Datensicherheit - Prof. Dr. Heinz-Michael Winkels
Datensicherheit - Prof. Dr. Heinz-Michael Winkels
Datensicherheit - Prof. Dr. Heinz-Michael Winkels
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Datensicherheit</strong><br />
IT-Sicherheit<br />
<strong>Datensicherheit</strong><br />
Dortmund, Oktober 2004<br />
<strong>Datensicherheit</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, Fachbereich Wirtschaft FH Dortmund<br />
Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX: (0231)755-4902<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
1
<strong>Datensicherheit</strong><br />
IT-Sicherheit<br />
Inhalt<br />
Seite<br />
Begriffsklärung 3<br />
Sicherheitsrisiken 4<br />
Sicherheitsmaßnahmen 6<br />
Datensicherung 7<br />
Zugriffsschutz 9<br />
Datenschutz 10<br />
Datenschutzgesetze 12<br />
Gefahrenbereiche 14<br />
Datenschutzmaßnahmen 15<br />
<strong>Datensicherheit</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
2
<strong>Datensicherheit</strong><br />
IT-Sicherheit<br />
Begriffsklärung<br />
<strong>Datensicherheit</strong> beinhaltet die Verhinderung von Datenverlust oder Datenverfälschung<br />
• Durch vorbeugende Maßnahmen soll die jederzeitige Vollständigkeit und Korrektheit der Daten<br />
gewährleistet werden<br />
• Beispielhafte Folgen eines Datenverlustes<br />
– Diebstahl der Kundendatei<br />
– Großbrand im Bank-Rechenzentrum<br />
– Überschreiben der Hausarbeit auf der Magnetplatte/Diskette<br />
<strong>Datensicherheit</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
3
<strong>Datensicherheit</strong><br />
IT-Sicherheit<br />
Sicherheitsrisiken<br />
• Diebstahl<br />
– Vom Gelegenheitsdieb bis zu spezialisierten Banden<br />
– Von der Maus über den Notebook-PC bis zum Server<br />
• Zerstörung von Hardware/Software<br />
– Durch Katastrophen:<br />
Feuer<br />
Blitzschlag, Wassereinbruch, ...<br />
Transportschäden<br />
Betriebsdefekte, wie Headcrash<br />
– Durch direkten Angriff<br />
Sabotage<br />
<strong>Datensicherheit</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
4
<strong>Datensicherheit</strong><br />
IT-Sicherheit<br />
... Sicherheitsrisiken<br />
• Unbefugter Zugriff<br />
– Hacker<br />
– Spione<br />
• Menschliche Fehler<br />
– Bedienungsirrtümer<br />
– Nachlässigkeit<br />
• Computerviren<br />
– Schädliche Programme, die durch Wechseldaten-träger und über Rechnernetze verbreitet<br />
werden und sich selbständig vervielfältigen (replizieren) können<br />
– Wirkungen: Von der harmlosen Bildschirmanzeige bis zu vollständigem Programm- und<br />
Datenverlust<br />
<strong>Datensicherheit</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
5
<strong>Datensicherheit</strong><br />
IT-Sicherheit<br />
Sicherheitsmaßnahmen<br />
• Absicherung von Gebäuden, Geräten, Programmen und Datenbeständen<br />
– Passwörter<br />
– Chipkarten<br />
– Biometrie<br />
• Datensicherung<br />
– Anlegen von Sicherungskopien aller relevanten Datenbestände<br />
• Verschlüsselung von Daten<br />
– Kryptographie<br />
– Virtuelle private Netzwerke<br />
• Verstecken von Daten<br />
– Steganographie<br />
• Virenvorbeugung<br />
• Firewalls<br />
<strong>Datensicherheit</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
6
<strong>Datensicherheit</strong><br />
IT-Sicherheit<br />
Datensicherung (Back-ups)<br />
Anlegen von Sicherungskopien aller relevanten Datenbestände und deren Verwahrung<br />
an einem sicheren Ort<br />
• Im Fall eines Datenverlustes oder einer Datenverfälschung sollen die Daten rasch und<br />
zuverlässig rekonstruiert werden können<br />
• Sicherung auf einer zweiten lokalen Festplatte<br />
• Sicherung auf einem entfernten Server-Rechner<br />
– RAID-Platten mit unterschiedlichen Sicherheitsstufen<br />
• Sicherung auf Wechselmedien<br />
• Nur Wechselmedien können dem Rechner entnommen und an einem anderen Ort - z.B. einem<br />
feuersicheren Safe - aufbewahrt werden<br />
– Disketten<br />
– Auswechselbare Magnetplatten<br />
– Magnetbandkassetten<br />
– Optische Speicherplatten<br />
• Auswahlkriterien von Sicherungsmedien<br />
– Speicherkapazität<br />
– Datenübertragungsrate<br />
– Kosten (Datenträger und Gerät)<br />
<strong>Datensicherheit</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
7
<strong>Datensicherheit</strong><br />
IT-Sicherheit<br />
... Datensicherung (Back-ups)<br />
Häufigkeit und Methode der Datensicherung hängen vom Umfang und der Wichtigkeit<br />
der Daten ab<br />
• Vater-Sohn-Prinzip<br />
– Einmal pro Woche wird der gesamte lokale Festplattenbestand gesichert<br />
– An den Folgetagen nur Sicherung der jeweils bearbeiteten Dateien<br />
– Bei wöchentlich fünf Arbeitstagen genügen sechs Wechselmedien<br />
• Großvater-Vater-Sohn-Prinzip<br />
<strong>Datensicherheit</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
8
<strong>Datensicherheit</strong><br />
IT-Sicherheit<br />
Zugriffsschutz<br />
Bei Mehrbenutzersystemen: Zuordnung von Speicherbereichen und Benutzerklassen<br />
• Identifizierung durch Benutzerkennung<br />
• Benutzerklasse bestimmt<br />
– Zulässige Systemkommandos (Lesen, Schreiben ...)<br />
– Priorität bei Auftragserledigung<br />
• Schutz durch Paßwort<br />
– Lange, sinnlose Zeichenkette<br />
– Regelmäßige Änderung<br />
• Durch Kombination und Verfeinerung individuelles Berechtigungsprofil<br />
<strong>Datensicherheit</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
9
<strong>Datensicherheit</strong><br />
IT-Sicherheit<br />
Datenschutz<br />
Schutz der Rechte von Personen vor Verletzung der<br />
Vertraulichkeit und der Sicherheit des Informationshaushaltes<br />
• Gesetzliche Maßnahmen<br />
• Betriebliche Maßnahmen<br />
Beispiele für Problemfelder<br />
• Personalinformationssysteme<br />
• Kaufverhaltensanalyse im Internet<br />
• Kommunikationsanalyse bei digitalen Nebenstellenanlagen und dem ISDN<br />
<strong>Datensicherheit</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
10
<strong>Datensicherheit</strong><br />
IT-Sicherheit<br />
Der gläserne Mensch<br />
Arbeitgeber<br />
Läden, Versandhandel<br />
Schulen, Universitäten,<br />
Bibliotheken<br />
Hotels, Restaurants<br />
Versicherungen<br />
Nachtlokale,<br />
Prostituierte<br />
Reisebüros, Verkehrsbetriebe<br />
Ärzte, Krankenhäuser<br />
Telekom-Gesellschaften<br />
<strong>Datensicherheit</strong>.ppt/HMW/11.10.2004<br />
Banken, Kreditkartenorganisat.<br />
Finanzämter, sonst.<br />
Behörden<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
11
<strong>Datensicherheit</strong><br />
IT-Sicherheit<br />
Datenschutzgesetze §§§<br />
Interessengegensatz zwischen Betrieb und Mitarbeitern bzw. Geschäftspartnern<br />
• Datenschutzgesetze in Mittel- und Nordeuropa weiter entwickelt als in Nordamerika<br />
– Probleme bei internationaler Kommunikation<br />
• Betroffene machen von ihren Rechten kaum Gebrauch<br />
• Datenschutz ein käufliches Gut<br />
<strong>Datensicherheit</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
12
<strong>Datensicherheit</strong><br />
IT-Sicherheit<br />
... Datenschutzgesetze §§§<br />
• Relevanz<br />
– Nur für den Betriebszweck wesentliche Daten<br />
• Publizität<br />
– Auskunftsrecht des Betroffenen über seine Daten<br />
– In Österreich: Zentrale Melde- und Auskunftsstelle in Form eines Registers<br />
• Richtigkeit<br />
– Der Betroffene hat ein Recht darauf, falsche Daten richtigstellen zu lassen und unzulässigerweise<br />
ermittelte Daten löschen zu lassen<br />
• Weitergabebeschränkung<br />
• Funktionstrennung<br />
• Verpflichtung zu Datensicherungsmaßnahmen<br />
• Statuierung einer eigenen Geheimhaltungspflicht (Datengeheimnis)<br />
• Schaffung eigener Kontrollorgane<br />
• Kontrolle des internationalen Datenverkehrs<br />
<strong>Datensicherheit</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
13
<strong>Datensicherheit</strong><br />
IT-Sicherheit<br />
Gefahrenbereiche<br />
Hacker<br />
Manuelle Abläufe<br />
Maschinelle Abläufe<br />
Lieferanten<br />
Rechner<br />
Programme<br />
Datenbanken<br />
Banken<br />
Spediteure<br />
Mitarbeiter<br />
Kunden<br />
Betrieb<br />
Netze<br />
Partner<br />
<strong>Datensicherheit</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
14
<strong>Datensicherheit</strong><br />
IT-Sicherheit<br />
Datenschutzmaßnahmen<br />
Betreffen das gesamte organisatorische, rechtliche, wirtschaftliche und technische<br />
Umfeld der Informationsverarbeitung<br />
• Politisch, rechtlich und organisatorisch:<br />
– Gesetze,<br />
– Betriebsvereinbarungen und<br />
– organisatorische Maßnahmen<br />
• Technisch:<br />
– Entwicklung “einbruchsicherer" IT-Infrastruktur und Informationssysteme<br />
<strong>Datensicherheit</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
15
<strong>Datensicherheit</strong><br />
IT-Sicherheit<br />
Technisch-organisatorische Datenschutzmaßnahmen<br />
• Zugangskontrolle<br />
• Abgangskontrolle<br />
• Speicherkontrolle<br />
• Benutzerkontrolle<br />
• Zugriffskontrolle<br />
• Übermittlungskontrolle<br />
• Eingabekontrolle<br />
• Auftragskontrolle<br />
• Transportkontrolle<br />
• Organisationskontrolle<br />
<strong>Datensicherheit</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
16