Datenschutz 25.10.2011

tm.tfh.wildau.de
  • Keine Tags gefunden...

Datenschutz 25.10.2011

CHAPTER 20MagnetismUnits• Magnets and Magnetic Fields• Electric Currents Produce Magnetic Fields• Force on an Electric Current in a Magnetic Field; Definition of B• Force on Electric Charge Moving in a Magnetic Field• Magnetic Field Due to a Long Straight Wire• Force between Two Parallel Wires• Solenoids and Electromagnets• Ampère’s Law• Torque on a Current Loop; Magnetic Moment• Applications: Galvanometers, Motors, Loudspeakers• Mass Spectrometer• Ferromagnetism: Domains and HysteresisMagnets and Magnetic FieldsMagnets have two ends – poles – called north and south.Like poles repel; unlike poles attract.However, if you cut a magnet in half, you don’t get a northpole and a south pole – you get two smaller magnets.• An unmagnetized piece of iron can be magnetized by stroking it with a magnet– Somewhat like stroking an object to charge an object• Magnetism can be induced– If a piece of iron, for example, is placed near a strong permanent magnet, it willbecome magnetizedTypes of Magnetic Materials• Soft magnetic materials, such as iron, are easily magnetized– They also tend to lose their magnetism easily• Hard magnetic materials, such as cobalt and nickel, are difficult to magnetize– They tend to retain their magnetism1


Datenschutz 25.10.2011 Scherze?Porno-Videos auf einerVideowand in MoskauVideowand wurde„aufgebrochen“Es gab nebenVerkehrschaos wohlauch einige Unfälle=> „Hacken“ ist nichtgefahrlos für die Umwelt!2


Datenschutz 25.10.2011Libri-Datenpanne in 2009durch eine Lücke im System von Libri.de warder unautorisierte Zugriff auf mehrere tausendRechnungen von Kunden möglichbei den Libri-Konten vieler Buchhändler warder Login-Name gleich dem PasswortDabei wird der Login-Name nur durch einemehrstellige Zahl repräsentiert. Zudem hatLibri offenbar die Zahlen sequentiell belegt.Es stellt sich die Frage, wie das vorherige,unsichere Vergabesystem mit derZertifizierung des Systems durch den TÜV Süd3in Einklang steht.


Datenschutz 25.10.2011Postbank-Konten extern einsehbar - 2009Externe Berater konnten Konten undpersonengebundene Daten einsehen AdreßdatenKontobewegungen der letzten 100 TageDaueraufträge, Wertpapierorders, Überweisungenz.B. Spekulationen von Politikern mit Aktiender Deutschen Bank und Commerzbankeinsehbar gewesen4


Datenschutz 25.10.2011Bundesagentur für Arbeit – Herbst 2009In der neuen Datenbank sollten Daten vonErwerbslosen gespeichert werden, die sich aufSuchtkrankheiten, Verschuldung,Wohnungsproblematik bis hin zu schwierigenfamiliären Verhältnissen beziehen.Auf das Computersystem mit dem Namen 4-PM ("Vier-Phasen-Modell") konntenbundesweit alle rund 100.000 Mitarbeiter derJobcenter und der Arbeitsagenturen zugreifen,hieß es.5


Datenschutz 25.10.2011Bundesagentur für Arbeit – Herbst 2009Unternehmen müssen weder eineBetriebsnummer nennen noch einenGewerbeschein oder eine andere Legitimationvorlegen, wenn sie sich im Stellenportal derBundesagentur für Arbeit anmelden. Überdiese Lücke kann jeder, der will, an die Datenvon Bewerbern kommen, auch wenn er garkeine Stelle zu vergeben hat.Wer registriert ist, kann seineUnternehmensdaten jederzeit vollständigändern – wird als negativ angemerkt: doch lt.BDSG ist dies notwendig – Journalisten … 6


Datenschutz 25.10.2011James Bond im Schweizer Außenamt:Es ist Ziel eines Spionageangriffs geworden.Unbekannte Täter setzten dabei eine spezielleSoftware ein, um in die IT-Infrastruktur desDepartements zu gelangen und gezieltInformationen zu beschaffen.Der Spionageversuch war laut einer Mitteilungam 22. Oktober 2009 von den eigenenTechnikern in Zusammenarbeit mit Microsoftentdeckt worden. Die Schadsoftware wardemnach sehr gut versteckt und soll praktischkeine wahrnehmbaren Störungen in der IT-Infrastruktur verursacht haben.7


Datenschutz 25.10.2011Die britische Tageszeitung "The Guardian"ist nach eigenen Angaben einem Angriff zum Opfergefallen, bei dem Kriminelle in Systeme der Online-Stellenbörse eindrangen. Die Einbrecher hattenvermutlich Zugriff auf schätzungweise ein halbeMillion Datensätze von Bewerbern inklusive derenLebensläufeDatenschutzexperte Bruce Schneier fürchtet wenigerdie Angriffe von Kriminellen auf die Privatsphäre alsvielmehr die Eingriffe der Regierung. Auch dieMarketingstrategen in Unternehmen und InformationBroker würden mit dem Sammeln, Wiederverwendenund Weiterverkaufen persönlicher Daten mehrSchäden beim Datenschutz anrichten als esKriminelle je tun könnten.8


Datenschutz 25.10.2011BDSG – Betroffenenrechte§6 (1) unabdingbares Recht auf Auskunft,Berichtigung, Löschung, Sperrung (nicht wiefrüher üblich durch bspw. Arbeitsvertragausschließbar) Kernstück des Datenschutzes!9


Datenschutz 25.10.2011BDSG – Betroffenenrechte: TransparenzNachvollziehbarkeit der Abläufe,Wissen wo welche Daten verarbeitet werden Benachrichtigungspflichtenkeine im öffentlichen Bereich, aber alle Aufgabengesetzlich geregelt10


Datenschutz 25.10.2011BDSG – Betroffenenrechte: Benachrichtigung imnicht öffentlichen Bereich§33 (1) Bei der erstmaligen Speicherung ist derBetroffene davon in Kenntnis zu setzen; bei derSpeicherung zur geschäftsmäßigen Übermittlung, vorder ersten Übermittlung.Dabei hat eine genaue Angabe über dieverantwortliche Stelle und die Art der gespeicherten/übermittelten Daten zu erfolgen.(Wir haben über Sie Namen, Adresse, Tätigkeit,Bankverbindung und die sonst im Rahmen desVertragsverhältnisses und zur Kundenbetreuungbenötigten Daten gespeichert.)keine Schriftform nötig11


Datenschutz 25.10.2011BDSG – Betroffenenrechte: Ausnahmen bei derBenachrichtigungwenn der Betroffene bereits Kenntnis hatGeheimhaltungsinteresse zu Gunsten DritterGefährdung öffentlicher SicherheitBeeinträchtigung des GeschäftsinteressesDaten aus allgemeinzugänglichen Quellen oderListen von Datenhändlern und die Benachrichtigungwg. der Vielzahl der Fälle unverhältnismäßig ist12


Datenschutz 25.10.2011BDSG – Betroffenenrechte: Auskunfstsrechtbzgl. Daten, Zweck, Herkunft, Empfänger, Stellen andie regelmäßig übermittelt wird.Unentgeltlich (es sei denn, Weiterverwendung fürwirtschaftliche Zwecke)Ausnahmen wie bei Benachrichtigung!(es sei denn, aus öffentlichen Quellen oderListenmäßige Daten hierzu gibt es Auskunft)13


Datenschutz 25.10.2011BDSG – Betroffenenrechte: BerichtigungIst ein Datum unrichtig ist es zu berichtigen.wenn die Richtigkeit bestritten wird, ist dies ingeeigneter Weise festzuhalten!14


Datenschutz 25.10.2011BDSG – Betroffenenrechte: Löschung1. wenn die Speicherung unzulässig ist2. Kenntnis für die Aufgabenerfüllung nicht mehrerforderlich15


Datenschutz 25.10.2011BDSG – Betroffenenrechte: Sperrung anstatt Löschung1. Wenn einer Löschung Aufbewahrungsfristen (Gesetz,Satzung, Vertrag) entgegenstehen2. Die Löschung schutzwürdige Interessen des Betroffenenbeeinträchtigen würde3. Die Löschung einen zu großen Aufwand bedeuten würde4. Die Richtigkeit wird vom Betroffenen bestritten und es kannweder die Richtigkeit, noch die Unrichtigkeit bewiesen werden16


Datenschutz 25.10.2011BDSG – Betroffenenrechte: öffentlicher Bereich§20 (8) Benachrichtigung von Empfängern beiÜbermittlungAlle Stellen, die Daten regelmäßig zur Speicherungempfangen, sind von Berichtigungen, Sperrungen wg.bestrittener Richtigkeit, Löschungen oder Sperrungenwg. Unzulässigkeit der Speicherung zu verständigen,wenn dies zur Wahrung schutzwürdiger Belange desBetroffenen erforderlich ist.17


Datenschutz 25.10.2011BDSG – Betroffenenrechte: SchadenersatzSchadensersatzansprüche gegenübernichtöffentlichen Stellen:Es gibt Schutzpflichten nach § 242 BGB (Treu undGlauben), deren schuldhafte VerletzungSchadensersatzpflichten bewirkt.Entstehen Schäden durch unerlaubte Handlungeneiner speichernden Stelle, so haftet diese nach denVorschriften des BGB.19


Datenschutz 25.10.2011BDSG – Betroffenenrechte: §8 Schadensersatzdurch nicht-öffentliche Stellen:Zur leichteren Durchsetzung der Ansprüche muß derBetroffene nur nachweisen, daß eine Handlung der verantwortlichen Stelle vorliegtund ein Schaden eingetreten ist.Die verantwortliche Stelle muß nachweisen daß Handlungen nicht ursächlich für den Schadenwar daß sie kein Verschulden trifft.20


Datensicherheit 25.10.2011ZutrittskontrolleUnbefugten den Zutritt zuDatenverarbeitungsanlagen, mit denenpersonenbezogene Daten verarbeitet oder genutztwerden, verwehrenStatistisch gesehen kommen die meisten Angriffe„von innen“22


Datensicherheit 25.10.2011Zutrittskontrolle - MaßnahmenGesicherter Eingang, Pförtner4-Augen-PrinzipSchlüssellösungCodekarte (Protokollierung)Spezielle DrehtürBewegungsmelderKameraüberwachungEingeschränkter BerechtigungskreisBesucherregelung23


Datensicherheit 25.10.2011Zutrittskontrolle – Beachtung DatenschutzProtokolle sind nicht mit anderen Daten zu verbindenEin „Ausspähen“ von Personen ist nicht zulässigBei Video-Überwachung sind die gesetzlichenRegelungen zu beachten, insbesondere bzgl.öffentlicher RäumeBeispiel ticket-webSicherheitsanlage mit Audio-ÜberwachungAn- und Abschaltung mit CodenummernTresen mit Arbeitsplatz im Eingangsbereich24


Datensicherheit 25.10.2011ZugangskontrolleVerhindern, daß Datenverarbeitungssysteme vonUnbefugten genutzt werden können25


Datensicherheit 25.10.2011Zugangskontrolle - MaßnahmenVergabe von Paßworten„enge“ Begrenzung der befugten NutzerProtokollierung der BenutzungProtokollierung von MißbrauchsversuchenRegelmäßige Auswertung von ProtokollierungenVerschlüsselungsverfahrenFestlegung und Kontrolle der BefugnisseSanktionen bei Fehlversuchen (Sperrung)„abhörsichere“ Geräte und Leitungen26


Datensicherheit 25.10.2011Zugangskontrolle - PaßworteNirgends notieren und niemand mitteilen!Mindestens sechs Zeichen, besser acht!Aus Buchstaben, Ziffern, Zeichen!Regelmäßig ändern!Keine Trivialpaßworte verwenden!Besser sind OTP‘s (one-time-password)Token-GeneratorOpen-Kubus27


Datensicherheit 25.10.2011Zugangskontrolle - Beispiel ticket-webZugangskennung aus KombinationFirma-IDNutzer-IDPaßwortProzessorkarte als SchlüsselkarteENTREE-localMAC-Adressen-Abgleich => eindeutige Identifikation desArbeitsplatzesNutzung der Zugangskennungs-KombinationZwischen Server und Browser geschaltet28


Datensicherheit 25.10.2011Zugangskontrolle – ENTREE-local-login29


Datensicherheit 25.10.2011ZugriffskontrollenGewährleisten, daß die zur Benutzungeines Datenverarbeitungssystems Berechtigtenausschließlich auf die ihrerZugriffsberechtigung unterliegendenDaten zugreifen können, und daßpersonenbezogene Daten bei der Verarbeitung,Nutzung und nach derSpeicherung nicht unbefugt gelesen,kopiert, verändert oder entfernt werdenkönnen.30


Datensicherheit 25.10.2011Zugriffskontrollen - MaßnahmenFestlegung und Kontrolle der Zugriffsbefugnisse,differenziert nachDaten,Programmen undZugriffsartenProtokollierung der Zugriffe sowie vonMißbrauchsversuchenautomatisches log-offSperrung nach Dienstschluß, damit ein log-in nichtmehr möglich istLückenlose Menüsteuerung31


Datensicherheit 25.10.2011Zugriffskontrollen – Beispiel ENTREE-CRMZugriff für jeden Menüpunkt einzeln regelbarLese/Schreibrechte für die wesentlichen DatenbestimmbarIntegration in das OO-Framework für dieDialoggestaltung eines der modernsten Frameworksdiese Bereiches für PHPVerbindung über Menü-/Dialog-IDRechteadministration im BaumZuweisung der Rechtegruppen zu Nutzern32


Datensicherheit 25.10.201133


Datensicherheit 25.10.201134


Datensicherheit 25.10.2011WeitergabekontrolleGewährleisten, daß personenbezogenerDaten bei der elektronischen Übertragungoder während ihres Transports oder ihrerSpeicherung auf Datenträger nicht unbefugtgelesen, kopiert, verändert oderentfernt werden können, und daß überprüftund festgestellt werden kann, anwelche Stellen eine Übermittlung personenbezogeneDaten durch Einrichtungen zurDatenübertragung vorgesehen ist.35


Datensicherheit 25.10.2011Weitergabekontrolle - MaßnahmenAufbewahrung in Sicherheitsmöbelneindeutige Kennzeichnung von Datenträgernschriftliche Regelung des DatenträgeraustauschesLöschung des Datenträgers vor dem AustauschProtokollierung des DatenträgeraustauschsVernichtung per ReißwolfVerbot des Kopierens von DatenträgernFühren eines BestandsverzeichnissesArchivierung und Katalogisierung der DatenträgerVerbot der Verwendung privater Datenträgern36


Datensicherheit 25.10.2011Weitergabekontrolle - DatenträgervernichtungIm betrieblichen Ablauf muß sichergestellt werden,daß Datenträger mit vertraulich zu behandelndenUnternehmensinformationen so vernichtet werden,daß unberechtigte Dritte keine Kenntnis von denInformationen auf den Datenträgern erhalten können.personenbezogene Daten,Entwicklungsdaten,Finanz- undAuftragsdatenDIN 32757-1 (Vernichtung von Informationsträgern –Anforderungen und Prüfungen an Maschinen undEinrichtungen)37


Datensicherheit 25.10.2011Weitergabekontrolle – „private“ DatenträgerIm betrieblichen Ablauf muß sichergestellt werden,daß Datenbestände „im Betrieb bleiben“.Hierzu bedarf es klarer Anweisungen undRegelungen, ob und wenn ja, unter welchenBedingungen Firmendaten im privaten Bereichverarbeitet werden dürfen.Leichtfertiger Umgang mit Unternehmensdaten kannfür den Arbeitnehmer weitreichende Folgenstrafrechtlicher, arbeitsrechtlicher und zivilrechtlicherArt haben.„Sicherheitslücke Laptop“ – Diebstahl leicht möglich38


Datensicherheit 25.10.2011Weitergabekontrolle – Beispiel ticket-webPHP-Quellcode wird nur verschlüsselt ausgeliefertEigenes PHP-Modul TWEXPassende Verzahnung mit APCMandantentrennung bei der Datenhaltung Weitergabe von Kundendaten nur beientsprechender geschäftlicher BeziehungZahlungsdaten (z.B. Kreditkartendaten) werden überGateways geleitetVertrag ist notwendig zwischen Verkäufer und ProzessorCRM-Kopplung mit Mandantentrennung39


Datensicherheit 25.10.2011EingabekontrolleGewährleisten, daß nachträglichüberprüft und festgestellt werden kann,ob und von wem personenbezogenenDaten in Datenverarbeitungssystemeeingegeben, verändert oder entferntworden sind.40


Datensicherheit 25.10.2011Eingabekontrolle - MaßnahmenDatenerfassungsanweisungProtokollierung der Dateieingabe, Änderung oderLöschungSicherung der Protokolldaten gegen Verlust oderVeränderungSammlung der ErfassungsbelegeAufzeichnung über die Datenerfassungskräfte41


Datensicherheit 25.10.2011Eingabekontrolle – Beispiel ticket-webHistory-Funktion in ENTREE-ticketsSpeicherung der Aktion und des BearbeitersSpeicherung des Inhaltes der ÄnderungIntegration in das OO-Framework für die DialoggestaltungDienstleistungen zur Datenerfassung werden als„Service-Leistungen“ beauftragtDatenerfassungkräfte haben Arbeitsvertrag unddamit eine Geheimhaltungsvereinbarung42


Datensicherheit 25.10.201143


Datensicherheit 25.10.201144


Datensicherheit 25.10.2011AuftragskontrolleGewährleisten, daß personenbezogeneDaten, die im Auftragverarbeitet werden, nur entsprechendden Weisungen des Auftraggebersverarbeitet werden können.45


Datensicherheit 25.10.2011Auftragskontrolle - Maßnahmensorgfältige Auswahl des Auftragnehmersschriftlicher Vertrag (vgl. § 11 Abs. 2 BDSG)Form- und Merkblätter für vollständige und klareWeisungenVerpflichtung des Personals auf das Datengeheimnis(vgl. § 5 BDSG) Arbeitsvertraggemeinsame Kontrollen durch Auftraggeber undAuftragnehmerLöschung von Restdaten46


Datensicherheit 25.10.2011VerfügbarkeitskontrolleGewährleisten, daß personenbezogeneDaten gegen zufälligeZerstörung oder Verlust geschütztsind.47


Datensicherheit 25.10.2011Verfügbarkeitskontrolle - MaßnahmenAusarbeitung eines DatensicherungskonzeptsEinrichtung einer unterbrechungsfreienStromversorgungVorsorge gegen WasserschädenKeine Verwendung von Originaldaten für TestzweckeDatenübergabe nur gegen Quittung48


Datensicherheit 25.10.2011Verfügbarkeitskontrolle – Beispiel ticket-webDatensicherungskonzeptRegelmäßige Datensicherung als Service für unsere„kleineren“ KundenBei größeren KundenConsulting zur DatensicherungDatentrennung im strukturieren DB-Cluster (Master und Slavean verschiedenen Orten)ENTREE-propellerÜberwachung der ServerÜberwachung der wesentlichen FunktionenÜberwachung der Backups49


Datensicherheit 25.10.201150


Datensicherheit 25.10.201151


Datensicherheit 25.10.2011Verfügbarkeitskontrolle – Beispiel ticket-webENTREE-propellerÜberwachung der ServerKritische Hardware-ZuständeKritische System-Software-ZuständeÜberwachung der wesentlichen Funktionen – aus Sicht desENTREE-SystemsÜberwachung der BackupsAbfrage/Sammlung der Daten über WEB-ServicesAktivPassiv„Auch Kühe können in den Propeller geraten…“52


Datensicherheit 25.10.201153


Datensicherheit 25.10.201154


Datensicherheit 25.10.2011TrennungskontrolleGewährleisten, daß zuunterschiedlichen Zweckenerhobene Daten getrenntverarbeitet werden können.55


Datensicherheit 25.10.2011Trennungskontrolle - MaßnahmenTrennung der Datensätze durch Speicherung inphysikalisch getrennten DatenbankenUnterschiedliche Verschlüsselung von Datensätzenzur Abgrenzung der ZweckbindungVergabe von Zugriffsberechtigungen56


Datensicherheit 25.10.2011Trennungskontrolle – Beispiel ticket-webSpeicherung der Daten in unterschiedlichenlogischen/physischen DatenbankenDatenbankstruktur trennt bereits personenbezogeneDaten und TransaktionsdatenZugriffssicherung/Mandantentrennung57


Datensicherheit 25.10.2011Telemediengesetz (TMG)58

Weitere Magazine dieses Users
Ähnliche Magazine