rechtliche vorgaben und standards zur it-sicherheitrgerlin/pdf/erfa49-01.pdf · zutrittskontrolle...
TRANSCRIPT
©20
03 R
aine
r W
. Ger
ling
A
lle R
echt
e V
orbe
halte
n
Rechtliche Vorgaben und Standards zur IT-Sicherheit
1
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 1
Rechtliche Vorgaben und Standards zur IT-Sicherheit
Rainer W. GerlingMax-Planck-Gesellschaft
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 2
Das Problem
• 16. Juli: Microsoft stellt Patch zur Verfügung• 11. August: kaum jemand hat ihn eingespielt
• c‘t titelt: Einmal Wurm mit Ansagen
©20
03 R
aine
r W
. Ger
ling
A
lle R
echt
e V
orbe
halte
n
Rechtliche Vorgaben und Standards zur IT-Sicherheit
2
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 3
Gesetzliche Verpflichtungen
• IT-bezogene gesetzliche Vorschriften– § 9 BDSG mit Anlage
• Sicherheitsmaßnahmen für personenbezogen Daten
– § 87 TKG• Erbringer geschäftsmäßiger Telekommunikationsdienste
• für Dritte mit oder ohne Gewinnerzielungsabsicht (§ 3 Nr. 5)
– § 203 StGB• Betriebs- oder Geschäftsgeheimnisse
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 4
Allgemeine Haftung
• Vertragshaftung– Schäden durch IT-bedingte Nicht-Erfüllung
eines Vertrages
• Delikthaftung– §§ 823ff BGB: vorsätzliche oder fahrlässige
Verstöße gegen Schutzrechte– Schadensersatz
©20
03 R
aine
r W
. Ger
ling
A
lle R
echt
e V
orbe
halte
n
Rechtliche Vorgaben und Standards zur IT-Sicherheit
3
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 5
Persönliche Haftung
• § 43 GmbH-Gesetz– Sorgfalt eines ordentlichen Geschäftsmannes
• § 93 Aktiengesetz (AktG)– Sorgfalt eines ordentlichen und gewissenhaften
Geschäftsleiters– Beweislastumkehr
• § 91 Abs. 2 AktG (eingefügt durch KonTraG)– Erkennung von „den Fortbestand der Gesellschaft
gefährdenden Entwicklungen“– Überwachungssystem einrichten
• Maßstab: „Stand der Technik“ in der Branche
mit Pr
ivatve
rmöge
n
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 6
Zertifizierung
• IT-Grundschutzhandbuch des BSI– beschreibt detailliert Standard-Sicherheitsmaßnahmen
• BS7799 (ISO/IEC 17799)– befasst sich mit dem Aufbau eines IT-
Sicherheitsmanagements und seiner Verankerung in der Organisation
• Common Criteria (CC)• ITSEC• Quid! Gütesiegel (Datenschutz)• Gütesiegel Schleswig-Holstein (Datenschutz)• .....
©20
03 R
aine
r W
. Ger
ling
A
lle R
echt
e V
orbe
halte
n
Rechtliche Vorgaben und Standards zur IT-Sicherheit
4
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 7
• Evaluated Software Components The evaluated software product is the Microsoft Windows NT Workstation
and Server Version 3.5. To meet the C2 requirements, the administratorshall follow the TFM guidance to disable the OS/2 and POSIX subsystems. Also, the evaluated configuration excludes Windows NT's networkingcapabilities. Service Pack 3, which addresses bug fixes to Version 3.5, mustalso be installed.
Evaluated Hardware Components Compaq Proliant 2000 and 4000 The Compaq models are the Proliant 2000 and the Proliant
4000 5/90-1 and 5/100-1, all of which are designated as fileservers, but are evaluated for use as stand-aloneworkstations only, with no networking capability (regardlessof whether the Windows NT Workstation or Server system isinstalled).
DECpc AXP/150
Final Evaluation Report Microsoft Windows NT
(Report No. CSC-FER-95/003 vom 29. April 1996)
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 8
CAPP/EAL4
©20
03 R
aine
r W
. Ger
ling
A
lle R
echt
e V
orbe
halte
n
Rechtliche Vorgaben und Standards zur IT-Sicherheit
5
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 9
Controlled Access Protection Profile(NSA, Vers. 1.d, 8. Oktober 1999)
• The system administrative personnel are not careless, willfully negligent, or hostile, and will follow and abide by the instructions provided by the administrator documentation.
• Authorized users possess the necessary authorization ... and are expected to act in a cooperating manner in a benign environment.
• The profile is not intended to be applicable to circumstances in which protection is required against determined attempts by hostile and well funded attackers to breach system security. The CAPP does not fully address the threats posed by malicious system development or administrative personnel.
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 10
Protokollierung im BDSG
§ 9 Technische und organisatorische MaßnahmenÖffentliche und nicht-öffentliche Stellen, die ... personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
©20
03 R
aine
r W
. Ger
ling
A
lle R
echt
e V
orbe
halte
n
Rechtliche Vorgaben und Standards zur IT-Sicherheit
6
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 11
Anlage zu § 9 BDSG
Geeignete Maßnahmen zu treffen:1. Zutrittskontrolle2. Zugangskontrolle3. Zugriffskontrolle4. Weitergabekontrolle5. Eingabekontrolle6. Auftragskontrolle (Outsourcing, § 11 BDSG)7. Verfügbarkeitskontrolle8. Zweckbindung, Trennungsgebot
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 12
§ 87 TKG
Wer Telekommunikationsanlagen betreibt, die dem geschäftsmäßigen Erbringen von Telekommunikationsdienstendienen, hat bei den zu diesem Zwecke betriebenen Telekommunikations- und Datenverarbeitungssystemen angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze
1. des Fernmeldegeheimnisses und personenbezogener Daten, 2. der programmgesteuerten Telekommunikations- und
Datenverarbeitungssysteme gegen unerlaubte Zugriffe, 3. gegen Störungen, die zu erheblichen Beeinträchtigungen von
Telekommunikationsnetzen führen, und 4. von Telekommunikations- und Datenverarbeitungssystemen
gegen äußere Angriffe und Einwirkungen von Katastrophen zu treffen. Dabei ist der Stand der technischen Entwicklung zu
berücksichtigen.
©20
03 R
aine
r W
. Ger
ling
A
lle R
echt
e V
orbe
halte
n
Rechtliche Vorgaben und Standards zur IT-Sicherheit
7
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 13
§ 4 TDDSG/§ 18 MedStV
Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass
2. die anfallenden personenbezogenen Daten über denAblauf des Zugriffs oder der sonstigen Nutzungunmittelbar nach deren Beendigung gelöscht odergesperrt werden können,
3. der Nutzer Tele(Medien)dienste gegen KenntnisnahmeDritter geschützt in Anspruch nehmen kann,
4. die personenbezogenen Daten über die Inanspruch-nahme verschiedener Tele(Medien)dienste durcheinen Nutzer getrennt verarbeitet werden können,
6. Nutzerprofile nach § 6 Abs. 3 (§ 19 Abs. 4) nicht mitDaten über den Träger des Pseudonyms zusammen-geführt werden können.
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 14
Grundsatz
• Es gibt (noch) keine gesetzlichen Vorschriften, die eine proaktiveProtokollierung verlangen!
• In einigen Bereichen gibt es aber Dokumentationspflichten.– Medizin– Steuerrecht– ...
©20
03 R
aine
r W
. Ger
ling
A
lle R
echt
e V
orbe
halte
n
Rechtliche Vorgaben und Standards zur IT-Sicherheit
8
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 15
Strafgesetzbuch
§ 1 Keine Strafe ohne Gesetz.• Eine Tat kann nur bestraft werden, wenn die
Strafbarkeit gesetzlich bestimmt war, bevor die Tat begangen wurde.
• Das sollte auch bei Regelungen im Unternehmen gelten!
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 16
Grundprinzip
• Technische Maßnahmen– Wenn es möglich ist, etwas technisch zu
unterbinden, dann soll es unterbunden werden.
• Organisatorische Maßnahmen– Nur was nicht technisch unterbunden werden
kann, muss organisatorisch unterbunden (d.h. verboten) werden.
©20
03 R
aine
r W
. Ger
ling
A
lle R
echt
e V
orbe
halte
n
Rechtliche Vorgaben und Standards zur IT-Sicherheit
9
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 17
Warum Protokollierung?
• Verhinderung privater Nutzung• Erkennen von Straftaten
– Urheberrechtsverstöße, Pornographie
• Abwehr von Hackern• Abwehr von Wirtschaftsspionage• Schutz vor Viren und Würmern
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 18
Konflikt
• Datenschutz:– So wenig Daten wie möglich– geschützt aufbewahren
• IT-Sicherheit (=Kontrolle??)– Datenschutz ist Täterschutz– Umfangreiche Protokoll Daten (benötigt man die
wirklich?)– Wie lange benötigt man die Daten?
©20
03 R
aine
r W
. Ger
ling
A
lle R
echt
e V
orbe
halte
n
Rechtliche Vorgaben und Standards zur IT-Sicherheit
10
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 19
Zweckbindung im BDSG
§ 31 BDSG Besondere Zweckbindung Personenbezogene Daten, die ausschließlich zu
Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden.
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 20
Datensparsamkeit
• Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen.
• Muss man wirklich alles speichern?• Was nicht gespeichert wird, muss auch nicht
gelöscht werden!
©20
03 R
aine
r W
. Ger
ling
A
lle R
echt
e V
orbe
halte
n
Rechtliche Vorgaben und Standards zur IT-Sicherheit
11
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 21
Mitbestimmung
• Protokollierung und Auswertung von Beschäftigtendaten ist mitbestimmt!– § 87 Abs. 1 Nr. 6 BetrVG– Betriebsvereinbarung ist notwendig– Besonders kritisch:
• Firewall
• E-Mail Server
• http-Proxy-Server
• WWW-Server
• Einwahlserver
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 22
Probleme
• Regeln zur Missbrauchsbekämpfung sind bei Telekommunikation und TeleMediendiensten unterschiedlich!
• Wann verlieren Daten den Schutz des TDDSG bzw. des Fernmeldegeheimnisses?
• Wann wird die Trennung von Medien- und Telediensten aufgehoben?
©20
03 R
aine
r W
. Ger
ling
A
lle R
echt
e V
orbe
halte
n
Rechtliche Vorgaben und Standards zur IT-Sicherheit
12
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 23
Planung der Policy
• Welche Daten will ich wozu verarbeiten?• Wie sind die Rechtsgrundlagen?• Formulierung der Policy• „Testlauf“ mit ausgewählten Betroffenen• Policy wird freigegeben• Regelmäßige Anpassung auf Grund der
Rückkoppelungen
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 24
Strategie für Policy
• Erlauben die Gesetze meine Datenerhebung/-verarbeitung?
• Ist die Verarbeitung anonym möglich?• Ist die Verarbeitung pseudonym möglich?• Wie hole ich mir eine Einwilligung, wenn die
gesetzliche Erlaubnis fehlt?– Ziel der Verarbeitung erläutern– Ansprechpartner nennen– Speicherfristen benennen
• Datenvermeidung und Datensparsamkeit
©20
03 R
aine
r W
. Ger
ling
A
lle R
echt
e V
orbe
halte
n
Rechtliche Vorgaben und Standards zur IT-Sicherheit
13
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 25
Zusammenfassung
• Beachten Sie alle Gesetze!• Informieren Sie die Betroffenen ehrlich und
offen!• Alle Informationen sollten gut lesbar und
verständlich sein.• Keine juristischen Spitzfindigkeiten!• Definieren Sie nicht nur Pflichten sondern
auch Rechte!
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 26
Die 10 Grundfragen(nach D. Fox)
• Kennen Sie alle kritischen IT-Geschäftsprozesse?• Gibt es für diese eine realistische Risikobewertung?• Welche Ausfallzeiten können Sie maximal tolerieren?• Existiert ein lückenloses IT-Sicherheitskonzept?• Gibt es für alle kritischen Systeme einen Notfallplan?• Wird der Notfallplan regelmäßig geprüft und trainiert?• Genügen die Maßnahmen den gesetzlichen
Anforderungen?• Wird das IT-Sicherheitskonzept regelmäßig auditiert?• Wird die Umsetzung der Maßnahmen kontrolliert?• Kennen die Mitarbeiter die Security Policy und wird ihre
Einhaltung motiviert und überprüft?