brauchen wir wirklich soviel datenschutz und it-sicherheit? · nutzung von social-media ... • z....
TRANSCRIPT
www.s-con.de
1 www.s-con.de
Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 – Sicherheitskooperation Cybercrime
www.s-con.de
2 www.s-con.de
2
Referent
Michael J. Schöpf [email protected] +49 171 3241977 +49 511 27074450
www.s-con.de
3
• Datenschutz und IT-Sicherheit werden oft als notwendiges Übel angesehen. • „Bei uns ist noch nie was passiert!“ • „Die hohen Kosten für den Datenschutz und die IT-Sicherheit kann ich mir doch zum
größten Teil sparen.“ • „Es hat doch keinen Sinn, da die NSA sowieso auf alles Zugreifen kann.“
• Sehen Sie das auch so?
Warum überhaupt Datenschutz und IT-Sicherheit?
www.s-con.de
4 www.s-con.de
4
Datenschutz und IT-Sicherheit
Abgrenzung und Definition
www.s-con.de
5
Schnittstelle Datenschutz und IT-Sicherheit
Datenschutz geschützt: natürliche Personen Gefahr: Verletzung von Persönlichkeitsrechten
IT-Sicherheit geschützt: Hard-, Software, Daten
Gefahr: Verlust, Zerstörung, Missbrauch
durch Unbefugte
TOM Technische und
Organisatorische Maßnahmen
www.s-con.de
6
Angemessener Datenschutz und IT-Sicherheit Ein gesundes Maß
ist erforderlich!
Mehr Datenschutz bzw. IT-Sicherheit
= Grundsätzlich
weniger Komfort
www.s-con.de
7 www.s-con.de
7
Ziele
Datenschutz und IT-Sicherheit
www.s-con.de
8
• Einhaltung des Persönlichkeitsrechtes • Recht auf informationelle Selbstbestimmung • Schutz der personenbezogenen Daten vor unberechtigtem Gebrauch • Die Freiheit nicht zugunsten der Sicherheit aufgeben.
• „Jene, die Freiheit aufgeben, um eine vorübergehende Sicherheit zu erwerben, verdienen weder Freiheit noch Sicherheit.“ (Benjamin Franklin, 1706–1790)
Ziele des Datenschutzes
www.s-con.de
9
• Verfügbarkeit • Integrität (keine Datenverfälschung) • Vertraulichkeit • Authentizität
Ziele der IT-Sicherheit
www.s-con.de
10
• EU-Datenschutzgrundverordnung • Vorstellung Entwurf am 25.01.2012 • Beschluss des EU-Ministerrats zur Neuregelung des Datenschutzrechts in Europa
(15.06.2015) . Es liegen drei Entwürfe vor. • Es folgen Verhandlungen zwischen EU-Kommission, EU-Parlament und EU-Rat. • Zwischen den drei Entwürfen bestehen noch deutliche Unterschiede. • Die Entwürfe sehen einen Übergangszeitraum von zwei Jahren vor, so dass die EU-DSGVO
nach aktuellem Kenntnisstand frühestens zum 01.01.2018 zur Anwendung kommen wird.
Regelungen der Zukunft 1
www.s-con.de
11
• IT-Sicherheit • Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-
Sicherheitsgesetz) ist am 25. Juli 2015 in Kraft getreten. • Das Gesetz definiert die Anforderungen an die IT-Sicherheit kritischer Infrastrukturen.
• KRITIS = Einrichtungen, die für das Gemeinwesen von zentraler Bedeutung sind (Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen).
• http://www.kritis.bund.de/SubSites/Kritis/DE/Home/home_node.html • Die Betreiber kritischer Infrastrukturen müssen einen Mindeststandard an IT-Sicherheit
einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
Regelungen der Zukunft 2
www.s-con.de
12 www.s-con.de
12
Der Widerspruch
Hat jeder recht?
www.s-con.de
13
Nutzt oder schadet Überwachung?
www.s-con.de
14 www.s-con.de
14
Digitale Schizophrenie in Deutschland
Meine Daten gehören mir!
www.s-con.de
15
Was passiert in einer Minute?
www.s-con.de
16
• Die Sorge um Cyber-Risiken wächst. • Deutsche misstrauen Unternehmen beim Datenschutz. • Immer mehr Bundesbürger sorgen sich um den Schutz und die Sicherheit
ihrer Daten, aber kaum einer tut etwas dafür. • Viele sind gegen Überwachung durch Staat bzw. Strafverfolgungsbehörde,
geben aber freiwillig persönliche/höchstpersönliche Daten durch die Nutzung von Social-Media-Plattformen, Laufuhren oder Messanger preis.
• Das Dilemma der Strafverfolgungsbehörden: „Wenn etwas passiert, sagen viele Bürger, es hätte mehr Überwachung sein können/müssen.“
Gegensätzliches Handeln der Menschen
www.s-con.de
17 www.s-con.de
17
Praxis
Themen, Geschichten und Tipps
www.s-con.de
18
• Industrie 4.0 • Hacker dringen in Industrie – IT Infrastrukturen ein
• Automotiv „Connected Car“ • Sicherheitslücken bei der Mobilfunkkommunikation
• Sichere Software-Architekturen • Manipulation der Basissysteme
• Versicherungen • Anforderungen an die IT Sicherheit von Unternehmen
• Wirtschaftsspionage • Personenbezogene Daten – das neue Öl
Die Themen
www.s-con.de
19
Die Geschichten
www.s-con.de
20
Die Realität 1
www.s-con.de
21
Die Realität 2
www.s-con.de
22
• Regelmäßige Sensibilisierung • Regelung im Umgang mit Technologien und Diensten
• z. B. Cloud, Smart Phone, mobile Speichermedien, E-Mail, Internet
• Penetration der eigenen IT-Infrastruktur • Innen- und Außenangriff
• Klarer Umgang mit Datenschutz- und IT-Sicherheitsvorfällen • Vernünftiger Umgang mit Social-Media, um Risiken durch Social Engineers
zu reduzieren • Nutzung von Verschlüsselung
Reduzierung von Risiken
www.s-con.de
23
Bei Verdacht und zur Vorbeugung • Informationen zum Thema „Computer-
und Internetsicherheit“ und zum Schutz vor Internetkriminalität finden Sie hier: • https://www.bsi.bund.de • https://www.botfrei.de • https://www.sicher-im-netz.de • http://www.it-sicherheit-in-der-
wirtschaft.de • https://www.awareness-im-mittelstand.de • https://www.allianz-fuer-cybersicherheit.de • http://www.polizei-praevention.de
www.s-con.de
24 www.s-con.de
24
Tipps
Was können wir tun?
www.s-con.de
25
• Eine angemessene IT-Sicherheit und Überwachung etablieren. • Nur das an persönlichen Informationen ins Internet stellen bzw. mit
elektronischen Geräten anfertigen, was Sie auch an das Schwarze Brett hängen würden.
• Versuchen Sie, Datenspuren zu vermeiden. Das Internet vergisst nie. • http://crackedlabs.org/dl/Studie_Digitale_Ueberwachung.pdf
Tipps
www.s-con.de
26 www.s-con.de
26
Vielen Dank für die Aufmerksamkeit!
Ich freue mich auf Ihre Fragen, jetzt und gern auch zu einem späteren Zeitpunkt.