370 likes | 638 Views
Datenschutz und Datensicherheit. Definition, Aufgaben, Nutzen und Anwendungsbereiche. Agenda. 1. Was muss nach dem BDSG geschützt werden?.
E N D
Datenschutz und Datensicherheit Definition, Aufgaben, Nutzen und Anwendungsbereiche
1. Was muss nach dem BDSG geschützt werden? • Das Bundesdatenschutzgesetz schützt Einzelne (natürliche Personen) vor dem Missbrauch personenbezogener Daten. Zu personenbezogenen Daten zählen Eigenschaften von Personen die ohne Probleme jemandem zugeordnet werden können (z.B.: Name, Geburtsdatum, Adresse,…). • Das BDSG schützt also die Daten im gesamten Umgang: Erhebung, Verarbeitung und Nutzung. Autoren: Nilgün Altunbas
2. Welche Anforderungen stellt das BDSG an Unternehmen? • Personenbezogene Daten dürfen von Unternehmen nur benutzt werden, wenn diese zur Interaktion (Erfüllung des Geschäftszwecks) benötigt werden. Außerdem dürfen personenbezogene Daten benutzt werden, wenn Interessen Dritter bewahrt werden sollen, wenn der Zugriff auf diese Daten die staatliche Sicherheit gewährleistet oder diese Daten einer Forschungseinrichtung zur Forschung dienen. • Personenbezogene Daten dürfen zu Werbezwecken nur mit Einwilligung benutzt werden. Autoren: Nilgün Altunbas
3. Welche Rechte haben Betroffene? • Betroffene haben das Recht auf Berichtigung (falsche Daten müssen korrigiert werden), Löschung (bei unerlaubter Speicherung besteht das Recht der Löschung dieser Daten), Sperrung (wenn weder Richtigkeit noch Unrichtigkeit der Daten festgestellt wird und die Daten aufgrund vom Gesetz nicht gelöscht werden kann, besteht die Möglichkeit der Sperrung), Widerspruch (in bestimmten Fällen kann ein Betroffener Widerspruch gegen die Benutzung seiner Daten einlegen) und Anrufung (ein Betroffener hat ein Recht auf Prüfung ob eine Stelle sein Daten legal verarbeitet) ihrer Daten. Autoren: Katharina Drepper
4. In welchen Fällen dürfen personenbezogene Daten von Unternehmen grundsätzlich gespeichert werden? • Personenbezogene Daten dürfen gespeichert werden, wenn der Betroffene zustimmt oder ein Gesetz dies erlaubt. • Beispiele: • Interaktion mit dem Betroffenen (Geschäftsabschluss) • Einwilligung bei Befragungen • etc. Autoren: Katharina Drepper
5. Welche betriebliche Instanz (Person) ist für den Datenschutz verantwortlich und welche Aufgaben hat sie konkret? • Der Beauftragte für Datenschutz ist für den Datenschutz in seinem Unternehmen zuständig. Hier unterscheidet man noch zwischen vier verschiedenen Beauftragten: Betrieblicher Datenschutzbeauftragter (bDSB), Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), Landesbeauftragter für den Datenschutz (LfD) und Europäischer Datenschutzbeauftragter (EDSB). • Der betriebliche Datenschutzbeauftragte hat verschiedene Aufgaben. Er berät die Geschäftsführung, er überwacht die Nutzung der EDV-Programme, schult die Beschäftigten des Unternehmens, führt das gesetzlich geforderte Verfahrensverzeichnis und entwickelt das Datenschutzkonzept des Unternehmens. Autoren: Bianca Effertz
6. Welche Pflichten obliegen einer datenverabeitenden Stelle? • Eine Stelle, die mit personenbezogenen Daten arbeitet hat wichtige Pflichten. Hierzu zählt, dass das BDSG eingehalten wird und sorgsam mit den Daten umgegangen wird. Außerdem muss geprüft werden, ob die Erfassung, Speicherung und Übermittlung der Daten zulässig ist. Weiterhin muss gewährleistet sein, dass die Daten von Unbefugten nicht eingesehen, geändert oder gelöscht werden können. Um diese Sachen zu gewährleisten, muss jedes Unternehmen Vorkehrungen treffen (Firewall,…). Autoren: Daniela Hortt
7. Wo steht das und was wird dort genau gesagt? (Fortführung Frage 6) • Die Pflichten von datenverarbeitenden Stellen sind im jeweiligen BDSG von jedem Bundesland festgelegt. Die datenverarbeitende Stelle muss die Datei zum Dateienregister melden und die Mitarbeiter müssen sich zum Datengeheimnis verpflichten. Es müssen technische und organisatorische Maßnahmen zur Datensicherheit angewandt werden. Außerdem muss jedes Unternehmen einen Beauftragten für Datenschutz bestellen. Autoren: Florian Hitzigrath
8. Wann ist die Speicherung personenbezogener Daten zulässig? • Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist nur zulässig, wenn ein Gesetz dies erlaubt oder die betroffene Person einwilligt. Autoren: Basil Güleryüz
9. Was besagen die 10 Gebote der Datensicherung? • Zugangskontrolle: Unbefugte dürfen auf Daten nicht zugreifen. • Datenträgerkontrolle: Datenträger dürfen unbefugt nicht gelesen, kopiert, verändert oder entfernt werden. • Speicherkontrolle: Unbefugte dürfen nichts in den Speicher eingeben und personenbezogene Daten nicht lesen, verändern oder löschen. • Benutzerkontrolle: Unbefugte dürfen die Datenverarbeitungssysteme nicht benutzen. • Zugriffskontrolle: Berechtigte dürfen nur auf die ihnen zugewiesenen Daten zugreifen. • Übermittlungskontrolle: Es muss festgestellt werden können, an welche Stellen Daten mittels Datenübertragung übermittelt werden können. • Eingabekontrolle: Es muss nachträglich feststellbar sein, von wo Daten eingegeben wurden. • Auftragskontrolle: Daten die im Auftrag bearbeitet werden dürfen nur nach dem Auftrag bearbeitet werden. • Transportkontrolle: Auch bei Transport auf Datenträgern müssen die Gebote eingehalten werden • Organisationskontrolle: Die Organisation im Betrieb muss den Anforderungen des Datenschutzes gerecht werden. Autoren: Armando, Josephine, Christian
10. Vor welchen Gefahren soll die Datensicherung allgemein und im Hinblick auf personenbezogene Daten schützen? • Die Daten sollen vor Verlust geschützt werden. Verlust kann durch verschiedene Umstände auftreten. Missgeschicke, Unfälle, Festplattenschäden oder Diebstahl sind meist Gründe. Sind die Daten extern gespeichert und man verliert eine Festplatte, so hat man immer noch das Backup auf dem externen Datenträger. Autoren: Armando, Josephine, Christian
Welche technischenVerfahren zur Datensicherung gibt es? • - Notstromaggregate:erzeugen bei Stromausfall die notwendige Energie, um den Datenverarbeitungsbetrieb aufrechtzuerhalten. • Parallelrechner:zusätzlicher Computer, der bei Ausfall der eigentlichen EDV-Anlage deren Aufgaben wahrnimmt. • Streamer:spezielle Magnetbandeinheit für die Datensicherung, das das sichere Arbeiten mit der Festplatte unterstützt, da es größere Datenmengen sehr schnell aufnehmen bzw. wieder abgeben kann. • Hardware-Schreibschutz:sorgt dafür, dass ein versehentliches Überschreiben der Dateien auf der Diskette nicht möglich ist. • Mechanische Sicherungen:jeder Computer muss mit einem Schloss versehen sein, damit die Inbetriebnahme nur Schlüsselbesitzern möglich ist. Auch die zum Computereinsatz gehörenden Arbeitsmittel sind vor allen potenziellen Risiken zu schützen. • Räumliche Sicherungen:sind Sicherheitsschlösser, Sicherheitsverglasungen für Räume in denen sich EDV-Anlagen befinden. Autoren: Namen der Schüler, die diese Ergebnisse, bzw. Zusammenfassung erstellt haben.
Welche personellen Verfahren zur Datensicherung gibt es? • Schulungen: • stellen sicher, dass die Mitarbeiter die EDV ordnungsgemäß und fehlerfrei bedienen können. • Doppelbesetzungen: • sorgen dafür, dass das Unternehmen nicht von einzelnen Personen wegen seiner Spezialkenntnisse abhängig wird. • Das 4-Augen-Prinzip: • verlangt aus Sicherheitsgründen vor der Ausführung besonders kritischer Vorgänge die Eingabe (und damit die Zustimmung) einer zweiten Person Autoren: Namen der Schüler, die diese Ergebnisse, bzw. Zusammenfassung erstellt haben.
Welche programmatischenVerfahren zur Datensicherung gibt es? • Verschlüsselung von Daten:sorgt dafür dass es Unbefugten zumindest erschwert wird, Daten zu lesen oder zu verändern die auf externen Speichern aufbewahrt werden • Plausibilitätskontrollen:sind in vielen Fällen einprogrammiert und prüfen für einen reibungslosen Ablauf der Datenverarbeitung ob die eingegebenen Daten in der Wirklichkeit überhaupt vorkommen können • Passwortverfahren:verhindert, dass Unbefugte mit der Software arbeiten können • Berechtigungscodes:einzelnen Mitarbeiter werden mit unterschiedlichen Autorisationsgraden ausgestattet, die besagen, wozu jeder Einzelne am Computer berechtigt ist • Software-Schreibschutz und versteckte Dateien: nur wenige Personen wissen von der Existenz bestimmter Dateien. Sie können daher auch nur von diesen Personenbearbeitet werden. Oft können diese Dateien auch nur gelesen, aber nicht verändert werden. • Eingabemasken: gewährleisten, dass nur Daten eingegeben werden, die im Sinn eines sicheren und störungsfreien Betriebsablaufs benötigt werden. Autoren: Namen der Schüler, die diese Ergebnisse, bzw. Zusammenfassung erstellt haben.
Welche organisatorische Verfahren zur Datensicherung gibt es? • Periodisches Anfertigen von Sicherheitskopien: • es greift das „Großvater-Vater-Sohn-Prinzip“, das gewährleistet, dass bei täglicher Verarbeitung grundsätzlich die Daten der beiden vorhergehenden Tage noch als Sicherheiten zu Verfügung stehen. • Überwachungsprotokolle des Betriebsablaufs: • sämtliche Tätigkeiten in der EDV-Anlage werden in einer besonderen Datei gespeichert und können so ü überwacht werden Autoren: Namen der Schüler, die diese Ergebnisse, bzw. Zusammenfassung erstellt haben.
Welche Gefahren begegnen mir im Internet und wie kann ich mich dagegen schützen? • Schadprogramme • Phishing • DoS • Botnetze • Hacker • Falsche Antivirensoftware • Gefälschte Absenderadressen • Spam • Hoax • Kostenfallen Autoren: Namen der Schüler, die diese Ergebnisse, bzw. Zusammenfassung erstellt haben.
Schadprogramme • Würmer: • Würmer sind Viren, die im Gegensatz zu den „klassischen“ Viren vollautomatisch ihre Funktion ausführen • Viren: • werden meist durch das Öffnen einer E-Mail aktiviert, und besitzen Schadfunktionen wie z.B. das Löschen oder Verändern von Daten • Trojanische Pferde:besitzen keine eigene Verbreitungsfunktion. • Beispiele für ihre Schadfunktion: • „Popup“-Fenster öffnen • Sammeln von persönlichen Daten (häufige Besuche bestimmter Websites) • „Dialer“ – verändern den Einwahlvorgang des Modems. So entstehen Kosten für den Benutzer Autoren: Michael
Phishing • Ziel: Passwörter, Zugangsdaten oder Kreditkartennummern • Durch das Fälschen von E-Mails und Internetseiten werden Daten „geangelt“ • Getarnt als seriöse Firmenemails im HTML-Format zeigen einen "offiziellen" Link an, hinter dem sich jedoch tatsächlich ein ganz anderer Link verbirgt. Autoren: Michael
DoS(Denial-of-Service-Attacken) • „etwas außer Betrieb setzen“ • ein Server gezielt mit so vielen Anfragen bombardiert, dass das System die Aufgaben nicht mehr bewältigen kann und im schlimmsten Fall zusammenbricht. • Syn Flooding: SYN-Pakete werden verschickt, die anstatt der eigenen Absenderadresse eine gefälschte im Internet erreichbare IP-Adresse tragen. • Ping Flooding: Der betroffene PC wird mit Anfragen (Ping) bombardiert. Die Beantwortung (Pong) überfordert das System und führt zum Ausfall. • Mailbombing: • Den betroffenen PC mit einer riesigen Mail belasten • Den betroffenen PC mit tausenden Mails belasten Autoren: Michael
Botnetze • Im IT-Fachjargon ist mit Bot ein Programm gemeint, das ferngesteuert auf ihrem PC arbeitet.Von Botnetzen spricht man, wenn sehr viele PCs (tausend wenn nicht sogar millionen) per Fernsteuerung zusammen geschlossen werden und zu bestimmten Aktionen missbaucht werden. Autoren: Maike
Hacker • Hacker: • Hohe Fachkenntnis • Richten meist keinen größeren Schaden an • Hacken zum Spaß • Cracker: • Hacken sich mit „schlechten“ Absichten in Systeme ein • löschen, verändern, missbrauchen geschützte Datenbestände/Programme • Materielle Schäden in Millionenhöhe können entstehen • Script Kiddies: • Es handelt sich meist um Jugendliche • benutzen vorgefertigte Programme: Computerviren, Trojanische Pferde • Ihre Vorhaben sind meist Ziellos Autoren: Lea
Falsche Antiviren Software • Unterjubeln von gefälschten Antivirensoftwares • Nutzer erhält beim surfen eine gefälschte Virenwarnung • Nutzer wird dazu aufgefordert das seriös wirkende Antivirenprogramm herunter zu laden • Darauf hin wird der Nutzer zur Bezahlung einer Lizens aufgefordert • Ziel: Kreditkartendaten, Infizierung mit Schädlingen, Anschluss des betroffenen PC an ein Botnetz Autoren: Maike
Gefälschte Absenderadressen • E-Mails mit falschem Absender: • Ziel: Verbreitung von Viren, Würmern über: • gefälschte Absenderadresse: seriös wirkende Absenderadresse, Adressen von persönlichen Bekannten • durch die Öffnung der E-Mail infiziert man den PC • Oder: Verbreitung von Werbeemails ( Spammer) • ebenfalls oft falsche Identität • verschicken von Spams ist in Deutschland ungesetzlich • Nachverfolgung nicht möglich, durch gründliche Verwischung der Spuren • beste Reaktion: E-Mails ignorieren und löschen Autoren: Lea
Spam • Als SPAM , Spamming oder auch Junkmail bezeichnet man: • -Massenversand nicht angeforderter Werbeemails • -Kettenbriefe • -Werbebeiträge die nichts mit dem Thema Newsgroup* zu tun haben. • Spammer benötigen Adressen um E-Mails zu verschicken, diese bekommen sie bei Adresshändlern. Autoren:Maike
Hoax • Deutsche Bedeutung: „schlechter Scherz“ • Elemente: • Vermeintliche Seriosität, suggeriert Echtheit • Enthält angebliche Sachinformation (Einkommensmöglichkeiten, Naturkatastrophen etc) • Keine Daten, aber Aktualität suggerierende Begriffe wie „gestern, soeben“ • Dadurch halten sich diese Meldungen lange im Netz • Gekoppelt ist das ganze an die dringende Bitte diese Nachricht weiter zu leiten • Gefahren: • Hoher wirtschaftlicher Schaden durch ungewolltem Datenverkehr • Bei Befolgen einer in der Hoax enthaltenen Anleitung zur Installation eines Programms, werden Daten aus dem Computersystem entfernt Autoren: Michael
Kostenfallen • Abrechnung über Handy und Premium-SMS: • Handy-Payment:- Bezahlung meistens kleine Beträge über das Mobiltelefon- auf Shop-Seiten besteht Möglichkeit, die Telefonnummer zu hinterlassen- Code wird einem zugeschickt, der auf der Seite einzugeben ist- Abrechnung erfolgt über Telefonanbieter • Premium-SMS:- Kauf einer Ware/Leistung durch das versenden eines Codes/Kennworts- Meist Klingeltöne, Logos fürs Handy- angeblich einmalig günstig- teures Abo wird abgeschlossen (unwissentlich)- SMS Versand über das Internet- meist wird ein teures Abo damit abgeschlossen • Schutzmaßnahmen:- genaue Prüfung der Angebote (Bestellung eines Abos ?)- nicht Beantwortung von SMS fremden Absenders -> könnten sich Codes verbergen -> Bestellung von Leistungen- Skepsis gegenüber langen Dialogen in SMS-Foren -> professioneller Gesprächspartner -> Bewegung zum Versand vieler teurer Nachrichten? Autoren: Lea
Wie mache ich meinen PC sicher?Basisschutz • aktuelles Viren-Schutzprogramm • das auch vor Drive-by-Downloads schützt und auf schon bekannte bösartige Webseiten hinweist. • 2. Personal Firewall • schützt bei richtiger Konfiguration vor Angriffen aus dem Internet ... verhindert zudem bei einer Infektion des PCs mit einem Computerschädling, dass ausspionierte Daten an einen Angreifer übersendet werden können. • 3. Sicherheitsupdates für Ihr Betriebssystem & sonstige von Ihnen installierte Software • spielen Sie regelmäßig alle verfügbaren Updates für das Betriebssystem, den Browser selbst und alle anderen Anwendungen (etwa PDF-Reader oder Flash-Player) ein. • 4.richten Sie für alle Nutzer eines PCs unterschiedliche Benutzerkonten ein • so werden auch private Dateien vor dem Zugriff Anderer geschützt. • speziell beim Surfen sollten Sie nach Möglichkeit immer auf Administratorrechte verzichten. • 5. Verwenden Sie einenBrowser mit integrierter Funktion zur Warnung vor bösartigen Webseiten • in Computerzeitschriften und Online-Medien finden Sie regelmäßig Tests ... die Ihnen wertvolle Tipps geben können. Autoren: Namen der Schüler, die diese Ergebnisse, bzw. Zusammenfassung erstellt haben.
Basisschutz • 6. gehen Sie sorgfältig mit Ihren Zugangsdaten um • halten Sie Kennwörter und Benutzernamen unter Verschluss. • wechseln Sie Passwörter in regelmäßigen Abständen. • 7. Vorsicht beim Öffnen von E-Mail Anhängen • Schadprogramme werden oft über Dateianhänge in E-Mails verbreitet. • 8. Vorsicht bei Downloads von Webseiten • vergewissern Sie sich vor dem Download von Programmen aus dem Internet, ob die Quelle vertrauenswürdig ist und bringen Sie Ihr Virenschutzprogramm auf den aktuellsten Stand. • 9. Vorsicht bei Weitergabe persönlicher Informationen • 10. achten Sie auf eine Verschlüsselung Ihrer Kommunikation • damit die Übertragung Ihrer Daten nicht von Dritten mitgelesen bzw. Gespräche nicht abgehört werden können. • Wichtiger Hinweis: • geben sie nicht direkt auf Anfrage ihr Passwort ein, checken Sie lieber erst einmal das Programm. Autoren: Lara Kaschny
Passwörter • Ein gutes Passwort- mindestens acht Zeichen lang- tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars usw.- es sollte Sonderzeichen und Ziffern enthalten (?!%+…)- beliebte Methode: "...Man denkt sich einen Satz aus und benutzt von jedem Wort nur den 1. Buchstaben (oder nur den 2. oder letzten, etc.)...„ • Passwörter regelmäßig ändern- in regelmäßigen Zeitabständen ändern (es gibt Programme, die Sie automatisch daran erinnern) • Passwörter nicht notieren- wer sich Passwörter notieren will, sollte diese auf Papier unter Verschluss halten bzw. auf dem Rechner in einer verschlüsselten Datei ablegen- desweiteren gibt es Passwort-Verwaltungsprogramme • Keine einheitlichen Passwörter verwenden- gerät das Passwort einer einzelnen Anwendung in falsche Hände, so hat der Angreifer freie Bahn für Ihre übrigen Anwendungen • Voreingestellte Passwörter ändern- es ist ratsam, in Handbüchern nachzulesen, ob Accounts vorhanden sind und wenn ja, diese unbedingt mit individuellen Passwörtern abzusichern • Bildschirmschoner mit Kennwort sichern- "...ohne Passwortsicherung können unbefugte Dritte sonst bei vorübergehender Abwesenheit des rechtmäßigen Benutzers Zugang zu dessen PC erlangen..." Autoren: Lara Kaschny
Benutzerkonten/ Netzwerke • PC-Mehrfachnutzung • größte Gefahr, dass verschiedenen Nutzern nicht bewusst ist, was für Schäden auf Sie und auch auf die anderen zukommen können • Risiken: • Datenverlust, bewusste oder unbewusste Schäden durch Mitbenutzer • Arbeiten mit Administratorenrechten oder nur einem Konto • Angriffe über das Internet, Ausspionieren vertraulicher Daten • Veraltete Software • Die Schutzmaßnahmen: • -Nicht mit Administratorenrechten arbeiten-Unterschiedliche Benutzerkonten einrichten-Immer aktuelle Software einsetzen-Nutzungsberechtigungen einschränken-Nutzungsmöglichkeiten für Kinder einschränken-Sensible Daten auf separaten Geräten bearbeiten-Vorsichtig mit Passwörtern umgehen-Verlauf löschen-Daten regelmäßig sichern Autoren: Lara Kaschny
SchutzprogrammeSoftware zum sicheren Umgang mit persönlichen Daten und bei Benutzung des Internets • Virenschutzprogramme • Virenscanner • Firewall • sicheres Mailprogramm • sicherer Browser • Benutzung von Verschlüsselung • regelmäßige Updates Autoren: Thomas Koppers
Update- und Patchmanagement • Updateprogramme liefern nützliche Anwendungen für die Software und beheben Sicherheitslücken • Ein häufiges Updaten ist gerade bei Online Banking, Browsern, Mailprogrammen und anderen Programme wo personenbezogene Daten verarbeitet werden sehr wichtig Autoren: Thomas Koppers
Datenverschlüsselung • 1. Verschlüsselung von E-Mails und Datensendungen • 2. WLAN verschlüsseln • 3.Verschlüsselung von vertraulichen Seiten( wie Online Banking) prüfen Autoren: Thomas Koppers
Datensicherung • Volldatensicherung: • Speicherung mehrerer Datengenerationen auf einem externen Datenspeicher • Inkrementelle Datensicherung: • Setzt Volldatensicherung voraus, im Gegensatz zu dieser werden allerdings im Verlauf nur die Veränderungen neu gespeichert • Differentielle Datensicherung: • Ähnlich der Inkrementellen Datensicherung Autoren: Lena