetze (z.B. BDSG oder LDSGs)
– Öffnungsklauseln erlauben nationale Ausgestaltung und Einschränkung
(Art. 23)
• z.B. öffentl. Bereich, Beschäftigtendatenschutz, nat. Sicherheit
§ Beibehaltenes Grundprinzip: Verbot mit Erlaubnisvorbehalt
– Einwilligung oder normative Ermächtigung
9
EU-Datenschutzgrundverordnung (DSGVO) – Neue Regeln
§ Privacy by Design, Privacy by Default (Art. 25)
– Anonymisierung und Pseudonymisierung ( 3a BDSG) fehlt
§ Gewährleistung von Datensicherheit (Art. 32)
– unter BerücksichQgung des Stands der Technik
§ Data Breach NoQficaQon (Art. 33)
– Meldepflicht bei Datenschutzverstößen an Aufsichtsbehörde
§ Datenschutz-Folgenabschätzung (Art.35)
– vorab Abschätzung der Folgen einer Datenverarbeitung
§ ZerQfizierung (Art. 42)
– Einführung von Datenschutzgütesiegeln
§ Strenge SankQonierung bei Datenschutzverstößen (Art. 83)
– Geldbußen bis zu 4 Prozent des weltweiten Jahresumsatzes
10EU-Datenschutzgrundverordnung (DSGVO)
§ Leseempfehlung
– h@ps://www.bfdi.bund.de/SharedDocs/Pub
likaJonen/Infobroschueren/INFO6.html
§ Musterverträge und weiterführende Infos
– h@ps://www.bitkom.org/Themen/Datensch
utz-Sicherheit/Datenschutz/EU-
DSGVO/Datenschutzkonforme-
Datenverarbeitung.html
11Auszug aus Artikel 25 DSGVO
Art. 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des
Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und
Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel
für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und
organisatorische Maßnahmen – wie z.B. Pseudonymisierung – trifft, die dafür ausgelegt sind, die
Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien
in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte
der betroffenen Personen zu schützen.
(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen,
dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den
jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt
für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre
Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass
personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten
Zahl von natürlichen Personen zugänglich gemacht werden.
...
12Begriffe
§ Art. 25 (1) Privacy by Design – Datenschutz durch Technikgestaltung
– BerücksichCgung
• des Stands der Technik
• der ImplemenCerungskosten
• der Umstände und Zwecke
• der EintriOswahrscheinlichkeiten und … Risiken
– Geeignete technisch-organisatorische Maßnahmen
• zur Umsetzung der Datenschutzgrundsätze
– Rechtmäßigkeit und Transparenz
– Datenminimierung und Datensparsamkeit
– Zweckbindung
– Datensicherheit
• zur Durchsetzung der Betroffenenrechte
13EU-Datenschutzgrundverordnung (DSGVO)
§ Betroffenenrechte
– Transparenz (Art. 12)
• einfache, verständliche Sprache; Kosten für AuskunM
– BenachrichOgung (Art. 13 und 14)
• InformaOonspflichten einer verantwortlichen Stelle
– Recht auf AuskunM (Art. 15)
– Recht auf BerichOgung (Art. 16)
– Recht auf Löschung (Art. 17)
• inklusive Recht auf Vergessenwerden (Art 17. Abs. 2)
– Recht auf Einschränkung der Verarbeitung (Art. 18)
• entspricht dem Recht auf Sperrung aus dem BDSG
– Recht auf Datenübertragbarkeit (Art. 20)
• Datenmitnahme in strukturierten gängigen elektron. Formaten
– Widerspruchsrecht (Art. 21)
14Technisch-
organisatorische
Maßnahmen
Datenschutz- Betroffenen-
grundsätze rechte
• Transparenz
• BenachrichAuszug aus Artikel 25 DSGVO
Art. 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des
Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und
Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel
für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und
organisatorische Maßnahmen – wie z.B. Pseudonymisierung – trifft, die dafür ausgelegt sind, die
Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien
in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte
der betroffenen Personen zu schützen.
(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen,
dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den
jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt
für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre
Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass
personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten
Zahl von natürlichen Personen zugänglich gemacht werden.
...
16Begriffe
§ Art. 25 (2) Privacy by Default – datenschutzfreundliche Voreinstellungen
– Beschränkung durch fest eingebaute FunkEonalität
• Beschränkung auf Verarbeitungszweck
• Beschränkung des Umfangs
• Beschränkung auf Speicherfristen
• Beschränkung der Zugänglichkeit
17Technisch-
Privacy by
organisatorische
Default
Maßnahmen
• Beschränkung auf
Verarbeitungszweck Datenschutz- Betroffenen-
• Beschränkung des Umfangs grundsätze rechte
• Beschränkung auf Speicherfristen
• Beschränkung der Zugänglichkeit
• Transparenz
• Benachrichtigung
• Auskunft
Daten- • Berichtigung
Transparenz Zweckbindung Datensicherheit
sparsamkeit • Löschung
• Widerspruchsrecht
• Recht auf
Vergessenwerden
• Recht auf
Einschränkung der
Verarbeitung
• Recht auf
Datenübertragbarkeit
18Auszug aus Artikel 32 DSGVO
Art. 32 Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des
Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen
treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische
Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen
schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem
physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der
technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen,
die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig —
Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang
zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
…
19Begriffe
§ Art. 32 (1) Sicherheit der Verarbeitung
– Geeignete technisch-organisatorische Maßnahmen
• zur Pseudonymisierung und Verschlüsselung
• zur Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit,
Belastbarkeit
• zur Wiederherstellung der Verfügbarkeit nach Zwischenfällen
• zur Überprüfung, Bewertung und Evaluierung der technisch-
organisatorischen Maßnahmen
20Technisch-
Privacy by
organisatorische
Default
Maßnahmen
• Beschränkung auf
Verarbeitungszweck Datenschutz- Betroffenen-
• Beschränkung des Umfangs grundsätze rechte
• Beschränkung auf Speicherfristen
• Beschränkung der Zugänglichkeit
• Transparenz
• Benachrichtigung
• Auskunft
Daten- • Berichtigung
Transparenz Zweckbindung Datensicherheit
sparsamkeit • Löschung
• Widerspruchsrecht
• Recht auf
• Pseudonymisierung Vergessenwerden
• Verschlüsselung • Recht auf
• Vertraulichkeit Einschränkung der
• Integrität Verarbeitung
• Verfügbarkeit • Recht auf
• Belastbarkeit Datenübertragbarkeit
• Wiederherstellbarkeit
• NoQallmanagement
• ÜberprüSarkeit
• Bewertung
• Evaluierung
21Unter Berücksichtigung …
Art. 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des
Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und
Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel
für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und
organisatorische Maßnahmen – wie z.B. Pseudonymisierung – trifft, die dafür ausgelegt sind, die
Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien
in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte
der betroffenen Personen zu schützen.
(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen,
dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den
jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt
• Stand der Technik
für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre
Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass
• ImplemenTerungskosten
personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten
• Art,gemacht
Zahl von natürlichen Personen zugänglich Umfang, Umstände, Zwecke
werden.
• Risiko ...
• Technisch-organisatorische Maßnahmen
22Unter Berücksich0gung …
Art. 32 Sicherheit der Verarbeitung
(1) Unter Berücksich0gung des Stands der Technik, der Implemen0erungskosten und der Art, des Umfangs,
der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen EintriIswahrscheinlichkeit
und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche
und der AuNragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko
angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im
Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem
physischen oder technischen Zwischenfall rasch wiederherzustellen;
• Stand der
d) ein Verfahren zur regelmäßigen Überprüfung, Technikund Evaluierung der Wirksamkeit der
Bewertung
technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
• Implemen0erungskosten
(2) Bei der Beurteilung des angemessenen
• Art,Schutzniveaus sind insbesondere
Umfang, Umstände, Zweckedie Risiken zu berücksich0gen,
die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsich0gt oder unrechtmäßig —
• Risiko
Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang
zu personenbezogenen Daten, die übermiIelt, gespeichert oder auf andere Weise verarbeitet wurden.
• Technisch-organisatorische Maßnahmen
…
23Privacy by Design
Art, Umfang, Technisch-
Stand der Privacy by Risiko-
Kosten Umstände, organisatorische
Technik Default management
Zwecke Maßnahmen
• Beschränkung auf
Verarbeitungszweck Datenschutz- Betroffenen-
• Beschränkung des Umfangs grundsätze rechte
• Beschränkung auf Speicherfristen
• Beschränkung der Zugänglichkeit
• Transparenz
• Benachrichtigung
• Auskunft
Daten- • Berichtigung
Transparenz Zweckbindung Datensicherheit
sparsamkeit • Löschung
• Widerspruchsrecht
• Recht auf
• Pseudonymisierung Vergessenwerden
• Verschlüsselung • Recht auf
• Vertraulichkeit Einschränkung der
• Integrität Verarbeitung
• Verfügbarkeit • Recht auf
• Belastbarkeit Datenübertragbarkeit
• Wiederherstellbarkeit
• NoRallmanagement
• ÜberprüTarkeit
• Bewertung
• Evaluierung
24Privacy by Design
Art, Umfang, Technisch-
Stand der Privacy by Risiko-
Kosten Umstände, organisatorische
Technik Default management
Zwecke Maßnahmen
• Beschränkung auf
Verarbeitungszweck Datenschutz- Betroffenen-
• Beschränkung des Umfangs grundsätze rechte
• Beschränkung auf Speicherfristen
• Beschränkung der Zugänglichkeit
• Transparenz
• BenachrichJgung
• AuskunK
Daten- • BerichJgung
Transparenz Zweckbindung Datensicherheit
sparsamkeit • Löschung
• Widerspruchsrecht
• Recht auf
• Pseudonymisierung Vergessenwerden
• Verschlüsselung • Recht auf
• Vertraulichkeit Einschränkung der
• Integrität Verarbeitung
• Verfügbarkeit • Recht auf
• Belastbarkeit Datenübertragbarkeit
• Wiederherstellbarkeit
• NoUallmanagement
• ÜberprüWarkeit
• Bewertung
• Evaluierung
25Risikomanagement Kreislauf
Iden6fika6on
Überwachung Risiko =
Eintrittswahrschein-
lichkeit · Schadenshöhe Bewertung
Steuerung
26Iden'fika'on von Bedrohungen
§ Frage
– Welche Bedrohungen sind für
das jeweilige Schutzobjekt relevant?
§ Methoden & Werkzeuge
– Checklisten und Workshops Local network failure
– Fehler- und Angriffsbäume Misconfigura'on of PC Misconfigura'on of
Power failure Disconnection of cables
seRngs network devices
– Szenarioanalysen
– Historische Daten Malicious
User mistake
Malicious Admin
person person mistake
§ Herausforderungen
– Vollständige Erfassung aller Bedrohungen
27Iden'fika'on von Bedrohungen
§ Frage
– Welche Bedrohungen sind für
das jeweilige Schutzobjekt relevant?
§ Beispiel Checklisten und Workshops
Bedrohungskategorien des Security Development Lifecycle (SDL)
STRIDE Threat Model:
Spoofing: Fälschen der eigenen Iden'tät
Tampering: Fälschen oder Verändern von Daten
Repudia'on: Anwenden von Verschleierungstak'ken
Informa'on disclosure: Unbefugte Preisgabe vertraulicher Informa'onen
Denial of service: Unbefugte Beeinträch'gung der Funk'onalität
Eleva'on of privilege: Unbefugtes Erlangen von Berech'gungen
The STRIDE Threat Model. MicrosoV, 2002
hYps://msdn.microsoV.com/en-us/library/ee823878(v=cs.20).aspx
28Identifikation von Bedrohungen
§ Frage
– Welche Bedrohungen sind für
das jeweilige Schutzobjekt relevant?
§ Beispiel Fehler- und Angriffsbäume
Local network failure
MisconfiguraJon of MisconfiguraJon of
Power failure DisconnecJon of cables
PC seLngs network devices
Malicious Malicious Admin
User mistake
person person mistake
29Bewertung von Risiken
§ Frage
– Wie groß sind Eintri8swahrscheinlichkeit und
Schadenshöhe eines poten@ellen Schadensereignisses?
§ Methoden & Werkzeuge
– Qualita@ve Bewertung
– Quan@ta@ve Bewertung
– Spieltheorie Schadenswahrscheinlichkeit
– Maximalwirkungsanalyse low med high
low
§ Herausforderungen
Schadenshöhe
– Abhängigkeit von den Assets med
– Strategische Angreifer
high
– Korrela@onen
– Quan@fizierbarkeit Risiko
30Steuerung der Risiken
§ Frage
– Welche Risiken sollen wie behandelt werden?
§ Methoden
– Risikovermeidung
– Risikobehandlung (z.B. nach IT-Grundschutz und ISO 27002)
– Risikoüberwälzung
– Risikoakzeptanz
§ Herausforderungen
– Komplexität der Problemstellung
– Finden von geeigneten Musterlösungen
– Komposition eines sicheren Gesamtsystems aus sicheren Teillösungen
31Risiko-Management für IT-Systeme
Typische Positionen für Vermeidung, Akzeptanz und
Überwälzung:
Schadenswahrscheinlichkeit
low med high
Akzep- Vermeidung
low
tanz
med
Schadenshöhe
Schutzmaßnahmen
Über-
high wälzung
32Risiko-Management für IT-Systeme
Gesamtrisiko Risikovermeidung
Risikoanalyse Schutzmaßnahmen
Schadensbegrenzung
Sicherheitskonzept Überwälzung
Restrisiko
NoFallplan
Versiche-
rungen
nach: Schaumüller-Bichl 1992
33Risiko-Management für IT-Systeme
§ Verfügbarkeit
– Back-Up (Rechenzentrum, Daten), NotlauLonzepte,
Risikovermeidung
Wiederbeschaffungs-
Gesamtrisiko und Wiederanlaufpläne
§ Integrität
– Schaden kann schleichend eintreten, schwer umkehrbar, Backup-
Konzepte können helfen
Risikoanalyse Schutzmaßnahmen
§ Vertraulichkeit
Schadensbegrenzung
– Schaden kann schleichend
eintreten, nahezuSicherheitskonzept
nicht Überwälzung
umkehrbar, da Löschung
Restrisiko
aller Kopien kaum herbei- Notfallplan
führbar
Versiche-
rungen
§ Vorgehensweise
– BSI-Standard 100-4 nach: Schaumüller-Bichl 1992
NoVallmanagement
34Überwachung der Risiken und Maßnahmen
§ Frage
– Waren die Maßnahmen effek:v und
effizient? Wie sicher ist die Organisa:on?
§ Methoden
– Kennzahlen- und Scorecard-Systeme
– Return on Security Investment (ROSI)
§ Herausforderungen
– Die «rich:gen» Kennzahlen verwenden
– Kennzahlen «rich:g» ermiPeln/messen
– Kennzahlen aktuell halten
nach: Loomans, 2002
35Risikomanagement Kreislauf
Checklisten
Workshops
Experten
Histor. Daten
Iden6fika6on
Basisansatz
Kategorien
Überwachung Quantitative
Risiko =
Verfahren
EintriMswahrschein-
Checklisten lichkeit · Schadenshöhe Bewertung
Scorecards
Kennzahlen
Steuerung
Best Prac6ce
Scoring
Quan6ta6ve
Verfahren
36Privacy by Design
Art, Umfang, Technisch-
Stand der Privacy by Risiko-
Kosten Umstände, organisatorische
Technik Default management
Zwecke Maßnahmen
ROSI
• Beschränkung auf
Verarbeitungszweck Datenschutz- Betroffenen-
• Beschränkung des Umfangs grundsätze rechte
• Beschränkung auf Speicherfristen
• Beschränkung der Zugänglichkeit
• Transparenz
• Benachrichtigung
• Auskunft
Daten- • Berichtigung
Transparenz Zweckbindung Datensicherheit
sparsamkeit • Löschung
• Widerspruchsrecht
• Recht auf
• Pseudonymisierung Vergessenwerden
• Verschlüsselung • Recht auf
• Vertraulichkeit Einschränkung der
• Integrität Verarbeitung
• Verfügbarkeit • Recht auf
Initiierung • Belastbarkeit Datenübertragbarkeit
• Wiederherstellbarkeit
Si-Konzept
• NoSallmanagement
Umsetzung • ÜberprüUarkeit
• Bewertung
Erhaltung
• Evaluierung
37Der IT-Sicherheitsprozess nach BSI-Standard 100-2
Ini:ierung des IT-Sicherheitsprozesses
• Verantwortung der Leitungsebene
• Konzep:on und Planung des Sicherheitsprozesses
• AuEau einer Sicherheitsorganisa:on, Bereitstellung von
Ressourcen, Erstellung der Leitlinie
Erstellung eines IT-Sicherheitskonzeptes
Umsetzung
• Realisierung der Maßnahmen in den Bereichen Infrastruktur,
Organisa:on, Personal, Technik, Kommunika:on und
NoRallmanagement
• Sensibilisierung und Schulung
Aufrechterhaltung im laufenden Betrieb
vgl. BSI-Standard 100-2
38Erstellung eines IT-Sicherheitskonzepts
Ini&ierung
IT-Strukturanalyse
Si-Konzept • Erfassung der IT und der IT-Anwendungen
Umsetzung • Gruppenbildung
Erhaltung
Schutzbedarfsfeststellung
IT-Grundschutzanalyse
• Modellierung nach IT-Grundschutz
• Basis-Sicherheitscheck mit Soll-Ist-Vergleich
Ergänzende Sicherheitsanalyse
• bei hohem Schutzbedarf
• bei zusätzlichem Analysebedarf
Konsolidierung der Maßnahmen
Realisierung der Maßnahmen («Planung der …»)
vgl. BSI-Standard 100-2
39Ergänzende Sicherheitsanalyse …
Str.analyse
Initiierung
Si-Konzept
Sch.bed.festst.
… notwendig für Systeme mit hohem bzw. sehr
Umsetzung
GS.analyse
hohem Schutzbedarfsniveau
Erg. S.
Erhaltung
Realis.planung
Drei mögliche Methoden:
Risikoanalyse
oder/und
PenetraHonstest
oder/und
Differenz-Sicherheitsanalyse
40Risikoanalyse auf der Basis von IT-Grundschutz (BSI 100-3)
Str.analyse
Initiierung
Gefährdungsübersicht
Sch.bed.festst.
Si-Konzept • Tabellarische Zuordnung von Schutzobjekten
Umsetzung
GS.analyse RiskAn und Gefährdungen
Erg. S. PenTest
Erhaltung
Realis.planung DiffSA Zusätzliche Gefährdungen
• Gefährdungen die nicht im Grundschutz-
Vorgehen: Katalog enthalten sind
§ Relevante Bedrohungen
Gefährdungsbewertung
erkennen • Ausreichender Schutz durch Standard-
§ EintriEswahrscheinlichkeit und Maßnahmen?
Schutzbedarf ermiEeln
Behandlung von Risiken
§ Geeignete • Risiko-Vermeidung, Risiko-RedukUon durch
Sicherheitsmaßnahmen zusätzliche Maßnahmen, Risiko-Transfer,
auswählen, um die Risiko-Akzeptanz
EintriEswahrscheinlichkeit zu
senken bzw. die Schadenshöhe Konsolidierung der Maßnahmen
zu reduzieren
vgl. BSI-Standard 100-3
41Privacy by Design
Art, Umfang, Technisch-
Stand der Privacy by Risiko-
Kosten Umstände, organisatorische
Technik Default management
Zwecke Maßnahmen
ROSI
• Beschränkung auf
Verarbeitungszweck Datenschutz- Betroffenen-
• Beschränkung des Umfangs grundsätze rechte
• Beschränkung auf Speicherfristen
• Beschränkung der Zugänglichkeit
• Transparenz
• BenachrichIgung
• AuskunJ
Daten- • BerichIgung
Transparenz Zweckbindung Datensicherheit
sparsamkeit • Löschung
• Widerspruchsrecht
• Recht auf
• Pseudonymisierung Vergessenwerden
• Verschlüsselung • Recht auf
• Vertraulichkeit Einschränkung der
• Integrität Verarbeitung
• Verfügbarkeit • Recht auf
Kontext • Belastbarkeit
Initiierung Datenübertragbarkeit
Bewertung • Wiederherstellbarkeit
Si-Konzept
Gew-Ziele • NoTallmanagement
Umsetzung • ÜberprüVarkeit
Soll-Ist-An
• Bewertung
Erhaltung
Feedback • Evaluierung
42Standard-Datenschutzmodell
§ Methode zur
– Datenschutzberatung und -prüfung auf der Basis einheitlicher
Gewährleistungsziele
– Überprüfung der ÜbereinsBmmung der gesetzlichen Anforderungen im
Umgang mit personenbezogenen Daten und der entsprechenden
Umsetzung dieser Vorgaben
§ Von der Konferenz der unabhängigen Datenschutzbehörden des Bundes und
der Länder empfohlen
– Ca. 50 Seiten Umfang
– hMps://www.bfdi.bund.de/DE/Datenschutz/Themen/Technische_Anwen
dungen/TechnischeAnwendungenArBkel/Standard-
Datenschutzmodell.html
43Gewährleistungsziele in Anlehnung an Bock und Rost, 2011
Integrität (Unversehrtheit)* °Nichtverke>barkeit
Zurechenbarkeit+ (Zweckbindung,
Rechtsverbindlichkeit+ Zwecktrennung)
Verfügbarkeit* *Vertraulichkeit
Findbarkeit* *Verdecktheit
Erreichbarkeit+ +Anonymität
Ermittelbarkeit+ +Unbeobachtbarkeit
Verbindlichkeit+
kursiv = elementare Schutzziele ° Transparenz °Intervenierbarkeit
normal = abgeleitete Schutzziele
* = Schutz der Inhaltsdaten (Eingrei:arkeit)
+ = Schutz der Verkehrsdaten +KonCngenz
° = spezifische Datenschutz-Schutzziele
+Abstreitbarkeit
x __________________ y
Dualität
44Standard-Datenschutzmodell
Geschä6sprozesse, Zwecke, verantwortliche Stellen,
Analyse Betroffene und deren Rechtsverhältnisse festlegen,
Verarbeitungs- Einwilligungen
kontext
Rechtsgrundlagen, Zulässigkeit, Übermittlungsbefugnisse,
Materiell- Interessensabwägung zwischen Betroffenen und
rechtliche verantwortlichen Stellen
Bewertung
Anwendung des Standard-
Grad der Verpflichtung, qualitative Parameter,
Datenschutzmodells
Gewähr- Schutzbedarfsanalyse, quantitative Parameter
leistungsziele
Festlegung der technisch-organisatorischen Maßnahmen,
Soll-Ist- Einschätzung der Angemessenheit und Wirksamkeit, ggf.
Analyse Risikoanalyse
Zusätzliche technisch-organisatorische Maßnahmen,
Feedback Vorgehen und SankSonen bei Datenschutzverstößen
vgl. SDM-Standard 1.0, 2016
45Privacy by Design
Art, Umfang, Technisch-
Stand der Privacy by Risiko-
Kosten Umstände, organisatorische
Technik Default management
Zwecke Maßnahmen
ROSI
• Beschränkung auf
Verarbeitungszweck Datenschutz- Betroffenen-
• Beschränkung des Umfangs grundsätze rechte
• Beschränkung auf Speicherfristen
• Beschränkung der Zugänglichkeit
• Transparenz
• BenachrichIgung
• AuskunJ
Daten- • BerichIgung
Transparenz Zweckbindung Datensicherheit
sparsamkeit • Löschung
• Widerspruchsrecht
• Recht auf
• Pseudonymisierung Vergessenwerden
• Verschlüsselung • Recht auf
• Vertraulichkeit Einschränkung der
• Integrität Verarbeitung
• Verfügbarkeit • Recht auf
Kontext • Belastbarkeit
Initiierung Datenübertragbarkeit
Bewertung • Wiederherstellbarkeit
Si-Konzept
Gew-Ziele • NoTallmanagement
Umsetzung • ÜberprüVarkeit
Soll-Ist-An
• Bewertung
Erhaltung
Feedback • Evaluierung
46Schutzziele Voydock, Kent 1983
§ Klassische IT-Sicherheit berücksichtigt im Wesentlichen Risiken, die durch
regelwidriges Verhalten in IT-Systemen entstehen.
Vertraulichkeit unbefugter Informa0onsgewinn
Integrität unbefugte Modifika0on
unbefugte Beeinträchtigung der
Verfügbarkeit Beispiel: Sichere E-Mail-Kommunika0on
Funktionalität
47E-Mail-Verschlüsselung
§ Unverschlüsselte E-Mail-Kommunikation
– SMTP (Simple Mail Transfer Protocol)
– POP (Post Office Protocol)
– IMAP (Internet Message Access Protocol)
§ Verbindungsverschlüsselung
– SMTP/POP/IMAP over SSL
– Verschlüsselung zwischen MTAs (Mail Transfer Agents)
– Sicherheit von DE-Mail etc.
§ Ende-zu-Ende-E-Mail-Verschlüsselung
– S/MIME
– PGP
48Herkömmliche E-Mails sind unsicher
§ Unverschlüsselte E-Mail (schema;sch):
Von: alice@example.de
An: bob@mail.com
Betreff: Abendessen
Hallo Bob,
wollen wir uns morgen zum Abendessen treffen?
Schöne Grüße, Alice
§ Übertragung von E-Mail ist unsicher
– Mitlesen möglich
– Fälschen des Absenders möglich
– Fälschen des Nachrichteninhalts möglich
49Grundlagen der E-Mail-Kommunika5on
§ Store & Forward-Prinzip:
– E-Mail wird nicht direkt an Empfänger, sondern über MTA (Mail Transfer
Agents) geschickt
§ Senden via SMTP: Textbasiertes Protokoll auf TCP-Port 25
§ Empfangen: POP, IMAP
unverschlüsselt und veränderbar
25 SMTP POP/
SMTP IMAP
Server Server
SMTP
Sender Empfänger
Server
50Herkömmliche E-Mails unsicher – Fälschen des Absenders möglich
Delivered-To: federrath@informatik.uni-hamburg.de
Received: from localhost (localhost [127.0.0.1])
by mailhost.informatik.uni-hamburg.de (Postfix) with ESMTP id
3C70411A
for ; Wed, 14 Mar 2018 10:47:55
+0100 (CET)
Received: from mailhost.informatik.uni-hamburg.de ([127.0.0.1])
by localhost (mailhost.informatik.uni-hamburg.de [127.0.0.1])
(amavisd-new, port 10024)
with LMTP id i4cyteXpTQ2I for ;
Wed, 14 Mar 2018 10:47:54 +0100 (CET)
Received: from svs.informatik.uni-hamburg.de (svs.informatik.uni-
hamburg.de)
by mailhost.informatik.uni-hamburg.de (Postfix) with ESMTP id
A60DB119
for ; Wed, 14 Mar 2018 10:47:54
+0100 (CET)
Received: by svs.informatik.uni-hamburg.de (Postfix, from userid 33)
id AA666610E8; Wed, 14 Mar 2018 10:47:54 +0100 (CET)
To: federrath@informatik.uni-hamburg.de
Subject: Demo einer E-Mail-Maskerade
From: “Erika Mustermann"
Message-Id:
Date: Wed, 14 Mar 2018 10:47:54 +0100 (CET)
Lorem ipsum dolor sit amet, consectetur adipisicing elit, sed do
eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim
ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut
aliquip ex ea commodo consequat. Duis aute irure dolor in
reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla
pariatur. Excepteur sint occaecat cupidatat non proident, sunt in
53 culpa qui officia deserunt mollit anim id est laborum.Grundlagen der E-Mail-Kommunika4on
§ Store & Forward-Prinzip:
– E-Mail wird nicht direkt an Empfänger, sondern über MTA (Mail Transfer
Agents) geschickt
§ Senden via SMTP: Textbasiertes Protokoll auf TCP-Port 25
§ Empfangen: POP, IMAP
unverschlüsselt
25 SMTP POP/
SMTP IMAP
Server Server
SMTP
Sender Empfänger
Server
55Verbindungsverschlüsselung
§ SMTP/POP/IMAP over SSL
– Verschlüsselte Teilstrecke zwischen
• Sender und MTA
• MTA und Empfänger
– alle MTAs können mitlesen
unverschlüsselt
SMTP SMTP
POP/
IMAP
Server Server
SMTP
Sender Empfänger
Server
56Verbindungsverschlüsselung
§ SMTP/POP/IMAP over SSL
– Verschlüsselte Teilstrecke zwischen
• Sender und MTA
• MTA und Empfänger
– alle MTAs können mitlesen
unverschlüsselt
SMTP SMTP
POP/
IMAP
Server Server
SMTP
Sender Empfänger
Server
57Verbindungsverschlüsselung
§ SMTP/POP/IMAP over SSL
§ Verschlüsselung zwischen MTAs
– Verschlüsselte Teilstrecke zwischen MTAs
– nicht alle Teilstrecken müssen verschlüsselt sein
– alle MTAs können mitlesen
unverschlüsselt
SMTP SMTP
POP/
IMAP
Server Server
SMTP
Sender Empfänger
Server
58Verbindungsverschlüsselung
§ SMTP/POP/IMAP over SSL
§ Verschlüsselung zwischen MTAs
– Verschlüsselte Teilstrecke zwischen MTAs
– nicht alle Teilstrecken müssen verschlüsselt sein
– alle MTAs können mitlesen
unverschlüsselt
SMTP SMTP
POP/
IMAP
Server Server
SMTP
Sender Empfänger
Server Meldung: https://heise.de/-1932962
59Verbindungsverschlüsselung
§ Sicherheit von DE-Mail etc.
– gleiche Sicherheit wie «E-Mail Made in Germany»
– keine Ende-zu-Ende-Verschlüsselung
– Server kann mitlesen
unverschlüsselt
DE-Mail
Sender Empfänger
Server
60Verbindungsverschlüsselung
§ Sicherheit von DE-Mail etc.
– gleiche Sicherheit wie «E-Mail Made in Germany»
– keine Ende-zu-Ende-Verschlüsselung
– Server kann mitlesen
unverschlüsselt
DE-Mail
Sender Empfänger
Server
61Quelle: Wikipedia 62
Ende-zu-Ende-Verschlüsselung schützt die Vertraulichkeit
§ Ende-zu-Ende-Verschlüsselung
– Inhalte sind durchgehend verschlüsselt
– MTAs (Server) können nicht mitlesen
– Header (Adressen, Datum, Betreff etc.) bleiben unverschlüsselt
§ Konkrete Ende-zu-Ende-Verschlüsselungslösungen
– S/MIME
– PGP
SMTP SMTP
POP/
IMAP
Server Server
SMTP
Sender Empfänger
Server
63Ende-zu-Ende-Verschlüsselung schützt die Vertraulichkeit
§ Verschlüsselte E-Mail (schematisch):
Von: alice@example.de
An: bob@mail.com
Betreff: Abendessen
-----BEGIN ENCRYPTED MESSAGE-----
AkRFMRcwFQYDVQQDEw5Sb2xmIFdlbmRvbHNreTEUMBI
GA1UECBMLRGV1dHNjaGxhbmxEzARBgNVBAcTClJlZ2V
uc2J1cmcxDzANBgNVBAoTBnBaXZhdDEkMCIGCSqGSIb
3DQEJARYVcm9sZi53ZW5kxza3lAZ214LmRlMIGfMA0G
CSqGSIb3DQEBAQUAA4GNABDCBiQKBgQDUVvgaQK9OQP
XvgZm2bU/QqDnsbemv83gDiSuCq07S/cSMiGFjEZas6
5MZ47W951LlNLvFTjwS2fUfsZ5oAxfU+RDWb3GgijZp
5cAxTfFKQ/amaWAtmCkt1FMntRXZ393gOkSSUlWQ7Cr
6GWAYF+deC5CuWptRPpSLYRqSwIDAQABMA0GCSqGSIb
3DQEBBAUAA4GBAIGVTNbu0eOTfGuuL0MWHLfVD
-----END ENCRYPTED MESSAGE-----
64Signatur schützt Integrität und Authen6zität
§ Signierte E-Mail (schematisch):
Von: alice@example.de
An: bob@mail.com
Betreff: Abendessen
-----BEGIN SIGNED MESSAGE-----
Hallo Bob,
wollen wir uns morgen zum Abendessen treffen?
Schöne Grüße, Alice
-----BEGIN SIGNATURE-----
U/QqDnsbemv8p83gDiSuCq07S/cSMiGFjEZas65MZ47W
951LlNLvFTSdkjwS2fUfsZ5oAxfU+RDWb3GgijZAxTfF
F+deC5CuWpRPpSLYRqSwIDAQABMA0GCSqGSIb
-----END SIGNATURE-----
65Konkrete Ende-zu-Ende-Verschlüsselungslösungen § S/MIME (Secure Mul
Gnu Privacy Guard (GnuPG)
§ GnuPG unter Android
– K-9 Mail und OpenKeychain: Easy PGP
https://play.google.com/store/apps/details?id=com.fsck.k9
https://play.google.com/store/apps/details?id=org.sufficientlysecure.keychain
§ GnuPG unter iOS
– iPGMail
https://itunes.apple.com/de/app/ipgmail/id430780873
– oPenGP
https://itunes.apple.com/de/app/opengp/id414003727
67Privacy by Design
Art, Umfang, Technisch-
Stand der Privacy by Risiko-
Kosten Umstände, organisatorische
Technik Default management
Zwecke Maßnahmen
ROSI
• Beschränkung auf
Verarbeitungszweck Datenschutz- Betroffenen-
• Beschränkung des Umfangs grundsätze rechte
• Beschränkung auf Speicherfristen
• Beschränkung der Zugänglichkeit
• Transparenz
• BenachrichXgung
• AuskunY
Daten- • BerichXgung
Transparenz Zweckbindung Datensicherheit
sparsamkeit • Löschung
Policy • Widerspruchsrecht
• Recht auf
• Pseudonymisierung Vergessenwerden
• Anonymität • Verschlüsselung • Recht auf
• Unbeobachtbarkeit • Vertraulichkeit Einschränkung der
• Integrität Verarbeitung
• Verfügbarkeit • Recht auf
BereitschaY zur Kontext
Initiierung • Belastbarkeit Datenübertragbarkeit
datenschutzfreundlichen
Bewertung • Wiederherstellbarkeit
Gestaltung und gute Si-Konzept
Gew-Ziele • NoOallmanagement
DokumentaXon
Umsetzung • ÜberprüRarkeit
Soll-Ist-An
• Bewertung
Erhaltung
Feedback • Evaluierung
68 BereitschaYUniversität Hamburg Fachbereich
Informa9k Arbeitsbereich SVS Prof. Dr. Hannes
Federrath
Vogt-Kölln-Straße 30 D-22527 Hamburg
E-Mail federrath@informa9k.uni-hamburg.de
Telefon +49 40 42883 2358
hSps://svs.informa9k.uni-hamburg.de
69Sie können auch lesen
