Skript Informationssicherheit Und Datenschutz

Informationssicherheit &
Datenschutz
Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc.

Vorstellung
Kurzvita
Station 1 (2001-2015):
Ausbildung Informatikkauffrau, Key-User in der
Arbeitsvorbereitung, IT-Sicherheitsbeauftragte
GIRA Giersiepen GmbH & Co. KG
Station 2 (2015-2017):
Erstellung IT-Grundschutz-Bausteine, Prüfbegleitung
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Station 3 (2017-2019):
Information Security Officer
Galeria Kaufhof GmbH – Member of HBC Europe
30.11.18: Fusion mit Karstadt Warenhaus GmbH
Station 4 (seit 2019)

Security Risk & Certification Manager
PAYONE GmbH (Worldline)
2019: Fusion mit BS PAYONE GmbH
2021: Fusion mit Worldline
Studium
Diplom-Wirtschaftsinformatikerin (FH)
2006-2010 an der FOM Duisburg
Diplom-Thema: Konzeption und prototypische Umsetzung der
Übertragung von Daten für die Pflanzenbauberatung aus dem
Internet in eine Schlagkartei, konkretisiert am Beispiel der Software
“Agrar-Office”
Master of Science
2012-2015 Verbundstudium der TH Köln
Master-Thema: Bewertung der Prinzipien aus dem Lean
Management für die Entwicklung von Produkten nach der
Untersuchung auf Informationssicherheit mit Einführung eines
Risikomanagements
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 2

Vorstellung
Kontaktdaten
E-Mail-Adresse:
mails@verenalang.de
Mobile Rufnummer / Messenger (Threema, Signal):
0171 - 9444945

Gliederung
1. Einführung
2. Informationssicherheitsmanagement
3. Risikomanagement in der
Informationssicherheit
4. Gefahrenidentifikation und Schädlinge
5. Maßnahmen zur Erhöhung der

6. Maßnahmen zum Datenschutz

Gliederung
1. Einführung Modulziele
2. Informationssicherheitsmanagement Prüfungsmodalitäten
3. Risikomanagement in der Literatur



1. Einführung
Modulziele
Die Studierenden können nach erfolgreichem Abschluss des Moduls:

▪ Konzepte und Methoden eines modernen Informationsmanagements
charakterisieren und hinsichtlich ihrer praktischen Relevanz bewerten;
▪ Begriffe der Informationssicherheit, IT-Sicherheit und des Datenschutzes und
deren Bedeutung im Unternehmen benennen;
▪ Anforderungen an die Informationssicherheit aus der unternehmerischen Tätigkeit
ableiten;
▪ Bedrohungen und Risiken für die Informationssicherheit identifizieren, analysieren
und bewerten und adäquate Maßnahmen zum Aufbau eines Schutzpotentials
definieren;
▪ Die EU-DSGVO, BDSG-neu und andere relevante Gesetze (z.B. SBG, TKG,
TMG,…) verstehen;
▪ Kryptographische Verfahren kategorisieren und deren konkrete Anwendungsfälle
spezifizieren;
▪ Unterschiedliche Schadsoftware und Angriffsarten beschreiben und daraus
resultierende Gegenmaßnahmen ableiten;
▪ Die grundlegenden Schutzziele definieren und diese in unterschiedlichen
Handlungsfeldern zur Anwendung bringen;
▪ Methoden des Informationsmanagements und der Informationssicherheit nutzen,
um praktische Lösungen für Informations- und IT-Systeme begründet abzuleiten.

1. Einführung
Modulziele
Lehr-/Lernmethoden:
▪ Vorlesungen
▪ Themenbezogene Diskussionen
▪ Übungen und Fallstudien
▪ Online-Campus

1. Einführung
Modulziele
Arbeitsmarktrelevanz
Die Gewährleistung der Informationssicherheit ist von hoher ökonomischer und
rechtlicher Bedeutung. Zur Vermeidung von teils beträchtlichen Schäden ist eine
fundierte Kenntnis der Identifikation und Bewertung von Gefahren und
Methoden zu ihrer Abwendung erforderlich.
Das erworbene Wissen kann sowohl für den Aufbau eines Informations- und
Sicherheitsmanagements, als auch bei der Definition praktischer
Lösungskonzepte Anwendung finden.

1. Einführung
Prüfungsmodalitäten
Prüfung und Benotung
Klausur 90 Minuten (100% der Modulnote)
Im Rahmen der Klausur wird eine praktische Aufgabenstellung, die zuvor zur
Verfügung gestellt wurde, abgeprüft (10 % des Klausurumfangs)!
In der Veranstaltung werden Arbeits- und / oder Rechercheaufgaben mit

explizitem Transferbezug zum praktischen Umfeld der Studierenden gestellt.
Im Rahmen der Klausur wird durch angelehnte (nicht zwingend identische)
Fragestellungen die Übertragung wissenschaftlicher Inhalte und Methoden auf
konkrete betriebliche oder gesellschaftliche Probleme reflektiert.
Die Aufgabenerstellung erhalten Sie in der 3. Vorlesung.
Hinweis: Aufgrund von Corona und entsprechender Hygienemaßnahmen kann

sich die Prüfungsleistung noch ändern.

1. Einführung
Literatur
Pflichtliteratur
▪ Eckert, C. IT-Sicherheit: Konzepte – Verfahren – Protokolle, 9. Auflage,
Oldenbourg, 2014
▪ Harich, T. W.: IT-Sicherheitsmanagement, mitp, 2012

1. Einführung
Literatur
Ergänzende Literatur
▪ Dokumentationen des BSI und der ISO (u.a. ISO 2700x, ISO 31010, IT-
Grundschutz-Kompendium, BSI-Standards 200-x)
▪ Ertel, W.: Angewandte Kryptographie, 3. aktualisierte Auflage, Hanser, 2007
▪ Jäschke, T.: Datenschutz und Informationssicherheit im Gesundheitswesen, 2.
aktualisierte Auflage, Medizinisch Wissenschaftlicher Verlag, Berlin, 2018
▪ Kersten, H., Klett, G., Reute, J., u.a.: ISMS, Risiken, Kennziffern, Controls,
Springer, 2016
▪ Klipper, S.: Information Security Risk Management, Vieweg+Teubner, 2011
▪ Königs, H.-P.: IT-Risikomanagement mit System, 4. Auflage, Springer, 2013
▪ Müller, K.-R.: IT-Sicherheit mit System, 2. Auflage, Vieweg, 2005
▪ Müller, T.: Trusted Computing Systeme, Springer, 2008
▪ Müthlein, Th.: Datenschutz-Grundverordnung General Data Protection
Regulation: zweisprachige Textausgabe Englisch – Deutsch Amtliche Fassung
vom 04.05.2016, Beck, 2016
▪ Probst, Gilbert J. B.; Raub, S.; Romhardt, K.: Wissen managen, 6. Auflage,
Gabler 2010
▪ EU-DSGVO
Weitere Literatur wird während der Vorlesung verlinkt.

Gliederung
1. Einführung Unternehmerische Anforderungen an die

Rechtliche Aspekte
Informationssicherheit Basisanforderungen an ein ISMS


Unternehmerische Anforderungen an die Informationssicherheit
Ethische und politische Aspekte
„Die Informationstechnik ist ein überraschend wirksames Werkzeug zur

Unterdrückung: nicht nur zur Überwachung, sondern auch zu Zensur und
Propaganda. Und die Regierungen werden immer besser darin, es einzusetzen. Je
mehr wir glauben, wir seien „im Krieg“ und der chauvinistischen Rhetorik vertrauen,
desto mehr sind wir bereit, unsere Privatsphäre, unsere Freiheiten und die Kontrolle
über das Internet aufzugeben.“
[Bruce Schneier, Kryptoexperte]

Ethischer, sozialer und politischer Fragen
[Laudon, 2006, S. 226]

... es wird schon irgendwie funktionieren
Ein Warnschild am Abgrund

Ein Reisender erkundigt sich empört bei einem Einheimischen: "Sagen Sie mal, warum
steht denn an diesem gefährlichen Abgrund kein Warnschild?“
Der Einheimische blickt kurz auf: "Das haben wir wieder abgenommen. Da ist sowieso
keiner runtergefallen.“
Zwei Männer und ein Regenschirm

Zwei Männer aus Chelm gingen spazieren. Der eine nahm seinen Regenschirm mit, der
andere nicht. Nach einer Weile fing es an zu regnen.
"Spann deinen Schirm auf", sagte der Mann, der keinen Schirm dabeihatte. Der andere
erwiderte: "Das nützt nichts." – "Was soll das heißen?", sagte der erste. "Ein Regenschirm
schützt uns vor dem Regen." – "Der hier aber nicht", sagte der Mann mit dem Schirm, "er
ist löcherig wie ein altes Sieb.“
"Ja, warum hast du ihn dann überhaupt mitgenommen?" fragte der erste. Der Mann mit
dem Schirm antwortete: "Ich habe gedacht, es würde nicht regnen.“
[Sigrid Hauer]

Ausgangslage
Die Gefahren für das informationelle Selbstbestimmungsrecht werden durch
Konzentration und Monopolbildung im IT-Umfeld verschärft.
Unser persönliches Verhalten hat sich nach Bekanntwerden der massenhaften
Überwachung kaum geändert.
Der jährliche BSI Lagebericht ist ernüchternd.
Immer stärkere Vernetzung der beruflichen und der privaten Umwelt.
Wie können wir uns selbst schützen?

WIE kommuniziere ich WAS und auf WELCHEM Kanal?
Wie können wir neben dem Produzieren und Sammeln von Daten den Gebrauch und
Missbrauch von Daten regulieren?
Digitalisierung ist in der breiten Masse angekommen; lernen wir damit

umzugehen?!

Abgrenzung IT-Sicherheit / Datenschutz

IT-Sicherheit Datenschutz
Schutzzweck Dient dem Interesse der Dient dem Interesse des
verarbeitenden Stelle Betroffenen
Funktion Schützt vor dem Verlust der Schützt vor Technik,
Vertraulichkeit, Integrität und Intransparenz und
Verfügbarkeit ungerechtfertigten Verkettungen
von Daten, Prozessen und
Ereignissen mit Personenbezug
Maßnahmen Technisch-Organisatorische IT- Datenschutzmaßnahmen

Sicherheitsmaßnahmen Realisieren auch IT-
Realisieren auch Datenschutz Sicherheitsmaßnahmen
Anwendungsbereich Automatisierte Alle Verarbeitungsarten
Datenverarbeitung
IT‐Grundschutz und IT‐Sicherheitsmanagementsysteme (ISMS nach ISO27001) sind
grundrechtskonform zu gestalten!
[Vgl. Rost, 2015]

Abgrenzung IT-Sicherheit / Datenschutz / Informationssicherheit
Datenschutz
Informations-
IT-Sicherheit sicherheit

Abgrenzung IT-Sicherheit / Datenschutz / Informationssicherheit
Datenschutz
▪ Schutz der Privatsphäre von Menschen
▪ Soll jedem Menschen das Recht auf informationelle Selbstbestimmung garantieren
▪ Behandelt die Frage, ob Daten erhoben und verarbeitet werden dürfen
▪ Schutz von Informationen
▪ Unerheblich, ob digitale oder analoge Informationen
▪ Zu den Informationen gehören neben Betriebs- und Geschäftsinformationen auch
personenbezogene Informationen
IT-Sicherheit
▪ Schutz elektronischer gespeicherter Informationen und IT-Systeme
▪ Technische Verarbeitung und Funktionssicherheit
Quelle: https://www.datenschutzbeauftragter-info.de/unterschiede-zwischen-datenschutz-datensicherheit-informationssicherheit-oder-it-sicherheit/

Abgrenzung Datensicherheit / Informationssicherheit
Datensicherheit
▪ Schutz der Daten, unabhängig ob Personenbezug oder Geschäftsbezug
▪ Wird im Kontext BDSG / DSGVO als technisch-organisatorische Maßnahme verwendet
▪ Schutz von Informationen
▪ Unerheblich, ob digitale oder analoge Informationen
▪ Zu den Informationen gehören neben Betriebs- und Geschäftsinformationen auch
personenbezogene Informationen
Quelle: https://www.datenschutzbeauftragter-info.de/unterschiede-zwischen-datenschutz-datensicherheit-informationssicherheit-oder-it-sicherheit/

Abgrenzung Betriebsgeheimnis / Personenbezogene Daten
Betriebsgeheimnis
▪ Informationen, die als „Kronjuwelen“ bezeichnet werden
▪ Idealerweise handelt es sich hierbei um ca. 5% aller Unternehmensinformationen
▪ Beispiele:
▪ Konstruktionszeichnungen
▪ Expansionspläne
▪ Stücklisten
▪ Neue Programme
Personenbezogene Daten
▪ Umfasst auch personenbeziehbare Daten
▪ Daten, die einer natürlichen Person direkt oder indirekt zugeordnet werden können
▪ Beispiele:
▪ Vor- und Nachname
▪ Sozialversicherungsnummer
▪ Krankheiten
▪ IP-Adresse

Bedenkliche Entwicklungen seit vielen Jahren…
BKA Cybercrime Bundeslagebild 2020

▪ DDoS Angriffe
IT-Finanz-Dienstleister, Finanzinstitute, Landesrundfunkanstalt
▪ Ransomware auf Clients, Server und Netzwerke
Industrieunternehmen, Forschungseinrichtungen, Krankenhäuser (mit Todesfällen),
Computerspiele-Entwickler, Lebensmittel- und Kosmetikbranche
▪ Backdoors für Datenzugriff (und –abfluss) und Kryptomining
Polizeiliche Maßnahmen 2020

▪ Takedown EMOTET-Botnet
▪ Abschaltung Darknet-Marktplatz „DarkMarket“
▪ Schließung illegale Marktplätze auf Telegram
▪ Festnahme und Identifizierung von Cybertätern
▪ Maßnahmen gegen Online-Forum „crimenetwork.co“
[Quelle: Cybercrime Bundeslagebild 2020, BKA]

Einige Kennzahlen aus 2020

▪ Stand 16.02.2021: „HaveIBeenPwnd“ 10.594.333.080 kompromittierte Accounts
Hasso-Plattner-Institut: 12.211.907.424 kompromittierte Accounts; entspricht:
1.635.908 geleakte Accounts pro Tag
▪ Stand November 2020: missbräuchliche Transaktionen bargeldloser Zahlung: Summe
85.000 €
Weitere von Kartenorganisationen abgelehnt: ~93.000 €
▪ Malware ca. 1,15 Mrd. identifizierte Varianten
Neue Malware-Varianten ca. 137,59 Mio., entspricht ~11 Mio. neue Varianten pro
Monat, entspricht ~314.000 neue Varianten pro Tag
▪ DDoS Angriffe 50 Mio. weltweit, entspricht ~137.000 Attacken pro Tag
2,3 Tbit/s höchste Angriffsbreite
Längster DDoS-Angriff: 95 Stunden
In Deutschland: 96 Angriffe 50 Gbit/s, 180 Angriffe 30-50 Gbit/s, 39,9% aller Angriffe
umfassten IP-Fragmentierung, 23,2% erfolgten über UDP-Pakete

Angebote im Darknet aus 2020




Big Game Hunting

▪ Wirtschaftlich starke Unternehmen, KRITIS und öffentliche Einrichtungen (z.B.
Krankenhäuser) sind im Fokus
Reibungsloser Ablauf soll gestört werden
Ausfall bedeutet gesellschaftliche Notlage
▪ Bekanntester Angriff: Kompromittierung von SolarWinds „Orion“
Bekannt seit 13.12.2020
Nach Netzwerkeinbruch bei SolarWinds war „Orion“ so kompromittiert, dass
regelmäßig durch Softwareaktualisierungen Zugriff auf IT-Netzwerke der
Kunden möglich war
Malware „SUNBURST“ hat eine Backdoor installiert
Verteilung der schadhaften Updates begann März 2020
Weltweit <18.000 Systeme betroffen
Fazit: organisiertes und vernetztes Vorgehen der Täterschaft

APT-Aktivitäten in 2020



Daten sind der Rohstoff und wichtigste Geschäftsgrundlage vieler IKT

Anwendungen [Karaboga et al., 2014]
Werbung als Geschäftsgrundlage, Weiterverkauf von Daten und Analysen
Begrenzung der Datenverarbeitung auf das erforderliche Maß und Zweckbindung
erfolgt nicht [Schaar, 2014]
„If you're not paying for something, you're not the customer, you're the
product being sold.“
[Andrew Lewis]
Paradigmenwechsel in der IKT

„data-driven economy“
Konzentration und Monopolbildung, immer weniger „Big Player“
Rechtsordnungen sind grundsätzlich national ausgerichtet, Datenverarbeitung ist
aber global

Gliederung

Rechtliche Aspekte


Rechtliche Aspekte
Rechtliche Grundlage für Unternehmen
• Unternehmen in Deutschland unterliegen einer Vielzahl von Gesetzen

Deutsches Recht
Europäisches Recht
Ggfs. Internationales Recht
• Corporate Governance gilt für jedes Unternehmen

Rechtlicher und faktischer Ordnungsrahmen für Unternehmen
• Vielzahl normativer Grundlagen müssen ebenfalls berücksichtigt werden

Je nach Branche können diese variieren
• Typische Rollen in Unternehmen:

Compliance-Beauftragter
Legal / Juristen

Rechtliche Aspekte
KonTraG (Gesetz zur Kontrolle und Transparenz im

Unternehmensbereich)
• Ziel des Artikelgesetzes: Corporate Governance in deutschen Unternehmen

verbessern
• Handelsgesetzbuch und Aktiengesetz werden präzisiert
• Haftung von Vorständen, Aufsichtsräten und Wirtschaftsprüfern wird erweitert
• §91 Abs. 2 AktG: Auch wenn es sich hierbei grundsätzlich um das Aktiengesetz
handelt, ist dies gleichzeitig auch für andere Gesellschaftsformen verbindlich
„Ausstrahlungswirkung“

Rechtliche Aspekte

Unternehmensbereich) / AktG (Aktiengesetz)
Organisation, Buchführung (§91 AktG)

(1) Der Vorstand hat dafür zu sorgen, dass die erforderlichen Handelsbücher geführt
werden.
(2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein
Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft
gefährdende Entwicklungen früh erkannt werden.
(3) Der Vorstand einer börsennotierten Gesellschaft hat darüber hinaus ein im
Hinblick auf den Umfang der Geschäftsfähigkeit und die Risikolage des
Unternehmens angemessenes und wirksames internes Kontrollsystem und
Risikomanagementsystem einzurichten.
▪ Unternehmensweites Früherkennungssystem für Risiken muss eingeführt und

betrieben werden (Risikoanalyse, Risikoaggregation, Risikostruktur,
Risikomanagement)
[Quelle: Aktiengesetz]
Rechtliche Aspekte

Unternehmensbereich) / AktG (Aktiengesetz)
Organisation, Buchführung (§91 AktG)

(1) Der Vorstand hat dafür zu sorgen, dass die erforderlichen Handelsbücher geführt
werden.
(2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein
Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft
gefährdende Entwicklungen früh erkannt werden.
(3) Der Vorstand einer börsennotierten Gesellschaft hat darüber hinaus ein im
Hinblick auf den Umfang der Geschäftsfähigkeit und die Risikolage des
Unternehmens angemessenes und wirksames internes Kontrollsystem und
Risikomanagementsystem einzurichten.
▪ Unternehmensweites Früherkennungssystem für Risiken muss eingeführt und

betrieben werden (Risikoanalyse, Risikoaggregation, Risikostruktur,
Risikomanagement)
[Quelle: Aktiengesetz]
Rechtliche Aspekte
Sarbanes Oxley Act (SOX)

Gesetz für Unternehmen, deren Wertpapiere an US-Börsen gehandelt
werden (2002)
▪ Ziele:
- Jahresbericht mit Beurteilung des Internen Kontrollsystems (IKS) muss vorgelegt werden
- Das IKS umfasst Maßnahmen für die Rechnungslegungs-relevanten Quartals- und
Jahresabschlüsse
- Abschlüsse des Unternehmens werden von einer unabhängigen Aufsichtsbehörde geprüft
▪ Inhalt, z.B.:
- Vorschriften zur Unabhängigkeit des Prüfungsausschusses (Audit Committee) und des
Aufsichtsrats (Board of Directors)
- Regelungen zur Einrichtung von Hinweisgebersystemen und einem Whistleblower-Schutz
- Erweiterte finanzielle Offenlegungspflichten (IKS)
- Verschärfte Strafvorschriften
- Erhöhte Haftungsanforderungen an das Management für die korrekte Finanzberichterstattung
(„Integrität“)
▪ In Europa: Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates vom 17. Mai 2006 über
Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen (EuroSOX)
[Quelle: Sarbanes Oxley Act, Gesetzestext auf Englisch]

Rechtliche Aspekte
Das IT-Sicherheitsgesetz - Maßnahmen für Betreiber Kritischer

Infrastrukturen
• Gültig seit 2015, Version 2 seit 2021
•Artikelgesetz (Auswirkungen auf das BSI-Gesetz, Telekommunikationsgesetz,
Gesetz über die Elektrizitäts- und Gasversorgung, Außenwirtschaftsverordnung,
Zehntes Buch Sozialgesetzbuch,
• Ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen haben
dramatische Folgen für die Wirtschaft, die Bürger und den Staat
• Umsetzung und Kontaktstelle für KRITIS-Unternehmen ist das BSI
• Aufsichtsbehörde ist die Bundesnetzagentur
• Kritis-Verordnung Teil 1, gültig ab 3. Mai 2016 für Energie, Informationstechnik,
Telekommunikation, Wasser, Ernährung
• Kritis-Verordnung Teil 2, gültig ab 30. Juni 2017 für Finanz- und
Versicherungswesen, Gesundheit, Transport, Verkehr
• Neue Kritis-Verordnung wurde im August veröffentlicht
[Quelle: IT-Sicherheitsgesetz 2.0]

Rechtliche Aspekte

Infrastrukturen
[Quelle: Kritis-Webseite des BSI, www.kritis.bund.de]

Rechtliche Aspekte

Infrastrukturen
• Pflichten des Betreibers einer kritischen Infrastruktur
• Registrierung beim BSI (aktuell ca. 1.600, Tendenz steigend)
• Kritische Anlage benennen und auditieren
• Meldepflichten (insbesondere bei Ausfällen der kritischen Anlage)
•
Systeme zur Angriffserkennung müssen eingesetzt werden
• KRITIS-Verordnung
•
Je nach Sektor müssen verschiedene Anlagenkategorien und Schwellwerte
berücksichtigt werden
• Sanktionen
• Mit dem IT-Sicherheitsgesetz 2.0: von 100.000 € bis 2 Mio. €, je nach

Bußgeldtatbestand
[Quelle: IT-Sicherheitsgesetz 2.0]

Rechtliche Aspekte
Das IT-Sicherheitsgesetz - Maßnahmen für Betreiber gewerblicher Websites

(NIS-Richtlinie)
Webseitenbetreiber müssen ab sofort angemessen sicherstellen, dass kein unerlaubter
Zugriff auf die für ihre Onlineangebote genutzten technischen Einrichtungen möglich ist.
Zusätzlich müssen diese Einrichtungen gegen Verletzungen des Schutzes
personenbezogener Daten und Störungen gesichert sein.
Es werden dabei nur die Maßnahmen – technisch wie organisatorisch – gefordert, die für
das Unternehmen technisch möglich und wirtschaftlich zumutbar sind.
Welche technischen und organisatorischen Maßnahmen dabei konkret zu ergreifen sind,
lässt das Gesetz leider offen. Einige allgemeine Sicherheitsmaßnahmen nennt die
Gesetzesbegründung jedoch:
▪ Die regelmäßige Aktualisierung der für das Webseitenangebot verwendeten Software
(Einspielen von Sicherheits-Patches).
▪ Darüber hinaus wird explizit davon gesprochen, dass Werbedienstleister, denen
Werbefläche eingeräumt wird, vertraglich zu notwendigen Schutzmaßnahmen zu
verpflichten sind.
▪ Zur Absicherung der IT-Systeme und zum Schutz vor unberechtigtem Zugriff wird
insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens
genannt; bei personalisierten Telemedien eines angemessenen
Authentifizierungsverfahrens.

Rechtliche Aspekte
Telekommunikationsgesetz
Technische und organisatorische Schutzmaßnahmen (§109 TKG)

(1) Jeder Diensteanbieter hat erforderliche technische Vorkehrungen und sonstige Maßnahmen zu
treffen
1. zum Schutz des Fernmeldegeheimnisses und
2. gegen die Verletzung des Schutzes personenbezogener Daten.
Dabei ist der Stand der Technik zu berücksichtigen.
(2) Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche

Telekommunikationsdienste erbringt, hat bei den hierfür betriebenen Telekommunikations- und
Datenverarbeitungssystemen angemessene technische Vorkehrungen und sonstige Maßnahmen zu
treffen
1. zum Schutz gegen Störungen, […] auch soweit sie durch äußere Angriffe und Einwirkungen von
Katastrophen bedingt sein können, und
2. zur Beherrschung der Risiken für die Sicherheit von Telekommunikationsnetzen und –diensten.
Insbesondere sind Maßnahmen zu treffen, um […] gegen unerlaubte Zugriffe zu sichern und
Auswirkungen von Sicherheitsverletzungen für Nutzer, für Dienste oder für zusammengeschaltete
Netze so gering wie möglich zu halten. […]
➔ Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und

Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109
Telekommunikationsgesetz (TKG) Version 2.0
[Quelle: Telekommunikationsgesetz]
Rechtliche Aspekte
Gesetz über die Elektrizitäts- und Gasversorgung

(Energiewirtschaftsgesetz – EnWG)
Betrieb von Energieversorgungsnetzen (§11 EnWG)
(1a) Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere
auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und
elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb
notwendig sind. Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem
Bundesamt für Sicherheit in der Informationstechnik einen Katalog von
Sicherheitsanforderungen und veröffentlicht diesen. […]
(1d) Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die

[…] als Kritische Infrastruktur bestimmt wurden, haben spätestens ab dem 1. Mai
2023 in ihren informationstechnischen Systemen, Komponenten oder Prozessen […]
in angemessener Weise Systeme zur Angriffserkennung einzusetzen. […]
➔ IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz
[Quelle: Gesetz über die Elektrizitäts- und Gasversorgung]

Rechtliche Aspekte
Zehntes Buch Sozialgesetzbuch – Sozialverwaltungsverfahren und

Sozialdatenschutz (SGB X)
Zweckbindung sowie Speicherung, Veränderung und Nutzung von

Sozialdaten zu anderen Zwecken (§67c SGB X)
[…]
(3) Eine Speicherung, Veränderung oder Nutzung von Sozialdaten ist zulässig, wenn
sie für die Wahrnehmung von Aufsichts-, Kontroll- und Disziplinarbefugnissen, der
Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen für den
Verantwortlichen oder für die Wahrung oder Wiederherstellung der Sicherheit und
Funktionsfähigkeit eines informationstechnischen Systems durch das Bundesamt für
Sicherheit in der Informationstechnik erforderlich ist. Das gilt auch für die Veränderung
oder Nutzung zu Ausbildungs- und Prüfungszwecken durch den Verantwortlichen,
soweit nicht überwiegende schutzwürdige Interessen der betroffenen Person
entgegenstehen.
[…]
[Quelle: Zehntes Buch Sozialgesetzbuch]

Rechtliche Aspekte
Straftatbestände „Fälschung beweiserheblicher Daten“ - §269 StGB &

„Täuschung im Rechtsverkehr bei Datenverarbeitung“ - §270 StGB
Fälschung beweiserheblicher Daten (§269 StGB)

(1) Wer zur Täuschung im Rechtsverkehr beweiserheblicher Daten so speichert oder
verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde
vorliegen würde, oder derart gespeicherte oder veränderte Daten gebraucht, wird mit
Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
(2) Der Versuch ist strafbar. […]
Täuschung im Rechtsverkehr bei Datenverarbeitung (§270 StGB)
Der Täuschung im Rechtsverkehr steht die fälschliche Beeinflussung einer

Datenverarbeitung im Rechtsverkehr gleich.
[Quelle: Strafgesetzbuch]
Rechtliche Aspekte
Straftatbestände „Fälschung beweiserheblicher Daten“ - §269 StGB &

„Täuschung im Rechtsverkehr bei Datenverarbeitung“ - §270 StGB
Fälschung beweiserheblicher Daten (§269 StGB) & Täuschung im

Rechtsverkehr bei Datenverarbeitung (§270 StGB)
▪ Beinhaltet Täuschung (einer Person) durch die Fälschung von Daten
▪ Durch Dateninhaber werden Daten gefälscht bzw. verfälscht und zur Täuschung im
Rechtsverkehr genutzt
z.B. Zusendung von E-Mails unter Vorspiegelung realer Identitäten oder Firmen
▪ Der Geschädigte soll z.B. Account-Informationen, Kreditkartendaten preisgeben
oder Zahlungen veranlassen
▪ Schadsoftware in E-Mail-Anhängen wird verschickt, z.B. in Form von Rechnungen
oder Bewerbungsschreiben

Rechtliche Aspekte
Straftatbestände „Computerbetrug als Cybercrime im engeren Sinne“ (CCieS) - §263a StGB
(1) Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das
Vermögen eines anderen dadurch beschädigt, dass er das Ergebnis eines Datenverarbeitungsvorgangs durch
unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten oder sonst
durch unbefugte Einwirkung auf den Ablauf beeinflusst, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit
einer Geldstrafe bestraft. […]
(3) Wer eine Straftat nach Abs. 1 vorbereitet, indem er

1. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen
verschafft, feilhält, verwahrt oder einem anderen überlässt oder
2. Passwörter oder sonstige Sicherungscodes, die zur Begehung einer solchen Tat geeignet sind, herstellt,
sich oder einem anderen verschafft, feilhält, verwahrt oder einem anderen überlässt,
wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. […]
Seit 01.01.2016 in der Polizeilichen Kriminalstatistik (PKS) wie folgt unterteilt:

▪ Betrügerisches Erlangen von Kraftfahrtzeugen
▪ Weitere Arten von Kreditbetrug
▪ Betrug mittels rechtswidrig erlangter Daten von Zahlungskarten
▪ Betrug mittels rechtswidrig erlangter sonstiger unbarer Zahlungsmittel
▪ Leistungskreditbetrug
▪ Abrechnungsbetrug im Gesundheitswesen
▪ Überweisungsbetrug
[Quelle: Cybercrime Bundeslagebild 2020, BKA], Strafgesetzbuch

Rechtliche Aspekte
Straftatbestände „Computerbetrug als Cybercrime im engeren Sinne“

(CCieS) - §263a StGB
Missbräuchliche Nutzung von Telekommunikationsdiensten (§263a

StGB)
▪ Besondere, separat erfasste Form des Computerbetrugs
▪ Ausnutzung von Sicherheitslücken oder schwachen Zugangssicherungen bei
Firmen als auch bei Privathaushalten, z.B.
- Unberechtigter Zugriff auf Router
- Teure Auslandstelefonverbindungen angewählt
- Gezielte Nutzung von Premium- bzw. Mehrwertdiensten
Sonstiger Computerbetrug (§263a Abs. 1 und 2 StGB sowie

Vorbereitungshandlungen gem. §263a Abs. 3 StGB)
▪ Alle Betrugsarten, die unter die vorherigen nicht erfasst werden konnten
Rechtliche Aspekte
Straftatbestände „Ausspähen von Daten“ - §202a StGB
Ausspähen von Daten (§202a StGB)
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn
bestimmt und die gegen unberechtigten Zugang besonders gesichert sind,
unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe
bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch,
magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder
übermittelt werden.
Rechtliche Aspekte
Straftatbestände „Abfangen von Daten“ - §202b StGB
Abfangen von Daten (§202b StGB)
Wer unbefugt sich oder einem anderen unter Anwendung von technischen
Mitteln nicht für ihn bestimmte Daten (§202a Abs. 2) aus einer
nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen
Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit
Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat
nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.
Rechtliche Aspekte
Straftatbestände „Vorbereiten des Ausspähens und Abfangens von

Daten“ - §202c StGB
Vorbereiten des Ausspähens und Abfangens von Daten (§202c StGB)
(1) Wer eine Straftat nach §202a oder §202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten
(§202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen
überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft. […]
Rechtliche Aspekte
Straftatbestände „Datenhehlerei“ - §202d StGB

Datenhehlerei (§202d StGB)
(1) Wer Daten (§202a Abs. 2), die nicht allgemein zugänglich sind und die ein
anderer durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen
verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um
sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird mit
einer Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Die Strafe darf nicht schwerer sein als die für die Vortat angedrohte Strafe.
(3) Absatz 1 gilt nicht für Handlungen, die ausschließlich der Erfüllung
rechtmäßiger dienstlicher oder beruflicher Pflichten dienen. Dazu gehören
insbesondere
1. solche Handlungen von Amtsträgern oder deren Beauftragten, mit den Daten
ausschließlich der Verwertung in einem Besteuerungsverfahren, einem
Strafverfahren oder einem Ordnungswidrigkeitenverfahren zugeführt werden
sollen, sowie
2. solche beruflichen Handlungen der in § 53 Abs. 1 S. 1 der
Strafprozessordnung genannten Personen, mit denen Daten
entgegengenommen, ausgewertet oder veröffentlicht werden.
Rechtliche Aspekte
Straftatbestände „Ausspähen, Abfangen, Vorbereiten des Ausspähens /

Abfangen von Daten; Datenhehlerei“ - §202a bis § 202d StGB
Ausspähen und Abfangen von Daten einschließlich
Vorbereitungshandlungen und Daten-Hehlerei (§263a Abs. 1 und 2 StGB
sowie Vorbereitungshandlungen gem. §263a Abs. 3 StGB)
▪ Umfasst Diebstahl und Hehlerei digitaler Identitäten, Kreditkarten-, E-Commerce-
oder Kontodaten (z.B. durch Phishing)
▪ Daten werden i.d.R. als Handelsware auf digitalen Schwarzmärkten (z.B. im
Darknet) zum Kauf angeboten und täterseitig missbräuchlich eingesetzt
▪ Neben Computersabotage wird auch die Anwendung von Hackertools unter Strafe
gestellt
Bereits der Besitz solcher Tools wird potentiell unter Strafe gestellt!
▪ Verkauf der Daten

▪ Betrügerischer Einsatz der erworbenen Daten

Rechtliche Aspekte
EU DSGVO / BDSG-neu
Europäische Datenschutz-Grundverordnung
▪ Europäisches Parlament hat die DSGVO im April 2016 mehrheitlich angenommen
▪ Übergangsphase für Unternehmen: bis 25.05.2018
▪ Ziele:
Stärkung des Grundrechts auf informationelle Selbstbestimmung durch höhere
Transparenz und mehr Mitbestimmung der Bürger:innen mit Blick auf ihre Daten
Zukunftsorientierter Rechtsrahmen für datenverarbeitende Unternehmen und
innovative Geschäftsmodelle
➔ Details folgen im Bereich des Datenschutzes im Rahmen dieser Vorlesung.
[Quelle: Bundesministerium für Wirtschaft und Energie – Europäische Datenschutz-Grundverordnung]

Gliederung

Rechtliche Aspekte


Basisanforderungen an ein ISMS
Managementsystem
Als Management-System für ein Thema X bezeichnet man allgemein alles, was
eingesetzt wird, um die wesentlichen Ziele für das Thema X zu ermitteln, diese Ziele
zu erreichen und ihre Aufrechterhaltung zu überwachen. Typisch ist:
▪ Ziele in Form von Leitlinien zu formulieren,
▪ Risiken und Chancen für diese Ziele zu analysieren,
▪ Rollen bzw. Verantwortlichkeiten für bestimmte (Teil-)Ziele zu definieren,
▪ Methoden oder Verfahren zu deren Erreichung zu vermitteln,
▪ den vom Thema X Betroffenen besondere Regelwerke oder Richtlinien
aufzugeben,
▪ Prozesse bzw. Abläufe und dafür erforderliche Maßnahmen zu planen und
umzusetzen,
▪ Überprüfungen der Zielerreichung zu planen, durchzuführen und auszuwerten.
[Kersten et al., 2016]

Sicherheitsziel: Vertraulichkeit
Ziel
verhindern, dass geheime Information für unberechtigte Dritte zugänglich wird
Verschlüsselung
Algorithmus, der aus einem Schlüssel und einem Klartext eine scheinbar sinnlose
Zeichenfolge erzeugt, die durch die Anwendung eines zweiten Schlüssels wieder in
den Klartext umgewandelt werden kann
Symmetrische und asymmetrische Verschlüsselung

Sicherheitsziel: Integrität
Ziel
garantieren, dass Daten in unveränderter Form (im „Originalzustand“) vorliegen
Hash-Funktionen
Einweg-Funktion, die aus beliebigen Daten einen Hash-Wert („elektronischer Fingerabdruck“) in der
Länge von 160 Bit oder höher erzeugt, aus dem die Daten nicht rekonstruiert werden können. Bei
jeder Veränderung der Daten verändert sich auch der Hash-Wert („Elektronischer Fingerabdruck“).
Algorithmen: SHA1 (160 Bit), SHA256, ...
Need-to-Know-Prinzip
Jeder Anwender soll nur so viele Berechtigungen haben, wie er für die Erfüllung seiner Aufgaben
unbedingt benötigt.
Separation-of-Duties-Prinzip
Jeder Geschäftsprozess soll von mehr als einem Anwender bearbeitet werden, so dass
Manipulationen bemerkt werden können.
Rotation-of-Duties-Prinzip
Aufgabenbereiche werden zwischen den Anwendern regelmäßig getauscht, so dass ein ausgefallener
Anwender durch Kollegen vertreten werden kann und dass Manipulationen durch diese Kollegen
bemerkt werden können.

Sicherheitsziel: Verfügbarkeit
Ziel
Gewährleistung, dass Dienste den berechtigten Benutzern stets zur Verfügung
stehen
Attacken:
Denial-of-Service-Attacke (DoS)/Distributed-Denial-of-Service-Attacke (DDoS): Ein
Server wird mit „sinnlosen“ Anfragen überflutet, sodass er seiner ursprünglichen
Aufgabe nicht (oder nicht im vollen Umfang) nachkommen kann.
Ransomware/Verschlüsselungstrojaner
Maßnahmen:
Erkennen von atypischen Nutzungsmustern
Beschränkung der Ressourcenzuweisungen an einzelne Benutzer
Backup

ISMS – Information Security Managementsystem

Wichtige Aufgaben eines ISMS sind:
▪ die Formulierung von (Sicherheits-)Zielen
▪ die Bestimmung der Assets
▪ die Risikobeurteilung
▪ die Risikobehandlung
▪ die kontinuierliche Verbesserung

Dokumentation
Security Policy – bzw. Sicherheitsleitlinie
▪ Dokumentation von Zielen
▪ Erklärung des Top-Management zur Informationssicherheit
Risikomanagement
▪ Risikobewertungs- und Risikobehandlungsmethodik
Erklärung zur Anwendbarkeit (SoA = Statement of Applicability)

▪ Erklärung der einzelnen Controls zur Anwendung und Nicht-Anwendung
Obligatorische Sicherheitsrichtlinien
▪ Akzeptable Nutzung von Assets
▪ Richtlinie für Zugriffs-Kontrolle
▪ Betriebsverfahren für das IT-Management
▪ Umgang mit Lieferanten
▪ Incident-Management
▪ Business Continuity Management
▪ Compliance Anforderungen (Gesetze, Behörden, Verträge)

Nicht obligatorische Sicherheitsrichtlinien
▪ Richtlinie zur Dokumentenlenkung (inkl. Aufzeichnungen)

▪ Richtlinie für interne Audits
▪ Richtlinie für Korrekturmaßnahmen
▪ Richtlinie für Bring Your Own Device (BYOD)
▪ Richtlinie für mobiles Arbeiten und Telearbeit
▪ Richtlinie für Informationsklassifizierung
▪ Passwortrichtlinie
▪ Richtlinie für Entsorgung und Vernichtung von IT-Geräten, Datenträgern und
Dokumenten
▪ Clear Desk und Clear Screen Richtlinie
▪ Change-Management-Richtlinie
▪ Backup-Richtlinie
▪ Richtlinie zum Patch- und Änderungsmanagement, um einen Test-,
Qualitätssicherungs- und Freigabeprozess zu dokumentieren
▪ ...

Begriffe
Assets
▪ Alles, was für eine Organisation einen Wert darstellt, z.B. Grundstücke, Gebäude, Maschinen und
Anlagen, Geschäftsprozesse etc.
▪ Information Assets (Informationswerte) wie Daten, Systeme, Anwendungen, IT Services.
▪ Ergänzend kann man auch Soft Assets betrachten, wie z.B. das Image oder die Kreditwürdigkeit einer
Organisation.
Ereignis (Event)
▪ Jede Änderung des Zustands einer Informationsverarbeitung im Rahmen der Risikobeurteilung
Sicherheitsereignis (Security Event)

▪ hat Auswirkungen auf die Sicherheit
Sicherheitsvorfall (Security Incident)

▪ Ereignis, bei dem eine hohe Wahrscheinlichkeit für Auswirkungen auf die Sicherheit besteht
▪ In der Norm wird sehr genau zwischen Events und Incidents unterschieden.
(Sicherheits-)Notfall
▪ ist ein Sicherheitsvorfall mit gravierenden oder sogar katastrophalen Auswirkungen auf die Sicherheit.

ISO/IEC 27001
Sicherheitsziele werden in der Norm nur beispielhaft aufgezählt und sind meist mit
den Begriffen Vertraulichkeit, Integrität und Verfügbarkeit verbunden.
Die Vertraulichkeit von Informationen zu wahren meint, dass diese nur einem
entsprechend autorisierten Personenkreis zur Kenntnis gelangen.
Ähnlich meint die Wahrung der Integrität von Daten, dass nur autorisierte
Änderungen vorgenommen werden dürfen.
Bei der Verfügbarkeit geht es darum, dass Daten, Systeme und Services für
autorisierte Zwecke ausreichend schnell zur Verfügung stehen müssen –
Verzögerungen sind nur in akzeptablen Umfang zulässig.
[Kersten et. al., 2016]

ISO/IEC 27001 – Controls / Maßnahmen

Control
▪ Sicherheitsanforderungen, die eine Organisation zu erfüllen hat,
▪ immer dann, wenn die betreffende Anforderung im geschäftlichen Umfeld der
Organisation relevant ist.
▪ Falls ein Control als irrelevant betrachtet wird, ist dies zu begründen.
Praktische Vorgehensweise
▪ Tabelle, in der in der ersten Spalte die 114 Controls eingetragen werden,
▪ anschließend wird für jedes Top Level Asset eine weitere Spalte vorgesehen.
▪ Für jedes Asset und jedes Control wird dann in das entsprechende Feld eingetragen,
ob das Control relevant ist.
▪ Zentrale Baustein für die Risikobehandlung
▪ Für die geplanten Optionen und Maßnahmen lassen sich auch Kostenschätzungen
ableiten, die wiederum in den Genehmigungsprozess bei der Leitung einfließen
müssen.
▪ Die Zusammenfassung dieser Daten wird als Statement of Applicability (SoA)
bezeichnet.

BSI-Standards 200-1 bis 200-4

IT-Grundschutz-Kompendium
Gültig ab 2018 (geeignete Zertifizierung)
Bestehend aus Bausteinen und Umsetzungshinweisen. Die Bausteine haben einen
Umfang von maximal 10 Seiten und enthalten ausschließlich spezifische
Gefährdungen und Anforderungen.
Die Umsetzungshinweise bieten die Möglichkeit, die Anforderungen praxistauglich
umzusetzen.
Jedes Jahr erscheint eine neue Version mit überarbeiteten und neuen Bausteinen
und Umsetzungshinweisen.

BSI-Standard 200-1: Managementsysteme für IT-Sicherheit (ISMS)

Managementprinzipien
▪ Managementpflichten
▪ reibungsloser Informationsfluss
Ressourcen
Mitarbeiter
Sicherheitsprozess
BSI-Standard 200-2: IT-Grundschutzvorgehensweise

Einführung eines ISMS
Basisabsicherung
Standardabsicherung
Kernabsicherung

BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz

ergänzende Sicherheitsanalyse zumeist in Form einer Risikoanalyse
BSI-Standard 200-4: Notfallmanagement

eigenständiges Managementsystem
Basis: Ergebnisse der klassischen IT-Grundschutz-Vorgehensweise
Ziel: Vermeidung von Notfällen und Minimierung von Schäden

Ergänzung: CISIS12 – Informations-Sicherheitsmanagement System in

12 Schritten
Beinhaltet einige Bausteine der IT-Grundschutz-Kataloge und der ISO/IEC 27001
Entwickelt vom „Netzwerk für Informationssicherheit im Mittelstand (NIM)“ (Mitglieder
u.a. Bayerischer IT-Sicherheitscluster, Universität und Hochschule Regensburg)
CISIS12 wurde im Sommer 2021 aus ISIS12 weiterentwickelt.

▪ Vorher: ISIS12: Informationssicherheitsmanagementsystem
▪ Neu: CISIS12: Compliance Informations-Sicherheitsmanagement-System
[Quelle: https://www.roedl.de/themen/digital-grc-kompass/2021/03/isis12-wird-cisis12-isms-aktualisiert]
Ergänzung: CISIS12 – Informations-Sicherheitsmanagement System in 12 Schritten

Gemeinsames Verständnis-Mindset
1. Leitlinie erstellen
2. Beschäftigte sensibilisieren
Aufbau der IT-Sicherheits-Rahmenbedingungen
3. Informationssicherheitsteam aufbauen
4. IT-Doku-Struktur festlegen
5. IT-Servicemanagement-Prozesse
Erfassung & Analyse kritischer Unternehmensprozesse
6. Kritische Applikationen identifizieren
7. IT-Struktur analysieren
Problem Identifizierung Risikobetrachtung
8. Sicherheitsmaßnahmen modellieren
9. Ist-Soll vergleichen
Synthese, Strategie & Umsetzung
10. Umsetzung planen und umsetzen
Kontinuierliche Überprüfung Bewertung verbessern
11. Internes Audit
12. Revision
Die Schritte werden iterativ durchgeführt.
[Quelle: https://cisis12.de/]
Ergänzung: VdS 10000 – Cyber-Security für kleine und mittlere

Unternehmen
Veröffentlicht: Juli 2015, zweite Auflage veröffentlicht
Große Community darf sich beteiligen
Die VdS bietet einen Quick-Check, um schnell einen Überblick der
Informationssicherheit im eigenen Unternehmen zu erhalten
Vorgehensweise
Es werden Basis- und erweiterte Anforderungen gestellt
Der Standard wird als Einstieg für KMU gesehen
Detaillierte Hinweise zu einzelnen Technologien oder organisatorischen Maßnahmen
werden in den Anforderungen referenziert
Eine Zertifizierung auf Basis dieses Standards ist möglich

Ergänzung: ITIL
Referenzmodell für IT-Serviceprozesse
Sicherheitsaspekte sind unverzichtbarer Bestandteil eines ordnungsgemäßen IT-
Betriebs
Prozesse im Service Design (ITIL v3):

Information Security Management
▪ Einführung und Erhaltung eines definierten Sicherheitsniveaus in der IT-
Organisation und geplantes Reagieren auf Security Incidents.
IT Service Continuity Management

▪ Identifiziert Notfallrisiken für IT-Services und IT-Komponenten
▪ Vorsorge- und Notfallmaßnahmen
▪ gesteuerter Wiederanlauf der IT-Prozesse

Ergänzung: ISO/IEC 15408: Evaluierung von IT-Sicherheit

Bewertungsstandard für die Sicherheit von IT-Produkten und IT-Systemen
Prüfung und Zertifizierung durch eine unabhängige Stelle
Beispiel: Zertifizierung von Digitalen Signaturen, Chipkartenhardware, ...

Überblick
Standard über ISMS-Standards
Typische Merkmale
ISO/IEC 27001 Internationale Norm; technikneutral; Handlungsanweisungen konzeptionell
beschrieben; technische und organisatorische Maßnahmen müssen erstellt werden;
insbesondere geeignet bei internationaler Ausrichtung der Institution; Zertifizierung
nach internationalem Vorgehen
IT-Grundschutz- Deutsche Norm vom Bundesamt für Sicherheit in der Informationstechnik;

Kompendium umfangreich und detailliert beschriebene Umsetzung; Aufbau nach Bausteinen;
besonders geeignet für KMU, nationale Behörden und überwiegend nationale
Ausrichtung der Institution; Zertifizierung „ISO 27001 auf der Basis IT-Grundschutz“
CISIS12 Deutsche Norm vom „Netzwerk für Informationssicherheit im Mittelstand“ in

Anlehnung an den IT-Grundschutz entwickelt; Einführung eines ISMS in 12
Schritten; nicht geeignet für Unternehmen mit kritischer Infrastruktur; geeignet für
KMU; Zertifizierung ist möglich
VdS 10000 Von der VdS Schadensverhütung GmbH konzipiert; entwickelt in erster Linie als
schnellen Einstieg für KMU; besondere Anforderungen werden definiert, der
finanzielle und organisatorische Aufwand sollte gering gehalten werden; Zertifikat
kann Dritten die Sensibilität im Umgang mit Informationssicherheit nachweisen

Beispiel: ISO 27002
Quelle: ISO 27001, Stand 2008

Beispiel: IT-Grundschutz - Baustein
Quelle: IT-Grundschutz-Kompendium, Baustein INF.1 Allgemeines Gebäude, 1. Edition

Quelle: IT-Grundschutz-Kompendium, Umsetzungshinweis INF.1 Allgemeines Gebäude, 1. Edition

Beispiel: IT-Grundschutz - Umsetzungshinweis

Gliederung
1. Einführung Definition des Schutzbedarfs
2. Informationssicherheitsmanagement Elemente einer Bedrohungsanalyse
3. Risikomanagement in der Eintrittswahrscheinlichkeit und

Informationssicherheit Risikobewertung
4. Gefahrenidentifikation und Schädlinge Risikomanagement durchführen

3. Risikomanagement in der Informationssicherheit
Definition des Schutzbedarfs
Schutzbedarf
▪ Schutzbedarf wird für ein Zielobjekt bestimmt
▪ Ausmaß des Schadens, der entstehen kann
▪ Häufigkeit oder Wahrscheinlichkeit des Eintritts des Schadens
▪ Schutzbedarfskategorien werden definiert, z.B.

▪ Normal: begrenzte oder überschaubare Auswirkungen
▪ Hoch: beachtliche Auswirkungen
▪ Sehr hoch: Auswirkungen können katastrophal sein

Vertraulichkeit
▪ Öffentlich: Information für internen Gebrauch und für Kunden / Partner; möglicher
finanzieller Verlust zwischen x€ und y€, Bruch von Gesetzesvorgaben oder
Vertragsbedingungen mit finanzieller Auswirkung ist möglich.
▪ Externer Gebrauch: Information für internen Gebrauch und für Kunden / Partner.
Möglicher finanzieller Verlust zwischen x€ und y€, Bruch von Gesetzesvorgaben
oder Vertragsbedingungen mit finanzieller Auswirkung ist möglich.
▪ Interner Gebrauch: Informationen ausschließlich für internen Gebrauch.
Möglicher finanzieller Verlust zwischen x€ und y€. Bruch von Gesetzesvorgaben
oder Vertragsbedingungen mit hohem finanziellen Schaden möglich.
Vertrauensbruch kann zu Personenschäden führen.
▪ Vertraulich: Möglicher finanzieller Verlust von mehr als y€. Bruch von gesetzlichen
Anforderungen kann zu Strafverfolgung mit möglicher Gefängnisstrafe führen.
Informationsverlust kann zu schwerer Verletzung von Personen oder dem Verlust
von Menschenleben führen.

Integrität
▪ None: Keine besonderen Ansprüche an die Integrität. Allgemeine Grundsätze
ordnungsgemäßer Verarbeitung müssen eingehalten werden
▪ Normal: Integritätsverletzungen bedeuten ein erkennbares wirtschaftliches Risiko.
Geeignete Sicherheitsmaßnahmen müssen getroffen werden.
▪ Hoch: Integritätsverletzungen bedeuten ein großes wirtschaftliches Risiko,
insbesondere für Geldflüsse, Nachweis- und Abstimmungssysteme. Rechtliche
Verpflichtungen können nicht eingehalten werden. Starke Sicherheitsmaßnahmen
müssen umgesetzt werden.

Verfügbarkeit
▪ Basic: Es gibt keine Verfügbarkeitsanforderungen
▪ Normal: Die Verfügbarkeit muss zu 98% gewährleistet werden. Ausfallzeit 24-72
Stunden
▪ Hoch: Die Verfügbarkeit liegt bei 99,8 %. Ausfallzeit 4-24 Stunden
▪ Sehr hoch: Es darf keine ungeplante Unterbrechung stattfinden. Ausfallzeit
maximal 4 Stunden

Schutzbedarfsanalyse nach IT-Grundschutz
[Vgl. Friberg, C. et al., 2002]

Gliederung


Elemente einer Bedrohungsanalyse
Was ist eine Bedrohungslage?

▪ Englischer Begriff: Threat
Potential cause of an unwanted incident, which may result in harm to a system or
organization [Quelle: ISO/IEC 27000:2018]
▪ Eine Bedrohung stellt eine potenzielle Gefahr dar, die durch eine Schwachstelle
(Vulnerability) ausgelöst / ausgenutzt werden kann.
▪ Dies kann ein Ereignis sein, welches Schaden verursacht:
- Angriff auf ein System
- Angriff auf eine Kommunikation (Übertragungsstrecken)
- Angriff auf den Informationsinhalt einer Nachricht
- Spionage / Sabotage
- Aufgrund höherer Gewalt (z.B. Naturkatastrophen)
- Vorsatz durch Menschen / Mitarbeiter:innen

Was ist eine Bedrohungslage?

▪ Auswirkungen einer Bedrohungslage
- Vertraulichkeit kann gefährdet / eingeschränkt werden
➔ vertraulicher Inhalt einer Nachricht wird mitgelesen
➔ vertrauliche Information in IT-Systemen / Datenbanken werden ausgespäht
- Integrität kann gefährdet / eingeschränkt werden

➔ Informationen können manipuliert werden
➔ Informationen stehen nicht in erwarteter Qualität zur Verfügung
- Verfügbarkeit kann gefährdet / eingeschränkt werden

➔ IT-Systeme können nicht erreicht werden
➔ Online-Systeme sind nicht erreichbar
- Aktive Bedrohung: Informationen oder der Systemstatus werden verändert

- Passive Bedrohung: Informationen werden ausgespäht

Bedrohungen in der Gesamtkommunikation
[Laudon, 2006, S. 686]

Bedrohungslagen - Informationsquellen
▪ „Lagebild Cybercrime“ des BKA

▪ Verfassungsschutzbericht des Bundes
▪ Verfassungsschutzbericht der Länder
▪ Lagebericht des BSI
▪ Verschiedene Studien von Dienstleistern
▪ Branchenstudien
▪ Elementare Gefährdungen des BSI
Siehe auch:
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-
hacks/

Gefahren für Unternehmen im eigenen Netz

Welche Gefahren bedrohen das eigene LAN bzw. die eigenen Daten?
• Einblick in vertrauliche Informationen wie Betriebsgeheimnisse, Zugangsinformationen,
Passwörter für Bankkonten etc.
• Nutzung der Rechner im LAN für die Zwecke der Eindringlinge, z.B. für die Verbreitung
von eigenen Inhalten, Angriffe auf dritte Rechner etc.
• Verändern der Daten auf den Rechnern im LAN, z.B. um sich auf diese Weise weitere
Zugangsmöglichkeiten zu schaffen
• Zerstören von Daten auf den Rechnern im LAN
• Lahmlegen von Rechnern im LAN oder der Verbindung mit dem Internet
Über welche Wege verschaffen sich Eindringlinge den Zugang zu Ihrem

Netzwerk?
• Ausspähen der Zugangsdaten (Key-Logger und Spyware)
• Hacken von Servern (Backdoors und SQL-Injection)
• Missbrauch von Zugriffsrechten (Interne Angreifer)
• Verwendung der Default-Login-Daten eines Systems
• Schlichtes Erfragen von Zugangsdaten (Social Engineering)
• ...

Angriffsvektoren
Angreifer führt eigenen Code aus, den er über eine Sicherheitslücke eingeschleust hat
Viele Möglichkeiten zur Fernsteuerung über das Internet
Beschreiten von Umwegen um das Ziel zu erreichen
Öffentliche Listen von Sicherheitslücken und den dazu passenden Angriffswegen im Internet/Dark-Net
verfügbar
Externe Angriffe
Einschleusen von Schadsoftware
Indirekte externe Angriffe

Phishing, PDF-Viewer, schwache Passwörter, Sicherheitslücke in einem Dienst
Interne Angriffe
Frustration, Social Engineering, Bestechung
Physikalische Angriffe
Physikalische Zugangskontrolle
Quelle: Werth, 2009

Gliederung


Eintrittswahrscheinlichkeit und Risikobewertung
Eintrittswahrscheinlichkeit
▪ Wie wahrscheinlich ist es, dass eine Bedrohung / Gefährdung eintritt?

▪ Es gibt verschiedene Skalen:
0 = unwahrscheinlich, 1 = wahrscheinlich, … 5 = sehr wahrscheinlich
10%, 25%, … 95%
▪ Tipp für die Praxis:

Definition Zeitraum für zukünftige Prognosen (z.B. 1 Jahr)
Definition Zeitraum für rückliegende Erfahrung (z.B. 1 Jahr)
➔ Hat den Vorteil: es werden Eintrittswahrscheinlichkeiten realistisch eingeschätzt
▪ Beispiel: Wie hoch ist die Eintrittswahrscheinlichkeit, dass durch eine

Schadsoftware für Windows-Systeme entsteht?

Gliederung


Risikomanagement durchführen
Disziplinen des Risikomanagements
Unternehmens-
risiko
Strategisches Risiko der Unter- Operatives Compliance-

Marktrisiko Kreditrisiko
Risiko nehmensumwelt Risiko Risiko
Risiken mit IT-Bezug

Risiko, dass Wertbeitrag IT-Programm- und IT-Betriebs- und
der IT nicht geliefert wird Projektrisiko Serviceerbringungsrisiko

Risikomanagement-Prozess
1. Initialisierung 2. Identifizierung 3. Beurteilung
• Definieren der • Erfassen des Ist- • Sammeln der

Risikoakzeptanz Zustandes Ergebnisse und
• Entwickeln eines • Risikobewertung Bewerten des
Risikobaumes als Abweichung Kostenimpacts
von der
Zielsetzung
4. Steuerung 5. Überwachung
• Definieren von • Regelmäßiger

Maßnahmen Prozess mit
anhand eines laufender
Business Case Neubewertung
(Kosten vs. der Risiken und
Einsparungen) Ergreifen von
Maßnahmen

Risikomanagement gem. ISO 27005

Reduziert die Eintrittswahr-
Control /
scheinlichkeit eines Szenarios,
Maßnahme z.B. anhand An- und
Abmeldung von Benutzern
Reduziert
Business Impacts Risikoszenario
/ Auswirkungen
z.B. anhand
Verschlüsselung
von Datenträgern
•Risikoakzeptanz pro 4. Bestimmen der

2. Bestimmen von
Prozess festlegen Eintrittswahrsch.
Bedrohungen • z.B. unkontrollierter
(C, I, A) eines Szenarios
Download von SW
•Risikowert pro Asset: • z.B. Manipulation von • Wie schwerwiegend ist • Addition der Werte der
Business Impact + SW die Schwachstelle? Stufen für Bedrohung
Wahrscheinlichkeit • Bewertung anhand z.B. Einstufung „Hoch“ und Schwachstelle
für Szenario erwarteter Eintritts-
häufigkeit, z.B.
1. Bestimmen von „Täglich“
3. Bestimmen von
Informationswerten
Schwachstellen
/ Wert von Assets

ISO 27005: Risiken
Risiko
▪ der mögliche Eintritt von Sicherheitsereignissen in der Informationssicherheit
▪ Ein Risiko wird in aller Regel als eine Kombination aus Eintrittswahrscheinlichkeit und Schadenhöhe definiert.
▪ Ein Risiko kann immer dann eintreten, wenn Schwachstellen vorhanden sind, d.h. wenn Sicherheitsmaßnahmen
fehlen, ungeeignet konstruiert oder fehlerhaft angewendet werden. Man spricht von konstruktiven bzw. operativen
Schwachstellen.
Risikoidentifizierung
▪ Ermittlung von einzelnen Risiken für die Informationswerte der Organisation, soweit sie im Anwendungsbereich des
ISMS liegen.
▪ Diese Ermittlung muss im Zusammenspiel mit den Verantwortlichen (Asset Owner bzw. Risk Owner) für die
einzelnen Informationswerte geschehen.
Risikoanalyse
▪ Für jedes Risiko wird die Schadenhöhe und die Eintrittshäufigkeit abgeschätzt, das Risiko dementsprechend
festgelegt – z. B. in eine Risikoklasse eingeordnet.
Risikobewertung
▪ Feststellung, welche Auswirkungen ein Risiko auf die Organisation hat: Meist geschieht dies durch eine Bewertung
der Risiken mit Stufen wie TOLERABEL, MITTEL, HOCH, KATASTROPHAL.
▪ In der Norm wird Risikobeurteilung als Zusammenfassung aus Risikoidentifizierung, Risikoanalyse und
Risikobewertung betrachtet.
Darstellung von Risiken

▪ In Tabellenform
▪ In einer übergreifenden Matrix
▪ In einer 1:1 Matrix
Risikobehandlung
Optionen und Sicherheitsmaßnahmen

Dienen zur Behandlung ermittelter Risiken nach Vorgaben der Norm.
Typische Optionen zur Risikobehandlung sind:

▪ Risikoakzeptanz
man übernimmt einfach das Risiko ohne weitere Maßnahmen,
▪ Risikoverlagerung
z. B. durch Verlagerung der betroffenen Informationsverarbeitung an einen sichereren
Ort, etwa an einen qualifizierten Dienstleister,
oder durch Versicherung der möglichen Schäden
▪ die Risikoreduktion
z. B. durch Einsatz geeigneter Sicherheitsmaßnahmen,
▪ Risikobeseitigung
z. B. durch Änderung des fraglichen Geschäftsprozesses und der unterstützenden IT,
oder durch Einstellung des risikoreichen Geschäftsprozesses.
Gliederung
1. Einführung Differenzierung von Angreifertypen
2. Informationssicherheitsmanagement Schadsoftware
3. Risikomanagement in der Cyberangriffe

Social Engineering

Differenzierung von Angreifertypen
Welche Angreifertypen gibt es?
Diskussion:
▪ Wie kann ich einen Angreifer ermitteln?
▪ Wer will mich / mein Unternehmen angreifen?
Motivation von Angreifern
▪ Neugierde
▪ Spaß an der Technik
▪ Geld
▪ Anerkennung
▪ Herausforderung
▪ Zerstörungswut
▪ Strafverfolgung
Quelle: Cyber-Sicherheit, Das Lehrbuch für Konzepte, Prinzipien, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung,
N. Pohlmann, Springer Vieweg, 2019, S. 30ff
Motivation von Angreifern
▪ Neugierde
„Will mal in die Systeme schauen“
▪ Spaß an der Technik
„Will mal schauen, was ich mit der Technik erreichen kann“
▪ Geld
„Ich kann mit dem Angriff Geld verdienen“
▪ Anerkennung
„Ich informiere innerhalb der Gesetze über Sicherheitslücken“
▪ Herausforderung
„Das scheint schwierig zu sein, aber ich werde es schaffen“
▪ Zerstörungswut
„Das werde ich heimzahlen, indem ich das System zerstöre“
▪ Strafverfolgung
„Der Angriff erfolgt im Rahmen einer Strafverfolgung“
Typen von Angreifern
▪ Hacker
▪ IT-Spione
▪ IT-Terroristen
▪ Unternehmens-Cracker
▪ Professionelle Kriminelle / Berufskriminelle / Cyber-Kriminelle
▪ Vandalen
▪ Penetration Tester
▪ Behördenmitarbeiter
▪ Eigene Mitarbeiter / Innentäter
▪ Skript-Kiddies
▪ White / Grey Hacker
▪ Hacker
- Brechen in IT-Systeme und Netzwerke ein
- Sehen im Hacking eine Herausforderung
- Eigener Status wird definiert / erhöht
- Häufig ohne böse Absicht
- Agieren unberechenbar und ein hoher Schaden kann entstehen
▪ IT-Spione
- Bezahlte Spezialisten
- Versuchen gezielt an Informationen zu gelangen
- Ziele sind meist politisch (Nachrichtendienste) oder wirtschaftlich
(Wettbewerbsvorteile) begründet
▪ IT-Terroristen
- Verursachen aus politischen Gründen Angst und Chaos
- Wollen auf Missstände und / oder politische Ziele aufmerksam machen
▪ Unternehmens-Cracker
- Mitarbeiter, die IT-Systeme und Netzwerke von Konkurrenzunternehmen angreifen
- Ziel hierbei sind finanzielle Vorteile
- Fokus liegt bei z.B. Entwicklungsunterlagen, Strategieplänen,
Vertriebsinformationen, Kundendaten
▪ Professionelle Kriminelle / Berufskriminelle / Cyber-Kriminelle
- Ziel ist die persönliche Bereicherung
- Methoden z.B. nicht bezahlte Nutzung von Dienstleistungen, oder unberechtigte
Abbuchungen von fremden Konten, Erpressungen
▪ Vandalen
- Motivation häufig reine Zerstörungswut
- Es wird gezielt Schaden zugefügt (Gegenstände, Organisationen, Personen)
▪ Behördenmitarbeiter
- Mitarbeiter aus Strafverfolgungsbehörden nutzen Sicherheitslücken aus
- Ziel ist die Durchsetzung von Strafverfolgung
▪ Penetration Tester
- Beauftragte Sicherheitsexperten
- Untersuchen IT-Systeme mit Mitteln und Methoden eines Angreifers jeglichen Types
- Schwachstellen werden entdeckt und zur Umsetzung von Maßnahmen genannt
▪ Skript-Kiddies
- In der Regel nicht volljährige Person, die vorgefertigte Programme nutzt, um in
fremde Netzwerke und IT-Systeme einzudringen und diesen zu schaden
- Besonderes Merkmal: keine IT-Ausbildung und kaum Kenntnisse im IT-Bereich
- Amateur-Hacker, mit Spaß am Hacken, Spieltrieb, Anerkennungssucht, politische
Motivation
▪ White / Grey Hacker
- White Hacker: Setzen ihre Fähigkeiten ein, um Sicherheitslücken aufzudecken
- Grey Hacker: sind davon überzeugt, dass sie Unternehmen helfen, indem sie ihre
Webseiten hacken und sich ohne Erlaubnis Zugang zu den Netzwerken verschaffen
Quellen:
- Cyber-Sicherheit, Das Lehrbuch für Konzepte, Prinzipien, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung,
- https://it-forensik.fiw.hs-wismar.de/index.php/Skript-Kiddie
- https://www.kaspersky.de/resource-center/definitions/white-hat-hackers
▪ Eigene Mitarbeiter / Innentäter - Erscheinungsformen
- Unbewusstes Täterhandeln:
- Opfer eines klassischen oder digitalen Social Engineering-Angriffs (z.B. CEO-Fraud)
- Sicherheitsregeln werden aus Unkenntnis, Sorglosigkeit oder Fahrlässigkeit missachtet
- Unbewusstes Täterhandeln, das in vorsätzlichem Handeln mündet

- „Anfüttern“ durch externen Täter (z.B. bei Korruption)
- Anwerben eines Mitarbeiter in einer attraktiven Funktion als (dauerhafte) Quelle im Rahmen der
klassischen Wirtschaftsspionage
- Vorsätzliches, bewusstes Täterhandeln

- Arbeitsziele sollen schneller und erfolgreicher erreicht werden, um Boni zu erhalten, sich gegen
Konkurrenten abzusetzen oder schneller befördert zu werden
- Selbstbestimmtheit, Freiheit und Macht für den einen Arbeitsplatz
- Informationen werden für einen späteren Arbeitgeberwechsel genutzt
- Informationen werden gegen den Arbeitgeber eingesetzt
- Gezielter Verkauf an Mitbewerber, Nachrichtendienste oder Interessierte
- Sabotageakte / Racheakte werden durchgeführt
Quelle: Monitoringbericht Innentäter in Unternehmen 2, Aktuelle inländische Forschungsbeiträge, wesentliche Ergebnisse und Handlungsempfehlungen, Bundeskriminalamt, 2/2020
- Krisentäter (Anteil: ~40%):

- nutzt vorhandene Gelegenheiten
- häufig ausgelöst durch krisenhafte Ereignisse im Privat- oder Berufsleben, die den bisherigen Status und Lebensstil
bedrohen
- hat häufig überhöhte Ansprüche, sieht diese aber als legitim an und rechtfertig sich damit
- Unauffällige (Anteil: ~25%)

- Tat aus sich bietender Gelegenheit
- sozial unauffällig, bis auf eine gewissen Konsumneigung in der Regel keine Risikofaktoren erkennbar
- Täter mit wirtschaftskriminologischem Belastungssyndrom (Anteil: ~20%)

- Vereint mehrere Risikofaktoren
- Häufig Quereinsteier mit gebrochenen Erwerbsbiographien, teilweise schillernde Lebensläufe
- In biographischer Umbruchphase
- Fehlende Kontrolle / Neutralisation durch persönliches Umfeld (z.B. Trennung oder Auslandsaufenthalt)
- Führt ungebremstes „Leben im Augenblick“, das mit legalen Mitteln nicht finanzierbar ist
- Abhängige (Anteil: ~15%)

- Nutzt vorhandene Gelegenheiten
- Hierarchisch einem Haupttäter untergeordnet; schuldet Haupttäter einen Gefallen
- Starker Bezug zu arbeitsplatzbezogenen Subkulturen
- Fazit:
- Meist männlich und im Unternehmen respektierte Personen
- Zwischen 30-60 Jahre alt
- Meist 6-20 Jahre im Unternehmen (mit zunehmender Unternehmenszugehörigkeit sinkt die
Häufigkeit, aber die Schäden steigen)
- Meist mittleres bis Top-Management (bei bestimmten Delikten auch ohne
Führungsverantwortung)
- Meist höher gebildet (z.B. bei Korruption, Geldwäsche, Wettbewerbsdelikten), je nach Delikt
auch eine niedrigere Bildung (z.B. Betrug, Untreue)
- Indikatoren
- Outsourcing-Situationen
- Unzufriedenheit am Arbeitsplatz
- Versuch der Erweiterung oder Überschreitung der Zugriffsberechtigungen
- Auffällige Neugier
- Verdächtige Kontakte zu ausländischen Staaten oder Konkurrenzunternehmen
- Regelwidriges Einbringen und Nutzen mobiler Endgeräte oder Datenträger
- Ungewöhnliche Arbeitszeiten
§263a
Täter 2020 gem. Polizeilicher Kriminalstatistik StGB
▪ Umfasst Diebstahl von EC- oder Kreditkarten

▪ Auslesen von Kartendaten und Ausspähen der PIN durch Skimming am
Geldautomaten
Quelle: PKS 2020
§263a
▪ Umfasst Diebstahl von EC- oder Kreditkarten, die beim elektronischen

Lastschriftverfahren (ohne Nutzung der PIN) eingesetzt werden
▪ Auslesen von Kartendaten und Ausspähen der PIN durch Skimming am
Geldautomaten
- Anschließend erstellen von Kartendubletten, mit denen im Ausland mithilfe der
PIN Geld vom Konto des Opfers abgehoben wird
Quelle: PKS 2020
u.a.
Kunst-
Täter 2020 gem. Polizeilicher Kriminalstatistik urheber-
rechtsG
▪ Insbesondere das Recht am eigenen Bild und unberechtigte Nutzung

Quelle: PKS 2020
§269 +
Täter 2020 gem. Polizeilicher Kriminalstatistik §270
StGB
Quelle: PKS 2020
Hacker-
para-
Täter 2020 gem. Polizeilicher Kriminalstatistik graphen
§202ff
StGB
Quelle: PKS 2020
§263a
Quelle: PKS 2020
§263a
Quelle: PKS 2020
Gliederung

Social Engineering

Schadsoftware
Typen von Schadsoftware
▪ Welche Arten von Schadsoftware kennen Sie?

▪ Haben Sie bereits Erfahrung mit Schadsoftware im Unternehmen gemacht?
Schadsoftware
▪ Viren
- Schäden: Zerstören / Verändern von Dateien, Stören des normalen Betriebs
- IT-System wird befallen und Dateien infiziert
- Übertragungsweg nicht relevant; häufig: Wechseldatenträger, E-Mail-Anhänge, Cloud-Speicher
- Muss aktiv kopiert / verbreitet werden
▪ Würmer
- Schäden: Daten kopieren, Speicherplatz belegen, Programme / Hardware zerstören
- Netzwerkverbindung und Zielsystem mit einer Sicherheitslücke ausreichend
- In einem E-Mail-Anhang und eine Sicherheitslücke kann z.B. auf Kontakte im Adressbuch
zugegriffen werden
- Übertragungswege: Bluetooth, Chat-Systeme, Wechseldatenträger und der Auto-Start-Funktion
des IT-Systems
▪ Trojanisches Pferd
- Schäden: Tastatureingaben aufzeichnen, Sniffer (Daten abgreifen), Backdoors (Rechner kann
ferngesteuert werden), Botnet-Client um Spam zu verschicken
- Trojanisches Pferd gibt sich als nützliche / harmlose Datei aus, die auf den Rechner geladen
wird
- Übertragungswege: harmlose Datei auf dem Rechner, in versteckten Anhängen / Bildern kann
sich das Trojanische Pferd befinden
Quelle: Universität Mannheim, Schadprogramme
Schadsoftware
▪ Spyware
- Schäden: Sammeln persönlicher Daten (E-Mail- oder Online-Bankingzugänge), Protokollierung
Surfgewohnheiten, Erstellen benutzerspezifische Marketing-Profile, Verkauf der Daten
- Läuft in der Regel still und leise im Hintergrund, Anwender bemerkt nicht / sehr spät, dass er
ausspioniert wird
- Übertragungswege: Installation von Gratis-Software, über Trojaner installiert
▪ Scareware
- Schäden: Anwender soll verunsichert werden, Sicherheitsproblem wird vorgegaukelt
- Aufmerksamkeit wird durch Pop-up-Fenster erregt, die Sicherheitsmeldungen des Betriebssystems
ähneln oder angeblich begangene Straftaten vorgetäuscht werden (z.B. Besitz kinderpornographisches
Material)
- Übertragungswege: kostenpflichtige „Sicherheitssoftware“ verspricht Lösung des Problems, jedoch
werden nur die Warnmeldungen abgeschaltet
▪ Adware
- Schäden: Sammelt Daten über besuchte Seiten und sendet diese an den Hersteller, angezeigte
Werbung soll individualisiert werden
- Meist wird Werbung im Browser oder als Pop-up-Fenster angezeigt, Suchanfragen werden an
Werbeseiten weitergeleitete
- Können freiwillig und bewusst installiert werden, z.B. für die Finanzierung von kostenlosen Programmen
- Übertragungswege: durch Installation anderer Software durch Häkchen, dass Installation von Adware
zugestimmt wird
Schadsoftware
▪ Ransomware
- Schäden: Festplatten / Netzwerke mit allen Daten werden verschlüsselt und
Lösegeld gefordert
- Die Zahlung von Lösegeld sollte nicht erfolgen, da es keine Garantie für eine
erfolgreiche Entschlüsselung gibt
- Datensicherungen / Backups sollten regelmäßig durchgeführt werden
- Häufig muss die gesamte IT-Umgebung ausgetauscht werden
Gliederung

Social Engineering

Cyberangriffe
Definition Cyberangriff
Quelle: Cyberstrategien für Unternehmen und Behörden, Bartsch, Frey, 2017
Cyberangriffe
Definition Cyberangriff
▪ Es gibt zwei Arten von Angriffsmethoden:

- die, die sofort bemerkt werden
- die, die erst später bemerkt werden
▪ Folgende generische Phasen beschreiben einen Cyberangriff:
- Vorbereitungsphase:
- Der Angreifer versucht alle notwendigen Informationen für die Durchführung des Angriffs
zu beschaffen.
- Die gesamte Zielumgebung wird ausspioniert.
- Reaktionsphase
- Technische Maßnahmen aller Art werden benutzt, um sich Zugang zu den IT-Systemen
des Opfers zu verschaffen
- Nutzungs- und Tarnphase
- Angreifer übernimmt administrative Aufgaben im Netzwerk
- Angreifer hat von außen Zugriff auf alle Informationen
Cyberangriffe
5 Phasen eines Cyberangriffs (F-Secure)
Quelle: F-Secure, Blog, Die 5 Phasen einer Cyberattacke: Sichtweise des Angreifers
Cyberangriffe
▪ Phase 1: Aufklären (Monate vor der Erkennung)

- Potenzielle Ziele werden identifiziert
- Informationen über das Zielunternehmen werden gesammelt, z.B. über
- Unternehmenswebseite
- LinkedIn
- Lieferwege werden kartografiert
- Gebäudepläne werden genutzt
- Informationen zu eingesetzten Sicherheitssystemen sowie Zugänge werden erlangt
- Methoden:
- Firmensitz besuchen
- An Firmenveranstaltungen teilnehmen
- Social Engineering
- Anrufe bei vereinzelten Personen
➔ Die „Waffe“ wird am Ende der Phase gewählt: Zero-Day-Exploits, Spear-Phishing-

Kampagnen, Bestechung
Cyberangriffe
▪ Phase 2: Eindringen und Präsenz (Monate vor der Erkennung)

- Versuche, in den Perimeter des Unternehmens einzudringen
- Zugangsdaten, z.B. durch Spear-Phishing, werden genutzt
- Netzwerk wird infiltriert
➔ Remote Access innerhalb des Unternehmens wird ausgebaut
Cyberangriffe
▪ Phase 3: Querbewegen (Monate oder Wochen vor der Erkennung)

- Versuche, weitere Systeme und User-Accounts zu kompromittieren
- Eigene Präsenz festigen
- Systeme identifizieren, die die Zieldaten enthalten
- File-Server werden durchsucht, z.B. nach Passwörtern und sensiblen
Informationen
- Das gesamte Netzwerk wird kartografiert
➔ Autorisierte Nutzer werden nachgeahmt
Cyberangriffe
▪ Phase 4: Eskalieren der Privilegien (Wochen oder Tage vor der Erkennung)
- Das Level der Sicherheitsfreigaben wird geprüft, um an die richtigen Ziele zu
gelangen
- Kontrolle über Zugangskanäle und Zugangsberechtigungen liegen beim
Angreifer
➔ Zugriff auf Zieldaten, z.B. Mailserver, Dokumentenmanagementsysteme,

Kundendaten
Cyberangriffe
▪ Phase 5: Abschluss der Mission (Tag Null)

- Daten und Informationen werden extrahiert
- Kritische Systeme werden korrumpiert
- Operative Aspekte des Unternehmens werden unterbrochen
- Beweise werden zerstört, z.B. durch Ransomware
➔ Zugriff auf Zieldaten, z.B. Mailserver, Dokumentenmanagementsysteme,

Kundendaten
Cyberangriffe
Häufige Formen von Cyberangriffen
▪ Denial-of-Service- (DoS) & Distributed-Denial-of-Service-Angriffe (DDoS)

- Systemressourcen werden mit so vielen Anfragen bombardiert, dass die Aufgaben nicht mehr bewältigt
werden können (DoS)
- Angriffe von sehr vielen mit Schadsoftware versehenen Hostrechnern (DDoS)
- Wird genutzt für:
- Dienste werden außer Betrieb gesetzt
- Vorbereitung für weitere Angriffe, z.B. Session-Hijacking
- Häufigste Formen:
- TCP-SYN-Flooding:
- Nutzung des Pufferspeichers beim Handshake zu Beginn des Verbindungsaufbaus in einem TCP-basierten
Netzwerk;
- IT-System wird mit Verbindungsanfragen überflutet; wenn die Anfragen beantwortet werden wird darauf nicht
reagiert
- Teardrop-Angriff:
- Offset-Felder für Länge und Fragmentierung sequenzieller IP-Pakete überlappen sich
- IT-System versucht die Pakete neu zusammenzufügen, stürzt jedoch ab oder startet neu
- Smurf-Angriff:
- IP-Spoofing und ICMP werden genutzt, um Anfragen zu starten
- über gefälschte IP-Adresse werden ICMP-Echo-Anfragen an die Broadcast-IP-Adresse gesendet
- Ping of Death:
- IP-Pakete mit Größe der maximal zulässigen 65.535 Byte werden verschickt
- Angreifer teilt das IP-Paket in kleinere Fragmente und beim Zusammensetzen kommt es zum Pufferüberlauf und
Abstürzen
- Botnets:
- viele Millionen mit Schadsoftware infizierte Systeme, die von einem Angreifer kontrolliert werden
- Systeme der Botnets auf viele Standorte verteilt, so dass Angriffe kaum nachvollziehbar sind
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
Cyberangriffe
▪ Man-in-the-Middle-Angriffe (MitM)
- Angreifer schaltet sich in die Kommunikation zwischen einem Client und dem
Server ein
- Session-Hijacking:
- Verbindung zwischen vertrauenswürdigen Client und Server wird gekapert
- Angreifender Rechner ersetzt IP-Adresse des vertrauenswürdigen Client
- IP-Spoofing:
- Angreifer überzeugt System, dass es mit einer bekannten, vertrauenswürdigen Entität
kommuniziert
- Paket wird an Zielhost gesendet, welches bei Annahme Zugriff gewährt
- Replay-Angriff:
- Angreifer fängt Nachrichten ab, speichert diese und versucht sie später erneut zu
senden
Cyberangriffe
▪ Phishing- und Spear-Phishing-Attacke

- E-Mails werden aus offenbar vertrauenswürdiger Quelle versendet
- Persönliche Informationen werden abgegriffen
- Eine bestimmte Handlung soll ausgeführt werden
- Spear-Phishing:
- gezielte Phishing-Aktivität
- sehr persönlich für das Opfer und der Inhalt ist nur für das Opfer relevant
- E-Mail-Spoofing:
- Informationen zum Absender werden gefälscht
- Gefälschte Webseite:
- Rechtmäßige Webseite wird geklont
- Opfer wird dazu verleitet, personenbezogene Daten oder Anmeldedaten einzugeben
Cyberangriffe
▪ Drive-by-Downloads
- Wird zur Verbreitung von Schadsoftware über ungesicherte Webseiten genutzt
- Schadsoftware wird über schädlichen Skript in den HTTP- oder PHP-Code
eingeschleust
- Skript kann bei Besuch der Webseite Schadsoftware laden und installieren oder
Besucher wird auf eine andere Webseite weitergeleitet
- Besuch der Webseite reicht aus, Anzeige einer E-Mail oder ein Pop-up-Fenster
- Es muss keine Aktion ausgeführt werden, die Schadsoftware wird über
Sicherheitslücke installiert
Cyberangriffe
▪ Kennwortangriffe
- Zur Authentifizierung von Benutzern mit Kennwörtern
- Kennwörter von Schreibtischen kopieren, Netzwerkverbindung abhören,
unverschlüsselte Kennwörter kompromittieren, Social-Engineering nutzen
- Brute-Force-Angriff:
- Erraten des Kennworts nach dem Zufallsprinzip oder logisches Vorgehen
- Wörterbuchangriff:
- Wörterbuch mit gängigen Kennwörtern wird genutzt
- verschlüsselte Datei mit Kennwörtern wird kopiert und die verschlüsselten Werte
werden mit bereits bekannten Wörterbüchern derselben Verschlüsselung verglichen
Cyberangriffe
▪ Einschleusen von SQL-Befehlen

- Bei datenbankgestützten Webseiten
- SQL-Befehle werden in Eingabefelder eingegeben, z.B. Benutzername und
Kennwort
- Es können sensible Daten in der dahinterliegenden Datenbank mitgelesen
werden
- Die Datenbank kann manipuliert werden (Datenbanken einfügen, aktualisieren,
löschen, ändern, administrative Operationen ausführen)
- Bekannte SQL-Befehle:
- “SELECT * FROM users WHERE account = ‘“ + userProvidedAccountNumber +”’;”
- “SELECT * FROM users WHERE account = ‘’ or ‘1’ = ‘1’;”
Cyberangriffe
▪ Cross-Site-Scripting (XSS)
- Schädliches JavaScript wird in die Datenbank einer Webseite eingeschleust
- Werden meist über VBScript, ActiveX und Flash ausgeführt, meistens jedoch
JavaScript (am meisten verbreitet)
- Besonders gefährlich, wenn weitere Sicherheitslücken ausgenutzt werden
- Ziel der Schadsoftware:
- Cookies abgreifen
- Tastatureingaben protokollieren
- Screenshots erfassen
- Netzwerkinformationen auffinden und erfassen
- Fernzugriff
Cyberangriffe
▪ Abhören
- Netzwerkdatenverkehr wird abgefangen
- Kennwörter, Kreditkartennummern und vertrauliche Informationen können
mitgelesen und gespeichert werden
- Formen:
- Passives Abhören:
- Informationen werden beim Abhören der Nachrichtenübertragung abgegriffen
- Aktives Abhören:
- Angreifer täuscht fremde Identität vor und sendet Abfragen an die Sender
- wird als Sondieren, Scannen oder Manipulation bezeichnet
Cyberangriffe
▪ Geburtstagsangriffe
- Die Integrität einer Nachricht, Software oder digitalen Signatur wird überprüft
(Hashalgorithmus)
- Nachrichtenhash hat eine fest Länge, unabhängig der Länge der
Eingabenachricht
- Geburtstagsangriff bezieht sich auf Wahrscheinlichkeit, dass zwei zufällige
Nachrichten gefunden werden
- Angreifer kann denselben Nachrichtenhash berechnen und ersetzt unbemerkt
die ursprüngliche Nachricht
- Der Angriff kann nicht erkannt werden
Cyberangriffe
▪ Malware
- Schadsoftware auf den Clients
- Häufige Formen:
- Makroviren:
- Makros in Office-Dokumenten
- Dateiinfektoren:
- .exe-Dateien, der beim Öffnen einen Viruscode ausführt
- System- oder Boot-Record-Infektoren:
- Beim Start wird der Virus in den Arbeitsspeicher geladen
- Polymorphe Viren:
- Verschlüsselungs- und Entschlüsselungszyklen der Viren-Verstecke variiert, bevor sie
mutieren
- Stealth-Viren:
- Nutzen Systemfunktionen, um sich zu verstecken und kompromittieren Anti-Virensoftware
- Dropper:
- Kann eine Verbindung zum Internet aufbauen, Viren installieren und Updates für
Schadsoftware herunterladen
- Selbst kein schädlicher Code enthalten, wird deshalb oft nicht erkannt
- Logikbomben:
- wird an einem bestimmten Ereignis (z.B. Datum, Uhrzeit) ausgelöst
Gliederung

Social Engineering

Social Engineering
Definition Social Engineering
▪ Zwischenmenschliche Beeinflussung einer Person

- Vertrauen einer Person wird gewonnen
▪ Findet nicht nur im Internet statt

- Eine bekannte Masche: Enkel-Trick für Trickbetrüger
▪ Beliebt auf Online-Partnerbörsen

- Ziel: finanzielle Bereicherung
▪ Historie
- 1945 wurde der Begriff von Karl Popper erschaffen: soziologische und
psychologische Elemente zur Verbesserung gesellschaftlicher Strukturen
- Basiert auf dem Prinzip, dass Menschen wie eine Maschine optimiert werden können
- 1970er: die Theorie wird um psychologische Taschenspielertricks ergänzt
- Neues Ziel: die Menschen zu einem besseren Miteinander und einem größeren
Gesundheitsbewusstsein bewegen
Quellen: Hornetsecurity, Social Engineering, https://www.hornetsecurity.com/de/wissensdatenbank/social-engineering/ und G Data, Was ist eigentlich Social Engineering?,
https://www.gdata.de/ratgeber/was-ist-eigentlich-social-engineering
Social Engineering
Social Engineering Attacken auf Unternehmen
▪ Social Engineering wird heute als betrügerische Form der unterschwelligen

Beeinflussung eingesetzt
▪ Mitarbeiter eines Unternehmens werden gezielt beeinflusst

- Angreifer schlüpft in eine vertrauenswürdige Rolle, z.B. Handwerker, Feuerwehr,
Bankangestellter
▪ Social Engineers versuchen, Menschen zu manipulieren und sie so für die kriminellen
Zwecke zu instrumentalisieren
- Bekannter Social Engineer: Kevin Mitnick
▪ Ziel ist es, an Unternehmensinformationen zu gelangen
▪ Auch bekannt als „Human Hacking“ oder „Schwachstelle Mensch“

Social Engineering
Social Engineering – Wer ist bedroht?
▪ Überall, wo Menschen Zugang zu Geld oder interessanten / wichtigen

Informationen haben
▪ Branchenunabhängig:
- Behörden
- Konzerne
- Privatpersonen
Social Engineering
Social Engineering – Warum fallen Menschen auf Social Engineers herein?
▪ Wichtig: Jeder kann Opfer eines Social Engineers werden!
▪ Psychologen Myles Jordan und Heather Goudey haben 12 Faktoren identifiziert, z.B.:
- Unerfahrenheit
- Neugier
- Gier
- Wunsch nach Liebe
- Autorität
- Vertrauen
- Eile
- Druck
▪ Background-Info: Emotionen und Persönlichkeitsmerkmale werden berührt
- Wenn der Mensch bei seinen Emotionen gepackt wird und der Verstand keinen
Anteil an der Entscheidung hat
Social Engineering
Social Engineering – häufige Methoden
▪ Phishing
- Installation Schadsoftware oder sensible Informationen abgreifen
- Via E-Mail, gefälschte Webseiten, Chat-Programme, Telefonanrufe, Social
Media
▪ Baiting
- Mit Schadsoftware infizierte Hardware, z.B. USB-Stick mit Installation eines
Trojanischen Pferdes
▪ Pretexting
- Sinnvoll erscheinendes Szenario wird erschaffen, um an die persönlichen Daten
/ IT-Systeme des Opfers zu gelangen
▪ Tailgaiting
- Zutritt verschaffen durch sinnvolle Story (physischer Zutritt zu Gebäuden)
- Ausleihen von Handy oder Computer, um Schadsoftware zu installieren oder
Daten kompromittieren
Quellen: Kaspersky, Was ist Social Engineering, https://www.kaspersky.de/resource-center/definitions/social-engineering
Social Engineering
Social Engineering – häufige Methoden
▪ Quid pro Quo

- Vermeintliche Gegenleistung oder Entschädigung dient als Lockmittel, z.B. bei
Teilnahme an einer Umfrage gibt es ein kleines Geschenk
- Tipp: Wenn etwas zu schön ist, um wahr zu sein, ist Misstrauen geboten!
▪ Spear-Phishing
- Gezielter Phishing-Angriff auf eine bestimmte Person
- Vertrauen wurde vorab in Sozialen Medien oder bei Online-Aktivitäten
gewonnen
- Durch Personalisierung ist die Erfolgsquote sehr hoch
▪ Watering-Hole
- Konzentration auf häufig besuchte Webseite, diese mit Schadsoftware infiziert
wird, z.B. Menükarte eines Restaurants
- Bei Öffnen wird die Schadsoftware installiert
Quellen: Kaspersky, Was ist Social Engineering, https://www.kaspersky.de/resource-center/definitions/social-engineering
Social Engineering
Social Engineering – Schutz für Unternehmen
▪ Social Media
- Prüfen, mit wem Inhalte geteilt werden
▪ E-Mail
- E-Mail-Adresse korrekt?
- Buchstaben vertauscht?
- Kleines L mit großem I vertauscht?
▪ Telefon
- Kennen Sie den Anrufer nicht, keine sensiblen Daten weitergeben / besprechen
▪ Links
- Links zu Login-Seiten sind mit Vorsicht zu öffnen! Besser direkte Favoriten nutzen
▪ Gewinne
- Niemand hat etwas zu verschenken!
- Nicht auf Gewinn-SMS, -E-Mails oder –Anrufe reagieren
▪ Sicherheitssoftware
- Spam und Phishing-Schutz etablieren
Quellen: G Data, Was ist eigentlich Social Engineering?, https://www.gdata.de/ratgeber/was-ist-eigentlich-social-engineering und Kaspersky, Was ist Social Engineering,
https://www.kaspersky.de/resource-center/definitions/social-engineering
Social Engineering
Social Engineering – Schutz für Unternehmen
▪ Starke, komplexe Passwörter verwenden

- Können schwerer erraten werden
- Passwortmanager einsetzen
▪ Mehrfaktor nutzen
- Kombination aus Wissen, Besitz und Biometrie
▪ Gesundes Misstrauen gegenüber Fremden
- Insbesondere, wenn Fremde direkt nach sensiblen Daten fragen
▪ Schulung der Mitarbeiter
- Auffälligkeiten jeglicher Art sollten / müssen gemeldet werden
▪ Sicherheitsupdates
- Alle IT-Systeme und Anwendungen unverzüglich aktualisieren
Quellen: G Data, Was ist eigentlich Social Engineering?, https://www.gdata.de/ratgeber/was-ist-eigentlich-social-engineering und Kaspersky, Was ist Social Engineering,
https://www.kaspersky.de/resource-center/definitions/social-engineering
Gliederung
1. Einführung Maßnahmengruppen
2. Informationssicherheitsmanagement Verschlüsselung
3. Risikomanagement in der Authentifizierung

Erstellung und Umsetzung von Security
4. Gefahrenidentifikation und Schädlinge Policies
5. Maßnahmen zur Erhöhung der Notfall- und Katastrophenmanagement
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
Arten von Maßnahmengruppen
▪ Technisch-Organisatorische Maßnahmen (TOMs)

- Technisch-organisatorische Maßnahmen sind vielfältig
▪ Geeignete Maßnahmen können aufgrund von Prozessen und der
Unternehmenskultur besser oder nicht so gut umgesetzt werden
▪ Eine Vielzahl von geeigneten Maßnahmen werden nach einer Risikobetrachtung
umgesetzt, um gezielt Risiken entgegenzuwirken
▪ Technische Maßnahmen
▪ Organisatorische Maßnahmen
▪ Personelle Maßnahmen
▪ Physische Maßnahmen
Maßnahmengruppen
▪ Technische Maßnahmen
- Maßnahmen aus Hard- und Software, z.B.
- Benutzeraccounts
- Passwörter
- Protokolldateien
- Firewall-Einstellungen
- Smart-Token
- Zertifizierte Hardware
- …
Maßnahmengruppen
▪ Organisatorische Maßnahmen
- Maßnahmen, die durch Prozesse oder Handlungsanweisungen umgesetzt
werden, z.B.
- Richtlinien, Policies, Guidelines
- Vier-Augen-Prinzip
- Protokollauswertungen
- Intervalle für Stichproben
- Besucheranmeldung und –begleitung
- …
Maßnahmengruppen
▪ Personelle Maßnahmen
- Maßnahmen, die das Sicherheitsbewusstsein der Mitarbeiter:innen erhöhen und
die Vorgaben umsetzen, z.B.
- Schulungskampagnen
- Prozesse für Mitarbeiter:innen, die das Unternehmen verlassen
- Prozesse für Externe
- Whistleblower-Systeme
- Permanente Aufklärung (z.B. über Social Engineering)
- Prozesse für mobiles Arbeiten
- …
Maßnahmengruppen
▪ Physische Maßnahmen
- Maßnahmen für den Schutz von Gebäuden, Produkten und anderen
Unternehmenssachwerten, z.B.
- Zutrittskontrolle
- Alarmanlage (u.a. Brandmeldeanlagen, Gas-Löschanlagen)
- Bauliche Maßnahmen (u.a. Umzäunung des Gelände)
- Sicherung von Türen und Fenstern
- …
Maßnahmengruppen
Generische Maßnahmen-Phasen
▪ Präventionsphase
- Maßnahmen werden eingesetzt, um unerwünschte
Ereignisse oder Zustände abzuwenden
- Risikomanagement
- Lagebeurteilung
▪ Reaktionsphase
- Maßnahmen werden eingesetzt, um Fehler,
Fehlfunktionen oder Sicherheitsvorfälle zu
entdecken
- Incident-Management (technisch)
- Krisen-Management (organisatorisch)
▪ Stabilisationsphase
- Maßnahmen werden eingesetzt, um während eines
unerwünschten Ereignisses / Zustands weiteren
Schaden abzuwehren bzw. den Schaden zu
reduzieren
- Wiederherstellung der IT-Systeme
- Vermeidung weiterer Angriffe
Maßnahmengruppen
Kombination von Sicherheitsmaßnahmen
▪ Technisch-präventiv
▪ Technisch-detektiv
▪ Technisch-reaktiv
▪ Organisatorisch-präventiv
▪ Organisatorisch-detektiv
▪ Organisatorisch-reaktiv
▪ Alle Sicherheitsmaßnahmen sollten individuell für jedes Unternehmen erarbeitet

werden. Best Practice-Ansätze können eine Basis dafür bieten.
▪ Alle Sicherheitsmaßnahmen sollten kategorisiert werden, so dass diese sinnvoll
aufeinander aufgebaut und umgesetzt werden können:
- z.B. Patchmanagement
- Präventiv: Sicherheitslücken werden zeitnah geschlossen
- Detektiv: Eine Sicherheitslücke wird ausgenutzt
- Reaktiv: Ein nicht installiertes Patch kann den Schaden begrenzen
Maßnahmengruppen
Handlungsfelder und Maßnahmen
Prävention, Reaktion und Kontinuität
Vor dem Angriff Während des Angriffs Nach dem Angriff

• Awareness und Training von • Kontinuitätsmanagement (schnelle
Management und Mitarbeiter:innen Wiederherstellung des
• Sofortige Maßnahmen und
Regelbetriebs)
Angriffsanalyse (organisatorische
• Organisatorische und technische
und technische Maßnahmen)
Maßnahmen zur Verbesserung der • Lessons Learned (Vermeidung des
IT- und Informationssicherheit spezifischen Angriffs und weiterer
• Krisenmanagement
Angriffsklassen)
(Schadensbegrenzung etc.)
• Lagebeurteilung und
Bedrohungsanalysen • Nachhaltige Weiterentwicklung der
• Kooperation (gesetzliche vorgaben,
Sicherheitsarchitektur zur
Meldepflicht, polizeiliche und
• Verwundbarkeitsanalysen der Vermeidung weiterer Angriffe
weitere staatliche Schnittstellen)
kritischen Geschäftsprozesse und (organisatorische und technische
IT-Systeme Maßnahmen)
Maßnahmengruppen
Technische Maßnahmen
▪ Verbindungsverschlüsselung
▪ Auf Folgendes achten

- Eine URL im Format https://www.server.de (Secure http) und das entsprechende
Schloss-Symbol
- Die Farbe der Browser-Adresszeile (grün – blau – rot)
▪ Hintergrund
- Für eine SSL-Verbindung schickt der Server dem Client ein Zertifikat, das von
einer anerkannten Zertifizierungsstelle digital signiert wurde.
- Anhand einer Liste von vertrauenswürdigen Herausgeberzertifikaten kann eine
App sicherstellen, mit dem richtigen Server zu sprechen und nicht mit einem
Mittelsmann.
➔ Prüfung des Zertifikats!
Maßnahmengruppen
▪ E-Mail-Verschlüsselung
„Den drohenden Verlust der Privatsphäre dürfen wir nicht kommentar- und tatenlos
hinnehmen, zumal wir wissen, dass Verschlüsselung ein probates Mittel zum Schutz
vor Ausspähung darstellt. Vielmehr sollten Informatikerinnen und Informatiker es sich
zur Aufgabe machen, E-Mail-Verschlüsselung so benutzer-freundlich zu gestalten,
dass das Eintüten einer E-Mail in einen digitalen Briefumschlag in nicht allzu ferner
Zukunft zu einer Selbstverständlichkeit wird.“
[Simone Rehm, Vizepräsidentin GI]
▪ Neben dem Inhalt einer E-Mail sollte auch die Verbindung zum E-Mail-Server
verschlüsselt werden
▪ Eine unverschlüsselte Verbindung ermöglicht Dritten (z.B. Rechnern im selben
WLAN) das Mitlesen!
▪ E-Mail-Server/Programme sind so zu konfigurieren, dass verschlüsselte
Verbindungen (STARTTLS oder SSL) genutzt werden!
Maßnahmengruppen
▪ E-Mail-Verschlüsselung – Pretty Good Privacy (PGP)

... eine ursprünglich von Phil Zimmermann entwickelte Software für die Signierung und
Verschlüsselung beliebiger Dokumente auf der Basis öffentlicher Schlüssel.
▪ Varianten:
- Standard OpenPGP (Seit 1998) für die E-Mail-Verschlüsselung
- GnuPG als verbreitete Implementierung
- OpenPGP wird von gängigen Mail-Programmen in der Regel nicht unterstützt; es
können allerdings entsprechende Zusätze (Plug-Ins) installiert werden.
- Thunderbird: Enigmail
- Windows Outlook: Gpg4win, unterstützt zusätzlich S/MIME
- Apple Mac OSX: GPGMail
▪ Anforderungen
- Sicherung der korrekten Zuordnung zwischen einem öffentlichem Schlüssel und
seinem Inhaber erfordert die aktive Beteiligung der Benutzer
- ... ist umständlich und fehleranfällig aber
- hat aber gegenüber S/MIME den Vorteil, dass man sich nicht auf die
Vertrauenswürdigkeit von Zertifizierungsstellen verlassen muss.
Maßnahmengruppen
▪ E-Mail-Verschlüsselung – Secure / Multipurpose Internet Mail Extensions

(S/MIME)
▪ Seit 1996 als internationaler Standard für sichere E- Mail

- Alle gängigen Mail-Programme unterstützen diesen Standard.
- Behandlung von Signaturen und Verschlüsselung erfolgt vollautomatisch.
- Die sichere Zuordnung zwischen einem öffentlichen Schlüssel und seinem
Inhaber wird durch ein Zertifikat gemäß X.509-Standard garantiert.
- Das Zertifikat enthält den öffentlichen Schlüssel; es muss nicht geheim
gehalten werden, sondern sollte im Gegenteil möglichst weit verbreitet
werden, damit der Inhaber von überall her verschlüsselte E-Mail erhalten
kann.
OpenPGP/GPG und S/MIME sind nicht miteinander kompatibel, können aber

gemeinsam im gleichen e-Mail-Programm genutzt werden!
Quelle: vgl. http://www.gi.de/e-mail-sicherheit]

Maßnahmengruppen
▪ Virtual Private Network (VPN)

- Datenverkehr zwischen zwei Teilnehmer im VPN wird verschlüsselt
- Während der Übermittlung sind die Daten für Dritte unlesbar
- Tunnel
- Sichere Verbindungen innerhalb eines öffentlichen IP-Netzes
- Offen nur am Anfang und am Ende, dazwischen perfekt abgeschirmt
- VPN-Tunnel über Festverbindungen, Wählverbindung und IP-Netzwerk
- Authentifizierung der Teilnehmer
- Erkennen und Ablehnen „nachgespielter“ Pakete (Antireplay)
- Gängige Protokolle und Implementierungen
- IPSec
- SSL/TLS
Maßnahmengruppen
▪ Umgang mit dem Internet

- Basisschutz
- Virenscanner
- Personal Firewall
- Datenübertragung
- Spurenarmes Surfen, Unterbinden von Tracking
- Sicherer Web-Zugriff per https
- Sensible Daten nur verschlüsselt übertragen
- Sicheres Instant-Messaging
- Verschlüsseltes WLAN
- Nutzung VPN in öffentlichen Netzwerken (z.B. Bahn, Flughafen, Hotel)
- Datensparsame Suchmaschinen
- Duckduckgo.com
- Deaktivierung Google Analytics
- Browser-Addons
Maßnahmengruppen
▪ Denial-of-Service- (DoS) & Distributed-Denial-of-Service-Angriffe (DDoS)

- Häufigste Formen und Maßnahmen:
- TCP-SYN-Flooding:
- Server hinter einer Firewall platzieren
- keine SYN-Pakete durchlassen
- Verbindungswarteschlange vergrößern
- Wert für Timeout offener Verbindungen verringern
- Teardrop-Angriff:
- SMBv2 deaktivieren
- Ports 139 und 445 deaktivieren
- Smurf-Angriff:
- auf Routern IP-Broadcasting deaktivieren
- Endsysteme so konfigurieren, dass sie nicht auf ICMP-Pakete von Broadcast-Adressen
reagieren
- Ping of Death:
- Firewall konfigurieren, dass fragmentierte IP-Pakete auf ihre maximal zulässige Größe
geprüft werden
- Botnets:
- RFC3704-Filterung blockiert Datenverkehr von gefälschten Adressen
- Black-Hole-Filterung, damit unerwünschter Datenverkehr verworfen wird
- wird ein DDoS-Angriff erkannt soll BGB-Host (Border Gateway Protocol) Routing-Updates
an den ISP-Router (Internet Service Provider) senden, um den Datenverkehr beim nächsten
Hop an eine null0-Schnittstelle weiterzuleiten
Maßnahmengruppen
▪ Man-in-the-Middle-Angriffe(MitM)
- Häufigste Formen und Maßnahmen:
- Session-Hijacking:
- HTTPS und HTTPOnly nutzen
- Updates installieren, um Schwachstellen zu reduzieren
- Session Keys nutzen
- IP-Spoofing:
- Paketfilterung für Router / Sicherheits-Gateway aktivieren
- Verzicht auf hostbasierte Authentifizierungsverfahren
- Replay-Angriff:
- Einsatz von Zeitstempeln oder eines Nonce (Zufallszahl)
- Generell:
- Verschlüsselung und digitale Zertifikate einsetzen
Maßnahmengruppen
▪ Drive-by-Downloads
- Browser und Betriebssystem regelmäßig aktualisieren
- Unsichere Webseiten meiden (HTTP, FTP, usw.)
- Deinstallation nicht benötigter Programme und Anwendungen
- Anzahl der Plug-Ins reduzieren
Maßnahmengruppen
▪ Kennwortangriffe
- Richtlinie zur Kontosperrung implementieren ab einer bestimmten Anzahl
ungültiger Kennworteingaben
- Komplexe / lange Passwörter verwenden
Maßnahmengruppen
▪ Einschleusen von SQL-Befehlen

- Prinzip der geringsten Rechte für die Datenbank umsetzen
- Kein dynamisches SQL verwenden
- Whitelist auf Anwendungsebene etablieren
Maßnahmengruppen
▪ Cross-Site-Scripting (XSS)
- Von Benutzern eingegebene HTTP-Anforderungen bereinigen, bevor Daten
zurückgegeben werden
- Daten überprüfen, filtern oder mit Escapezeichen versehen, bevor Werte an
User zurückgegeben werden
- Sonderzeichen (?, &, /, <, > und Leerzeichen) in HTML- oder URL-codierte
Zeichen umsetzen
- Deaktivierung von Skripts auf dem Client umsetzen
Maßnahmengruppen
▪ Abhören
- Verschlüsselung von Daten
Maßnahmengruppen
▪ Kommunikationsebenen
- WIE kommuniziere ich WAS und auf WELCHEM Kanal?
- Identifizierung, Pseudonymisierung, Anonymisierung
- Maßnahmen
- Starke, aufgeklärte Kontrolle
- Information und Sensibilisierung bereits in Schulen
- Überprüfbare Technologie, die nicht gegen den Anwender verwendet wird
- Unter Beteiligung aller: eine entsprechende Streitkultur entwickeln!
Maßnahmengruppen
Personelle Maßnahmen
▪ Zusatz zum Arbeitsvertrag

- Verpflichtung auf die Einhaltung relevanter Gesetze
- Teilnahme an der Schulung vor Programmnutzung
- Regelungen zu privater Hard- und Software
- Installation und Konfiguration von Anwendungen
- Regelung für sichere Passwortgestaltung
- Umgang mit vertraulichen Informationen
- Hinweise zur Nutzung von Antivirenprogrammen
- Hinweise zur Datensicherung
- Verhalten bei Sicherheitsvorfällen
Maßnahmengruppen
Personelle Maßnahmen
▪ Phishing- und Spear-Phishing-Angriffe

- Generell:
- Mitarbeiter:innen schulen und die Sensibilität erhöhen
- Zentrale Kontaktstelle im Unternehmen einrichten, um vertrauenswürdig Auffälligkeiten
melden zu können
- Kritisches Denken fördern
- Analyse der Header von E-Mails
- Verdächte E-Mails in einer Sandbox öffnen
Gliederung

Verschlüsselung
Begriffe und Abgrenzung
▪ Kryptologie
- Wissenschaft der Ver- und Entschlüsselung von Informationen
▪ Kryptographie
- Verschlüsselung von Nachrichten / Informationen
▪ Kryptoanalyse
- Entschlüsselung von verschlüsselten Nachrichten / Informationen
▪ Abgrenzung
- IT-Sicherheit ist nicht gleich Kryptographie
- Nicht jede Maßnahme, die auf Kryptographie basiert, führt zu „Sicherheit“
- Kryptographische Maßnahmen sind ein wichtiger Baustein in einer sicheren
Umgebung
Verschlüsselung
Grundidee Verschlüsselung
▪ Schutzziel Vertraulichkeit einhalten
Grundprinzip
▪ Text, der verschlüsselt wurde, kann nicht mehr „gelesen“ werden
▪ Nur autorisierte Subjekte mit Kenntnis der Entschlüsselung kann den Textinhalt
lesen
Entschlüsselungsfunktion
▪ Nur autorisierte Personen können ver- und entschlüsseln
▪ Wird die Vertraulichkeit des Verfahrens gebrochen, so ist es nicht mehr geheim
und ein neues Verfahren muss entworfen werden.
Verschlüsselung
Kerckhoff‘sches Prinzip
Die Spezifikation eines Kryptosystems muss öffentlich sein. Die einzige Information,
die ein Angreifer nicht kennt, ist der geheime Schlüssel. D. h. die Sicherheit des
Kryptosystems beruht einzig auf dem geheimen Schlüssel.
- Auguste Kerckhoff, 1883, Artikel „La Cryptographie militaire“
Grundprinzip
▪ Ist bis heute ein anerkannter Standard
▪ Ver- und Entschlüsselungsmethode wird veröffentlicht
▪ Ein zusätzlicher Parameter fließt in die Berechnung mit ein: Der Schlüssel (key)
▪ Die Geheimhaltung beruht nun auf der Geheimhaltung des Schlüssels
Verschlüsselung
Symmetrische Kryptographie
Der Sender und der Empfänger besitzen den gleichen Schlüssel.
Grundprinzip
▪ Vertraulichkeit der Nachricht / Information hängt von der Vertraulichkeit des
Schlüssels (Key) ab.
▪ Ver- und Entschlüsselungsmethoden sind jedem bekannt.
Problem
▪ Die Handhabung des geheimen Schlüssels muss „sicher“ sein.
▪ Sender und Empfänger müssen vor Versenden / Empfang im Besitz des Keys sein
▪ Sind Sender und Empfänger räumlich getrennt, kann der Key nicht direkt
ausgetauscht werden
▪ Der Key muss während Benutzung und Nicht-Benutzung geschützt sein.
▪ Wie gestaltet sich die Handhabung des Key bei mehreren Sendern / Empfängern?
➔ Verschlüsselung ist nicht automatisch sicher.
Verschlüsselung
Symmetrische Kryptographie
Quelle: [Laudon, 2006, S. 670]
Verschlüsselung
Asymmetrische Kryptographie
Mit dem öffentlichen Schlüssel kann jeder Sender verschlüsseln, aber nur ein
Empfänger entschlüsseln.
Grundprinzip
▪ Das Schlüsselpaar wird vom Empfänger erzeugt.
▪ Der öffentlichen Schlüssel wird publiziert. Potentielle Sender dürfen diesen nutzen.
▪ Nur mit dem privaten Schlüssel kann die Nachricht / Information entschlüsselt
werden.
Randbedingungen
▪ Der öffentliche und private Schlüssel gehören zusammen.
▪ Es gibt keine Methode zur Berechnung des jeweils anderen Schlüssels.
▪ Der öffentliche Schlüssel erfordert keinen zusätzlichen Schutz.
▪ Für Gruppen kann der private Schlüssel geeignet publiziert werden
Verschlüsselung
Asymmetrische Kryptographie
Quelle: [Laudon, 2006, S. 671]
Verschlüsselung
Hash / Einwegfunktionen (One-Way-Hash-Function)

Haben in der Kryptographie insbesondere die Integritätsprüfung von Nachrichten /
Informationen als Einsatzfeld.
Praktischer Einsatz mit Fingerprint:

▪ Alice bildet A = f(d).
▪ Alice sendet d zu Bob.
▪ Bob bildet B = f(d).
▪ Alice und Bob vergleichen A und B.
▪ Falls A und B gleich sind, ist die übertragene Datei nicht manipuliert.
Verschlüsselung
Hash / Einwegfunktionen (One-Way-Hash-Function)

Ermittlung einer repräsentativen, irreversiblen Prüfsumme (Digest)
y = f(x)
▪ f - gegebene Funktion, x - gegebener Parameter (z. B. Text)
▪ bei bekanntem f(x) praktisch unmöglich, x zu bestimmen
Verfahren
MD5: Message Digest (128 Bit), nicht mehr als sicher einzustufen!
SHA: Secure Hash Algorithm (160 Bit, 256 Bit, ...)
Verwendung bei:
Digitalen Signaturen
Speicherung von Kennwörtern
Prüfsummen bei / für Downloads
Integritätsprüfungen (z. B. bei Betriebssystemen)
Verschlüsselung
Digitale Signaturen
Die Zuordnung zwischen einem öffentlichen Schlüssel und seinem Inhaber muss
fälschungssicher (= Integrität) sein; dies wird durch die Verwendung einer digitalen
Signatur gewährleistet.
Zertifikate
Ein Zertifikat ist ein digital unterschriebenes – und damit nicht fälschbares –
Dokument, das im wesentlichen zwei Informationen enthält: den öffentlichen
Schlüssel und eine Identifizierung des Inhabers (im einfachsten Fall seine E-Mail-
Adresse).
Die das Zertifikat ausstellende Zertifizierungsstelle (Certification Authority, CA, auch
"Beglaubigungsinstanz") muss natürlich vertrauenswürdig sein; sie beglaubigt mit
ihrer digitalen Unterschrift die korrekte Zuordnung zwischen Schlüssel und E-Mail-
Adresse (vergleichbar einem Notar, der ein Dokument beglaubigt).
Verschlüsselung
Digitale Signaturen
Quelle: [Hansen et al., 2005]

Verschlüsselung
Hybridverschlüsselung – Kombination aus symmetrischer und asymmetrischer

Verschlüsselung
1. Generierung eines zufälligen symmetrischen Sitzungs-Schlüssels (Session Key)
2. Der Session Key wird - geschützt mit dem asymmetrischen Schlüssel - übertragen
3. Die Nachricht wird - geschützt mit dem Session Key - übertragen
Problem : Man-in-the-middle Angriffe:

Gehört der öffentliche Schlüssel (Public Key) des Empfänger auch wirklich dem
Empfänger?
Lösung: Digitale Zertifikate

Eine zentrale Instanz (z.B. VeriSign, Deutsche Bank PKI), der alle Benutzer trauen,
garantiert die Authentizität des Zertifikates und des darin enthaltenen öffentlichen
Schlüssels
Hybridverschlüsselung auf Basis von digitalen Zertifikaten ist die Grundlage für
sichere elektronische Kommunikation, z.B.:
▪ Internet Shopping und Online Banking
▪ Sichere Email
Verschlüsselung
Diffie-Hellmann Schlüsseltausch
1. Schritt: Bestimmung der öffentlichen Schlüssel

Die Personen wählen zwei öffentliche Zahlen (Public Keys; Primzahl/Primitivwurzel)
Bsp. p = 11 und g = 7.
2. Schritt: Bestimmung der privaten Schlüssel

Person A wählt eine Zahl a<p (Private Key)
Bsp. a = 3
3. Schritt: Bilden der Unterschrift A

Berechnung des Ergebnisses A = ga mod p
A = 73 mod 11 A = 2
4. Schritt: Datenübermittlung
Das Ergebnis A = 2 wird dem Empfänger (Person B) mitgeteilt.
5. Schritt:
Auch die Person B wählt eine Zahl b<p, berechnet sie und teilt das Ergebnis dem Sender (Person A) mit.
Bsp.: b = 6, B = 76 mod 11, Ergebnis: B = 4
6. Schritt: Prüfen der Unterschriften

Person A berechnet mit der bekannten Formel und dem Ergebnis B den Schlüssel K: 43 mod 11 = 9.
Die Person B berechnet in diesem Fall: Schlüssel K = 26 mod 11 = 9
Schlüssel kann für die Kommunikation verwendet werden
Verschlüsselung
Diffie-Hellmann Schlüsseltausch
Quelle: [DaMutz, CC-by-sa 4.0]
Verschlüsselung
Perfect Forward Secrecy (PFS)

Verhindert, dass eine in der Vergangenheit geführte, bereits abgeschlossene aber
verschlüsselt aufgezeichnete Kommunikation durch nachträgliches Bekanntwerden
des geheimen Schlüssels kompromittiert wird.
▪ Sollte ein Angreifer Kenntnis über des Langzeitschlüssels erlangen, kann er keine
Rückschlüsse auf die Sitzungsschlüssel ziehen
▪ Bei TLS gehört der Langzeitschlüssel zu einem Signaturverfahren und wird
ausschließlich zum Signieren der Kurzzeitschlüssel verwendet
Methode: Diffie-Hellman Schlüsselaustausch

▪ Beide Kommunikationspartner einigen sich durch den Austausch mehrerer
Nachrichten auf einen gemeinsamen, temporären Sitzungsschlüssel
▪ Nach dem Ende der Sitzung zerstören die beiden Kommunikationspartner ihre
Kopie dieses Schlüssels, der damit nicht mehr existiert.
Verschlüsselung
Message Authentication Code (MAC)

Statt digitaler Signaturen unter jeder Nachricht können auch sogenannte Message
Authentication Codes (MACs) zum Einsatz kommen.
▪ Zunächst vereinbaren Sender und Empfänger einen geheimen Schlüssel.
▪ Der Sender berechnet für diesen Schlüssel und seine Nachricht einen MAC und
sendet dann die Nachricht sowie den MAC an den Empfänger.
▪ Dieser berechnet den MAC zu der empfangenen Nachricht mit dem Schlüssel und
vergleicht den berechneten MAC mit dem empfangenen.
▪ Die Übereinstimmung beider Werte interpretiert der Empfänger als erfolgreichen
Integritätstest: Die Nachricht wurde von einer Partei abgeschickt, die den geheimen
Schlüssel kennt, und sie wurde während der Übertragung nicht verändert.
MACs schützen nicht vor Replay-Angriffen. Dazu muss die Nachricht selbst Daten
enthalten, die sicherstellen, dass Wiederholungen entdeckt werden können (z.B.
Zeitstempel, Sequenznummer oder durch die Verwendung von Einmal-MACs).
Quelle: Sevenofdoriath basierend auf Diagramm MAC.svg des Users Twisp, CC-by-sa 3.0/de
Verschlüsselung
Message Authentication Code (MAC)
Quelle: Sevenofdoriath basierend auf Diagramm MAC.svg des Users Twisp, CC-by-sa 3.0/de
Gliederung

Authentifizierung
Begriffe
▪ Authentisierung
- Nachweis einer Person
- Eine Person legt Nachweise vor, die ihre Identität bestätigen
- Authentisierungsmethoden:
- Geheime Informationen (z.B. Passwort)
- Identifizierungsgegenstand (z.B. Personalausweis)
- Identifizierungsobjekt (z.B. biometrische Merkmale)
▪ Authentifizierung
- Prüfung der behaupteten Authentisierung
- Ein Prüfer überprüft die Angaben auf Echtheit
- Authentisierung erfolgt vor der Authentifizierung
▪ Autorisierung
- Einräumung von speziellen Rechten
Quelle: Dr. Datenschutz, Authentisierung, Authentifizierung und Autorisierung, https://www.dr-datenschutz.de/authentisierung-authentifizierung-und-autorisierung/
Authentifizierung
Begriffe anhand eines IT-Systems
▪ Authentisierung
- Eingabe von Login-Daten in einem IT-System (Behauptung einer Identität)
▪ Authentifizierung
- Überprüfung der Behauptung durch das IT-System inkl. Ergebnis der Prüfung
- Verifizierung der Behauptung der Authentisierung
▪ Autorisierung
- Prüfung der Rechte und Konsequenz
- Einräumung oder Verweigerung von Rechten
Quelle: Dr. Datenschutz, Authentisierung, Authentifizierung und Autorisierung, https://www.dr-datenschutz.de/authentisierung-authentifizierung-und-autorisierung/
Authentifizierung
Zwei-Faktor-Authentisierung
▪ Gutes Passwort wird verwendet

- Passwort wird verifiziert
▪ Weiteres Verfahren muss genutzt werden
- Verhindert, dass unbefugte Dritte Zugang erhalten, weil sie in den Besitz eines
Passwortes gelangt sind
▪ Zweiter Faktor wird eingesetzt
- Bestätigungscode wird an ein persönliches Endgerät geschickt (z.B.
Smartphone)
- Fingerabdruck auf einen Sensor
- (USB-)Token
- Chipkarte
- …
Quelle: BSI, Zwei-Faktor-Authentisierung, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-

Sicherheitsempfehlungen/Accountschutz/Zwei-Faktor-Authentisierung/zwei-faktor-authentisierung_node.html
Authentifizierung
▪ Wichtig:
- Faktoren müssen aus verschiedenen Kategorien stammen:
- Wissen (z.B. Passwort, PIN)
- Besitz (z.B. Chipkarte, TAN-Generator)
- Biometrie (z.B. Fingerabdruck)

Authentifizierung
▪ Gängige 2FA:
- TAN/OTP-Systeme
- Einmalkennwörter, die als zweiter Faktor übermittelt werden
- Werden auf TAN-Generatoren (Hardware) oder Authenticator Apps (Software) generiert
- Sicherer: TAN-Generatoren, die Daten aus der Transaktion einbinden (z.B. bei eTAN,
chipTAN)
- mTAN ist möglich: Übermittlung der TAN via SMS mit zusätzlicher Transaktionsinformation;
ACHTUNG: sollte nicht mit demselben Gerät verwendet werden, mit die Transaktion
ausgeführt wird (keine ausreichende Trennung der Faktoren)
- Kryptographische Token
- Speichert privaten kryptographischen Schlüssel
- Softwarezertifikate wird gespeichert (z.B. bei ELSTER)
- Sicherer: Schlüssel in Hardware auf Chipkarte (HBCI, Signaturkarten) oder speziellem USB-
Stick / NFC-Token (FIDO, U2F)
- Biometrische Systeme
- Einzigartiges, körperliches Merkmal wird erfasst (z.B. Fingerabdruck, Gesicht, Retina)
- Lebenderkennung sollte vorhanden sein

Authentifizierung
▪ Einsatz von 2FA
- Online-Banking
- Anmeldung mit Passwort
- Bestätigungen von Transaktionen mit TAN (z.B. mTAN, pushTAN) oder kartenbasierten
Systemen (z.B. chipTAN, HBCI)
- Debit-/Kreditkartenzahlung
- Chip auf der Karten (Besitz)
- PIN wird zur Legitimation gebraucht (Wissen)
- Online-Ausweisfunktion Personalausweis
- Authentisierung zwischen Ausweis und Dienstanbieter findet statt (Ende-zu-Ende
Verschlüsselung)
- PIN zur Freigabe
- Cloud-/Mail-Anbieter, Social Media Plattformen
- Login mit Passwort und
- mTAN, OTP aus einer Authenticator-App
- Steuererklärung
- Passwortgeschütztes Softwarezertifikat
- Online-Ausweisfunktion des Personalausweises
Authentifizierung
▪ Empfehlungen und Risiken gem. BSI
- Empfehlungen
- Zwei-Faktor-Authentisierung anwenden, sobald ein Online-Dienst dies ermöglicht
- Zwei-Faktor-Authentisierung ist meistens standardmäßig deaktiviert
- Sollte ein Passwort bekannt werden, können sensible Daten weiterhin geschützt
werden
- Nachteile
- Zwei-Faktor-Authentisierung verlängert den Anmeldevorgang
- Sollte der besitzbasierte Faktor nicht mehr vorhanden sein (Verlust, Zerstörung), kann
der Zugang nicht mehr gewährleistet werden oder steht nur noch eingeschränkt zur
Verfügung

Gliederung

Erstellung und Umsetzung von Security Policies
IT-Sicherheitsleitlinie
Verantwortung der Leitung
Geltungsbereich
Inhalt
Stellenwert der IT-Sicherheit und die Bedeutung der IT für die Produktivität
Zusammenhang zwischen den Sicherheitszielen und den Geschäftszielen
Sicherheitsziele und Rahmenbedingungen der Sicherheitsstrategie im vorliegenden IT-System
Verbindlichkeit der Sicherheitsleitlinie für das Unternehmen
Beschreibung der zur Umsetzung etablierten Organisationsstruktur
Optional
▪ Aufzählung relevanter Gefährdungen
▪ Auflistung einzuhaltender gesetzlicher vorgaben
Einsetzen einer Entwicklungsgruppe
Bekanntgabe der IT-Sicherheitsleitlinie
Aktualisierung
Richtlinie zur IT-Nutzung

▪ Umgang mit vertraulichen Informationen
▪ Relevante Gesetze und Vorgaben
▪ Kurzbeschreibung relevanter Rollen
▪ Schulung des Personals
▪ Pflicht zur Einrichtung von Vertretungsregelungen
▪ Verwaltungsanforderungen an die IT (Beschaffung, Betrieb, Wartung, Entsorgung)
▪ Grundlegende Sicherheitsmaßnahmen
▪ Regelung spezifischer IT-Dienste (Datenübermittlung, Internetnutzung)
▪ Organisatorische Regelungen zu personen- und funktionsbezogenen E-Mail-Adressen sowie
Vertretungsregelungen
▪ Anforderungen an eine Firewall
▪ Erlaubte und nicht erlaubte Dienste und Protokolle
▪ Grundlegende Einstellung von Browser und E-Mail-Client
▪ Verhaltensregeln
▪ Virenschutzhinweis
▪ Übertragen und Herunterladen von Dateien
Festlegung von Sicherheitsmaßnahmen

▪ Schulungen
▪ Viren-Schutzprogramm
▪ e-Mail zentral auf dem File-Server prüfen
▪ Aktiven Inhalt beim Browsen im Internet verbieten
▪ Download von Programmen nur durch berechtigte Personen aus
vertrauenswürdigen Quellen zulassen
▪ Firewall
▪ Spy- und Adware-Schutz
▪ Schutz vor Makroviren
▪ BIOS-Einstellungen
▪ Verhaltensregeln zur Vorbeugung
▪ Verhaltensregeln bei Virenbefall
▪ Glossar
Datensicherungsrichtlinie
▪ Wo werden Daten gespeichert?
▪ Welche Daten sind zu sichern?
▪ Wer ist zuständig für die Sicherung?
▪ Wie wird gesichert (Technik, Medien, Intervalle)?
▪ Wie lange werden Sicherungen aufbewahrt?
▪ Wie wird mit Notebooks (ohne ständigen Netzanschluss) umgegangen?
▪ Wie wird die Zuverlässigkeit der Datensicherung überprüft?
▪ Wie werden Daten im Schadenfall rekonstruiert?
Archivierungsrichtlinie
▪ Aufbewahrungsfristen
▪ Auswahl des Archivsystems (technische, organisatorische und rechtliche Faktoren)
▪ Gestaltung der Archivierung (Archivräume, Archivmedien, Datenformate,
Aufbewahrungsstruktur, Indizierung, Entnahme, Vernichtung)
Umgang mit sozialen Netzwerken
Nutzung kritisch betrachten

▪ „Click happy“-Verhalten
▪ Links können – auch wenn von vermeintlichen Freunden stammend – die Quelle von Drive-by
Downloads und Zero-Day Exploits sein
▪ Bereitstellung von Fotos (auch unter dem Aspekt Gesichtserkennung und Social Engineering)
Empfehlungen
▪ „Sichere“ Profile verwenden
▪ Lieber wenige gute und relevante als viele unbekannte „Freunde“ und Geschäftskontakte
▪ Sparsam mit den eigenen Daten haushalten, insbesondere mit Angaben zu Kindern, Geburtstagen,
Familie
▪ Prüfung der Anfragen und Einladungen
▪ Grenze zwischen persönlichen/privaten und geschäftlichen Daten beachten
▪ Schützen der eigenen Identität!
Registrieren bei den entsprechenden Plattformen
▪ Management der Online-Reputation
Was niemand wissen soll, darf man auch nicht preisgeben!
Sicherheit für Notebooks, Tablets, Smartphones
Basisschutz
▪ Geräte nie unbeaufsichtigt liegen lassen
▪ Zugriffsschutz aktivieren
▪ Sicherheitsupdates (aktuelles System)
▪ Virenscanner
▪ Personal Firewall
▪ Datenträger verschlüsseln (z.B. BitLocker bei MS-Windows, FileVault bei MacOSX)
Sicherungskopien
▪ Regelmäßige Sicherungskopien der Daten anfertigen
▪ Betriebssystem-spezifische Anwendungen (z.B. Time Machine bei Mac OSX) für
Backups auf externen Datenträgern
▪ Sicheres, verschlüsseltes Backup in der Cloud (z.B. mit BoxCryptor)
Sicherheit für Wechseldatenträger

▪ Verschlüsseln sensibler Informationen (z.B. mit VeraCrypt)
▪ Richtige Lagerung der Speichermedien
▪ Richtiges Löschen/Sicheres Löschen mit Daten-Shreddern
„Freigaben“ auf Ordner/Dateien

▪ Nur bei Bedarf aktivieren
▪ Zugriffe kontrollieren
Nutzung von Apps

▪ Sensibler und bedachter Umgang mit Apps
▪ Kostenlose, werbefinanzierte Apps teils unbekannter Herkunft vs. Apps von
vertrauenswürdigen Anbietern
▪ Einkauf nur in einem verifizierten Store
▪ Auf Datenschutzbestimmungen achten
Sicherheit für Cloud-Services

Risiken:
▪ Datenschutz, Verlust, Datenintegrität, Compliance, ...
▪ Wo werden Daten Wie lange gespeichert und von Wo wird auf diese Daten
zugegriffen?
▪ Wann und Wie wird unerlaubtes Eindringen und unerlaubter Zugriff auf Systeme
und Daten gemeldet?
Maßnahmen
▪ Sicherheitsbedingungen und -vorkehrungen der Anbieter prüfen
▪ Kostenlose Angebote kritisch hinterfragen
▪ Kennwortrichtlinien für das Internet beachten
▪ Regelmäßige lokale Sicherungskopien erstellen
▪ Auf Datenschutzbestimmungen achten!
▪ Verantwortungsbewusster Umgang mit sensiblen Daten
Fazit Security Policies
▪ Jedes Unternehmen sollte sein eigenes Rahmenwerk erschaffen!

▪ Die Anzahl und der Umfang der Dokumente kann nicht als Blaupause übernommen
werden
- Jede Unternehmenskultur ist anders.
- Die Prozesse in jedem Unternehmen laufen anders.
▪ Ein Rahmenwerk von Policies kann zwischen 100-500 Seiten Umfang haben
Gliederung

Notfall- und Katastrophenmanagement
Phasen eines Sicherheitsvorfalls
Entdecken
Prävention Analysieren
Lessons
Beseitigen
learned
Regelbetrieb
Incident-Response-Plan
Funktion Beschreibung
Governance - Eine Organisationsstruktur, die auf die allgemeinen Unternehmensziele und das Leitbild
abgestimmt ist
- Präzise Sicherheitsrichtlinien und –vorgaben zum Schutz kritischer Systeme und für den
Datenaustausch zwischen internen und externen Instanzen
Kommunikation - Mechanismen und Prozesse, die einen effektiven Informationsaustausch zwischen internen
und externen Instanzen fördern
Transparenz - Technologien und Prozesse, die die Verantwortlichkeiten über die Aktivitäten in Systemen und
Netzwerken auf dem Laufenden halten
- Methoden, durch die das Cyber-Incident-Reponse-Team (CIRT) über die Bedrohungslage
informiert bleibt und diese Kenntnisse für den Schutz kritischer Infrastrukturen anwendet
Bedrohungsdaten - Funktionen zur Erfassung und Analyse von Bedrohungsdaten, die ein umfassendes Bild der
Fähigkeiten, Techniken und Absichten von Angreifern vermitteln
- Daten, die die Sicherheitsplanung, das Schwachstellenmanagement und Incident-Response-
Maßnahmen unterstützen und verbessern
Reaktion - CIRT-Prozesse und Technologien zur Erkennung, Kategorisierung, Analyse und Behebung von
Sicherheitsvorfällen
Kennzahlen - Kennzahlen für die Effizienz von Mitarbeitern, Prozessen und Technologien in einem System,
das sich leicht überwachen und automatisieren lässt
- Incident-Response-Kennzahlen, die genau auf die Unternehmens- und Sicherheitsziele
abgestimmt sind und so die kontinuierliche Verbesserung fördern
Quelle: Mandiant, Vorbereitung auf Cyberangriffe: das Modell der sechs Kernkompetenzen
Notfallvorsorgerichtlinie
▪ Regelung der Verantwortlichkeiten

▪ Erstellen spezieller Notfallpläne (Brand, Stromausfall, HW-Ausfall, SW-Ausfall,
Virenbefall, Sabotage)
▪ Dokumentationen (Prozesse, IT-Anwendungen, IT-Systeme,
Verfügbarkeitsanforderungen, Wiederanlaufreihenfolge u.a.)
▪ Verhaltensregeln bei Sicherheitsvorfällen und Notfällen
▪ Alarmierungspläne
▪ Eskalationsstrategie
▪ Notfallübungen
Cyber Kill Chain (1/2)
▪ Cyber Kill Chain basiert auf einem militärischen Konzept der Kill Chain
- Handlungsmaßnahmen zur Erkennung und Abwehr von Angriffen im Fokus
- Kill Chain = Angriffskette
▪ Phasen der Kill Chain:
- Standort des Ziels ermitteln
- Genaue Beobachtung des Standorts
- Verfolgung des anvisierten Ziels
- Waffen individuell auf das Ziel abstimmen
- Konkreter Einsatz der Waffen gegenüber dem Ziel
- Analyse der Auswirkungen auf das angegriffene Ziel in der Kill Chain
▪ Die Perspektive des Angreifers wird eingenommen
- Für jede Phase werden die Werkzeuge und Möglichkeiten des Angreifers
überlegt
▪ Maßnahmen zur Abwehr von Angriffen werden festgelegt
Quelle: Hornetsecurity, Cyber Kill Chain, https://www.hornetsecurity.com/de/wissensdatenbank/cyber-kill-chain/
Cyber Kill Chain (2/2)
▪ Cyber Kill Chain seit 2011 bekannt

- Weiterer Begriff: Intrusion Kill Chain
▪ Es wird ebenfalls die Täterperspektive eingenommen
▪ Angriffsstufen für digitale Angriffe orientiert an dem original US-amerikanischen
Lockheed-Modell:
- Reconnaissance
- Weaponization
- Delivery
- Exploitation
- Installation
- Command and Control
- Actions on objective
Angriffsstufen der Cyber Kill Chain
▪ 1. Identifizierung des Ziels (Reconnaissance)

- Angriffsstrategie
- Ziel wird ausgewählt und Profil wird erstellt
- Kontaktdaten des Ziels werden recherchiert, u.a. Details über die IT-Struktur
- Verteidigungsstrategie
- Veröffentlichung der Unternehmensdaten im Internet einschränken
- Detaillierte Analyse auf mögliche Angriffsformen, z.B. DDoS-Angriffe auf Web-/Mailserver
▪ 2. Vorbereitung des Angriffs (Weaponization)

- Angriffsstrategie
- Angreifer nutzt Tools aus seinem Repertoire, z.B. für Ransomware-Angriff
Verschlüsselungstrojaner oder Schadprogramme
- Wahl der Tools abhängig von der Vorgehensweise und Ziel des Angreifers
- Analyse-Engines können Angriffe erkennen
- Mögliche Auswirkungen von Schadsoftware können recherchiert werden
▪ 3. Erste Schritte zur Durchführung des Angriffs entlang der Cyber Kill Chain (Delivery)
- Angriffsstrategie
- Durchführung der Cyberattacke wird begonnen
- Ausgewähltes Medium für den Angriff erfolgt, z.B. über E-Mail, USB-Stick, CD-ROM, Phishing,
schadhafte Webseiten
- Stetige Kontrolle der Angriffsvektoren, z.B. APT Erkennungssoftware
- Aufdeckung der Intention des Cyberangriffs steht im Fokus
- Vorgehensweise des Angreifers wird in Erfahrung gebracht
▪ 4. Das systematische Aufspüren von Sicherheitslücken (Exploitation)

- Angriffsstrategie
- Sicherheitslücken im Zielsystem / Netzwerk werden gesucht
- Technische Kompromittierung durch den Täter
- Einfallsvektor z.B. mangelnde Sensibilisierung der Mitarbeiter, CEO-Fraud
- Offene Angriffsvektoren kennen, z.B. technischer Ursprung, personelle Defizite
- Durchführen von Penetrationstests, um Schwachstellen aufzudecken
- Mensch als Sicherheitsrisiko betrachten
▪ 5. Implementierung einer Backdoor (Installation)

- Angriffsstrategie
- Ohne Kenntnis eines Nutzers wird Schadsoftware auf dem Zielsystem installiert, z.B.
Trojanisches Pferd
- Zertifikate können im Unternehmensnetz eingesetzt werden
- Individuelle Richtlinien auf den Systemen festlegen
- Prüfung der Virenscanner auf aktuelle Signaturen
▪ 6. Fernsteuerung des Zielsystems (C&C)

- Angriffsstrategie
- Fernzugriff auf das Zielsystem aktivieren, z.B. durch Remote Desktop Protokoll (RDP)
- Häufig durch Schwachstellen ausgenutzt
- Sicherheitslücken auf Client- und Serverebene rechtzeitig erkennen und schließen, z.B.
offene Ports
▪ 7. Zielerreichung (Actions on objective)

- Angriffsstrategie
- Angreifer hat Zugriff auf das Zielsystem
- Angriffshandlungen werden konkretisiert, z.B. Spionage, Sabotage,
Datenkompromittierung
- Vordringen tiefer in die Systeme
- Unterwanderung des Ziels, um den Angriff abzuschließen
- Handlungsschritte müssen im Einzelnen festgelegt werden
- Zuständigkeiten müssen schon im Vorfeld klar definiert sein:
• Personenbezogene Verantwortlichkeiten
• Verantwortlichkeiten für technische Abläufe
Gliederung
1. Einführung Datenschutzgrundverordnung
2. Informationssicherheitsmanagement Verfahrensverzeichnis
3. Risikomanagement in der Datenschutz-Management-System (DSMS)

Auftragsverarbeitung
Betroffenenrechte
Datenschutzgrundverordnung
DSGVO - Datenschutzgrundverordnung
▪ 22. Juli 2011: Stellungnahme der EDSB zum Datenschutz in der Europäischen Union
▪ 25. Januar 2012: Vorschlag der Kommission für die Verstärkung der digitalen Wirtschaft und der Rechte auf
Wahrung der Privatsphäre im Internet
▪ 7. März 2012: Der EDSB nimmt eine Stellungnahme zum Datenschutzreformpaket der Kommission an
▪ 23. März 2012: Die Artikel-29-Arbeitsgruppe gibt eine Stellungnahme zur vorgeschlagenen
Datenschutzreform ab
▪ 5. Oktober 2012: Die Artikel-29-Arbeitsgruppe bringt weitere Aspekte in die Debatten über die
Datenschutzreform ein
▪ 12. März 2014: Das Europäische Parlament verabschiedet die DSGVO
▪ 15. Juli 2015: Der Rat erzielt einen allgemeinen Ansatz bezüglich der DSGVO
▪ 27. Juli 2015: Empfehlungen des EDSB zum endgültigen Text der DSGVO
▪ 15. Dezember 2015: Das Europäische Parlament, der Rat und die Kommission erzielen eine Einigung über
die DSGVO
▪ 2. Februar 2016: Die Artikel-29-Arbeitsgruppe veröffentlicht einen Aktionsplan für die Umsetzung der
DSGVO
▪ 27. April 2016: Datenschutz-Grundverordnung (EU) 2016/679
▪ 24. Mai 2016: Die Verordnung tritt 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft
▪ 25. Mai 2018: Ab diesem Datum findet die Datenschutz-Grundverordnung Anwendung
Quelle: European Data Protection Supervisor, https://edps.europa.eu/data-protection/data-protection/legislation/history-general-data-protection-regulation_de
DSGVO - Inhalte
▪ Kapitel 1 EU-DSGVO: Allgemeine Bestimmungen

- Gegenstand und Ziele
- Sachlicher und Räumlicher Anwendungsbereich
- Begriffsbestimmungen
▪ Ziel der DSGVO

- Regelungen, wie Unternehmen und Behördenmit personenbezogenen Daten
ihrer Kunden, Besucher und Nutzer umgehen sollen
- Unternehmen und Behörden müssen
- ihren Sitz in der EU haben (oder eine Zweigstelle) oder
- ihren Sitz außerhalb der EU haben, jedoch werden Waren / Dienstleistungen für
Personen in der EU angeboten
Quelle: Datenschutz-Experte.de, https://www.datenschutzexperte.de/eu-dsgvo/
DSGVO - Inhalte
▪ Kapitel 2 EU-DSGVO: Grundsätze

- Grundsätze für die Verarbeitung personenbezogener Daten
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung, Datenminimierung, Richtigkeit
- Speicherbegrenzung, Integrität und Vertraulichkeit
- Rechtmäßigkeit der Verarbeitung
- Einwilligung wurde erteilt
- Verarbeitung für Erfüllung eines Vertrags
- Rechtliche Verpflichtung
- Wahrnehmung einer Aufgabe im öffentlichen Interesse
- Bedingungen für die Einwilligung
- Der Verantwortliche muss Einwilligung nachweisen
- Einwilligung muss in klarer und einfacher Sprache angeboten werden
- Einwilligung kann jederzeit widerrufen werden
- Verarbeiten besonderer Kategorien personenbezogener Daten
- Rassische / ethische Herkunft, politische Meinungen, religiöse oder weltanschauliche
Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten,
Gesundheitsdaten, Sexualleben, sexuelle Orientierung
DSGVO - Inhalte
▪ Kapitel 3 EU-DSGVO: Recht der Betroffenen

- Transparente Information, Kommunikation und Modalitäten für die Ausübung der
Rechte der Betroffenen
- Informationspflicht bei Erhebung von personenbezogenen Daten bei der
betroffenen Person
- Informationspflicht, wenn die personenbezogenen Daten nicht bei der
betroffenen Person erhoben wurden
- Auskunftsrecht der betroffenen Person
- Recht auf Berichtigung
- Recht auf Löschung
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht
- Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
DSGVO - Inhalte
▪ Kapitel 4 EU-DSGVO: Verantwortlicher und Auftragsverarbeiter

- Verantwortung des für die Verarbeitung Verantwortlichen
- Datenschutz durch Technikgestaltung und durch datenschutzfreundliche
Voreinstellungen
- Auftragsverarbeiter
- Verzeichnis der Verarbeitungstätigkeiten
- Zusammenarbeit mit der Aufsichtsbehörde
- Sicherheit der Verarbeitung
- Meldung von Verletzungen des Schutzes personenbezogener Daten an die
Aufsichtsbehörde
- Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten
betroffenen Person
- Datenschutz-Folgeabschätzung
- Benennung des Datenschutzbeauftragten
- Aufgaben des Datenschutzbeauftragten
- Verhaltensregeln
- Zertifizierung
DSGVO - Inhalte
▪ Kapitel 5 EU-DSGVO: Übermittlung personenbezogener Daten an Drittländer oder

an internationale Organisationen
- Allgemeine Grundsätze der Datenübermittlung
- Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
- Beschluss der Kommission: Gebiet oder spezifische Sektoren in Drittland oder
betreffende internationale Organisation bieten ein angemessenes Schutzniveau
- Verbindliche interne Datenschutzvorschriften
- Ausnahmen für bestimmte Fälle
- Internationale Zusammenarbeit zum Schutz personenbezogener Daten
DSGVO - Inhalte
▪ Kapitel 6 EU-DSGVO: Unabhängige Aufsichtsbehörden

- Aufsichtsbehörde
- Unabhängigkeit
- Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde
- Durch Rechtsprechung: Vorschlagsrecht und die darauf gestützte Wahl durch das jeweilige
Parlament
- Zuständigkeiten
- Aufgaben
- Anwendung überwachen und durchsetzen
- Aufklärung der Öffentlichkeit, der Verantwortlichen, der Auftragsverarbeiter
- Betroffenen Informationen über ihre Rechte geben
- Beschwerden bearbeiten, Untersuchungen durchführen
- Standardvertragsklauseln festlegen
- Verhaltensregeln erarbeiten, Stellungnahmen abgeben
- Datenschutzzertifizierungsmechanismen und Datenschutzsiegel / -prüfzeichen anregen
- …
- Befugnisse
- Tätigkeitsbericht
DSGVO - Inhalte
▪ Kapitel 7 EU-DSGVO: Zusammenarbeit und Kohärenz

- Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen
betroffenen Aufsichtsbehörden
- Gegenseitige Amtshilfe
- Gemeinsame Maßnahmen der Aufsichtsbehörden
- Kohärenzverfahren
- Stellungnahme Ausschusses
- Dringlichkeitsverfahren
- Informationsaustausch
- Europäischer Datenschutzausschuss
- Unabhängigkeit
- Berichterstattung
- Verfahrensweise
DSGVO - Inhalte
▪ Kapitel 8 EU-DSGVO: Rechtsbehelfe, Haftung und Sanktionen

- Recht auf Beschwerde bei einer Aufsichtsbehörde
- Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde,
gegen Verantwortliche oder Auftragsverarbeiter
- Haftung und Recht auf Schadensersatz
- Allgemeine Bedingungen für die Verhängung von Geldbußen
- In jedem Einzelfall wirksam, verhältnismäßig und abschreckend
- Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs
oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der betroffenen
Personen
- Vorsätzlichkeit oder Fahrlässigkeit
- Bei Verstößen: Geldbußen von bis zu 20 Mio. € oder 4% des gesamten weltweit
erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem,
welcher der Beträge höher ist)
- Sanktionen
DSGVO - Inhalte
▪ Kapitel 9 EU-DSGVO: Vorschriften für besondere Verarbeitungssituationen
▪ Kapitel 10 EU-DSGVO: Delegierte Rechtsakte und Durchführungsrechtsakt
▪ Kapitel 11 EU-DSGVO: Schlussbestimmungen
In der Richtlinie 95/46/EG werden personenbezogene Daten folgendermaßen

definiert:
„Im Sinne dieser Richtlinie bezeichnet der Ausdruck „personenbezogene Daten“ alle
Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene
Person“); als bestimmbar wird eine Person angesehen, die direkt oder indirekt
identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder
zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen,
physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität
sind“.
Personenbezogene Daten
▪ „alle Informationen“
Art oder Inhalt der Information und der technischen Form
sowohl objektive als auch subjektive Informationen über eine Person
▪ „über“
inhaltlichen Dimension des Begriffs
Zusammenhang mit Gegenständen und neuen Technologien
Inhalt, Zweck oder Ergebnis
▪ „bestimmte oder bestimmbare“
Bedingungen, unter denen eine Person als „bestimmbar“ anzusehen ist
Mittel, die „vernünftigerweise entweder von dem für die Verarbeitung Verantwortlichen
oder von einem Dritten eingesetzt werden“, um die betreffende Person zu bestimmen
▪ „natürliche Person“
„personenbezogene Daten“ für „lebende Personen“
Grauzonen:
verstorbene Personen
ungeborene Kinder und
juristische Personen
Zulässiger Umgang mit personenbezogenen Daten
Einwilligung
gesetzliche Erlaubnis
Einhaltung des
Verarbeitungszwecks
Aufgaben Datenschutzbeauftragter (Art. 39 DSGVO)

▪ Überwachungspflicht
▪ Beratung im Zusammenhang mit der Datenschutz-Folgeabschätzung
▪ Zusammenarbeit mit der Aufsichtsbehörde
▪ Tätigkeit als Anlaufstelle für Aufsichtsbehörde und ggf. Beratung zu allen sonstigen
Fragen
Mehr Pflichten, die der Verantwortliche übernehmen muss:

▪ Er muss gewährleisten, dass die datenschutzrechtlichen Vorgaben der DSGVO
eingehalten werden
▪ und die Verarbeitung personenbezogener Daten in seinem Verantwortungs-bereich
rechtmäßig erfolgt.
▪ Er muss die Einhaltung der Verarbeitungsgrundsätze nachweisen können (z. B.
ISMS).
Gliederung

Betroffenenrechte
Verfahrensverzeichnis
Verfahrensverzeichnis (Art. 30 DSGVO)

▪ Verarbeiter muss Verzeichnis aller Verarbeitungstätigkeiten erstellen
▪ Inhalt:
- Name und Kontaktdaten des Verantwortlichen
- Zwecke der Verarbeitung
- Beschreibung der Kategorien betroffener Personen und Kategorien
personenbezogener Daten
- Kategorien von Empfängern
- Übermittlungen an ein Drittland oder an eine internationale Organisation
- Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
- Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
gem. Art. 32 Abs. 1 DSGVO
Verfahrensverzeichnis
Verfahrensverzeichnis (Art. 30 DSGVO)
Quelle: DSGVO Vorlagen, https://dsgvo-vorlagen.de/excel-tool-verzeichnis-verarbeitungstaetigkeiten
Gliederung

Betroffenenrechte
Datenschutz-Management-System (DSMS)
Datenschutz-Management-System
▪ Summe aller Einzelteile, die aus der DSGVO vollständig berücksichtigt

und umgesetzt werden
▪ Wichtig: Rechenschaftspflicht für Unternehmen

- Zuständigkeit und Verantwortung für die Einhaltung der Prinzipien muss
festgelegt sein.
- Das Unternehmen muss nachweisen, dass angemessene und wirksame
Maßnahmen ergriffen wurden
Quelle: Datenschutz Praxis, https://www.datenschutz-praxis.de/datenschutzbeauftragte/dsgvo-anforderungen-datenschutz-management-system/
Datenschutz-Management-System: Prinzipien der Verarbeitung von

personenbezogenen Daten
▪ Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

- Verarbeitung auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer
für den Betroffenen nachvollziehbaren Weise
▪ Zweckbindung
- Erhebung für festgelegte, eindeutige und rechtmäßige Zwecke
- Eine Weiterverarbeitung darf diesen Zwecken nicht zuwider laufen
- Datenminimierung
- Beschränkung auf das für den Zweck der Verarbeitung angemessene und sachlich relevante
sowie notwendige Maß
- Richtigkeit
- Sachlich richtige und ggfs. Aktuellste Daten, Maßnahmen zur unverzüglichen Löschung oder
Berichtigung unzutreffender Daten
- Speicherbegrenzung
- Speicherung mit Personenbezug höchsten so lange, wie es für die Verarbeitungszwecke
erforderlich ist
- Integrität, Vertraulichkeit, Verfügbarkeit
- Geeignete technisch-organisatorische Maßnahmen zum angemessenen Schutz der Daten,
insbesondere vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, zufälliger
Zerstörung oder Schädigung
Datenschutz-Management-System: Pflichten des Verantwortlichen

▪ Data Privacy by Design / Default (Art. 25 DSGVO)
- Der Verantwortliche muss geeignete Maßnahmen zur wirksamen Umsetzung der
datenschutzrechtlichen Grundsätze ergreifen (z.B. zur Datenminimierung).
- Durch datenschutzfreundliche Voreinstellungen muss sichergestellt werden, dass nur
die jeweils erforderlichen Daten verarbeitet werden.
▪ Datenschutz-Folgeabschätzung (Art. 35, 36 DSGVO)
- Der Verantwortliche muss bei einem hohen Risiko für die Rechte und Freiheiten
natürlicher Personen vorab eine Analyse der Folgen erstellen.
- Für identifizierte Risiken muss er geeignete Maßnahmen, Garantien,
Sicherheitsvorkehrungen und Verfahren umsetzen.
- Rechtmäßigkeit (Art. 6 DSGVO)
- Der Verantwortliche muss die Rechtmäßigkeit an den gesetzlich definierten
Verarbeitungstatbeständen ausrichten, z.B.
- Einwilligung (Art. 7, 8 DSGVO)
- Einschränkungen für besondere Datenkategorien und Inhalte (Art. 9, 9a DSGVO)
- Verarbeitung ohne Bestimmung des Betroffenen (Art. 10 DSGVO)
- Übermittlung in Drittländer (Art. 44 DSGVO)

- Bei der Datenübermittlung in ein Drittland muss der Verantwortliche (samt
Auftragsverarbeiter) Garantien für eine rechtmäßige Verarbeitung bieten.
Datenschutz-Management-System: Pflichten des Verantwortlichen
Maßnahmen nur datenschutzrechtlichen Information und Kommunikation
▪ Transparenz (Art. 12 DSGVO)

- Der Verantwortliche muss Betroffene in präziser, transparenter, verständlicher
und leicht zugänglicher Form in einer klaren und einfachen Sprache informieren.
- In Beug auf Name und Kontaktdaten der verantwortlichen Stelle (samt
Datenschutzbeauftragtem) sowie Zwecke, ggfs. berechtigte Interessen und
Empfänger sowie die Drittlandübermittlung.
▪ Verletzung (Art. 33, 34 DSGVO)

- Verletzungen des Schutzes personenbezogener Daten muss der
Verantwortliche an die Aufsichtsbehörde melden.
- Ggfs. muss er die Betroffenen benachrichtigen.
Datenschutz-Management-System: Technisch-organisatorische
Maßnahmen nachweisen
▪ Verantwortung (Art. 24 DSGVO)

- Der Verantwortliche hat risikobasiert die geeigneten Maßnahmen zum Schutz
der von der Verarbeitung betroffenen Daten zu ergreifen.
- Die Maßnahmen muss er nachweisen und aktuell halten.
▪ Auftragsverarbeitung (Art. 28 DSGVO)

- Der Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten, die
Garantien dafür bieten, dass sie personenbezogene Daten durch geeignete
technisch-organisatorische Maßnahmen schützen.
- Darüber muss ein Vertrag existieren.
- Datensicherheit (Art. 32 DSGVO)
- Der Verantwortliche muss risikoorientiert durch geeignete Maßnahmen die
klassischen Informationssicherheits-Schutzziele Vertraulichkeit, Integrität und
Verfügbarkeit bei der Datenverarbeitung sicherstellen.
Datenschutz-Management-System: Erforderliche interne Maßnahmen
▪ Verzeichnis (Art. 30 DSGVO)

- Der Verantwortliche muss ein Verzeichnis aller Verarbeitungstätigkeiten führen.
▪ Dokumentation (Art. 26, 28, 31, 44 DSGVO)

- Der Verantwortliche muss neben dem Führen eines Verzeichnisses seiner
Dokumentationspflicht nachkommen, z.B.
- Weisungen
- Verletzungen
- Garantien im Rahmen der Drittlandübermittlung
- Datenschutzbeauftragter (Art. 37-39 DSGVO)
- Der Verantwortliche hat unter bestimmten Voraussetzungen einen Datenschutzbeauftragten zu
bestellen, dessen Aufgaben v.a. in der Beratung und in der Überwachung des Einhaltens der
DSGVO-Vorgaben liegen.
- Recht auf Vergessenwerden (Art. 17 DSGVO)
- Der Verantwortliche hat nicht nur sicherzustellen, dass personenbezogene Daten nur
ausnahmsweise nicht „unverzüglich“ gelöscht werden.
- Der Verantwortliche muss – sofern er die Daten publik macht – auch sicherstellen, dass er Dritte
darüber informiert.
- Recht auf Interoperabilität (Art. 20 DSGVO)
- Der Verantwortliche muss sicherstellen, dass er personenbezogene Daten von Betroffenen in
einem gängigen, maschinenlesbaren Format ausgeben kann.
Standard-Datenschutzmodell (SDM)
▪ Methode der deutschen Datenschutzaufsichtsbehörden für den operativen

Datenschutz
▪ Empfohlen für sämtliche öffentliche Verwaltungen Deutschlands
▪ BSI empfiehlt Anwendung im Datenschutzbaustein CON.2
▪ Katholische und protestantische Kirche lehnen sich mit dem „Kirchen-

Datenschutzmodell“ (KDM) an das Standard-Datenschutzmodell an
▪ Aufbau
- SDM-Methodik-Handbuch (deutsch / englisch)
- SDM-Repository
- SDM-Bausteine
Quelle: Datenschutzzentrum, https://www.datenschutzzentrum.de/sdm/
Relevanz von Datenschutz
• Einwilligung einholen
Kunden • Datensicherheit gewährleisten
• Zweckbindung beachten
• Betriebs- und Geschäftsgeheimnisse wahren

• Kontrolle des Zutrittes zum Unternehmen sichern
Unternehmen • Zugangsberechtigung zu Daten definieren und
überwachen
• Umgang mit Daten am Arbeitsplatz regeln
• Führung der Personalakten

Mitarbeiter • rechtmäßiges Verhalten
• „Whistleblowing“ und „Datenschutzhotline“
▪ Passive Maßnahmen
- Datensparsamkeit
- Vermeidung der Herausgabe zutreffender personenbezogener Daten
▪ Aktive Maßnahmen
- Angabe von Pseudonymen
- Nutzung von datenschutzfreundlicher Technik mit Verschlüsselung,
Anonymisierung und Pseudonymisierung
Quelle: Danezis, G. et al., 2014
Technisch-organisatorische Maßnahmen bei der Verarbeitung

personenbezogener Daten (nach DSGVO)
1. Zugangskontrolle
2. Datenträgerkontrolle
3. Speicherkontrolle
4. Benutzerkontrolle
5. Zugriffskontrolle
6. Übertragungskontrolle
7. Eingabekontrolle
8. Transportkontrolle
9. Wiederherstellbarkeit
10. Zuverlässigkeit
11. Datenintegrität
12. Auftragskontrolle
13. Verfügbarkeitskontrolle
14. Trennbarkeit
Quelle: Quelle: https://www.datenschutz-praxis.de/fachartikel/technisch-organisatorische-massnahmen-das-aendert-sich/

personenbezogener Daten (nach DSGVO) - Zugangskontrolle
Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung
durchgeführt wird, für Unbefugte.
Hierzu wird die Zutrittskontrolle aus dem BDSG gezählt.
Maßnahmen (Auswahl):
▪ Zugangsberechtigungen (Kennwörter) * zu IT-Systemen und beweglichen
Rechnern wie Notebooks, Tablets und SmartPhones
▪ Sicherheitszonen einrichten
▪ Automatische Zutrittskontrolle
▪ Ausweistragepflicht
▪ Schlüsselregelung
▪ Alarmanlage
▪ Videoüberwachung

personenbezogener Daten (nach DSGVO) - Datenträgerkontrolle
Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von
Datenträgern.
▪ Nur genehmigte Datenträger
▪ Geregelte Vernichtung nicht mehr benötigter / defekter Datenträger
▪ Sperrung von Ports, Laufwerken
▪ Datenträgerverschlüsselung * bei Notebooks und beweglichen Datenträgern (z.B.
USB-Sticks)
▪ Beim Datentransport per Netzwerk werden alle hierbei eingesetzten Verbindungen von
extern per TLS/IP-Sec (VPN) * verschlüsselt.
▪ Der Versand oder Transport von Datenträgern ist nur in Ausnahmefällen erlaubt. Die
Versandart ist an den Schutzbedarf der Daten anzupassen.
▪ Die Mitnahme von Datenträgern und IT-Komponenten ist nur eingeschränkt und bei
Notwendigkeit erlaubt, etwa zu Vertriebszwecken oder bei technischen Notfällen.

personenbezogener Daten (nach DSGVO) - Speicherkontrolle
Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der
unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten
personenbezogenen Daten.
Wurde aus der Zugriffskontrolle heraus getrennt.
▪ Berechtigungskonzept
▪ Klare Verantwortlichkeiten
▪ Vier-Augen-Prinzip
▪ Eindeutige Zuordnung von PC und Nutzungsberechtigung
▪ Protokollierung

personenbezogener Daten (nach DSGVO) - Benutzerkontrolle
Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von
Einrichtungen zur Datenübertragung durch Unbefugte.
Die Weitergabekontrolle wurde in die Benutzerkontrolle integriert.
▪ Berechtigungskonzept, insbesondere technische Benutzer
▪ Protokollierung

personenbezogener Daten (nach DSGVO) - Zugriffskontrolle
Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems
Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten
personenbezogenen Daten Zugang haben.
▪ Berechtigungskonzept
▪ Eindeutige Zuordnung von PC und Nutzungsberechtigung
▪ Protokollierung

personenbezogener Daten (nach DSGVO) - Übertragungskontrolle
Gewährleistung, dass überprüft und festgestellt werden kann, an welchen Stellen
personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung
übermittelt oder zur Verfügung gestellt wurden oder werden können.
Die Weitergabekontrolle wird hier integriert.
▪ Verschlüsselung (z.B. VPN)
▪ Lagerung von Datenträger in Sicherheitsbereichen
▪ Kontrollierte Vernichtung von Datenträgern
▪ Soweit eine Beauftragung von Dritten erfolgt, geschieht dies im Rahmen der
gesetzlichen Vorgaben und stets transparent gegenüber dem Auftraggeber. Es
werden die datenschutzrechtlich erforderlichen Verträge geschlossen, die
mindestens den Anforderungen der entsprechenden Verträge zwischen
Auftragnehmer und Auftraggeber entsprechen.

personenbezogener Daten (nach DSGVO) - Eingabekontrolle
Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche
personenbezogenen Daten zu welcher Zeit und von wem in automatisierte
Verarbeitungssysteme eingegeben oder verändert worden sind.
▪ Führung von Nachweisen der organisatorisch festgelegten Zuständigkeiten für die
Eingabe
▪ Durchführung der Protokollierung von Eingaben
▪ Dokumentation des Workflows

personenbezogener Daten (nach DSGVO) - Transportkontrolle
Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim
Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt
werden.
Die Weitergabekontrolle wird hier integriert.
▪ Verschlüsselung (z.B. VPN)
▪ Lagerung von Datenträger in Sicherheitsbereichen
▪ Kontrollierte Vernichtung von Datenträgern
▪ Soweit eine Beauftragung von Dritten erfolgt, geschieht dies im Rahmen der
gesetzlichen Vorgaben und stets transparent gegenüber dem Auftraggeber. Es
werden die datenschutzrechtlich erforderlichen Verträge geschlossen, die
mindestens den Anforderungen der entsprechenden Verträge zwischen
Auftragnehmer und Auftraggeber entsprechen.

personenbezogener Daten (nach DSGVO) - Wiederherstellbarkeit
Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden
können.
▪ Dokumentierte Backup-Strategie
▪ Regelmäßige Tests und Übungen (Desaster & Recovery)
▪ Notfallpläne
▪ Krisenpläne

personenbezogener Daten (nach DSGVO) - Zuverlässigkeit
Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und
auftretende Fehlfunktionen gemeldet werden.
▪ Schulung der Anwender
▪ Hotline für Fehlfunktionen
▪ Positive Fehlerkultur, damit jeder Fehler / jede Unregelmäßigkeit gemeldet wird
▪ Anwendungsdokumentationen
▪ Change-Management-Prozess

personenbezogener Daten (nach DSGVO) - Datenintegrität
Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch
Fehlfunktionen des Systems beschädigt werden können.
▪ Schulung der Anwender
▪ Anwenderdokumentation

personenbezogener Daten (nach DSGVO) - Auftragskontrolle
Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden,
nur entsprechend den Anweisungen des Auftraggebers verarbeitet werden können.
▪ Dokumentation der Abgrenzung der Kompetenzen und Pflichten zwischen
Auftragnehmer und Auftraggeber
▪ Durchführung einer formalen Auftragserteilung
▪ Durchführung einer Kontrolle der Arbeitsergebnisse

personenbezogener Daten (nach DSGVO) - Verfügbarkeitskontrolle
Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust
geschützt sind.
▪ Datensicherung
▪ Archivierung
▪ Betriebssystem-Updates
▪ Virenschutz
▪ Dokumentation von Konfigurationsänderungen
▪ Notstromversorgung
▪ Katastrophenplanung

personenbezogener Daten (nach DSGVO) - Trennbarkeit
Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene
Daten getrennt verarbeitet werden können.
▪ Richtlinien und Arbeitsanweisungen
▪ Verfahrensdokumentation
▪ Mandantentrennung
▪ Trennung der Datenbestände nach rechtlicher Zuordnung der Daten
Gliederung

Betroffenenrechte
Auftragsverarbeiter = Stelle, die personenbezogene Daten im Auftrag des

Verantwortlichen verarbeitet (Art. 28 DSGVO)
▪ Keine Auftragsverarbeitung
- Fachliche Dienstleistungen anderer Art, in denen nicht die Datenverarbeitung im Vordergrund
steht bzw. keinen wichtigen Bestandteil ausmacht
▪ Pflichten Verantwortlicher
- Vor Auftragsvergabe muss eine Prüfung der Geeignetheit des Auftragsverarbeiters durchgeführt
werden
- Der Verantwortliche darf nur Auftragsverarbeiter einsetzen, die hinreichende Garantien bieten,
dass sie geeignete technische und organisatorische Maßnahmen für einen ausreichenden
Datenschutz gewährleisten
- Weisungen
- Der Auftragsverarbeiter ist weisungsgebunden
- Verarbeitung nicht als Dritter i.S.d. Art. 4 DSGVO, eher ein „Innenverhältnis“ zwischen
Verantwortlichem und Auftragsverarbeiter
- Verarbeitung durch Auftragsverarbeiter wird dem Verantwortlichen zugerechnet
- Vertragliche Grundlage
- Vertrag muss schriftlich oder in elektronischer Form vorliegen
- Es können die Standard-Vertragsklauseln verwendet werden
Quelle: LDA Bayern, https://www.lda.bayern.de/de/thema_auftragsverarbeitung.html
Gliederung

Betroffenenrechte
Betroffenenrechte
▪ Informationspflicht
- Art. 13 DSGVO:
- Kontaktdaten des Verantwortlichen
- Zweck für jede einzelne Datenverarbeitung
- Dauer der Datenverarbeitung
- Informationen zu Empfängern
- Rechtsgrundlage der Datenverarbeitung
- nachvollziehbare Interessenabwägung
- Art. 12 DSGVO:
- Informationen müssen in „transparenter, verständlicher und leicht zugänglicher Form in
einer klaren und einfachen Sprache“ vorgelegt werden
- Mündliche, schriftliche oder auch elektronische Übermittlung ist möglich
- Informationspflicht besteht nicht, wenn bereits alle Informationen vorliegen (Beweislast
liegt beim Unternehmen)
- Art. 14 DSGVO:
- Erhebung der Daten von Dritten (z.B. Auskunfteien)
- Informationspflicht wie bei Art. 13 DSGVO, zusätzlich muss jedoch die Quelle mitgeteilt
werden
Quelle: ISiCo, https://www.isico-datenschutz.de/blog/anforderungen-betroffenenrechte-dsgvo/
Betroffenenrechte
▪ Auskunftsrecht
- Art. 15 DSGVO:
- Anspruch auf umfassende Informationen der verarbeiteten personenbezogenen Daten
- Zweistufiges Auskunftsrecht: Zuerst ob Daten verarbeitet werden, falls ja: wie die Daten
verarbeitet werden
- In angemessenen Abständen kann eine Auskunft verlangt werden
- Kostenlose Übermittlung einer Kopie der verarbeiteten personenbezogenen Daten
Betroffenenrechte
▪ Recht auf Berichtigung

- Art. 16 DSGVO:
- Recht auf unverzügliche Berichtigung von unrichtigen Daten
- Hängt eng mit dem Auskunftsrecht (Art. 15 DSGVO) zusammen
- Hat zwei Bestandteile: Korrektur unrichtiger Daten als auch Vervollständigung oder
Ergänzung unvollständiger Daten
Informationssicherheit & Datenschutz
Abschluss
Viel Erfolg bei der Klausur!

Skript Informationssicherheit Und Datenschutz

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Skript Informationssicherheit Und Datenschutz

Hochgeladen von

Copyright:

Verfügbare Formate

Informationssicherheit &

Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc.

Station 4 (seit 2019)

SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 2

Mobile Rufnummer / Messenger (Threema, Signal):

SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 3

4. Gefahrenidentifikation und Schädlinge

5. Maßnahmen zur Erhöhung der

6. Maßnahmen zum Datenschutz

SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 6

3. Risikomanagement in der Literatur

4. Gefahrenidentifikation und Schädlinge

5. Maßnahmen zur Erhöhung der

6. Maßnahmen zum Datenschutz

SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 7

Die Studierenden können nach erfolgreichem Abschluss des Moduls:

SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 8

SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 9

SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 10

Prüfung und Benotung

Klausur 90 Minuten (100% der Modulnote)

In der Veranstaltung werden Arbeits- und / oder Rechercheaufgaben mit

Die Aufgabenerstellung erhalten Sie in der 3. Vorlesung.

Hinweis: Aufgrund von Corona und entsprechender Hygienemaßnahmen kann

SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 11

SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 12

Weitere Literatur wird während der Vorlesung verlinkt.

SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 13

1. Einführung Unternehmerische Anforderungen an die

5. Maßnahmen zur Erhöhung der

6. Maßnahmen zum Datenschutz

SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 14

Ethische und politische Aspekte

„Die Informationstechnik ist ein überraschend wirksames Werkzeug zur

[Bruce Schneier, Kryptoexperte]

SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 15

Ethischer, sozialer und politischer Fragen

[Laudon, 2006, S. 226]

SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 16

... es wird schon irgendwie funktionieren

Ein Warnschild am Abgrund

Zwei Männer und ein Regenschirm

SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 17

Wie können wir uns selbst schützen?

Digitalisierung ist in der breiten Masse angekommen; lernen wir damit

SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 18

Abgrenzung IT-Sicherheit / Datenschutz

Maßnahmen Technisch-Organisatorische IT- Datenschutzmaßnahmen

[Vgl. Rost, 2015]

Abgrenzung IT-Sicherheit / Datenschutz / Informationssicherheit

SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 20

Abgrenzung IT-Sicherheit / Datenschutz / Informationssicherheit

SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 21

Abgrenzung Datensicherheit / Informationssicherheit

SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 22

Abgrenzung Betriebsgeheimnis / Personenbezogene Daten

SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 23

Bedenkliche Entwicklungen seit vielen Jahren…

BKA Cybercrime Bundeslagebild 2020

Polizeiliche Maßnahmen 2020

[Quelle: Cybercrime Bundeslagebild 2020, BKA]

Bedenkliche Entwicklungen seit vielen Jahren…

Einige Kennzahlen aus 2020