Beruflich Dokumente
Kultur Dokumente
Datenschutz
Kurzvita
Station 1 (2001-2015):
Ausbildung Informatikkauffrau, Key-User in der
Arbeitsvorbereitung, IT-Sicherheitsbeauftragte
GIRA Giersiepen GmbH & Co. KG
Station 2 (2015-2017):
Erstellung IT-Grundschutz-Bausteine, Prüfbegleitung
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Station 3 (2017-2019):
Information Security Officer
Galeria Kaufhof GmbH – Member of HBC Europe
30.11.18: Fusion mit Karstadt Warenhaus GmbH
Studium
Diplom-Wirtschaftsinformatikerin (FH)
2006-2010 an der FOM Duisburg
Diplom-Thema: Konzeption und prototypische Umsetzung der
Übertragung von Daten für die Pflanzenbauberatung aus dem
Internet in eine Schlagkartei, konkretisiert am Beispiel der Software
“Agrar-Office”
Master of Science
2012-2015 Verbundstudium der TH Köln
Master-Thema: Bewertung der Prinzipien aus dem Lean
Management für die Entwicklung von Produkten nach der
Untersuchung auf Informationssicherheit mit Einführung eines
Risikomanagements
Kontaktdaten
E-Mail-Adresse:
mails@verenalang.de
0171 - 9444945
1. Einführung
2. Informationssicherheitsmanagement
3. Risikomanagement in der
Informationssicherheit
1. Einführung Modulziele
2. Informationssicherheitsmanagement Prüfungsmodalitäten
Lehr-/Lernmethoden:
▪ Vorlesungen
▪ Themenbezogene Diskussionen
▪ Übungen und Fallstudien
▪ Online-Campus
Arbeitsmarktrelevanz
Die Gewährleistung der Informationssicherheit ist von hoher ökonomischer und
rechtlicher Bedeutung. Zur Vermeidung von teils beträchtlichen Schäden ist eine
fundierte Kenntnis der Identifikation und Bewertung von Gefahren und
Methoden zu ihrer Abwendung erforderlich.
Das erworbene Wissen kann sowohl für den Aufbau eines Informations- und
Sicherheitsmanagements, als auch bei der Definition praktischer
Lösungskonzepte Anwendung finden.
Im Rahmen der Klausur wird eine praktische Aufgabenstellung, die zuvor zur
Verfügung gestellt wurde, abgeprüft (10 % des Klausurumfangs)!
Pflichtliteratur
▪ Eckert, C. IT-Sicherheit: Konzepte – Verfahren – Protokolle, 9. Auflage,
Oldenbourg, 2014
▪ Harich, T. W.: IT-Sicherheitsmanagement, mitp, 2012
Ergänzende Literatur
▪ Dokumentationen des BSI und der ISO (u.a. ISO 2700x, ISO 31010, IT-
Grundschutz-Kompendium, BSI-Standards 200-x)
▪ Ertel, W.: Angewandte Kryptographie, 3. aktualisierte Auflage, Hanser, 2007
▪ Jäschke, T.: Datenschutz und Informationssicherheit im Gesundheitswesen, 2.
aktualisierte Auflage, Medizinisch Wissenschaftlicher Verlag, Berlin, 2018
▪ Kersten, H., Klett, G., Reute, J., u.a.: ISMS, Risiken, Kennziffern, Controls,
Springer, 2016
▪ Klipper, S.: Information Security Risk Management, Vieweg+Teubner, 2011
▪ Königs, H.-P.: IT-Risikomanagement mit System, 4. Auflage, Springer, 2013
▪ Müller, K.-R.: IT-Sicherheit mit System, 2. Auflage, Vieweg, 2005
▪ Müller, T.: Trusted Computing Systeme, Springer, 2008
▪ Müthlein, Th.: Datenschutz-Grundverordnung General Data Protection
Regulation: zweisprachige Textausgabe Englisch – Deutsch Amtliche Fassung
vom 04.05.2016, Beck, 2016
▪ Probst, Gilbert J. B.; Raub, S.; Romhardt, K.: Wissen managen, 6. Auflage,
Gabler 2010
▪ EU-DSGVO
Ausgangslage
Die Gefahren für das informationelle Selbstbestimmungsrecht werden durch
Konzentration und Monopolbildung im IT-Umfeld verschärft.
Unser persönliches Verhalten hat sich nach Bekanntwerden der massenhaften
Überwachung kaum geändert.
Der jährliche BSI Lagebericht ist ernüchternd.
Immer stärkere Vernetzung der beruflichen und der privaten Umwelt.
Datenschutz
Informations-
IT-Sicherheit sicherheit
Datenschutz
▪ Schutz der Privatsphäre von Menschen
▪ Soll jedem Menschen das Recht auf informationelle Selbstbestimmung garantieren
▪ Behandelt die Frage, ob Daten erhoben und verarbeitet werden dürfen
Informationssicherheit
▪ Schutz von Informationen
▪ Unerheblich, ob digitale oder analoge Informationen
▪ Zu den Informationen gehören neben Betriebs- und Geschäftsinformationen auch
personenbezogene Informationen
IT-Sicherheit
▪ Schutz elektronischer gespeicherter Informationen und IT-Systeme
▪ Technische Verarbeitung und Funktionssicherheit
Quelle: https://www.datenschutzbeauftragter-info.de/unterschiede-zwischen-datenschutz-datensicherheit-informationssicherheit-oder-it-sicherheit/
Datensicherheit
▪ Schutz der Daten, unabhängig ob Personenbezug oder Geschäftsbezug
▪ Wird im Kontext BDSG / DSGVO als technisch-organisatorische Maßnahme verwendet
Informationssicherheit
▪ Schutz von Informationen
▪ Unerheblich, ob digitale oder analoge Informationen
▪ Zu den Informationen gehören neben Betriebs- und Geschäftsinformationen auch
personenbezogene Informationen
Quelle: https://www.datenschutzbeauftragter-info.de/unterschiede-zwischen-datenschutz-datensicherheit-informationssicherheit-oder-it-sicherheit/
Betriebsgeheimnis
▪ Informationen, die als „Kronjuwelen“ bezeichnet werden
▪ Idealerweise handelt es sich hierbei um ca. 5% aller Unternehmensinformationen
▪ Beispiele:
▪ Konstruktionszeichnungen
▪ Expansionspläne
▪ Stücklisten
▪ Neue Programme
Personenbezogene Daten
▪ Umfasst auch personenbeziehbare Daten
▪ Daten, die einer natürlichen Person direkt oder indirekt zugeordnet werden können
▪ Beispiele:
▪ Vor- und Nachname
▪ Sozialversicherungsnummer
▪ Krankheiten
▪ IP-Adresse
APT-Aktivitäten in 2020
APT-Aktivitäten in 2020
APT-Aktivitäten in 2020
„If you're not paying for something, you're not the customer, you're the
product being sold.“
[Andrew Lewis]
• §91 Abs. 2 AktG: Auch wenn es sich hierbei grundsätzlich um das Aktiengesetz
handelt, ist dies gleichzeitig auch für andere Gesellschaftsformen verbindlich
„Ausstrahlungswirkung“
▪ Inhalt, z.B.:
- Vorschriften zur Unabhängigkeit des Prüfungsausschusses (Audit Committee) und des
Aufsichtsrats (Board of Directors)
- Regelungen zur Einrichtung von Hinweisgebersystemen und einem Whistleblower-Schutz
- Erweiterte finanzielle Offenlegungspflichten (IKS)
- Verschärfte Strafvorschriften
- Erhöhte Haftungsanforderungen an das Management für die korrekte Finanzberichterstattung
(„Integrität“)
▪ In Europa: Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates vom 17. Mai 2006 über
Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen (EuroSOX)
•
Je nach Sektor müssen verschiedene Anlagenkategorien und Schwellwerte
berücksichtigt werden
• Sanktionen
Telekommunikationsgesetz
[Quelle: Telekommunikationsgesetz]
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 45
2. Informationssicherheitsmanagement
Rechtliche Aspekte
[Quelle: Strafgesetzbuch]
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 48
2. Informationssicherheitsmanagement
Rechtliche Aspekte
(1) Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das
Vermögen eines anderen dadurch beschädigt, dass er das Ergebnis eines Datenverarbeitungsvorgangs durch
unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten oder sonst
durch unbefugte Einwirkung auf den Ablauf beeinflusst, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit
einer Geldstrafe bestraft. […]
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn
bestimmt und die gegen unberechtigten Zugang besonders gesichert sind,
unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe
bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch,
magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder
übermittelt werden.
[Quelle: Strafgesetzbuch]
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 52
2. Informationssicherheitsmanagement
Rechtliche Aspekte
Wer unbefugt sich oder einem anderen unter Anwendung von technischen
Mitteln nicht für ihn bestimmte Daten (§202a Abs. 2) aus einer
nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen
Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit
Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat
nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.
[Quelle: Strafgesetzbuch]
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 53
2. Informationssicherheitsmanagement
Rechtliche Aspekte
(1) Wer eine Straftat nach §202a oder §202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten
(§202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen
überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft. […]
[Quelle: Strafgesetzbuch]
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 54
2. Informationssicherheitsmanagement
Rechtliche Aspekte
EU DSGVO / BDSG-neu
Europäische Datenschutz-Grundverordnung
▪ Europäisches Parlament hat die DSGVO im April 2016 mehrheitlich angenommen
▪ Übergangsphase für Unternehmen: bis 25.05.2018
▪ Ziele:
Stärkung des Grundrechts auf informationelle Selbstbestimmung durch höhere
Transparenz und mehr Mitbestimmung der Bürger:innen mit Blick auf ihre Daten
Zukunftsorientierter Rechtsrahmen für datenverarbeitende Unternehmen und
innovative Geschäftsmodelle
Managementsystem
Als Management-System für ein Thema X bezeichnet man allgemein alles, was
eingesetzt wird, um die wesentlichen Ziele für das Thema X zu ermitteln, diese Ziele
zu erreichen und ihre Aufrechterhaltung zu überwachen. Typisch ist:
▪ Ziele in Form von Leitlinien zu formulieren,
▪ Risiken und Chancen für diese Ziele zu analysieren,
▪ Rollen bzw. Verantwortlichkeiten für bestimmte (Teil-)Ziele zu definieren,
▪ Methoden oder Verfahren zu deren Erreichung zu vermitteln,
▪ den vom Thema X Betroffenen besondere Regelwerke oder Richtlinien
aufzugeben,
▪ Prozesse bzw. Abläufe und dafür erforderliche Maßnahmen zu planen und
umzusetzen,
▪ Überprüfungen der Zielerreichung zu planen, durchzuführen und auszuwerten.
Sicherheitsziel: Vertraulichkeit
Ziel
verhindern, dass geheime Information für unberechtigte Dritte zugänglich wird
Verschlüsselung
Algorithmus, der aus einem Schlüssel und einem Klartext eine scheinbar sinnlose
Zeichenfolge erzeugt, die durch die Anwendung eines zweiten Schlüssels wieder in
den Klartext umgewandelt werden kann
Symmetrische und asymmetrische Verschlüsselung
Sicherheitsziel: Integrität
Ziel
garantieren, dass Daten in unveränderter Form (im „Originalzustand“) vorliegen
Hash-Funktionen
Einweg-Funktion, die aus beliebigen Daten einen Hash-Wert („elektronischer Fingerabdruck“) in der
Länge von 160 Bit oder höher erzeugt, aus dem die Daten nicht rekonstruiert werden können. Bei
jeder Veränderung der Daten verändert sich auch der Hash-Wert („Elektronischer Fingerabdruck“).
Algorithmen: SHA1 (160 Bit), SHA256, ...
Need-to-Know-Prinzip
Jeder Anwender soll nur so viele Berechtigungen haben, wie er für die Erfüllung seiner Aufgaben
unbedingt benötigt.
Separation-of-Duties-Prinzip
Jeder Geschäftsprozess soll von mehr als einem Anwender bearbeitet werden, so dass
Manipulationen bemerkt werden können.
Rotation-of-Duties-Prinzip
Aufgabenbereiche werden zwischen den Anwendern regelmäßig getauscht, so dass ein ausgefallener
Anwender durch Kollegen vertreten werden kann und dass Manipulationen durch diese Kollegen
bemerkt werden können.
Sicherheitsziel: Verfügbarkeit
Ziel
Gewährleistung, dass Dienste den berechtigten Benutzern stets zur Verfügung
stehen
Attacken:
Denial-of-Service-Attacke (DoS)/Distributed-Denial-of-Service-Attacke (DDoS): Ein
Server wird mit „sinnlosen“ Anfragen überflutet, sodass er seiner ursprünglichen
Aufgabe nicht (oder nicht im vollen Umfang) nachkommen kann.
Ransomware/Verschlüsselungstrojaner
Maßnahmen:
Erkennen von atypischen Nutzungsmustern
Beschränkung der Ressourcenzuweisungen an einzelne Benutzer
Backup
Dokumentation
Security Policy – bzw. Sicherheitsleitlinie
▪ Dokumentation von Zielen
▪ Erklärung des Top-Management zur Informationssicherheit
Risikomanagement
▪ Risikobewertungs- und Risikobehandlungsmethodik
Obligatorische Sicherheitsrichtlinien
▪ Akzeptable Nutzung von Assets
▪ Richtlinie für Zugriffs-Kontrolle
▪ Betriebsverfahren für das IT-Management
▪ Umgang mit Lieferanten
▪ Incident-Management
▪ Business Continuity Management
▪ Compliance Anforderungen (Gesetze, Behörden, Verträge)
Begriffe
Assets
▪ Alles, was für eine Organisation einen Wert darstellt, z.B. Grundstücke, Gebäude, Maschinen und
Anlagen, Geschäftsprozesse etc.
▪ Information Assets (Informationswerte) wie Daten, Systeme, Anwendungen, IT Services.
▪ Ergänzend kann man auch Soft Assets betrachten, wie z.B. das Image oder die Kreditwürdigkeit einer
Organisation.
Ereignis (Event)
▪ Jede Änderung des Zustands einer Informationsverarbeitung im Rahmen der Risikobeurteilung
(Sicherheits-)Notfall
▪ ist ein Sicherheitsvorfall mit gravierenden oder sogar katastrophalen Auswirkungen auf die Sicherheit.
ISO/IEC 27001
Sicherheitsziele werden in der Norm nur beispielhaft aufgezählt und sind meist mit
den Begriffen Vertraulichkeit, Integrität und Verfügbarkeit verbunden.
Die Vertraulichkeit von Informationen zu wahren meint, dass diese nur einem
entsprechend autorisierten Personenkreis zur Kenntnis gelangen.
Ähnlich meint die Wahrung der Integrität von Daten, dass nur autorisierte
Änderungen vorgenommen werden dürfen.
Bei der Verfügbarkeit geht es darum, dass Daten, Systeme und Services für
autorisierte Zwecke ausreichend schnell zur Verfügung stehen müssen –
Verzögerungen sind nur in akzeptablen Umfang zulässig.
Praktische Vorgehensweise
▪ Tabelle, in der in der ersten Spalte die 114 Controls eingetragen werden,
▪ anschließend wird für jedes Top Level Asset eine weitere Spalte vorgesehen.
▪ Für jedes Asset und jedes Control wird dann in das entsprechende Feld eingetragen,
ob das Control relevant ist.
▪ Zentrale Baustein für die Risikobehandlung
▪ Für die geplanten Optionen und Maßnahmen lassen sich auch Kostenschätzungen
ableiten, die wiederum in den Genehmigungsprozess bei der Leitung einfließen
müssen.
▪ Die Zusammenfassung dieser Daten wird als Statement of Applicability (SoA)
bezeichnet.
[Quelle: https://www.roedl.de/themen/digital-grc-kompass/2021/03/isis12-wird-cisis12-isms-aktualisiert]
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 72
2. Informationssicherheitsmanagement
Basisanforderungen an ein ISMS
Vorgehensweise
Es werden Basis- und erweiterte Anforderungen gestellt
Der Standard wird als Einstieg für KMU gesehen
Detaillierte Hinweise zu einzelnen Technologien oder organisatorischen Maßnahmen
werden in den Anforderungen referenziert
Eine Zertifizierung auf Basis dieses Standards ist möglich
Ergänzung: ITIL
Referenzmodell für IT-Serviceprozesse
Sicherheitsaspekte sind unverzichtbarer Bestandteil eines ordnungsgemäßen IT-
Betriebs
Überblick
Standard über ISMS-Standards
Typische Merkmale
ISO/IEC 27001 Internationale Norm; technikneutral; Handlungsanweisungen konzeptionell
beschrieben; technische und organisatorische Maßnahmen müssen erstellt werden;
insbesondere geeignet bei internationaler Ausrichtung der Institution; Zertifizierung
nach internationalem Vorgehen
VdS 10000 Von der VdS Schadensverhütung GmbH konzipiert; entwickelt in erster Linie als
schnellen Einstieg für KMU; besondere Anforderungen werden definiert, der
finanzielle und organisatorische Aufwand sollte gering gehalten werden; Zertifikat
kann Dritten die Sensibilität im Umgang mit Informationssicherheit nachweisen
Schutzbedarf
▪ Schutzbedarf wird für ein Zielobjekt bestimmt
▪ Ausmaß des Schadens, der entstehen kann
▪ Häufigkeit oder Wahrscheinlichkeit des Eintritts des Schadens
Vertraulichkeit
▪ Öffentlich: Information für internen Gebrauch und für Kunden / Partner; möglicher
finanzieller Verlust zwischen x€ und y€, Bruch von Gesetzesvorgaben oder
Vertragsbedingungen mit finanzieller Auswirkung ist möglich.
▪ Externer Gebrauch: Information für internen Gebrauch und für Kunden / Partner.
Möglicher finanzieller Verlust zwischen x€ und y€, Bruch von Gesetzesvorgaben
oder Vertragsbedingungen mit finanzieller Auswirkung ist möglich.
▪ Interner Gebrauch: Informationen ausschließlich für internen Gebrauch.
Möglicher finanzieller Verlust zwischen x€ und y€. Bruch von Gesetzesvorgaben
oder Vertragsbedingungen mit hohem finanziellen Schaden möglich.
Vertrauensbruch kann zu Personenschäden führen.
▪ Vertraulich: Möglicher finanzieller Verlust von mehr als y€. Bruch von gesetzlichen
Anforderungen kann zu Strafverfolgung mit möglicher Gefängnisstrafe führen.
Informationsverlust kann zu schwerer Verletzung von Personen oder dem Verlust
von Menschenleben führen.
Integrität
▪ None: Keine besonderen Ansprüche an die Integrität. Allgemeine Grundsätze
ordnungsgemäßer Verarbeitung müssen eingehalten werden
▪ Normal: Integritätsverletzungen bedeuten ein erkennbares wirtschaftliches Risiko.
Geeignete Sicherheitsmaßnahmen müssen getroffen werden.
▪ Hoch: Integritätsverletzungen bedeuten ein großes wirtschaftliches Risiko,
insbesondere für Geldflüsse, Nachweis- und Abstimmungssysteme. Rechtliche
Verpflichtungen können nicht eingehalten werden. Starke Sicherheitsmaßnahmen
müssen umgesetzt werden.
Verfügbarkeit
▪ Basic: Es gibt keine Verfügbarkeitsanforderungen
▪ Normal: Die Verfügbarkeit muss zu 98% gewährleistet werden. Ausfallzeit 24-72
Stunden
▪ Hoch: Die Verfügbarkeit liegt bei 99,8 %. Ausfallzeit 4-24 Stunden
▪ Sehr hoch: Es darf keine ungeplante Unterbrechung stattfinden. Ausfallzeit
maximal 4 Stunden
▪ Eine Bedrohung stellt eine potenzielle Gefahr dar, die durch eine Schwachstelle
(Vulnerability) ausgelöst / ausgenutzt werden kann.
▪ Dies kann ein Ereignis sein, welches Schaden verursacht:
- Angriff auf ein System
- Angriff auf eine Kommunikation (Übertragungsstrecken)
- Angriff auf den Informationsinhalt einer Nachricht
- Spionage / Sabotage
- Aufgrund höherer Gewalt (z.B. Naturkatastrophen)
- Vorsatz durch Menschen / Mitarbeiter:innen
Bedrohungslagen - Informationsquellen
Siehe auch:
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-
hacks/
Angriffsvektoren
Angreifer führt eigenen Code aus, den er über eine Sicherheitslücke eingeschleust hat
Viele Möglichkeiten zur Fernsteuerung über das Internet
Beschreiten von Umwegen um das Ziel zu erreichen
Öffentliche Listen von Sicherheitslücken und den dazu passenden Angriffswegen im Internet/Dark-Net
verfügbar
Externe Angriffe
Einschleusen von Schadsoftware
Interne Angriffe
Frustration, Social Engineering, Bestechung
Physikalische Angriffe
Physikalische Zugangskontrolle
Eintrittswahrscheinlichkeit
Unternehmens-
risiko
Risikomanagement-Prozess
4. Steuerung 5. Überwachung
Risiko
▪ der mögliche Eintritt von Sicherheitsereignissen in der Informationssicherheit
▪ Ein Risiko wird in aller Regel als eine Kombination aus Eintrittswahrscheinlichkeit und Schadenhöhe definiert.
▪ Ein Risiko kann immer dann eintreten, wenn Schwachstellen vorhanden sind, d.h. wenn Sicherheitsmaßnahmen
fehlen, ungeeignet konstruiert oder fehlerhaft angewendet werden. Man spricht von konstruktiven bzw. operativen
Schwachstellen.
Risikoidentifizierung
▪ Ermittlung von einzelnen Risiken für die Informationswerte der Organisation, soweit sie im Anwendungsbereich des
ISMS liegen.
▪ Diese Ermittlung muss im Zusammenspiel mit den Verantwortlichen (Asset Owner bzw. Risk Owner) für die
einzelnen Informationswerte geschehen.
Risikoanalyse
▪ Für jedes Risiko wird die Schadenhöhe und die Eintrittshäufigkeit abgeschätzt, das Risiko dementsprechend
festgelegt – z. B. in eine Risikoklasse eingeordnet.
Risikobewertung
▪ Feststellung, welche Auswirkungen ein Risiko auf die Organisation hat: Meist geschieht dies durch eine Bewertung
der Risiken mit Stufen wie TOLERABEL, MITTEL, HOCH, KATASTROPHAL.
▪ In der Norm wird Risikobeurteilung als Zusammenfassung aus Risikoidentifizierung, Risikoanalyse und
Risikobewertung betrachtet.
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 100
3. Risikomanagement in der Informationssicherheit
Risikomanagement durchführen
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 101
3. Risikomanagement in der Informationssicherheit
Risikomanagement durchführen
Risikobehandlung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 102
Gliederung
2. Informationssicherheitsmanagement Schadsoftware
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 103
4. Gefahrenidentifikation und Schädlinge
Differenzierung von Angreifertypen
Diskussion:
▪ Wie kann ich einen Angreifer ermitteln?
▪ Wer will mich / mein Unternehmen angreifen?
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 104
4. Gefahrenidentifikation und Schädlinge
Differenzierung von Angreifertypen
▪ Neugierde
▪ Spaß an der Technik
▪ Geld
▪ Anerkennung
▪ Herausforderung
▪ Zerstörungswut
▪ Strafverfolgung
Quelle: Cyber-Sicherheit, Das Lehrbuch für Konzepte, Prinzipien, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung,
N. Pohlmann, Springer Vieweg, 2019, S. 30ff
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 105
4. Gefahrenidentifikation und Schädlinge
Differenzierung von Angreifertypen
▪ Neugierde
„Will mal in die Systeme schauen“
▪ Spaß an der Technik
„Will mal schauen, was ich mit der Technik erreichen kann“
▪ Geld
„Ich kann mit dem Angriff Geld verdienen“
▪ Anerkennung
„Ich informiere innerhalb der Gesetze über Sicherheitslücken“
▪ Herausforderung
„Das scheint schwierig zu sein, aber ich werde es schaffen“
▪ Zerstörungswut
„Das werde ich heimzahlen, indem ich das System zerstöre“
▪ Strafverfolgung
„Der Angriff erfolgt im Rahmen einer Strafverfolgung“
Quelle: Cyber-Sicherheit, Das Lehrbuch für Konzepte, Prinzipien, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung,
N. Pohlmann, Springer Vieweg, 2019, S. 30ff
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 106
4. Gefahrenidentifikation und Schädlinge
Differenzierung von Angreifertypen
▪ Hacker
▪ IT-Spione
▪ IT-Terroristen
▪ Unternehmens-Cracker
▪ Professionelle Kriminelle / Berufskriminelle / Cyber-Kriminelle
▪ Vandalen
▪ Penetration Tester
▪ Behördenmitarbeiter
▪ Eigene Mitarbeiter / Innentäter
▪ Skript-Kiddies
▪ White / Grey Hacker
Quelle: Cyber-Sicherheit, Das Lehrbuch für Konzepte, Prinzipien, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung,
N. Pohlmann, Springer Vieweg, 2019, S. 30ff
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 107
4. Gefahrenidentifikation und Schädlinge
Differenzierung von Angreifertypen
▪ Hacker
- Brechen in IT-Systeme und Netzwerke ein
- Sehen im Hacking eine Herausforderung
- Eigener Status wird definiert / erhöht
- Häufig ohne böse Absicht
- Agieren unberechenbar und ein hoher Schaden kann entstehen
▪ IT-Spione
- Bezahlte Spezialisten
- Versuchen gezielt an Informationen zu gelangen
- Ziele sind meist politisch (Nachrichtendienste) oder wirtschaftlich
(Wettbewerbsvorteile) begründet
▪ IT-Terroristen
- Verursachen aus politischen Gründen Angst und Chaos
- Wollen auf Missstände und / oder politische Ziele aufmerksam machen
Quelle: Cyber-Sicherheit, Das Lehrbuch für Konzepte, Prinzipien, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung,
N. Pohlmann, Springer Vieweg, 2019, S. 30ff
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 108
4. Gefahrenidentifikation und Schädlinge
Differenzierung von Angreifertypen
▪ Unternehmens-Cracker
- Mitarbeiter, die IT-Systeme und Netzwerke von Konkurrenzunternehmen angreifen
- Ziel hierbei sind finanzielle Vorteile
- Fokus liegt bei z.B. Entwicklungsunterlagen, Strategieplänen,
Vertriebsinformationen, Kundendaten
▪ Professionelle Kriminelle / Berufskriminelle / Cyber-Kriminelle
- Ziel ist die persönliche Bereicherung
- Methoden z.B. nicht bezahlte Nutzung von Dienstleistungen, oder unberechtigte
Abbuchungen von fremden Konten, Erpressungen
▪ Vandalen
- Motivation häufig reine Zerstörungswut
- Es wird gezielt Schaden zugefügt (Gegenstände, Organisationen, Personen)
▪ Behördenmitarbeiter
- Mitarbeiter aus Strafverfolgungsbehörden nutzen Sicherheitslücken aus
- Ziel ist die Durchsetzung von Strafverfolgung
Quelle: Cyber-Sicherheit, Das Lehrbuch für Konzepte, Prinzipien, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung,
N. Pohlmann, Springer Vieweg, 2019, S. 30ff
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 109
4. Gefahrenidentifikation und Schädlinge
Differenzierung von Angreifertypen
▪ Penetration Tester
- Beauftragte Sicherheitsexperten
- Untersuchen IT-Systeme mit Mitteln und Methoden eines Angreifers jeglichen Types
- Schwachstellen werden entdeckt und zur Umsetzung von Maßnahmen genannt
▪ Skript-Kiddies
- In der Regel nicht volljährige Person, die vorgefertigte Programme nutzt, um in
fremde Netzwerke und IT-Systeme einzudringen und diesen zu schaden
- Besonderes Merkmal: keine IT-Ausbildung und kaum Kenntnisse im IT-Bereich
- Amateur-Hacker, mit Spaß am Hacken, Spieltrieb, Anerkennungssucht, politische
Motivation
▪ White / Grey Hacker
- White Hacker: Setzen ihre Fähigkeiten ein, um Sicherheitslücken aufzudecken
- Grey Hacker: sind davon überzeugt, dass sie Unternehmen helfen, indem sie ihre
Webseiten hacken und sich ohne Erlaubnis Zugang zu den Netzwerken verschaffen
Quellen:
- Cyber-Sicherheit, Das Lehrbuch für Konzepte, Prinzipien, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung,
N. Pohlmann, Springer Vieweg, 2019, S. 30ff
- https://it-forensik.fiw.hs-wismar.de/index.php/Skript-Kiddie
- https://www.kaspersky.de/resource-center/definitions/white-hat-hackers
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 110
4. Gefahrenidentifikation und Schädlinge
Differenzierung von Angreifertypen
- Unbewusstes Täterhandeln:
- Opfer eines klassischen oder digitalen Social Engineering-Angriffs (z.B. CEO-Fraud)
- Sicherheitsregeln werden aus Unkenntnis, Sorglosigkeit oder Fahrlässigkeit missachtet
Quelle: Monitoringbericht Innentäter in Unternehmen 2, Aktuelle inländische Forschungsbeiträge, wesentliche Ergebnisse und Handlungsempfehlungen, Bundeskriminalamt, 2/2020
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 111
4. Gefahrenidentifikation und Schädlinge
Differenzierung von Angreifertypen
Quelle: Monitoringbericht Innentäter in Unternehmen 2, Aktuelle inländische Forschungsbeiträge, wesentliche Ergebnisse und Handlungsempfehlungen, Bundeskriminalamt, 2/2020
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 112
4. Gefahrenidentifikation und Schädlinge
Differenzierung von Angreifertypen
- Fazit:
- Meist männlich und im Unternehmen respektierte Personen
- Zwischen 30-60 Jahre alt
- Meist 6-20 Jahre im Unternehmen (mit zunehmender Unternehmenszugehörigkeit sinkt die
Häufigkeit, aber die Schäden steigen)
- Meist mittleres bis Top-Management (bei bestimmten Delikten auch ohne
Führungsverantwortung)
- Meist höher gebildet (z.B. bei Korruption, Geldwäsche, Wettbewerbsdelikten), je nach Delikt
auch eine niedrigere Bildung (z.B. Betrug, Untreue)
- Indikatoren
- Outsourcing-Situationen
- Unzufriedenheit am Arbeitsplatz
- Versuch der Erweiterung oder Überschreitung der Zugriffsberechtigungen
- Auffällige Neugier
- Verdächtige Kontakte zu ausländischen Staaten oder Konkurrenzunternehmen
- Regelwidriges Einbringen und Nutzen mobiler Endgeräte oder Datenträger
- Ungewöhnliche Arbeitszeiten
Quelle: Monitoringbericht Innentäter in Unternehmen 2, Aktuelle inländische Forschungsbeiträge, wesentliche Ergebnisse und Handlungsempfehlungen, Bundeskriminalamt, 2/2020
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 113
4. Gefahrenidentifikation und Schädlinge
Differenzierung von Angreifertypen
§263a
Täter 2020 gem. Polizeilicher Kriminalstatistik StGB
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 114
4. Gefahrenidentifikation und Schädlinge
Differenzierung von Angreifertypen
§263a
Täter 2020 gem. Polizeilicher Kriminalstatistik StGB
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 115
4. Gefahrenidentifikation und Schädlinge
Differenzierung von Angreifertypen
u.a.
Kunst-
Täter 2020 gem. Polizeilicher Kriminalstatistik urheber-
rechtsG
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 116
4. Gefahrenidentifikation und Schädlinge
Differenzierung von Angreifertypen
§269 +
Täter 2020 gem. Polizeilicher Kriminalstatistik §270
StGB
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 117
4. Gefahrenidentifikation und Schädlinge
Differenzierung von Angreifertypen
Hacker-
para-
Täter 2020 gem. Polizeilicher Kriminalstatistik graphen
§202ff
StGB
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 118
4. Gefahrenidentifikation und Schädlinge
Differenzierung von Angreifertypen
§263a
Täter 2020 gem. Polizeilicher Kriminalstatistik StGB
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 119
4. Gefahrenidentifikation und Schädlinge
Differenzierung von Angreifertypen
§263a
Täter 2020 gem. Polizeilicher Kriminalstatistik StGB
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 120
Gliederung
2. Informationssicherheitsmanagement Schadsoftware
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 121
4. Gefahrenidentifikation und Schädlinge
Schadsoftware
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 122
4. Gefahrenidentifikation und Schädlinge
Schadsoftware
▪ Viren
- Schäden: Zerstören / Verändern von Dateien, Stören des normalen Betriebs
- IT-System wird befallen und Dateien infiziert
- Übertragungsweg nicht relevant; häufig: Wechseldatenträger, E-Mail-Anhänge, Cloud-Speicher
- Muss aktiv kopiert / verbreitet werden
▪ Würmer
- Schäden: Daten kopieren, Speicherplatz belegen, Programme / Hardware zerstören
- Netzwerkverbindung und Zielsystem mit einer Sicherheitslücke ausreichend
- In einem E-Mail-Anhang und eine Sicherheitslücke kann z.B. auf Kontakte im Adressbuch
zugegriffen werden
- Übertragungswege: Bluetooth, Chat-Systeme, Wechseldatenträger und der Auto-Start-Funktion
des IT-Systems
▪ Trojanisches Pferd
- Schäden: Tastatureingaben aufzeichnen, Sniffer (Daten abgreifen), Backdoors (Rechner kann
ferngesteuert werden), Botnet-Client um Spam zu verschicken
- Trojanisches Pferd gibt sich als nützliche / harmlose Datei aus, die auf den Rechner geladen
wird
- Übertragungswege: harmlose Datei auf dem Rechner, in versteckten Anhängen / Bildern kann
sich das Trojanische Pferd befinden
Quelle: Universität Mannheim, Schadprogramme
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 123
4. Gefahrenidentifikation und Schädlinge
Schadsoftware
▪ Spyware
- Schäden: Sammeln persönlicher Daten (E-Mail- oder Online-Bankingzugänge), Protokollierung
Surfgewohnheiten, Erstellen benutzerspezifische Marketing-Profile, Verkauf der Daten
- Läuft in der Regel still und leise im Hintergrund, Anwender bemerkt nicht / sehr spät, dass er
ausspioniert wird
- Übertragungswege: Installation von Gratis-Software, über Trojaner installiert
▪ Scareware
- Schäden: Anwender soll verunsichert werden, Sicherheitsproblem wird vorgegaukelt
- Aufmerksamkeit wird durch Pop-up-Fenster erregt, die Sicherheitsmeldungen des Betriebssystems
ähneln oder angeblich begangene Straftaten vorgetäuscht werden (z.B. Besitz kinderpornographisches
Material)
- Übertragungswege: kostenpflichtige „Sicherheitssoftware“ verspricht Lösung des Problems, jedoch
werden nur die Warnmeldungen abgeschaltet
▪ Adware
- Schäden: Sammelt Daten über besuchte Seiten und sendet diese an den Hersteller, angezeigte
Werbung soll individualisiert werden
- Meist wird Werbung im Browser oder als Pop-up-Fenster angezeigt, Suchanfragen werden an
Werbeseiten weitergeleitete
- Können freiwillig und bewusst installiert werden, z.B. für die Finanzierung von kostenlosen Programmen
- Übertragungswege: durch Installation anderer Software durch Häkchen, dass Installation von Adware
zugestimmt wird
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 124
4. Gefahrenidentifikation und Schädlinge
Schadsoftware
▪ Ransomware
- Schäden: Festplatten / Netzwerke mit allen Daten werden verschlüsselt und
Lösegeld gefordert
- Die Zahlung von Lösegeld sollte nicht erfolgen, da es keine Garantie für eine
erfolgreiche Entschlüsselung gibt
- Datensicherungen / Backups sollten regelmäßig durchgeführt werden
- Häufig muss die gesamte IT-Umgebung ausgetauscht werden
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 125
Gliederung
2. Informationssicherheitsmanagement Schadsoftware
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 126
4. Gefahrenidentifikation und Schädlinge
Cyberangriffe
Definition Cyberangriff
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 127
4. Gefahrenidentifikation und Schädlinge
Cyberangriffe
Definition Cyberangriff
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 128
4. Gefahrenidentifikation und Schädlinge
Cyberangriffe
Quelle: F-Secure, Blog, Die 5 Phasen einer Cyberattacke: Sichtweise des Angreifers
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 129
4. Gefahrenidentifikation und Schädlinge
Cyberangriffe
Quelle: F-Secure, Blog, Die 5 Phasen einer Cyberattacke: Sichtweise des Angreifers
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 130
4. Gefahrenidentifikation und Schädlinge
Cyberangriffe
Quelle: F-Secure, Blog, Die 5 Phasen einer Cyberattacke: Sichtweise des Angreifers
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 131
4. Gefahrenidentifikation und Schädlinge
Cyberangriffe
Quelle: F-Secure, Blog, Die 5 Phasen einer Cyberattacke: Sichtweise des Angreifers
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 132
4. Gefahrenidentifikation und Schädlinge
Cyberangriffe
▪ Phase 4: Eskalieren der Privilegien (Wochen oder Tage vor der Erkennung)
- Das Level der Sicherheitsfreigaben wird geprüft, um an die richtigen Ziele zu
gelangen
- Kontrolle über Zugangskanäle und Zugangsberechtigungen liegen beim
Angreifer
Quelle: F-Secure, Blog, Die 5 Phasen einer Cyberattacke: Sichtweise des Angreifers
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 133
4. Gefahrenidentifikation und Schädlinge
Cyberangriffe
Quelle: F-Secure, Blog, Die 5 Phasen einer Cyberattacke: Sichtweise des Angreifers
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 134
4. Gefahrenidentifikation und Schädlinge
Cyberangriffe
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 135
4. Gefahrenidentifikation und Schädlinge
Cyberangriffe
▪ Man-in-the-Middle-Angriffe (MitM)
- Angreifer schaltet sich in die Kommunikation zwischen einem Client und dem
Server ein
- Häufigste Formen:
- Session-Hijacking:
- Verbindung zwischen vertrauenswürdigen Client und Server wird gekapert
- Angreifender Rechner ersetzt IP-Adresse des vertrauenswürdigen Client
- IP-Spoofing:
- Angreifer überzeugt System, dass es mit einer bekannten, vertrauenswürdigen Entität
kommuniziert
- Paket wird an Zielhost gesendet, welches bei Annahme Zugriff gewährt
- Replay-Angriff:
- Angreifer fängt Nachrichten ab, speichert diese und versucht sie später erneut zu
senden
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 136
4. Gefahrenidentifikation und Schädlinge
Cyberangriffe
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 137
4. Gefahrenidentifikation und Schädlinge
Cyberangriffe
▪ Drive-by-Downloads
- Wird zur Verbreitung von Schadsoftware über ungesicherte Webseiten genutzt
- Schadsoftware wird über schädlichen Skript in den HTTP- oder PHP-Code
eingeschleust
- Skript kann bei Besuch der Webseite Schadsoftware laden und installieren oder
Besucher wird auf eine andere Webseite weitergeleitet
- Besuch der Webseite reicht aus, Anzeige einer E-Mail oder ein Pop-up-Fenster
- Es muss keine Aktion ausgeführt werden, die Schadsoftware wird über
Sicherheitslücke installiert
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 138
4. Gefahrenidentifikation und Schädlinge
Cyberangriffe
▪ Kennwortangriffe
- Zur Authentifizierung von Benutzern mit Kennwörtern
- Kennwörter von Schreibtischen kopieren, Netzwerkverbindung abhören,
unverschlüsselte Kennwörter kompromittieren, Social-Engineering nutzen
- Häufigste Formen:
- Brute-Force-Angriff:
- Erraten des Kennworts nach dem Zufallsprinzip oder logisches Vorgehen
- Wörterbuchangriff:
- Wörterbuch mit gängigen Kennwörtern wird genutzt
- verschlüsselte Datei mit Kennwörtern wird kopiert und die verschlüsselten Werte
werden mit bereits bekannten Wörterbüchern derselben Verschlüsselung verglichen
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 139
4. Gefahrenidentifikation und Schädlinge
Cyberangriffe
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 140
4. Gefahrenidentifikation und Schädlinge
Cyberangriffe
▪ Cross-Site-Scripting (XSS)
- Schädliches JavaScript wird in die Datenbank einer Webseite eingeschleust
- Werden meist über VBScript, ActiveX und Flash ausgeführt, meistens jedoch
JavaScript (am meisten verbreitet)
- Besonders gefährlich, wenn weitere Sicherheitslücken ausgenutzt werden
- Ziel der Schadsoftware:
- Cookies abgreifen
- Tastatureingaben protokollieren
- Screenshots erfassen
- Netzwerkinformationen auffinden und erfassen
- Fernzugriff
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 141
4. Gefahrenidentifikation und Schädlinge
Cyberangriffe
▪ Abhören
- Netzwerkdatenverkehr wird abgefangen
- Kennwörter, Kreditkartennummern und vertrauliche Informationen können
mitgelesen und gespeichert werden
- Formen:
- Passives Abhören:
- Informationen werden beim Abhören der Nachrichtenübertragung abgegriffen
- Aktives Abhören:
- Angreifer täuscht fremde Identität vor und sendet Abfragen an die Sender
- wird als Sondieren, Scannen oder Manipulation bezeichnet
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 142
4. Gefahrenidentifikation und Schädlinge
Cyberangriffe
▪ Geburtstagsangriffe
- Die Integrität einer Nachricht, Software oder digitalen Signatur wird überprüft
(Hashalgorithmus)
- Nachrichtenhash hat eine fest Länge, unabhängig der Länge der
Eingabenachricht
- Geburtstagsangriff bezieht sich auf Wahrscheinlichkeit, dass zwei zufällige
Nachrichten gefunden werden
- Angreifer kann denselben Nachrichtenhash berechnen und ersetzt unbemerkt
die ursprüngliche Nachricht
- Der Angriff kann nicht erkannt werden
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 143
4. Gefahrenidentifikation und Schädlinge
Cyberangriffe
▪ Malware
- Schadsoftware auf den Clients
- Häufige Formen:
- Makroviren:
- Makros in Office-Dokumenten
- Dateiinfektoren:
- .exe-Dateien, der beim Öffnen einen Viruscode ausführt
- System- oder Boot-Record-Infektoren:
- Beim Start wird der Virus in den Arbeitsspeicher geladen
- Polymorphe Viren:
- Verschlüsselungs- und Entschlüsselungszyklen der Viren-Verstecke variiert, bevor sie
mutieren
- Stealth-Viren:
- Nutzen Systemfunktionen, um sich zu verstecken und kompromittieren Anti-Virensoftware
- Dropper:
- Kann eine Verbindung zum Internet aufbauen, Viren installieren und Updates für
Schadsoftware herunterladen
- Selbst kein schädlicher Code enthalten, wird deshalb oft nicht erkannt
- Logikbomben:
- wird an einem bestimmten Ereignis (z.B. Datum, Uhrzeit) ausgelöst
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 144
Gliederung
2. Informationssicherheitsmanagement Schadsoftware
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 145
4. Gefahrenidentifikation und Schädlinge
Social Engineering
▪ Historie
- 1945 wurde der Begriff von Karl Popper erschaffen: soziologische und
psychologische Elemente zur Verbesserung gesellschaftlicher Strukturen
- Basiert auf dem Prinzip, dass Menschen wie eine Maschine optimiert werden können
- 1970er: die Theorie wird um psychologische Taschenspielertricks ergänzt
- Neues Ziel: die Menschen zu einem besseren Miteinander und einem größeren
Gesundheitsbewusstsein bewegen
Quellen: Hornetsecurity, Social Engineering, https://www.hornetsecurity.com/de/wissensdatenbank/social-engineering/ und G Data, Was ist eigentlich Social Engineering?,
https://www.gdata.de/ratgeber/was-ist-eigentlich-social-engineering
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 146
4. Gefahrenidentifikation und Schädlinge
Social Engineering
▪ Social Engineers versuchen, Menschen zu manipulieren und sie so für die kriminellen
Zwecke zu instrumentalisieren
- Bekannter Social Engineer: Kevin Mitnick
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 147
4. Gefahrenidentifikation und Schädlinge
Social Engineering
▪ Branchenunabhängig:
- Behörden
- Konzerne
- Privatpersonen
Quellen: Hornetsecurity, Social Engineering, https://www.hornetsecurity.com/de/wissensdatenbank/social-engineering/ und G Data, Was ist eigentlich Social Engineering?,
https://www.gdata.de/ratgeber/was-ist-eigentlich-social-engineering
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 148
4. Gefahrenidentifikation und Schädlinge
Social Engineering
▪ Psychologen Myles Jordan und Heather Goudey haben 12 Faktoren identifiziert, z.B.:
- Unerfahrenheit
- Neugier
- Gier
- Wunsch nach Liebe
- Autorität
- Vertrauen
- Eile
- Druck
▪ Background-Info: Emotionen und Persönlichkeitsmerkmale werden berührt
- Wenn der Mensch bei seinen Emotionen gepackt wird und der Verstand keinen
Anteil an der Entscheidung hat
Quellen: Hornetsecurity, Social Engineering, https://www.hornetsecurity.com/de/wissensdatenbank/social-engineering/ und G Data, Was ist eigentlich Social Engineering?,
https://www.gdata.de/ratgeber/was-ist-eigentlich-social-engineering
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 149
4. Gefahrenidentifikation und Schädlinge
Social Engineering
▪ Phishing
- Installation Schadsoftware oder sensible Informationen abgreifen
- Via E-Mail, gefälschte Webseiten, Chat-Programme, Telefonanrufe, Social
Media
▪ Baiting
- Mit Schadsoftware infizierte Hardware, z.B. USB-Stick mit Installation eines
Trojanischen Pferdes
▪ Pretexting
- Sinnvoll erscheinendes Szenario wird erschaffen, um an die persönlichen Daten
/ IT-Systeme des Opfers zu gelangen
▪ Tailgaiting
- Zutritt verschaffen durch sinnvolle Story (physischer Zutritt zu Gebäuden)
- Ausleihen von Handy oder Computer, um Schadsoftware zu installieren oder
Daten kompromittieren
Quellen: Kaspersky, Was ist Social Engineering, https://www.kaspersky.de/resource-center/definitions/social-engineering
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 150
4. Gefahrenidentifikation und Schädlinge
Social Engineering
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 151
4. Gefahrenidentifikation und Schädlinge
Social Engineering
▪ Social Media
- Prüfen, mit wem Inhalte geteilt werden
▪ E-Mail
- E-Mail-Adresse korrekt?
- Buchstaben vertauscht?
- Kleines L mit großem I vertauscht?
▪ Telefon
- Kennen Sie den Anrufer nicht, keine sensiblen Daten weitergeben / besprechen
▪ Links
- Links zu Login-Seiten sind mit Vorsicht zu öffnen! Besser direkte Favoriten nutzen
▪ Gewinne
- Niemand hat etwas zu verschenken!
- Nicht auf Gewinn-SMS, -E-Mails oder –Anrufe reagieren
▪ Sicherheitssoftware
- Spam und Phishing-Schutz etablieren
Quellen: G Data, Was ist eigentlich Social Engineering?, https://www.gdata.de/ratgeber/was-ist-eigentlich-social-engineering und Kaspersky, Was ist Social Engineering,
https://www.kaspersky.de/resource-center/definitions/social-engineering
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 152
4. Gefahrenidentifikation und Schädlinge
Social Engineering
Quellen: G Data, Was ist eigentlich Social Engineering?, https://www.gdata.de/ratgeber/was-ist-eigentlich-social-engineering und Kaspersky, Was ist Social Engineering,
https://www.kaspersky.de/resource-center/definitions/social-engineering
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 153
Gliederung
1. Einführung Maßnahmengruppen
2. Informationssicherheitsmanagement Verschlüsselung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 154
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
▪ Technische Maßnahmen
▪ Organisatorische Maßnahmen
▪ Personelle Maßnahmen
▪ Physische Maßnahmen
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 155
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
▪ Technische Maßnahmen
- Maßnahmen aus Hard- und Software, z.B.
- Benutzeraccounts
- Passwörter
- Protokolldateien
- Firewall-Einstellungen
- Smart-Token
- Zertifizierte Hardware
- …
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 156
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
▪ Organisatorische Maßnahmen
- Maßnahmen, die durch Prozesse oder Handlungsanweisungen umgesetzt
werden, z.B.
- Richtlinien, Policies, Guidelines
- Vier-Augen-Prinzip
- Protokollauswertungen
- Intervalle für Stichproben
- Besucheranmeldung und –begleitung
- …
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 157
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
▪ Personelle Maßnahmen
- Maßnahmen, die das Sicherheitsbewusstsein der Mitarbeiter:innen erhöhen und
die Vorgaben umsetzen, z.B.
- Schulungskampagnen
- Prozesse für Mitarbeiter:innen, die das Unternehmen verlassen
- Prozesse für Externe
- Whistleblower-Systeme
- Permanente Aufklärung (z.B. über Social Engineering)
- Prozesse für mobiles Arbeiten
- …
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 158
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
▪ Physische Maßnahmen
- Maßnahmen für den Schutz von Gebäuden, Produkten und anderen
Unternehmenssachwerten, z.B.
- Zutrittskontrolle
- Alarmanlage (u.a. Brandmeldeanlagen, Gas-Löschanlagen)
- Bauliche Maßnahmen (u.a. Umzäunung des Gelände)
- Sicherung von Türen und Fenstern
- …
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 159
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
Generische Maßnahmen-Phasen
▪ Präventionsphase
- Maßnahmen werden eingesetzt, um unerwünschte
Ereignisse oder Zustände abzuwenden
- Risikomanagement
- Lagebeurteilung
▪ Reaktionsphase
- Maßnahmen werden eingesetzt, um Fehler,
Fehlfunktionen oder Sicherheitsvorfälle zu
entdecken
- Incident-Management (technisch)
- Krisen-Management (organisatorisch)
▪ Stabilisationsphase
- Maßnahmen werden eingesetzt, um während eines
unerwünschten Ereignisses / Zustands weiteren
Schaden abzuwehren bzw. den Schaden zu
reduzieren
- Wiederherstellung der IT-Systeme
- Vermeidung weiterer Angriffe
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 160
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
▪ Technisch-präventiv
▪ Technisch-detektiv
▪ Technisch-reaktiv
▪ Organisatorisch-präventiv
▪ Organisatorisch-detektiv
▪ Organisatorisch-reaktiv
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 161
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 162
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
Technische Maßnahmen
▪ Verbindungsverschlüsselung
▪ Hintergrund
- Für eine SSL-Verbindung schickt der Server dem Client ein Zertifikat, das von
einer anerkannten Zertifizierungsstelle digital signiert wurde.
- Anhand einer Liste von vertrauenswürdigen Herausgeberzertifikaten kann eine
App sicherstellen, mit dem richtigen Server zu sprechen und nicht mit einem
Mittelsmann.
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 163
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
Technische Maßnahmen
▪ E-Mail-Verschlüsselung
„Den drohenden Verlust der Privatsphäre dürfen wir nicht kommentar- und tatenlos
hinnehmen, zumal wir wissen, dass Verschlüsselung ein probates Mittel zum Schutz
vor Ausspähung darstellt. Vielmehr sollten Informatikerinnen und Informatiker es sich
zur Aufgabe machen, E-Mail-Verschlüsselung so benutzer-freundlich zu gestalten,
dass das Eintüten einer E-Mail in einen digitalen Briefumschlag in nicht allzu ferner
Zukunft zu einer Selbstverständlichkeit wird.“
[Simone Rehm, Vizepräsidentin GI]
▪ Neben dem Inhalt einer E-Mail sollte auch die Verbindung zum E-Mail-Server
verschlüsselt werden
▪ Eine unverschlüsselte Verbindung ermöglicht Dritten (z.B. Rechnern im selben
WLAN) das Mitlesen!
▪ E-Mail-Server/Programme sind so zu konfigurieren, dass verschlüsselte
Verbindungen (STARTTLS oder SSL) genutzt werden!
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 164
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
Technische Maßnahmen
▪ Varianten:
- Standard OpenPGP (Seit 1998) für die E-Mail-Verschlüsselung
- GnuPG als verbreitete Implementierung
- OpenPGP wird von gängigen Mail-Programmen in der Regel nicht unterstützt; es
können allerdings entsprechende Zusätze (Plug-Ins) installiert werden.
- Thunderbird: Enigmail
- Windows Outlook: Gpg4win, unterstützt zusätzlich S/MIME
- Apple Mac OSX: GPGMail
▪ Anforderungen
- Sicherung der korrekten Zuordnung zwischen einem öffentlichem Schlüssel und
seinem Inhaber erfordert die aktive Beteiligung der Benutzer
- ... ist umständlich und fehleranfällig aber
- hat aber gegenüber S/MIME den Vorteil, dass man sich nicht auf die
Vertrauenswürdigkeit von Zertifizierungsstellen verlassen muss.
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 165
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
Technische Maßnahmen
Technische Maßnahmen
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 167
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
Technische Maßnahmen
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 168
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
Technische Maßnahmen
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 169
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
Technische Maßnahmen
▪ Man-in-the-Middle-Angriffe(MitM)
- Häufigste Formen und Maßnahmen:
- Session-Hijacking:
- HTTPS und HTTPOnly nutzen
- Updates installieren, um Schwachstellen zu reduzieren
- Session Keys nutzen
- IP-Spoofing:
- Paketfilterung für Router / Sicherheits-Gateway aktivieren
- Verzicht auf hostbasierte Authentifizierungsverfahren
- Replay-Angriff:
- Einsatz von Zeitstempeln oder eines Nonce (Zufallszahl)
- Generell:
- Verschlüsselung und digitale Zertifikate einsetzen
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 170
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
Technische Maßnahmen
▪ Drive-by-Downloads
- Browser und Betriebssystem regelmäßig aktualisieren
- Unsichere Webseiten meiden (HTTP, FTP, usw.)
- Deinstallation nicht benötigter Programme und Anwendungen
- Anzahl der Plug-Ins reduzieren
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 171
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
Technische Maßnahmen
▪ Kennwortangriffe
- Richtlinie zur Kontosperrung implementieren ab einer bestimmten Anzahl
ungültiger Kennworteingaben
- Komplexe / lange Passwörter verwenden
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 172
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
Technische Maßnahmen
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 173
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
Technische Maßnahmen
▪ Cross-Site-Scripting (XSS)
- Von Benutzern eingegebene HTTP-Anforderungen bereinigen, bevor Daten
zurückgegeben werden
- Daten überprüfen, filtern oder mit Escapezeichen versehen, bevor Werte an
User zurückgegeben werden
- Sonderzeichen (?, &, /, <, > und Leerzeichen) in HTML- oder URL-codierte
Zeichen umsetzen
- Deaktivierung von Skripts auf dem Client umsetzen
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 174
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
Technische Maßnahmen
▪ Abhören
- Verschlüsselung von Daten
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 175
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
Technische Maßnahmen
▪ Kommunikationsebenen
- WIE kommuniziere ich WAS und auf WELCHEM Kanal?
- Identifizierung, Pseudonymisierung, Anonymisierung
- Maßnahmen
- Starke, aufgeklärte Kontrolle
- Information und Sensibilisierung bereits in Schulen
- Überprüfbare Technologie, die nicht gegen den Anwender verwendet wird
- Unter Beteiligung aller: eine entsprechende Streitkultur entwickeln!
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 176
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
Personelle Maßnahmen
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 177
5. Maßnahmen zur Erhöhung der Informationssicherheit
Maßnahmengruppen
Personelle Maßnahmen
Quelle: Netwrix Blog, Die zehn häufigsten Formen von Cyberangriffen, https://blog.netwrix.de/2019/10/28/die-zehn-haufigsten-formen-von-cyberangriffen/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 178
Gliederung
1. Einführung Maßnahmengruppen
2. Informationssicherheitsmanagement Verschlüsselung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 179
5. Maßnahmen zur Erhöhung der Informationssicherheit
Verschlüsselung
▪ Kryptologie
- Wissenschaft der Ver- und Entschlüsselung von Informationen
▪ Kryptographie
- Verschlüsselung von Nachrichten / Informationen
▪ Kryptoanalyse
- Entschlüsselung von verschlüsselten Nachrichten / Informationen
▪ Abgrenzung
- IT-Sicherheit ist nicht gleich Kryptographie
- Nicht jede Maßnahme, die auf Kryptographie basiert, führt zu „Sicherheit“
- Kryptographische Maßnahmen sind ein wichtiger Baustein in einer sicheren
Umgebung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 180
5. Maßnahmen zur Erhöhung der Informationssicherheit
Verschlüsselung
Grundidee Verschlüsselung
▪ Schutzziel Vertraulichkeit einhalten
Grundprinzip
▪ Text, der verschlüsselt wurde, kann nicht mehr „gelesen“ werden
▪ Nur autorisierte Subjekte mit Kenntnis der Entschlüsselung kann den Textinhalt
lesen
Entschlüsselungsfunktion
▪ Nur autorisierte Personen können ver- und entschlüsseln
▪ Wird die Vertraulichkeit des Verfahrens gebrochen, so ist es nicht mehr geheim
und ein neues Verfahren muss entworfen werden.
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 181
5. Maßnahmen zur Erhöhung der Informationssicherheit
Verschlüsselung
Kerckhoff‘sches Prinzip
Die Spezifikation eines Kryptosystems muss öffentlich sein. Die einzige Information,
die ein Angreifer nicht kennt, ist der geheime Schlüssel. D. h. die Sicherheit des
Kryptosystems beruht einzig auf dem geheimen Schlüssel.
- Auguste Kerckhoff, 1883, Artikel „La Cryptographie militaire“
Grundprinzip
▪ Ist bis heute ein anerkannter Standard
▪ Ver- und Entschlüsselungsmethode wird veröffentlicht
▪ Ein zusätzlicher Parameter fließt in die Berechnung mit ein: Der Schlüssel (key)
▪ Die Geheimhaltung beruht nun auf der Geheimhaltung des Schlüssels
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 182
5. Maßnahmen zur Erhöhung der Informationssicherheit
Verschlüsselung
Symmetrische Kryptographie
Der Sender und der Empfänger besitzen den gleichen Schlüssel.
Grundprinzip
▪ Vertraulichkeit der Nachricht / Information hängt von der Vertraulichkeit des
Schlüssels (Key) ab.
▪ Ver- und Entschlüsselungsmethoden sind jedem bekannt.
Problem
▪ Die Handhabung des geheimen Schlüssels muss „sicher“ sein.
▪ Sender und Empfänger müssen vor Versenden / Empfang im Besitz des Keys sein
▪ Sind Sender und Empfänger räumlich getrennt, kann der Key nicht direkt
ausgetauscht werden
▪ Der Key muss während Benutzung und Nicht-Benutzung geschützt sein.
▪ Wie gestaltet sich die Handhabung des Key bei mehreren Sendern / Empfängern?
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 183
5. Maßnahmen zur Erhöhung der Informationssicherheit
Verschlüsselung
Symmetrische Kryptographie
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 184
5. Maßnahmen zur Erhöhung der Informationssicherheit
Verschlüsselung
Asymmetrische Kryptographie
Mit dem öffentlichen Schlüssel kann jeder Sender verschlüsseln, aber nur ein
Empfänger entschlüsseln.
Grundprinzip
▪ Das Schlüsselpaar wird vom Empfänger erzeugt.
▪ Der öffentlichen Schlüssel wird publiziert. Potentielle Sender dürfen diesen nutzen.
▪ Nur mit dem privaten Schlüssel kann die Nachricht / Information entschlüsselt
werden.
Randbedingungen
▪ Der öffentliche und private Schlüssel gehören zusammen.
▪ Es gibt keine Methode zur Berechnung des jeweils anderen Schlüssels.
▪ Der öffentliche Schlüssel erfordert keinen zusätzlichen Schutz.
▪ Für Gruppen kann der private Schlüssel geeignet publiziert werden
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 185
5. Maßnahmen zur Erhöhung der Informationssicherheit
Verschlüsselung
Asymmetrische Kryptographie
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 186
5. Maßnahmen zur Erhöhung der Informationssicherheit
Verschlüsselung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 187
5. Maßnahmen zur Erhöhung der Informationssicherheit
Verschlüsselung
Verfahren
MD5: Message Digest (128 Bit), nicht mehr als sicher einzustufen!
SHA: Secure Hash Algorithm (160 Bit, 256 Bit, ...)
Verwendung bei:
Digitalen Signaturen
Speicherung von Kennwörtern
Prüfsummen bei / für Downloads
Integritätsprüfungen (z. B. bei Betriebssystemen)
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 188
5. Maßnahmen zur Erhöhung der Informationssicherheit
Verschlüsselung
Digitale Signaturen
Die Zuordnung zwischen einem öffentlichen Schlüssel und seinem Inhaber muss
fälschungssicher (= Integrität) sein; dies wird durch die Verwendung einer digitalen
Signatur gewährleistet.
Zertifikate
Ein Zertifikat ist ein digital unterschriebenes – und damit nicht fälschbares –
Dokument, das im wesentlichen zwei Informationen enthält: den öffentlichen
Schlüssel und eine Identifizierung des Inhabers (im einfachsten Fall seine E-Mail-
Adresse).
Die das Zertifikat ausstellende Zertifizierungsstelle (Certification Authority, CA, auch
"Beglaubigungsinstanz") muss natürlich vertrauenswürdig sein; sie beglaubigt mit
ihrer digitalen Unterschrift die korrekte Zuordnung zwischen Schlüssel und E-Mail-
Adresse (vergleichbar einem Notar, der ein Dokument beglaubigt).
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 189
5. Maßnahmen zur Erhöhung der Informationssicherheit
Verschlüsselung
Digitale Signaturen
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 191
5. Maßnahmen zur Erhöhung der Informationssicherheit
Verschlüsselung
Diffie-Hellmann Schlüsseltausch
4. Schritt: Datenübermittlung
Das Ergebnis A = 2 wird dem Empfänger (Person B) mitgeteilt.
5. Schritt:
Auch die Person B wählt eine Zahl b<p, berechnet sie und teilt das Ergebnis dem Sender (Person A) mit.
Bsp.: b = 6, B = 76 mod 11, Ergebnis: B = 4
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 192
5. Maßnahmen zur Erhöhung der Informationssicherheit
Verschlüsselung
Diffie-Hellmann Schlüsseltausch
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 193
5. Maßnahmen zur Erhöhung der Informationssicherheit
Verschlüsselung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 194
5. Maßnahmen zur Erhöhung der Informationssicherheit
Verschlüsselung
MACs schützen nicht vor Replay-Angriffen. Dazu muss die Nachricht selbst Daten
enthalten, die sicherstellen, dass Wiederholungen entdeckt werden können (z.B.
Zeitstempel, Sequenznummer oder durch die Verwendung von Einmal-MACs).
Quelle: Sevenofdoriath basierend auf Diagramm MAC.svg des Users Twisp, CC-by-sa 3.0/de
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 195
5. Maßnahmen zur Erhöhung der Informationssicherheit
Verschlüsselung
Quelle: Sevenofdoriath basierend auf Diagramm MAC.svg des Users Twisp, CC-by-sa 3.0/de
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 196
Gliederung
1. Einführung Maßnahmengruppen
2. Informationssicherheitsmanagement Verschlüsselung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 197
5. Maßnahmen zur Erhöhung der Informationssicherheit
Authentifizierung
Begriffe
▪ Authentisierung
- Nachweis einer Person
- Eine Person legt Nachweise vor, die ihre Identität bestätigen
- Authentisierungsmethoden:
- Geheime Informationen (z.B. Passwort)
- Identifizierungsgegenstand (z.B. Personalausweis)
- Identifizierungsobjekt (z.B. biometrische Merkmale)
▪ Authentifizierung
- Prüfung der behaupteten Authentisierung
- Ein Prüfer überprüft die Angaben auf Echtheit
- Authentisierung erfolgt vor der Authentifizierung
▪ Autorisierung
- Einräumung von speziellen Rechten
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 198
5. Maßnahmen zur Erhöhung der Informationssicherheit
Authentifizierung
▪ Authentisierung
- Eingabe von Login-Daten in einem IT-System (Behauptung einer Identität)
▪ Authentifizierung
- Überprüfung der Behauptung durch das IT-System inkl. Ergebnis der Prüfung
- Verifizierung der Behauptung der Authentisierung
▪ Autorisierung
- Prüfung der Rechte und Konsequenz
- Einräumung oder Verweigerung von Rechten
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 199
5. Maßnahmen zur Erhöhung der Informationssicherheit
Authentifizierung
Zwei-Faktor-Authentisierung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 200
5. Maßnahmen zur Erhöhung der Informationssicherheit
Authentifizierung
Zwei-Faktor-Authentisierung
▪ Wichtig:
- Faktoren müssen aus verschiedenen Kategorien stammen:
- Wissen (z.B. Passwort, PIN)
- Besitz (z.B. Chipkarte, TAN-Generator)
- Biometrie (z.B. Fingerabdruck)
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 201
5. Maßnahmen zur Erhöhung der Informationssicherheit
Authentifizierung
Zwei-Faktor-Authentisierung
▪ Gängige 2FA:
- TAN/OTP-Systeme
- Einmalkennwörter, die als zweiter Faktor übermittelt werden
- Werden auf TAN-Generatoren (Hardware) oder Authenticator Apps (Software) generiert
- Sicherer: TAN-Generatoren, die Daten aus der Transaktion einbinden (z.B. bei eTAN,
chipTAN)
- mTAN ist möglich: Übermittlung der TAN via SMS mit zusätzlicher Transaktionsinformation;
ACHTUNG: sollte nicht mit demselben Gerät verwendet werden, mit die Transaktion
ausgeführt wird (keine ausreichende Trennung der Faktoren)
- Kryptographische Token
- Speichert privaten kryptographischen Schlüssel
- Softwarezertifikate wird gespeichert (z.B. bei ELSTER)
- Sicherer: Schlüssel in Hardware auf Chipkarte (HBCI, Signaturkarten) oder speziellem USB-
Stick / NFC-Token (FIDO, U2F)
- Biometrische Systeme
- Einzigartiges, körperliches Merkmal wird erfasst (z.B. Fingerabdruck, Gesicht, Retina)
- Lebenderkennung sollte vorhanden sein
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 202
5. Maßnahmen zur Erhöhung der Informationssicherheit
Authentifizierung
Zwei-Faktor-Authentisierung
▪ Einsatz von 2FA
- Online-Banking
- Anmeldung mit Passwort
- Bestätigungen von Transaktionen mit TAN (z.B. mTAN, pushTAN) oder kartenbasierten
Systemen (z.B. chipTAN, HBCI)
- Debit-/Kreditkartenzahlung
- Chip auf der Karten (Besitz)
- PIN wird zur Legitimation gebraucht (Wissen)
- Online-Ausweisfunktion Personalausweis
- Authentisierung zwischen Ausweis und Dienstanbieter findet statt (Ende-zu-Ende
Verschlüsselung)
- PIN zur Freigabe
- Cloud-/Mail-Anbieter, Social Media Plattformen
- Login mit Passwort und
- mTAN, OTP aus einer Authenticator-App
- Steuererklärung
- Passwortgeschütztes Softwarezertifikat
- Online-Ausweisfunktion des Personalausweises
Quelle: BSI, Zwei-Faktor-Authentisierung, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-
Sicherheitsempfehlungen/Accountschutz/Zwei-Faktor-Authentisierung/zwei-faktor-authentisierung_node.html
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 203
5. Maßnahmen zur Erhöhung der Informationssicherheit
Authentifizierung
Zwei-Faktor-Authentisierung
▪ Empfehlungen und Risiken gem. BSI
- Empfehlungen
- Zwei-Faktor-Authentisierung anwenden, sobald ein Online-Dienst dies ermöglicht
- Zwei-Faktor-Authentisierung ist meistens standardmäßig deaktiviert
- Sollte ein Passwort bekannt werden, können sensible Daten weiterhin geschützt
werden
- Nachteile
- Zwei-Faktor-Authentisierung verlängert den Anmeldevorgang
- Sollte der besitzbasierte Faktor nicht mehr vorhanden sein (Verlust, Zerstörung), kann
der Zugang nicht mehr gewährleistet werden oder steht nur noch eingeschränkt zur
Verfügung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 204
Gliederung
1. Einführung Maßnahmengruppen
2. Informationssicherheitsmanagement Verschlüsselung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 205
5. Maßnahmen zur Erhöhung der Informationssicherheit
Erstellung und Umsetzung von Security Policies
IT-Sicherheitsleitlinie
Geltungsbereich
Inhalt
Stellenwert der IT-Sicherheit und die Bedeutung der IT für die Produktivität
Zusammenhang zwischen den Sicherheitszielen und den Geschäftszielen
Sicherheitsziele und Rahmenbedingungen der Sicherheitsstrategie im vorliegenden IT-System
Verbindlichkeit der Sicherheitsleitlinie für das Unternehmen
Beschreibung der zur Umsetzung etablierten Organisationsstruktur
Optional
▪ Aufzählung relevanter Gefährdungen
▪ Auflistung einzuhaltender gesetzlicher vorgaben
Aktualisierung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 206
5. Maßnahmen zur Erhöhung der Informationssicherheit
Erstellung und Umsetzung von Security Policies
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 207
5. Maßnahmen zur Erhöhung der Informationssicherheit
Erstellung und Umsetzung von Security Policies
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 208
5. Maßnahmen zur Erhöhung der Informationssicherheit
Erstellung und Umsetzung von Security Policies
Datensicherungsrichtlinie
▪ Wo werden Daten gespeichert?
▪ Welche Daten sind zu sichern?
▪ Wer ist zuständig für die Sicherung?
▪ Wie wird gesichert (Technik, Medien, Intervalle)?
▪ Wie lange werden Sicherungen aufbewahrt?
▪ Wie wird mit Notebooks (ohne ständigen Netzanschluss) umgegangen?
▪ Wie wird die Zuverlässigkeit der Datensicherung überprüft?
▪ Wie werden Daten im Schadenfall rekonstruiert?
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 209
5. Maßnahmen zur Erhöhung der Informationssicherheit
Erstellung und Umsetzung von Security Policies
Archivierungsrichtlinie
▪ Aufbewahrungsfristen
▪ Auswahl des Archivsystems (technische, organisatorische und rechtliche Faktoren)
▪ Gestaltung der Archivierung (Archivräume, Archivmedien, Datenformate,
Aufbewahrungsstruktur, Indizierung, Entnahme, Vernichtung)
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 210
5. Maßnahmen zur Erhöhung der Informationssicherheit
Erstellung und Umsetzung von Security Policies
Empfehlungen
▪ „Sichere“ Profile verwenden
▪ Lieber wenige gute und relevante als viele unbekannte „Freunde“ und Geschäftskontakte
▪ Sparsam mit den eigenen Daten haushalten, insbesondere mit Angaben zu Kindern, Geburtstagen,
Familie
▪ Prüfung der Anfragen und Einladungen
▪ Grenze zwischen persönlichen/privaten und geschäftlichen Daten beachten
▪ Schützen der eigenen Identität!
Registrieren bei den entsprechenden Plattformen
▪ Management der Online-Reputation
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 211
5. Maßnahmen zur Erhöhung der Informationssicherheit
Erstellung und Umsetzung von Security Policies
Basisschutz
▪ Geräte nie unbeaufsichtigt liegen lassen
▪ Zugriffsschutz aktivieren
▪ Sicherheitsupdates (aktuelles System)
▪ Virenscanner
▪ Personal Firewall
▪ Datenträger verschlüsseln (z.B. BitLocker bei MS-Windows, FileVault bei MacOSX)
Sicherungskopien
▪ Regelmäßige Sicherungskopien der Daten anfertigen
▪ Betriebssystem-spezifische Anwendungen (z.B. Time Machine bei Mac OSX) für
Backups auf externen Datenträgern
▪ Sicheres, verschlüsseltes Backup in der Cloud (z.B. mit BoxCryptor)
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 212
5. Maßnahmen zur Erhöhung der Informationssicherheit
Erstellung und Umsetzung von Security Policies
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 213
5. Maßnahmen zur Erhöhung der Informationssicherheit
Erstellung und Umsetzung von Security Policies
Maßnahmen
▪ Sicherheitsbedingungen und -vorkehrungen der Anbieter prüfen
▪ Kostenlose Angebote kritisch hinterfragen
▪ Kennwortrichtlinien für das Internet beachten
▪ Regelmäßige lokale Sicherungskopien erstellen
▪ Auf Datenschutzbestimmungen achten!
▪ Verantwortungsbewusster Umgang mit sensiblen Daten
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 214
5. Maßnahmen zur Erhöhung der Informationssicherheit
Erstellung und Umsetzung von Security Policies
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 215
Gliederung
1. Einführung Maßnahmengruppen
2. Informationssicherheitsmanagement Verschlüsselung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 216
5. Maßnahmen zur Erhöhung der Informationssicherheit
Notfall- und Katastrophenmanagement
Entdecken
Prävention Analysieren
Lessons
Beseitigen
learned
Regelbetrieb
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 217
5. Maßnahmen zur Erhöhung der Informationssicherheit
Notfall- und Katastrophenmanagement
Incident-Response-Plan
Funktion Beschreibung
Governance - Eine Organisationsstruktur, die auf die allgemeinen Unternehmensziele und das Leitbild
abgestimmt ist
- Präzise Sicherheitsrichtlinien und –vorgaben zum Schutz kritischer Systeme und für den
Datenaustausch zwischen internen und externen Instanzen
Kommunikation - Mechanismen und Prozesse, die einen effektiven Informationsaustausch zwischen internen
und externen Instanzen fördern
Transparenz - Technologien und Prozesse, die die Verantwortlichkeiten über die Aktivitäten in Systemen und
Netzwerken auf dem Laufenden halten
- Methoden, durch die das Cyber-Incident-Reponse-Team (CIRT) über die Bedrohungslage
informiert bleibt und diese Kenntnisse für den Schutz kritischer Infrastrukturen anwendet
Bedrohungsdaten - Funktionen zur Erfassung und Analyse von Bedrohungsdaten, die ein umfassendes Bild der
Fähigkeiten, Techniken und Absichten von Angreifern vermitteln
- Daten, die die Sicherheitsplanung, das Schwachstellenmanagement und Incident-Response-
Maßnahmen unterstützen und verbessern
Reaktion - CIRT-Prozesse und Technologien zur Erkennung, Kategorisierung, Analyse und Behebung von
Sicherheitsvorfällen
Kennzahlen - Kennzahlen für die Effizienz von Mitarbeitern, Prozessen und Technologien in einem System,
das sich leicht überwachen und automatisieren lässt
- Incident-Response-Kennzahlen, die genau auf die Unternehmens- und Sicherheitsziele
abgestimmt sind und so die kontinuierliche Verbesserung fördern
Quelle: Mandiant, Vorbereitung auf Cyberangriffe: das Modell der sechs Kernkompetenzen
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 218
5. Maßnahmen zur Erhöhung der Informationssicherheit
Notfall- und Katastrophenmanagement
Notfallvorsorgerichtlinie
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 219
5. Maßnahmen zur Erhöhung der Informationssicherheit
Notfall- und Katastrophenmanagement
▪ Cyber Kill Chain basiert auf einem militärischen Konzept der Kill Chain
- Handlungsmaßnahmen zur Erkennung und Abwehr von Angriffen im Fokus
- Kill Chain = Angriffskette
▪ Phasen der Kill Chain:
- Standort des Ziels ermitteln
- Genaue Beobachtung des Standorts
- Verfolgung des anvisierten Ziels
- Waffen individuell auf das Ziel abstimmen
- Konkreter Einsatz der Waffen gegenüber dem Ziel
- Analyse der Auswirkungen auf das angegriffene Ziel in der Kill Chain
▪ Die Perspektive des Angreifers wird eingenommen
- Für jede Phase werden die Werkzeuge und Möglichkeiten des Angreifers
überlegt
▪ Maßnahmen zur Abwehr von Angriffen werden festgelegt
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 220
5. Maßnahmen zur Erhöhung der Informationssicherheit
Notfall- und Katastrophenmanagement
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 221
5. Maßnahmen zur Erhöhung der Informationssicherheit
Notfall- und Katastrophenmanagement
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 222
5. Maßnahmen zur Erhöhung der Informationssicherheit
Notfall- und Katastrophenmanagement
▪ 3. Erste Schritte zur Durchführung des Angriffs entlang der Cyber Kill Chain (Delivery)
- Angriffsstrategie
- Durchführung der Cyberattacke wird begonnen
- Ausgewähltes Medium für den Angriff erfolgt, z.B. über E-Mail, USB-Stick, CD-ROM, Phishing,
schadhafte Webseiten
- Verteidigungsstrategie
- Stetige Kontrolle der Angriffsvektoren, z.B. APT Erkennungssoftware
- Aufdeckung der Intention des Cyberangriffs steht im Fokus
- Vorgehensweise des Angreifers wird in Erfahrung gebracht
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 223
5. Maßnahmen zur Erhöhung der Informationssicherheit
Notfall- und Katastrophenmanagement
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 224
5. Maßnahmen zur Erhöhung der Informationssicherheit
Notfall- und Katastrophenmanagement
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 225
Gliederung
1. Einführung Datenschutzgrundverordnung
2. Informationssicherheitsmanagement Verfahrensverzeichnis
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 226
6. Maßnahmen zum Datenschutz
Datenschutzgrundverordnung
DSGVO - Datenschutzgrundverordnung
▪ 22. Juli 2011: Stellungnahme der EDSB zum Datenschutz in der Europäischen Union
▪ 25. Januar 2012: Vorschlag der Kommission für die Verstärkung der digitalen Wirtschaft und der Rechte auf
Wahrung der Privatsphäre im Internet
▪ 7. März 2012: Der EDSB nimmt eine Stellungnahme zum Datenschutzreformpaket der Kommission an
▪ 23. März 2012: Die Artikel-29-Arbeitsgruppe gibt eine Stellungnahme zur vorgeschlagenen
Datenschutzreform ab
▪ 5. Oktober 2012: Die Artikel-29-Arbeitsgruppe bringt weitere Aspekte in die Debatten über die
Datenschutzreform ein
▪ 12. März 2014: Das Europäische Parlament verabschiedet die DSGVO
▪ 15. Juli 2015: Der Rat erzielt einen allgemeinen Ansatz bezüglich der DSGVO
▪ 27. Juli 2015: Empfehlungen des EDSB zum endgültigen Text der DSGVO
▪ 15. Dezember 2015: Das Europäische Parlament, der Rat und die Kommission erzielen eine Einigung über
die DSGVO
▪ 2. Februar 2016: Die Artikel-29-Arbeitsgruppe veröffentlicht einen Aktionsplan für die Umsetzung der
DSGVO
▪ 27. April 2016: Datenschutz-Grundverordnung (EU) 2016/679
▪ 24. Mai 2016: Die Verordnung tritt 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft
▪ 25. Mai 2018: Ab diesem Datum findet die Datenschutz-Grundverordnung Anwendung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 227
6. Maßnahmen zum Datenschutz
Datenschutzgrundverordnung
DSGVO - Inhalte
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 228
6. Maßnahmen zum Datenschutz
Datenschutzgrundverordnung
DSGVO - Inhalte
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 229
6. Maßnahmen zum Datenschutz
Datenschutzgrundverordnung
DSGVO - Inhalte
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 230
6. Maßnahmen zum Datenschutz
Datenschutzgrundverordnung
DSGVO - Inhalte
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 231
6. Maßnahmen zum Datenschutz
Datenschutzgrundverordnung
DSGVO - Inhalte
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 232
6. Maßnahmen zum Datenschutz
Datenschutzgrundverordnung
DSGVO - Inhalte
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 233
6. Maßnahmen zum Datenschutz
Datenschutzgrundverordnung
DSGVO - Inhalte
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 234
6. Maßnahmen zum Datenschutz
Datenschutzgrundverordnung
DSGVO - Inhalte
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 235
6. Maßnahmen zum Datenschutz
Datenschutzgrundverordnung
DSGVO - Inhalte
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 236
6. Maßnahmen zum Datenschutz
Datenschutzgrundverordnung
„Im Sinne dieser Richtlinie bezeichnet der Ausdruck „personenbezogene Daten“ alle
Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene
Person“); als bestimmbar wird eine Person angesehen, die direkt oder indirekt
identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder
zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen,
physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität
sind“.
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 237
6. Maßnahmen zum Datenschutz
Datenschutzgrundverordnung
Personenbezogene Daten
▪ „alle Informationen“
Art oder Inhalt der Information und der technischen Form
sowohl objektive als auch subjektive Informationen über eine Person
▪ „über“
inhaltlichen Dimension des Begriffs
Zusammenhang mit Gegenständen und neuen Technologien
Inhalt, Zweck oder Ergebnis
▪ „bestimmte oder bestimmbare“
Bedingungen, unter denen eine Person als „bestimmbar“ anzusehen ist
Mittel, die „vernünftigerweise entweder von dem für die Verarbeitung Verantwortlichen
oder von einem Dritten eingesetzt werden“, um die betreffende Person zu bestimmen
▪ „natürliche Person“
„personenbezogene Daten“ für „lebende Personen“
Grauzonen:
verstorbene Personen
ungeborene Kinder und
juristische Personen
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 238
6. Maßnahmen zum Datenschutz
Datenschutzgrundverordnung
Einwilligung
gesetzliche Erlaubnis
Einhaltung des
Verarbeitungszwecks
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 239
6. Maßnahmen zum Datenschutz
Datenschutzgrundverordnung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 240
Gliederung
1. Einführung Datenschutzgrundverordnung
2. Informationssicherheitsmanagement Verfahrensverzeichnis
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 241
6. Maßnahmen zum Datenschutz
Verfahrensverzeichnis
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 242
6. Maßnahmen zum Datenschutz
Verfahrensverzeichnis
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 243
Gliederung
1. Einführung Datenschutzgrundverordnung
2. Informationssicherheitsmanagement Verfahrensverzeichnis
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 244
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
Datenschutz-Management-System
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 245
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
▪ Zweckbindung
- Erhebung für festgelegte, eindeutige und rechtmäßige Zwecke
- Eine Weiterverarbeitung darf diesen Zwecken nicht zuwider laufen
- Datenminimierung
- Beschränkung auf das für den Zweck der Verarbeitung angemessene und sachlich relevante
sowie notwendige Maß
- Richtigkeit
- Sachlich richtige und ggfs. Aktuellste Daten, Maßnahmen zur unverzüglichen Löschung oder
Berichtigung unzutreffender Daten
- Speicherbegrenzung
- Speicherung mit Personenbezug höchsten so lange, wie es für die Verarbeitungszwecke
erforderlich ist
- Integrität, Vertraulichkeit, Verfügbarkeit
- Geeignete technisch-organisatorische Maßnahmen zum angemessenen Schutz der Daten,
insbesondere vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, zufälliger
Zerstörung oder Schädigung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 246
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 247
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 248
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
Datenschutz-Management-System: Technisch-organisatorische
Maßnahmen nachweisen
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 249
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 250
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
Standard-Datenschutzmodell (SDM)
▪ Aufbau
- SDM-Methodik-Handbuch (deutsch / englisch)
- SDM-Repository
- SDM-Bausteine
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 251
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
• Einwilligung einholen
Kunden • Datensicherheit gewährleisten
• Zweckbindung beachten
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 252
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
▪ Passive Maßnahmen
- Datensparsamkeit
- Vermeidung der Herausgabe zutreffender personenbezogener Daten
▪ Aktive Maßnahmen
- Angabe von Pseudonymen
- Nutzung von datenschutzfreundlicher Technik mit Verschlüsselung,
Anonymisierung und Pseudonymisierung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 253
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
1. Zugangskontrolle
2. Datenträgerkontrolle
3. Speicherkontrolle
4. Benutzerkontrolle
5. Zugriffskontrolle
6. Übertragungskontrolle
7. Eingabekontrolle
8. Transportkontrolle
9. Wiederherstellbarkeit
10. Zuverlässigkeit
11. Datenintegrität
12. Auftragskontrolle
13. Verfügbarkeitskontrolle
14. Trennbarkeit
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 254
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
Maßnahmen (Auswahl):
▪ Zugangsberechtigungen (Kennwörter) * zu IT-Systemen und beweglichen
Rechnern wie Notebooks, Tablets und SmartPhones
▪ Sicherheitszonen einrichten
▪ Automatische Zutrittskontrolle
▪ Ausweistragepflicht
▪ Schlüsselregelung
▪ Alarmanlage
▪ Videoüberwachung
Quelle: Quelle: https://www.datenschutz-praxis.de/fachartikel/technisch-organisatorische-massnahmen-das-aendert-sich/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 255
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
Maßnahmen (Auswahl):
▪ Nur genehmigte Datenträger
▪ Geregelte Vernichtung nicht mehr benötigter / defekter Datenträger
▪ Sperrung von Ports, Laufwerken
▪ Datenträgerverschlüsselung * bei Notebooks und beweglichen Datenträgern (z.B.
USB-Sticks)
▪ Beim Datentransport per Netzwerk werden alle hierbei eingesetzten Verbindungen von
extern per TLS/IP-Sec (VPN) * verschlüsselt.
▪ Der Versand oder Transport von Datenträgern ist nur in Ausnahmefällen erlaubt. Die
Versandart ist an den Schutzbedarf der Daten anzupassen.
▪ Die Mitnahme von Datenträgern und IT-Komponenten ist nur eingeschränkt und bei
Notwendigkeit erlaubt, etwa zu Vertriebszwecken oder bei technischen Notfällen.
Quelle: Quelle: https://www.datenschutz-praxis.de/fachartikel/technisch-organisatorische-massnahmen-das-aendert-sich/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 256
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
Maßnahmen (Auswahl):
▪ Berechtigungskonzept
▪ Klare Verantwortlichkeiten
▪ Vier-Augen-Prinzip
▪ Eindeutige Zuordnung von PC und Nutzungsberechtigung
▪ Protokollierung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 257
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
Maßnahmen (Auswahl):
▪ Berechtigungskonzept, insbesondere technische Benutzer
▪ Klare Verantwortlichkeiten
▪ Protokollierung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 258
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
Maßnahmen (Auswahl):
▪ Berechtigungskonzept
▪ Klare Verantwortlichkeiten
▪ Vier-Augen-Prinzip
▪ Eindeutige Zuordnung von PC und Nutzungsberechtigung
▪ Protokollierung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 259
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
Maßnahmen (Auswahl):
▪ Verschlüsselung (z.B. VPN)
▪ Lagerung von Datenträger in Sicherheitsbereichen
▪ Kontrollierte Vernichtung von Datenträgern
▪ Soweit eine Beauftragung von Dritten erfolgt, geschieht dies im Rahmen der
gesetzlichen Vorgaben und stets transparent gegenüber dem Auftraggeber. Es
werden die datenschutzrechtlich erforderlichen Verträge geschlossen, die
mindestens den Anforderungen der entsprechenden Verträge zwischen
Auftragnehmer und Auftraggeber entsprechen.
Quelle: Quelle: https://www.datenschutz-praxis.de/fachartikel/technisch-organisatorische-massnahmen-das-aendert-sich/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 260
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
Maßnahmen (Auswahl):
▪ Führung von Nachweisen der organisatorisch festgelegten Zuständigkeiten für die
Eingabe
▪ Durchführung der Protokollierung von Eingaben
▪ Dokumentation des Workflows
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 261
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
Maßnahmen (Auswahl):
▪ Verschlüsselung (z.B. VPN)
▪ Lagerung von Datenträger in Sicherheitsbereichen
▪ Kontrollierte Vernichtung von Datenträgern
▪ Soweit eine Beauftragung von Dritten erfolgt, geschieht dies im Rahmen der
gesetzlichen Vorgaben und stets transparent gegenüber dem Auftraggeber. Es
werden die datenschutzrechtlich erforderlichen Verträge geschlossen, die
mindestens den Anforderungen der entsprechenden Verträge zwischen
Auftragnehmer und Auftraggeber entsprechen.
Quelle: Quelle: https://www.datenschutz-praxis.de/fachartikel/technisch-organisatorische-massnahmen-das-aendert-sich/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 262
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
Maßnahmen (Auswahl):
▪ Dokumentierte Backup-Strategie
▪ Regelmäßige Tests und Übungen (Desaster & Recovery)
▪ Notfallpläne
▪ Krisenpläne
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 263
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
Maßnahmen (Auswahl):
▪ Schulung der Anwender
▪ Hotline für Fehlfunktionen
▪ Positive Fehlerkultur, damit jeder Fehler / jede Unregelmäßigkeit gemeldet wird
▪ Anwendungsdokumentationen
▪ Change-Management-Prozess
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 264
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
Maßnahmen (Auswahl):
▪ Schulung der Anwender
▪ Anwenderdokumentation
▪ Vier-Augen-Prinzip
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 265
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
Maßnahmen (Auswahl):
▪ Dokumentation der Abgrenzung der Kompetenzen und Pflichten zwischen
Auftragnehmer und Auftraggeber
▪ Durchführung einer formalen Auftragserteilung
▪ Durchführung einer Kontrolle der Arbeitsergebnisse
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 266
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
Maßnahmen (Auswahl):
▪ Datensicherung
▪ Archivierung
▪ Betriebssystem-Updates
▪ Virenschutz
▪ Dokumentation von Konfigurationsänderungen
▪ Notstromversorgung
▪ Katastrophenplanung
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 267
6. Maßnahmen zum Datenschutz
Datenschutz-Management-System (DSMS)
Maßnahmen (Auswahl):
▪ Richtlinien und Arbeitsanweisungen
▪ Verfahrensdokumentation
▪ Mandantentrennung
▪ Trennung der Datenbestände nach rechtlicher Zuordnung der Daten
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 268
Gliederung
1. Einführung Datenschutzgrundverordnung
2. Informationssicherheitsmanagement Verfahrensverzeichnis
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 269
6. Maßnahmen zum Datenschutz
Auftragsverarbeitung
▪ Keine Auftragsverarbeitung
- Fachliche Dienstleistungen anderer Art, in denen nicht die Datenverarbeitung im Vordergrund
steht bzw. keinen wichtigen Bestandteil ausmacht
▪ Pflichten Verantwortlicher
- Vor Auftragsvergabe muss eine Prüfung der Geeignetheit des Auftragsverarbeiters durchgeführt
werden
- Der Verantwortliche darf nur Auftragsverarbeiter einsetzen, die hinreichende Garantien bieten,
dass sie geeignete technische und organisatorische Maßnahmen für einen ausreichenden
Datenschutz gewährleisten
- Weisungen
- Der Auftragsverarbeiter ist weisungsgebunden
- Verarbeitung nicht als Dritter i.S.d. Art. 4 DSGVO, eher ein „Innenverhältnis“ zwischen
Verantwortlichem und Auftragsverarbeiter
- Verarbeitung durch Auftragsverarbeiter wird dem Verantwortlichen zugerechnet
- Vertragliche Grundlage
- Vertrag muss schriftlich oder in elektronischer Form vorliegen
- Es können die Standard-Vertragsklauseln verwendet werden
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 270
Gliederung
1. Einführung Datenschutzgrundverordnung
2. Informationssicherheitsmanagement Verfahrensverzeichnis
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 271
6. Maßnahmen zum Datenschutz
Betroffenenrechte
▪ Informationspflicht
- Art. 13 DSGVO:
- Kontaktdaten des Verantwortlichen
- Zweck für jede einzelne Datenverarbeitung
- Dauer der Datenverarbeitung
- Informationen zu Empfängern
- Rechtsgrundlage der Datenverarbeitung
- nachvollziehbare Interessenabwägung
- Art. 12 DSGVO:
- Informationen müssen in „transparenter, verständlicher und leicht zugänglicher Form in
einer klaren und einfachen Sprache“ vorgelegt werden
- Mündliche, schriftliche oder auch elektronische Übermittlung ist möglich
- Informationspflicht besteht nicht, wenn bereits alle Informationen vorliegen (Beweislast
liegt beim Unternehmen)
- Art. 14 DSGVO:
- Erhebung der Daten von Dritten (z.B. Auskunfteien)
- Informationspflicht wie bei Art. 13 DSGVO, zusätzlich muss jedoch die Quelle mitgeteilt
werden
Quelle: ISiCo, https://www.isico-datenschutz.de/blog/anforderungen-betroffenenrechte-dsgvo/
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 272
6. Maßnahmen zum Datenschutz
Betroffenenrechte
▪ Auskunftsrecht
- Art. 15 DSGVO:
- Anspruch auf umfassende Informationen der verarbeiteten personenbezogenen Daten
- Zweistufiges Auskunftsrecht: Zuerst ob Daten verarbeitet werden, falls ja: wie die Daten
verarbeitet werden
- In angemessenen Abständen kann eine Auskunft verlangt werden
- Kostenlose Übermittlung einer Kopie der verarbeiteten personenbezogenen Daten
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 273
6. Maßnahmen zum Datenschutz
Betroffenenrechte
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 274
Informationssicherheit & Datenschutz
Abschluss
SS23 – Dipl.-Wirt.-Inf. (FH) Verena Lang M. Sc. | Informationssicherheit & Datenschutz 275