datensicherheits- maßnahmen mitarbeiterschulung © deichmann+fuchs verlag gmbh & co. kg |...
TRANSCRIPT
![Page 1: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/1.jpg)
Datensicherheits-maßnahmen
Mitarbeiterschulung
© Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen
![Page 2: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/2.jpg)
Agenda
Gesetzliche Anforderungen
4 Schutzstufen
Kontrollarten
Hinweise zu speziellen Sicherheitsmaßnahmen
2
![Page 3: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/3.jpg)
Technische und organisatorische Maßnahmen
müssen nach § 9 BDSG
erforderlich sein
geeignet sein, die in der Anlage zu § 9 BDSG genannten Anforderungen zu gewährleisten
angemessen sein im Verhältnis zwischen dem Aufwand den sie verursachen und dem Schutzzweck dem sie dienen
3
![Page 4: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/4.jpg)
Schutzstufen
1 niedriger Schutzbedarf
2 mittlerer Schutzbedarf
3 hoher Schutzbedarf
4 sehr hoher Schutzbedarf
4
sehr hoch
hoch
mittel
niedrig
![Page 5: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/5.jpg)
Besondere Arten personenbez. Daten gemäß § 3 Abs. 9 BDSG
rassische Herkunft
ethnische Herkunft
politische Meinungen
Überzeugungen religiöse
philosophische
Gewerkschaftszugehörigkeit
Gesundheit
Sexualleben
5
SPEZIAL
![Page 6: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/6.jpg)
Acht Kontrollarten gemäß der Anlage zu § 9 Satz 1 BDSG
Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Weitergabekontrolle
Eingabekontrolle
Auftragskontrolle
Verfügbarkeitskontrolle
Trennungsgebot oder Trennungskontrolle
6
![Page 7: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/7.jpg)
Ziele
Gewährleistung der
Vertraulichkeit
Integrität
Verfügbarkeit
Authentizität
Revisionsfähigkeit
7
![Page 8: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/8.jpg)
Zutrittskontrolle
Definition
Beispielsmaßnahmen
Festlegung der Sicherheitszonen
Bestimmung der zutrittsberechtigten
Personen
Einsatz von Zugangskontrollsystemen
Verschluss der Arbeitsplätze
Zutrittsregelungen für betriebsfremde
Personen
8
![Page 9: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/9.jpg)
Zugangskontrolle
Definition
Beispielsmaßnahmen
Zugangsbeschränkung
Netzwerkabschottung
Bildschirmschoner
Identifizierung/Authentisierung
9
![Page 10: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/10.jpg)
Sicherheitsmaßnahmen innerhalb des lokalen Netzes Erstellung von Dienstanweisungen
restriktive Vergabe von Zugangs- und Zugriffsberechtigungen
Einsatz geeigneter Sicherheitsmechanismen zur Identifizierung und Authentisierung
Überwachung der Datenzugriffe Dienstvereinbarung zur Protokollierung Abschottung der Teilnehmer
untereinander
10
![Page 11: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/11.jpg)
Abschottung des lokalen Netzes gegen externe Netze
lokales Sicherheitskonzept Kommunikationsbedarfsfeststellung Absicherung der Übergänge Auswertung von Protokollen Einsatz von Firewalls/VPN Ausfiltern unerwünschter
Seitenzugriffe Virenscanner auf allen Ebenen
11
![Page 12: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/12.jpg)
Firewall
Zwecke Abschottung des internen Netzes Abschottung der Netzteilnehmer Erkennung und Abwehr von Angriffen Verhinderung des unerlaubten Transportes
interner Daten nach außen
Absicherung der Firewall Intrusion Detection Intrusion Response Virenscanner
12
![Page 13: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/13.jpg)
Virtuelle private Netze (VPN) Nutzung der öffentlichen Telekommunikationsstruktur
Einsatz von sogenannten Tunneling- und Sicherheitsprotokollen
Realisierung über das Internet
Nutzung der VPN-Funktionen einer Firewall
Datenverschlüsselung
13
![Page 14: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/14.jpg)
Verbreitung von Schadenssoftware
Internet und E-Mail als Medien zur Verbreitung von
Schadenssoftware (z. B. in Mails bzw. Anhängen)
Viren
Trojaner
Würmer
Spam etc.
![Page 15: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/15.jpg)
Authentisierung
Passwortaufbau
Passwortvergabe
Passwortverwaltung
Sanktionen
Sonstiges
15
![Page 16: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/16.jpg)
Zugriffskontrolle
Definition
Beispielsmaßnahmen Benutzerprofile Zugriffsbeschränkungen Zugriffsprotokollierung Datenverschlüsselung Datenträgeraufbewahrung datenschutzgerechte Entsorgung
16
![Page 17: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/17.jpg)
Protokollierung
Begriff
Rechtsgrundlage
Anforderungen
Aufzeichnungsumfang
Aufbewahrung
Auswertung
Einbindung der Personalvertretung
17
Zugriffsschutzverletzungen
![Page 18: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/18.jpg)
Verschlüsselungsarten
Symmetrische Verfahren ein Schlüssel zum Ver- und Entschlüsseln schnelle Datenübertragung Gefahr der Weitergabe des Schlüssels
Asymmetrische Verfahren Private- und Public Key Public Key wird öffentlich bekannt gegeben elektronische Signatur
18
![Page 19: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/19.jpg)
Datenträgerentsorgung
Datenträgerarten
Sicherheitsnormen DIN 32757 DIN 33858
Entsorgungsmaßnahmen
Entsorgung in Form der Auftragsdatenverarbeitung
19
![Page 20: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/20.jpg)
Weitergabekontrolle
Definition
BeispielsmaßnahmenFestlegung der BerechtigtenProtokollierungFestlegung der VersandartenSicherer DatenträgertransportVirenschutzVerschlüsselung
20
![Page 21: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/21.jpg)
Eingabekontrolle
Definition
Beispiele von Maßnahmenelektronische SignaturPlausibilitätskontrollenAufbewahrungsfristenProtokollierungProtokollauswertungEingabebelege
21
![Page 22: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/22.jpg)
Elektronische Signatur
Wahrung der Authentizität und Integrität
rechtliche Voraussetzungen
Zertifikate
Trust Center
PKI
Chipkarte
22
![Page 23: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/23.jpg)
Zertifikate …… binden die Identität an einem Public Key
vergleichbar mit Personaldokumenten (Ausweis, Reisepass,Führerschein, …)Signiert von einer vertrauten Certificate Authority oder auch Trust CenterErlaubt die Überprüfung der wahren Identität
Name wird gebunden an Public Key
Authentizität des Zertifikats wird garantiert durch die Signatur (mit privaten Schlüssel) der CA o. Trust Centers
Ablaufdatum
Subject Name: “Internet, Organization, Bob”
Expires: 12/18/2000
Signed: CA’s signature
Serial #: 29483756
Public key:
Other data: 10236283025273
Spez. Attribute
Private
Public
![Page 24: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/24.jpg)
Auftragskontrolle
Definition
Beispiele von Maßnahmen
Auswahl des Auftragnehmers
Vertragsgestaltung
Rechte und Pflichten
Sicherheitsmaßnahmen
Kontrolle der Vertragsausführung
24
![Page 25: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/25.jpg)
Verfügbarkeitskontrolle
Definition
Beispiele von Maßnahmen
Risiko- und Schwachstellenanalyse
Anwenderschulung
Brandschutz
Datensicherung
Wartung und Fernwartung
25
![Page 26: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/26.jpg)
Trennungskontrolle bzw. Trennungsgebot
Definition
Beispiele von Maßnahmen
Dokumentation der Datenbank
logische Datenbanken
physikalische Trennung
Trennung Produktion/Test
Pseudonyme
26
![Page 27: Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen](https://reader035.vdocuments.mx/reader035/viewer/2022062512/55204d6349795902118b7937/html5/thumbnails/27.jpg)
Vielen Dank für Ihre Aufmerksamkeit!
Haben Sie noch Fragen?
27