Dozent: Stephan Eichner Datenschutz und DatensicherheitDatensicherheit Grundlagen des Datenschutzes Die Umsetzung des Datenschutzes im Betrieb ---- Maßnahmen

Dozent: Stephan Eichner

Datenschutz und Datensicherheit

•Grundlagen des Datenschutzes•Die Umsetzung des Datenschutzes im Betrieb

----•Maßnahmen zur Sicherheit der EDV-Anlage

•Maßnahmen zum Schutz vor Angriffen über Netzwerke•Maßnahmen zum Schutz vor Schadprogrammen


Die Notwendigkeit von Datenschutzmaßnahmen

• Durch EDV Systeme werden personenbezogene Daten gespeichert, verarbeitet, übertragen und gesichert!

Der Staat - > Erfüllung seiner Vielfältigen AufgabenFirmen -> Kundenbezogene Daten und Mitarbeiter

• Personenbezogenen Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten natürlichen Person. Dazu zählen z.B. das Alter Einkommen und Vermögen und vieles mehr!

• Da mit Hilfe von modernen EDV und Kommunikationssystemen große Bestände an personenbezogenen Daten zusammengeführt, abgeglichen und nach beliebigen Kriterien ausgewertet kann, muss es regeln für die Erhebung und Verarbeitung personenbezogener Daten geben!

• Ziel ist es, den Umgang mit den personenbezogenen Daten jedes Menschen gesetzlich zu regeln und diese Daten vor Missbrauch zu schützen. Der Datenschutz dient in erster Hinsicht dem Schutz der Persönlichkeit und nicht dem Schutz der Daten.


Gesetzliche Grundlagen

• Die wichtigsten Prinzipien des Datenschutzes sind im Bundesdatenschutzgesetz (BDSG) und im Landesdatenschutzgesetz (LDSG) festgelegt!

• Dazu zählen unter anderem:- die Abgabenverordnung- das Betriebsverfassungsgesetz- das Bundesverfassungsschutzgesetz- das Einkommensteuergesetz- das Informationsfreiheitsgesetz- das Sozialgesetzbuch

- Das Teledienstgesetz und das Teledienstdatenschutzgesetz


Datenschutzprinzipien

• Prinzipiell dürfen Daten nur gespeichert werden, wenn eine Einwilligung des betroffenen erteilt wurde, wenn es aufgrund eines Vertragsverhältnisses notwenig ist oder wenn es durch gesetzliche Vorschriften legitimiert ist.

• Die Zulässigkeit einer Datenerhebung muss in jedem Fall vor der eigentlichen Erfassung geklärt werden.

• Im BDSG ist das Prinzip der Datensparsamkeit verankert. Die Datenerhebung darf immer nur im erforderlichen Umfang erfolgen. Das sind bei öffentlichen Stellen die Daten, die für die Erfüllung der gesetzlichen Aufgaben notwendig sind. Im Bereich der Wirtschaft werden personenbezogene Daten für die Erfüllung eigener Geschäftszwecke verwendet. Dazu zählen vor allem Kunden – und Personendaten.

• Ein weiteres wichtiges Prinzip ist Zweckbindung der Daten. Die Speicherung und Verarbeitung personenbezogener Daten ist prinzipiell nur für eng begrenzte Aufgaben gestattet. Im Ausnahmefall kann von der Zweckbindung abgewichen werden, wenn eine Rechtsvorschrift dies vorsieht, wenn der Betroffene eingewilligt hat, wenn der Staat Straftaten verfolgt oder wenn öffentliche Stellen Angaben überprüfen müssen. Der Zweckbindungsgrundsatz gilt für öffentliche und nichtöffentliche Stellen.


Die Rechte des Betroffenen

Betroffene deren Daten erhoben bzw. gespeichert werden haben folgende Rechte:

• Das Auskunftsrecht

• Das Widerspruchsrecht

• Das Recht auf Löschung

• Das Recht auf Berichtigung

• Das Recht auf Sperrung

• Das Recht auf Geheimhaltung und

• Das Recht auf Benachrichtigung


• A Allgemeine und frei zugängliche Daten, in die Daten, Einsicht gewährt wird, z.B. Adressbücher, Telefonlisten und MA-Verzeichnisse

• B Organisationsbezogene Daten, an deren Vertrauliche Handhabung ein berechtigtes Interesse der Betroffenen gebunden ist, z.B. Verteilerschlüssel, Organigramme und stellenbezogene Informationen.

• C Personenbezogene Daten, deren Missbrauch das Ansehenden Betroffenen empfindlich berührt, das sind z.B. Daten des Melderegisters, Daten über Ordnungswidrigkeiten, Daten zur persönlichen Überzeugungen sowie Leistungen, Beurteilungen und Prüfungsergebnisse.

• D Personenbezogene Daten, deren Missbrauch die wirtschaftliche Existenz und gesellschaftliche Stellung des Betroffenen berührt, dazu zählen alle Angaben zum Einkommen und Vermögen, zu Steuern und Abgaben oder auch zu Lohnpfändungen und Unterhaltszahlungen.


Datenschutzkontrollbehörden

• Datenschutz im öffentlichen Dienst – durch den Bundesdatenschutzbeauftragten und Landesdatenschutzbeauftragten.

Datenschutz im privatwirtschaftlichen – sind die Bundesländer zuständig.

In den meisten Bundesländern gibt es Datenschutzbehörden au der Ebene der Regierungsbezirke.

• Betroffene haben das Recht sich auf den Bundesbeauftragten für den Datenschutz oder an den zuständigen Landesbeauftragten für den Datenschutz zu wenden. Die Datenschutzbehörden bieten auch Beratung, Informationsmaterial, Musterverträge, und Gesetze zum Datenschutz an.


Die Umsetzung des Datenschutzes im Betrieb

• In einem normalen privaten Unternehmen, das keine Daten im Auftrag von Kunden bearbeitet werden Daten wie vor in die Datenschutzklassen eingeteilt!

• Bei Polizei, Feuerwehr und Sicherheitsbehörden gibt es noch eine weitere Schutzklasse, in die alle Daten eingeordnet werden müssen die Bedeutung für Leben und Existenz der Betroffenen besitzen! (z.B. Krankenhaus Blutgruppe, Unverträglichkeiten usw.)

• Das Bundesdatenschutzgesetz stuft weitere Daten als Schutzwürdig ein, die in einem Betrieb normalerweise nicht erfasst werden. Dazu zählen Daten der Herkunft eines Menschen, zu Meinungsäußerungen und persönlichen Überzeugungen, zur Mitgliedschaften in Parteien und Organisationen sowie zu evtl. Vorstrafen.


Die Handhabung der Daten

• Die MA eines Betriebes müssen der Erfassung, Speicherung und Verarbeitung ihrer Daten zustimmen. Dies tun sie in der Regel beim Abschluss ihres Arbeitsvertrages. Auf die Rechte des Betroffenen auf Auskunft, Berichtigung, Löschung oder Sperrung können die MA nicht verzichten.

• Alle Personaldaten müssen vor dem Zugriff unbefugter Personen und vor Missbrauch geschützt werden. Der Personenkreis mit Zugriff auf Personaldaten muss eng begrenzt sein. Die MA dürfen ihre eigenen Daten einsehen und sollten in regelmäßigen Abständen über den Umfang der Datenspeicherung informiert werden. Das kann in Betriebsvereinbarungen geregelt werden.

• Die MA einer Personalabteilung oder einer Lohnbuchhaltung dürfen de Daten der von Ihnen betreuten MA einsehen, bearbeiten und ggf. sperren und löschen. Die Vorgesetzten dürfen nur diejenigen Daten einsehen, die sie für die Erfüllung ihrer Aufgaben brauchen. Der Betrieb muss durch geeignete Maßnahmen sicherstellen, dass diese Anforderungen erfüllt sind.


…

• Alle MA, die mit externen oder internen personenbezogenen Daten umgehen, ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Diese MA werden auf das Datengeheimnis verpflichtet. Das Datengeheimnis besteht auch nach ihrer Tätigkeit fort, also auch nach Beendigung eines Arbeitsverhältnisses.


Mitbestimmung

• Einführung und Nutzung von IT - Systemen zur Verarbeitung von Personaldaten sind mitbestimmungspflichtig. Im Zusammenhang mit der betrieblichen Mitbestimmung steht das Recht des MA, seine Personaldaten einzusehen und dabei ggf. einen Vertreter des Betriebsrats hinzuzuziehen.

• Zu den Personaldaten gehören auch Personalfragebögen und Beurteilungsbögen. Diese Formulare können auf dem Papier oder am PC ausgefüllt werden. Die erhobenen Daten werden heute meist in Datenbanken gespeichert und durch spezielle Programme ausgewertet (z.B. SAP / HR) . Die Aufbereitung dieser Daten mit Hilfe der EDV ermöglicht hohen Grad an Transparenz.


Die Datenschutzbeauftragten

• Die Datenschutzbeauftragten kontrollieren in Betrieben, Organisationen oder Behörden die Einhaltung des Bundesdatenschutzgesetzes sowie anderer Datenschutzvorschriften. Sie sind in Fragen des Datenschutzes wichtige Ansprechpartner für die Betroffenen und auch für die beschäftigten im Unternehmen.

• Ein Datenschutzbeauftragter muss eingesetzt werden, wenn im Betrieb mehr als vier MA regelmäßig damit beschäftigt sind, personenbezogene Daten mit automatisierten Verfahren zu erheben, zu verarbeiten und zu nutzen (oder wenn mehr als zwanzig MA auf herkömmliche Weise Daten erheben, verarbeiten und nutzen). Zu diesem Personenkreis gehören z.B. MA der Personalabteilung und der Lohnbuchhaltung sowie aller MA, die mit externen personenbezogenen Daten umgehen.


…

• Der Datenschutzbeauftragte muss die erforderliche Fachkunde und Zuverlässigkeit besitzen. Er ist gegenüber der Geschäftsführung in allen Datenschutzfragen berichtspflichtig, er hat in Datenschutzfragen ein Vortragsrecht und ist in Ausübung seiner Fachkunde weisungsfrei. Der Datenschutzbeauftrage unterliegt einer Verschwiegenheitspflicht bezüglich aller Daten, die Ihm in Folge seiner Tätigkeit zugänglich sind. Das betrifft besonders die Identität der Betroffenen und alle Umstände, die Rückschlüsse auf die Betroffenen zulassen.


Die Aufgaben des Datenschutzbeauftragten (§§4f u 4g BDSG)

• 1. Vertretung der Datenschutzbelange in der Firma:(a) Vertretung der Firma bei Kontrollen durch den Datenschutzaufsichtsbehörden(b) Beratung der Geschäftsführung zu den einschlägigen und relevanten Rechtsvorschriften(c) Schulung der MA, die personenbezogene Daten verarbeiten, zu den besonderen Anforderungen des Datenschutzes(d) Führung des Verfahrensverzeichnisses(e) Durchführung der Vorabkontrolle der automatisierten Verarbeitung von Personendaten (§4d Absatz 5/6)(f) Prüfung der Zulässigkeit der Erhebung, Speicherung, Übermittlung, Sperrung und Löschung von Daten(g) Prüfung der Benachrichtungspflichten und Auskunftspflichten

• 2. Klärung datenschutzrechtlicher Problemstellungen mit dem Einverständnis der Fa. u in anonymisierter Form

• 3. Information der Geschäftsleitung über Änderungen des BDSG und anderer Gesetze, neue EU-Richtlinien und die Rechtsprechung zu datenschutzrechtlich relevanten Themen


Verfahrensverzeichnisse

• In Betrieben und öffentlichen Stellen mit einem sehr hohen Aufkommen an personenbezogener Datenverarbeitung müssen bestimmte Verfahren und Vorgänge automatisiert werden.

• Diese Verfahren müssen gegenüber den Datenschutzbehörden in einem Verfahrensverzeichnis eindeutig und identifizierbar dokumentiert werden. Dabei sind folgende Punkte zu anzugeben:

- Bezeichnung des Verfahrens, Zweckbestimmung, und Rechtsgrundlage- Beschreibung der Personengruppe, deren Daten verarbeitet werden- Art und Umfang der gespeicherten Daten zu einer Person- bei Auftragsdatenverarbeitung: der Empfänger bzw. Auftraggeber- Zugriffsrechte auf die Daten innerhalb der Daten verarbeitenden Stelle- Fristen der Aufbewahrung bzw. Zeitdauer bis zur Löschung der Daten- technische und organisatorische Maßnahmen nach §9 BDSG (u Anhang)- die eingesetzte Hard- u Software und das Datenbankmodell

Die Verfahrensverzeichnisse dienen der Eigenkontrolle im Betrieb, der Kontrolle durch die Datenschutzbehörden und der Information der Betroffenen. Ein guter Überblick über die EDV-Verfahren ist generell auch für andere Datenverarbeitungsvorgänge wichtig.


Grundregeln zum Datenschutz (Anlage zu §9 Satz 1 des BDSG)

• Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

• Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

• zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

• zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),


…

• zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

• zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

• zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

• zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

• zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.


PAUSE

15 Min


Anforderungen

• VerfügbarkeitDamit Mitarbeiter immer Zugang zu ihren Daten haben muss gewährleistet sein, dass Server, Netzwerke, Datenkommunikationsleitungen sowie eine sichere Stromversorgung immer vorhanden ist!Andernfalls können Daten unzugänglich sein!


Anforderungen

• DatenintegritätHierbei geht es um die Sicherstellung dass Daten immer den realen Daten entsprechen, also nicht durch äußere Einflüsse verändert oder verfälscht werden! Sollte es dennoch vorkommen, so muss gewährleistet werden, das falsche oder fehlende Daten von Sicherungen wiederhergestellt werden können! Damit eng verbunden ist auch die Authentizität der Daten und Dokumente!


Anforderungen

• Datenschutz und VertraulichkeitDaten dürfen nur von Personen oder Gruppen verarbeitet werden, die dazu berechtigt sind. Für das Lesen, Schreiben, Verändern, Erzeugen, und Löschen von Daten muss es eine strikte Kontrolle der Berechtigungen geben. (z.B. Zugriffsberechtigungen auf das Postfach eines Kollegen) Die Beachtung des Datenschutzes wird aufgrund gesetzlicher Grundlagen gefordert. Die Vertraulichkeit wichtiger Unterlagen ist für die Konkurrenzfähigkeit des Unternehmens von großer Bedeutung!Z.B ein Mitarbeiter hat unberechtigten Zugriff auf firmeninterne Daten -> Mögliche Folge: Datenspionage!!!


Einteilung der Maßnahmen

• Menschliche BedrohungDurch Fehler, Fahrlässigkeit (z.B. ungesicherter Arbeitsplatz beim verlassen), kriminelle Energien, mangelndes Sicherheitsbewusstsein oder Bequemlichkeit (vergessene Schlüsseldiskette) -> Gefahr für Daten, Programme und Technik!

• Technische BedrohungDurch Stromausfall, Überspannung, Hardwaredefekte, Ausfall von Bauteilen oder Versagen von Software können Daten vernichtet oder geschädigt werden!

• Bedrohung durch Umwelteinflüssez.B. Feuer, Explosion, Erdbeben, Staub, Hitze, Flüssigkeiten, Strahlung und Blitzschlag


Organisatorische Maßnahmen

Verbesserung von Datensicherheit schon bei der Auswahl der MA!Personalabteilung -> achtet auf Zuverlässigkeit schon bei der Einstellung!Datensicherheit als Teil des Arbeitsvertrages!

Was im Arbeitsvertrag stehen sollte:- ein Verbot, Software ohne ausdrückliche Zustimmung des Arbeitgebers beziehungsweise der IT- Abteilung zu installieren;

- ein Verbot, unsichere E-Mail-Attachements zu öffnen;

- die Anweisung, Passwörter oder Zugangsdaten stets geheim zu halten und unter keinen Umständen per Telefon oder E-Mail mitzuteilen;

- die Verpflichtung, bestehende Sicherheitsrichtlinien einzuhalten.

Was problematisch ist:

- Vertragsstrafen können in Arbeitsverträgen nur begrenzt vereinbart werden;

- Schadensersatz ist schwierig zu beziffern und gegenüber Arbeitnehmern schwierig durchzusetzen.

Passwörter müssen in bestimmten Abständen aus Sicherheitsgründen geändert werden! (Steuerung über Richtlinie AD)


Organisatorische Maßnahmen

•Aufklärung, Belehrung und Schulung der Mitarbeiter

•Prüfung jeder Soft – und Hardware bei Lieferung

•Erstellen von Ersatzdatenträgern mit Virenschutzsoftware

•Meldepflicht und Festlegung von Verhaltensweisen bei Virenbefall

•Verbot des Einsatzes privater Datenträger auf Firmenrechnern

•Verbot des Einsatzes aller Software, die nicht der Arbeit dient (z.B Spiele)


Bauliche und Technische Maßnahmen

• Wichtige Server:- müssen gegen Zutritt unbefugter Abgesichert werden- dürfen keine offenen Konsolen besitzen- dürfen keine ungesicherten Schnittstellen aufweisen (für USB-Sticks -> Datenklau)- dürfen durch unbefugte nicht neu gebootet werden können (Hacker-CDs)

Zu den Technischen Maßnahmen gehören: Zutrittskontrolle über spezielle Schließanlage oder Biometrie, evtl. Panzerschrank (Lampertz), eine funktionierende und unabhängige Stromversorgung, Überspannungsschutz und evtl. Alarm bzw. Überwachungsanlagen! Hierzu kommen Klimaanlagen in Serverräumen (Hitzeentwicklung) bzw. Feuerlösch- und Brandschutzvorkehrungen.


Maßnahmen zum Schutz der Zugangsberechtigung

• Benutzer und Benutzerrechtezu jedem Benutzernamen gehört ein Passwort und den dazu Rechten wo und wie der User zugreifen darf! Mit dem so genannten Benutzerkonto können folgende Dinge festgelegt werden:

- Rechenzeiten (wann und wie lange der User sich anmelden darf)- Größe des Profilspeicherplatzes- Gruppenzugehörigkeit (z.B Administrator, Vetrieb, Personalabteilung usw.)- nur mit speziellen Rechten ist es möglich Software installieren zu dürfen

oder Systemeinstellungen zu verändern, der normale User kann dies nicht!


Passwörter

- Der Verwendungszweck bestimmt die Komplexität! (z.B das Administratorkennwort sollte möglichst komplex sein und aus Groß/Klein und Buchstaben/Zahlenkombination bestehen und mindestens 6-8 Zeichen lang)

- Die Verwendbarkeit steht jedoch für den normalen User im Vordergrund, so sollte die Varianz bei der Vergabe der zu verwendenden Zeichen nicht zu komplex sein, da sich der Mitarbeiter sonst ständig vertippen und somit eine Sperrung seiner Benutzerkennung auslösen würde!

Ungünstige Passwörter:Hierzu zählt man die leichtesten Passwörter, also Wörter die einen Sinn ergeben. •123456 / passwort / God oder Gott •Eigennamen - da diese häufig in Wörterbüchern zu finden sind, wird ein Wörterbuchangriff ermöglicht (Bruteforce-Attack)•Triviale Tastaturzeichenfolgen (1qay2wsx, asdf, qwert...) •Vokale oder Selbstlaute (aeiou) •Generell sollte man Passwörter verwenden, die keine eindeutige Folge haben. Hierbei können Programme helfen, die Passwörter erstellen.•Einmalige PW sollten auf keinen Fall weiterverwendet werden


Maßnahmen zum Schutz über Netzwerke

• Mögliche Angriffe über Netzwerke:- Da Kommunikationsnetze immer aus einer (großen) Menge von Systemen bestehen, werden sehr oft genau diese Systeme über das Kommunikationsnetz angegriffen. Hierbei zielen viele Angriffe auf Schwächen in Software(-implementierungen)!- Die Überlastung von Diensten wird als DoS-Angriffe bezeichnet. Besonders verteilte DoS-Angriffe werden auch als DDoS-Angriffe bezeichnet. Sehr effektiv sind Angriffe, die mit nur einem Paket auskommen, wie z. B. der TCP-SYN-Angriff, da hierbei die Absenderadresse und somit die Herkunft gefälscht werden kann. Fragmentierung von Paketen, vor allem bei überlappenden Fragmenten, kann genutzt werden um Angriffe vor Angriffserkenner zu verstecken - Spoofing – das Fälschen von meist Absendeadressen zum Verschleiern der Herkunft von Paketen


…

• Social Engineering wird die Vorgehensweise genannt, eine Person dazu zu bringen, ein Passwort oder einen Schlüssel zu verraten.

• Passwörter können erlangt werden, um Zugang zu Diensten zu erlangen. Geschieht dies durch Ausprobieren aller Möglichkeiten spricht man von einer Brute-Force-Attacke.

• Mangelhafte Installationen können einen Angriff mit Standard-Passwörtern erfolgreich machen.

• Aus der Außenwelt kommende Daten werden nicht auf ihre Validät überprüft, sondern als "korrekt" hingenommen (Tainted Data oder Cross-Site Scripting und SQL Injection).

• Überflutung mit sinnlosen oder nicht angeforderten E-Mails wird als UBE ("unsolicited bulk e-mail") und insbesondere wenn ein Werbung vorliegt als UCE ("unsolicited commercial e-mail") bezeichnet.

• Würmer, Trojanische Pferde, Dialer oder Viren darstellen. • Leichtgläubigkeit und die leichte technische Möglichkeit zum Vorspiegeln

falscher Webseiten können durch Phishing ausgenutzt werden. • Leichtgläubigkeit lässt Anwender auch unbekannte Programme ausführen,

die per Mail versandt wurden.


Schutzmaßnahmen

• FirewallEine Application-Layer-Firewall beachtet zusätzlich zu den reinen Verkehrsdaten wie Quelle, Ziel und Dienst noch den Inhalt der Netzwerkpakete (Schicht 7 / Applikationsschicht des ISO-OSI-Modell).


…

• Content-Filter • Eine Firewall kann mit Hilfe eines Inhalts- oder Content-Filters die

Nutzdaten einer Verbindung auswerten. Einsatzgebiete können zum Beispiel sein:

• Herausfiltern von ActiveX und/oder JavaScript aus angeforderten Webseiten

• Blockieren von Viren oder Trojanern in Webseiten • Filtern von vertraulichen Firmeninformationen (z. B. Bilanzdaten) • Sperren von unerwünschten Webseiten anhand von Schlüsselwörtern • unerwünschte Anwendungsprotokolle (zum Beispiel Filesharing) blockieren


…

•ProxyDer Proxy kann gestellte Anfragen bzw. deren Ergebnis speichern. Wird die gleiche Anfrage erneut gestellt, kann diese aus dem Speicher beantwortet werden, ohne zuerst den Webserver zu fragen. Der Proxy stellt sicher, dass die von ihm ausgelieferten Informationen nicht allzu veraltet sind. Eine vollständige Aktualität wird in der Regel nicht gewährleistet. Durch das Zwischenspeichern können Anfragen schneller beantwortet werden und es wird gleichzeitig die Netzlast verringert. Beispielsweise vermittelt ein Proxy-Server einer Firma den gesamten Datenverkehr der Computer der Mitarbeiter mit dem Internet. Filter Mittels Proxy-Server können beispielsweise bestimmte Kategorien von Webseiten für den Benutzer gesperrt oder Zugriffe darauf protokolliert werden. Es kann auch der Inhalt auf schädliche Programme durchsucht werden. Somit ist ein Proxy meist Teil eines Firewall-Konzepts


Anforderung an Firewall und Proxy

•Schutz des Netzwerks

•Kontrolle des Internetzugriffs

•Schutz der vertraulichen Unternehmensdaten

Allerdings bieten beide Systeme nur dann den gewünschten Schutz, wennfolgende Punkte erfüllt sind:

•Die Verbindungen nach draußen dürfen nicht übergangen werden können

•Es darf außer dem Admin niemand diese Systeme konfigurieren können

•Sowohl das System als auch der Betreuer muss immer auf dem neuesten Stand sein (durch Updates und Patches)

•Das System darf die Arbeit nicht behindern (Scannvorgange dauern zu lange etc.)


Maßnahmen zum Schutz vor Schadprogrammen

• Computerviren und WürmerWie sein biologisches Vorbild benutzt ein Computervirus die Ressourcen seines Wirtes und schadet ihm dabei häufig. Auch vermehrt es sich meist unkontrolliert. Durch vom Virenautor eingebaute Schadfunktionen oder auch durch Fehler im Virus kann das Virus das Wirtssystem bzw. dessen Programme auf verschiedene Weisen beeinträchtigen, von harmloseren Störungen bis hin zu Datenverlust.

• Viren brauchen, im Gegensatz zu Computerwürmern, einen Wirt um ihren Schadcode auszuführen. Viren haben keine eigenständigen Verbreitungsroutinen, d. h. ein Computervirus kann nur durch ein infiziertes Wirtsprogramm verbreitet werden. Wird dieses Wirtsprogramm aufgerufen, wird – je nach Virentyp früher oder später – das Virus ausgeführt, das sich dann selbst in noch nicht infizierte Programme weiterverbreiten oder seine eventuell vorhandene Schadwirkung ausführen kann.

• Heutzutage sind Computerviren fast vollständig von Würmern verdrängt worden, da fast jeder Rechner an Rechnernetze (lokale Netze und das Internet) angeschlossen ist und die aktive Verbreitungsstrategie der Würmer in kürzerer Zeit eine größere Verbreitung ermöglicht. Viren sind nur noch in neuen Nischen von Bedeutung.


…

• Arten der ComputervirenProgrammviren: werden meist durch Disketten oder Festplatten (USB-Sticks) eingeschleußt! Um eine ausführbare Datei zu infizieren, muss das Virus sich in diese Wirtsdatei einfügen (oft direkt am Ende, da dies am einfachsten ist). Außerdem modifiziert das Virus die Wirtsdatei so, dass das Virus beim Programmstart aufgerufen wird. Eine spezielle Form von Linkviren wählt eine andere Strategie und fügt sich in eine bestehende Programmfunktion ein.Systemviren: Bootviren zählen zu den ältesten Computerviren. Diese Viren waren bis 1995 eine sehr verbreitete Form von Viren. Ein Bootsektorvirus infiziert den Bootsektor von Disketten und Festplattenpartitionen oder den Master Boot Record (MBR) einer Festplatte. …


…

Der Bootsektor ist der erste physische Teil einer Diskette oder einer Festplattenpartition. Festplatten haben außerdem einen so genannten Master Boot Record oder MBR. Dieser liegt wie der Bootsektor von Disketten ganz am Anfang des Datenträgers. Bootsektoren und MBR enthalten mit den Boot-Loadern die Software, die von einem Rechner direkt nach dessen Start ausgeführt wird, sobald die Firmware bzw. das BIOS den Rechner in einen definierten Startzustand gebracht hat. Üblicherweise laden Boot-Loader das installierte Betriebssystem und übergeben diesem die Kontrolle über den Computer.


,,,

• MakrovierenMakroviren benötigen Anwendungen, die Dokumente mit eingebetteten Makros verarbeiten. Sie befallen Makros in nicht-infizierten Dokumenten oder fügen entsprechende Makros ein, falls diese noch nicht vorhanden sind.

Makros werden von den meisten Office-Dokument-Typen verwendet, wie z. B. in allen Microsoft-Office- sowie OpenOffice.org-Dokumenten. Aber auch andere Dokument-Dateien können Makros enthalten. Sie dienen normalerweise dazu, in den Dokumenten wiederkehrende Aufgaben zu automatisieren oder zu vereinfachen.


…

•Skriptvirus:Ein Skript ist ein Programm, welches nicht durch einen Kompilierer in Maschinensprache übersetzt wird, sondern durch einen Interpreter Schritt für Schritt ausgeführt wird. Ein Skript wird häufig auf Webservern verwendet (z. B. in Form der Skriptsprache Perl oder PHP) bzw. durch in Webseiten eingebettete Skriptsprachen (z. B. JavaScript).Ein Skript wird gerne in Webseiten zusätzlich zu normalem HTML oder XML eingesetzt, um Funktionen zu realisieren, die sonst nur unter Zuhilfenahme ausführbarer Programme auf dem Server realisierbar wären. Solche Funktionen sind zum Beispiel Gästebücher, Foren, dynamisch geladene Seiten oder Webmailer. Skriptsprachen sind meist vom Betriebssystem unabhängig. Um ein Skript auszuführen, wird ein passender Interpreter – ein Programm, das das Skript von einer für den Menschen lesbaren Programmiersprache in eine interne Repräsentation umsetzt und dann ausführt – benötigt. Wie alle anderen Viren auch sucht das Skriptvirus eine geeignete Wirtsdatei, die es infizieren kann. Im Falle von HTML-Dateien fügt sich das Skriptvirus in einen speziellen Bereich, dem Skriptbereich, einer HTML-Datei ein (oder erzeugt diesen). Die meisten Browser laden diesen Skriptbereich des HTML-Dokuments um ihn schließlich ausführen. Diese speziellen Skriptviren verhalten sich also fast genauso wie die oben beschriebenen Makroviren.


…

• Mischformen

Nicht alle Computerviren fallen eindeutig in eine spezielle Kategorie. Es gibt auch Mischformen wie zum Beispiel Viren, die sowohl Dateien als auch Bootsektoren infizieren (Beispiel: Kernelviren) oder Makroviren, die auch Programmdateien infizieren können. Bei der Zusammensetzung ist beinahe jede Variation möglich.


…

• TrojanerAls Trojanisches Pferd, auch kurz Trojaner genannt, bezeichnet man ein Programm, das als nützliche Anwendung getarnt ist, im Hintergrund aber ohne Wissen des Anwenders eine andere Funktion erfüllt.Ein Trojanisches Pferd zählt zur Familie unerwünschter bzw. schädlicher Programme, der so genannten Malware. Es wird umgangssprachlich häufig mit Computerviren synonym verwendet, sowie als Oberbegriff für Backdoors und Rootkits gebraucht, ist davon aber klar abzugrenzen

Welcher Schaden ist zu erwarten:

- Die Vertraulichkeit von Daten ist nicht mehr gesichert- Die Daten könne unbemerkt verändert und kopiert werden- die korrekte Funktion der Computer ist gefährdet!- es können hohe Kosten durch Mißbrauch von Komunikationsleitungen z.B DSL entstehen


…

• SpywareAls Spyware (Kunstwort aus spy, dem englischen Wort für Spion, und -ware als Endung von Software, also Programmen für den Computer; zu deutsch etwa Schnüffelprogramm oder -software) wird üblicherweise Software bezeichnet, die persönliche Daten eines PC-Benutzers ohne dessen Wissen oder Zustimmung an den Hersteller der Software (Call Home) oder an Dritte sendet oder dazu genutzt wird, dem Benutzer direkt Produkte anzubieten.

Was sammelt die Spyware:- Informationen zur benutzten Hardware- Informationen über Software und vorhandene Daten- Ausspionieren der Tastatureingaben des Nutzers- Ausspionieren von Benutzernamen und Passwörtern- Ausspionieren der Surfgewohnheiten der Benutzer


…

• HoaxesEin Hoax (engl., Jux, Scherz, Schabernack; auch Schwindel) bezeichnet eine Falschmeldung, die per E-Mail, Instant Messenger oder auf anderen Wegen (z.B. SMS und MMS) verbreitet wird, von vielen für wahr gehalten und daher an viele Freunde weitergeleitet wird. Das Wort kommt wahrscheinlich aus der Verkürzung von „Hokus” aus „Hokuspokus”. Ein Hoax kann auch in Form der Zeitungsente oder als Urban Legend auftreten.


• Schäden durch VirenDer wirtschaftliche Schaden durch Computerviren ist geringer als der Schaden durch Computerwürmer. Grund dafür ist, dass sich Viren nur sehr langsam verbreiten können und dadurch oft nur lokal verbreitet sind.

• Ein weiterer Grund, warum der wirtschaftliche Schaden bei Computerviren nicht so hoch ist, ist die Tatsache, dass sie den angegriffenen Computer oder die angegriffene Datei im Allgemeinen für einen längeren Zeitraum brauchen, um sich effektiv verbreiten zu können. Computerviren, die Daten sofort zerstören, sind sehr ineffektiv, da sie mit dieser Aktion auch ihren eigenen Lebensraum zerstören.

• Im Zeitalter der DOS-Viren gab es trotzdem einige Viren, die erheblichen Schaden angerichtet haben. Ein Beispiel ist das Virus DataCrime, das gesamte Datenbestände vernichtet hat. Viele Regierungen reagierten auf dieses Virus und verabschiedeten Gesetze, die das Verbreiten von Computerviren zu einer Straftat machen.


…

• Aufbau eines Virus:Entschlüsselungsroutine: Dieser Teil sorgt bei verschlüsselten Viren dafür, dass die verschlüsselten Daten wieder zur Ausführung gebracht werden können. Nicht alle Viren besitzen diesen Teil, da nicht alle verschlüsselt sind. Oft wird die Entschlüsslungsroutine der Viren von Antiviren-Herstellern dazu benützt, das Virus zu identifizieren, da dieser Teil oft klarer erkennbar ist als der Rest des Virus. Vermehrungsteil: Dieser Programmteil sorgt für die Vermehrung des Virus. Es ist der einzige Teil, den jedes Virus hat (Definition). Erkennungsteil: Im Erkennungsteil wird geprüft, ob die Infektion eines Programms oder Systembereichs bereits erfolgt ist. Jedes Wirtsprogramm wird nur einmal infiziert. Dieser Teil ist in fast allen nicht-überschreibenden Computerviren vorhanden. Schadensteil: Im Verhältnis zur Zahl der Computerviren haben nur sehr wenige einen Schadensteil (Payload). Der Schadensteil ist der Grund für die Angst vieler Menschen vor Computerviren. Bedingungsteil: Der Bedingungsteil ist dafür verantwortlich, dass der Schadensteil ausgeführt wird. Er ist in den meisten Computerviren mit einem Schadensteil enthalten. Viren ohne Bedingungsteil führen den Schadensteil entweder bei jeder Aktivierung oder – in ganz seltenen Fällen – niemals aus. Der Bedingungsteil (Trigger) kann zum Beispiel das Payload an einem bestimmten Datum ausführen oder bei bestimmten Systemvoraussetzungen (Anzahl der Dateien usw.) oder einfach zufällig. Tarnungsteil: Ein Tarnungsteil ist nur in wenigen, komplexen Viren vorhanden. Er kann das Virus zum Beispiel verschlüsseln oder ihm eine andere Form geben (Polymorphismus, Metamorphismus). Dieser Teil dient zum Schutz des Virus vor der Erkennung durch Anti-Viren-Software. Es gibt aber nur eine sehr geringe Anzahl von Viren, die nicht vollständig erkannt werden können (z. B.: Win32.ZMist, ACG, Win32.MetaPHOR oder OneHalf).


…

• ErkennungDamit ein Virenscanner ein Virus identifizieren kann, benötigt er dessen Signatur. Ein Virus versucht, ein System zu infizieren, und dies geschieht z. B. bei einem Linkvirus durch das Anhängen an ein bestehendes Programm. Dabei muss es (abgesehen von überschreibenden Viren) zuerst prüfen, ob es dieses Programm bereits infiziert hat – sprich, es muss in der Lage sein, sich selbst zu erkennen. Würde es dies nicht machen, könnte es ein Programm theoretisch beliebig oft infizieren, was aufgrund der Dateigröße und der CPU-Belastung sehr schnell auffallen würde. Dieses Erkennungsmuster – die Signatur – kann unter gewissen Umständen auch von Virenscannern genutzt werden, um das Virus zu erkennen. Polymorphe Viren sind in der Lage, mit verschiedenen Signaturen zu arbeiten, die sich verändern können, jedoch stets einer Regel gehorchen. Daher ist es den Herstellern von Anti-Viren-Software relativ einfach und schnell möglich, ein neues Virus nach dessen Bekanntwerden zu identifizieren.Viele Viren benutzen anstelle von polymorphen Signaturen sehr kleine Kennzeichnungen wie zum Beispiel ein ungenutztes Byte im Portable-Executable-Format. Ein Virenscanner kann dieses eine Byte nicht als Erkennungsmuster nutzen, da es zu viele falsch positive Treffer geben würde.


Technische Maßnahme zum Schutz vor Computerviren

• Vorbeugung gegen Systemviren:Deaktivieren von der Bootfunktion von Diskette oder CD-Rom (inkl.Autostartfunktion)

• Vorbeugung gegen Programmviren:Bei Neueinrichtung eines System sofort aktuellen Virenscanner installieren und einsetzen! Später zu gewissen Zeiten automatischen Virenscan durchführen lassen!

• Vorbeugung gegen Makroviren:Sofern nicht bekannt das ein Dokument Makros benutzt -> Makrofunktion deaktivieren!

• Vorbeugung gegen alle bekannten Viren:Einsatz aktueller Virenprogramme und Signaturen! Regelmäßige Datensicherung kann auch in diesem Fall Datenverlust mindern!


ENDE

Vielen Dank für die Aufmerksamkeit!!!

Documents

Dozent: Stephan Eichner Datenschutz und DatensicherheitDatensicherheit Grundlagen des Datenschutzes Die Umsetzung des Datenschutzes im Betrieb ---- Maßnahmen