Rechtliche Vorgaben und Standards zur IT-Sicherheitrgerlin/pdf/erfa49-01.pdf · Zutrittskontrolle 2. Zugangskontrolle 3. Zugriffskontrolle 4. Weitergabekontrolle 5. Eingabekontrolle

©20

03 R

aine

r W

. Ger

ling

A

lle R

echt

e V

orbe

halte

n

Rechtliche Vorgaben und Standards zur IT-Sicherheit

1

Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 1


Rainer W. GerlingMax-Planck-Gesellschaft


Das Problem

• 16. Juli: Microsoft stellt Patch zur Verfügung• 11. August: kaum jemand hat ihn eingespielt

• c‘t titelt: Einmal Wurm mit Ansagen

©20

03 R

aine

r W

. Ger

ling

A

lle R

echt

e V

orbe

halte

n


2


Gesetzliche Verpflichtungen

• IT-bezogene gesetzliche Vorschriften– § 9 BDSG mit Anlage

• Sicherheitsmaßnahmen für personenbezogen Daten

– § 87 TKG• Erbringer geschäftsmäßiger Telekommunikationsdienste

• für Dritte mit oder ohne Gewinnerzielungsabsicht (§ 3 Nr. 5)

– § 203 StGB• Betriebs- oder Geschäftsgeheimnisse


Allgemeine Haftung

• Vertragshaftung– Schäden durch IT-bedingte Nicht-Erfüllung

eines Vertrages

• Delikthaftung– §§ 823ff BGB: vorsätzliche oder fahrlässige

Verstöße gegen Schutzrechte– Schadensersatz

©20

03 R

aine

r W

. Ger

ling

A

lle R

echt

e V

orbe

halte

n


3


Persönliche Haftung

• § 43 GmbH-Gesetz– Sorgfalt eines ordentlichen Geschäftsmannes

• § 93 Aktiengesetz (AktG)– Sorgfalt eines ordentlichen und gewissenhaften

Geschäftsleiters– Beweislastumkehr

• § 91 Abs. 2 AktG (eingefügt durch KonTraG)– Erkennung von „den Fortbestand der Gesellschaft

gefährdenden Entwicklungen“– Überwachungssystem einrichten

• Maßstab: „Stand der Technik“ in der Branche

mit Pr

ivatve

rmöge

n


Zertifizierung

• IT-Grundschutzhandbuch des BSI– beschreibt detailliert Standard-Sicherheitsmaßnahmen

• BS7799 (ISO/IEC 17799)– befasst sich mit dem Aufbau eines IT-

Sicherheitsmanagements und seiner Verankerung in der Organisation

• Common Criteria (CC)• ITSEC• Quid! Gütesiegel (Datenschutz)• Gütesiegel Schleswig-Holstein (Datenschutz)• .....

©20

03 R

aine

r W

. Ger

ling

A

lle R

echt

e V

orbe

halte

n


4


• Evaluated Software Components The evaluated software product is the Microsoft Windows NT Workstation

and Server Version 3.5. To meet the C2 requirements, the administratorshall follow the TFM guidance to disable the OS/2 and POSIX subsystems. Also, the evaluated configuration excludes Windows NT's networkingcapabilities. Service Pack 3, which addresses bug fixes to Version 3.5, mustalso be installed.

Evaluated Hardware Components Compaq Proliant 2000 and 4000 The Compaq models are the Proliant 2000 and the Proliant

4000 5/90-1 and 5/100-1, all of which are designated as fileservers, but are evaluated for use as stand-aloneworkstations only, with no networking capability (regardlessof whether the Windows NT Workstation or Server system isinstalled).

DECpc AXP/150

Final Evaluation Report Microsoft Windows NT

(Report No. CSC-FER-95/003 vom 29. April 1996)


CAPP/EAL4

©20

03 R

aine

r W

. Ger

ling

A

lle R

echt

e V

orbe

halte

n


5


Controlled Access Protection Profile(NSA, Vers. 1.d, 8. Oktober 1999)

• The system administrative personnel are not careless, willfully negligent, or hostile, and will follow and abide by the instructions provided by the administrator documentation.

• Authorized users possess the necessary authorization ... and are expected to act in a cooperating manner in a benign environment.

• The profile is not intended to be applicable to circumstances in which protection is required against determined attempts by hostile and well funded attackers to breach system security. The CAPP does not fully address the threats posed by malicious system development or administrative personnel.


Protokollierung im BDSG

§ 9 Technische und organisatorische MaßnahmenÖffentliche und nicht-öffentliche Stellen, die ... personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

©20

03 R

aine

r W

. Ger

ling

A

lle R

echt

e V

orbe

halte

n


6


Anlage zu § 9 BDSG

Geeignete Maßnahmen zu treffen:1. Zutrittskontrolle2. Zugangskontrolle3. Zugriffskontrolle4. Weitergabekontrolle5. Eingabekontrolle6. Auftragskontrolle (Outsourcing, § 11 BDSG)7. Verfügbarkeitskontrolle8. Zweckbindung, Trennungsgebot


§ 87 TKG

Wer Telekommunikationsanlagen betreibt, die dem geschäftsmäßigen Erbringen von Telekommunikationsdienstendienen, hat bei den zu diesem Zwecke betriebenen Telekommunikations- und Datenverarbeitungssystemen angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze

1. des Fernmeldegeheimnisses und personenbezogener Daten, 2. der programmgesteuerten Telekommunikations- und

Datenverarbeitungssysteme gegen unerlaubte Zugriffe, 3. gegen Störungen, die zu erheblichen Beeinträchtigungen von

Telekommunikationsnetzen führen, und 4. von Telekommunikations- und Datenverarbeitungssystemen

gegen äußere Angriffe und Einwirkungen von Katastrophen zu treffen. Dabei ist der Stand der technischen Entwicklung zu

berücksichtigen.

©20

03 R

aine

r W

. Ger

ling

A

lle R

echt

e V

orbe

halte

n


7


§ 4 TDDSG/§ 18 MedStV

Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass

2. die anfallenden personenbezogenen Daten über denAblauf des Zugriffs oder der sonstigen Nutzungunmittelbar nach deren Beendigung gelöscht odergesperrt werden können,

3. der Nutzer Tele(Medien)dienste gegen KenntnisnahmeDritter geschützt in Anspruch nehmen kann,

4. die personenbezogenen Daten über die Inanspruch-nahme verschiedener Tele(Medien)dienste durcheinen Nutzer getrennt verarbeitet werden können,

6. Nutzerprofile nach § 6 Abs. 3 (§ 19 Abs. 4) nicht mitDaten über den Träger des Pseudonyms zusammen-geführt werden können.


Grundsatz

• Es gibt (noch) keine gesetzlichen Vorschriften, die eine proaktiveProtokollierung verlangen!

• In einigen Bereichen gibt es aber Dokumentationspflichten.– Medizin– Steuerrecht– ...

©20

03 R

aine

r W

. Ger

ling

A

lle R

echt

e V

orbe

halte

n


8


Strafgesetzbuch

§ 1 Keine Strafe ohne Gesetz.• Eine Tat kann nur bestraft werden, wenn die

Strafbarkeit gesetzlich bestimmt war, bevor die Tat begangen wurde.

• Das sollte auch bei Regelungen im Unternehmen gelten!


Grundprinzip

• Technische Maßnahmen– Wenn es möglich ist, etwas technisch zu

unterbinden, dann soll es unterbunden werden.

• Organisatorische Maßnahmen– Nur was nicht technisch unterbunden werden

kann, muss organisatorisch unterbunden (d.h. verboten) werden.

©20

03 R

aine

r W

. Ger

ling

A

lle R

echt

e V

orbe

halte

n


9


Warum Protokollierung?

• Verhinderung privater Nutzung• Erkennen von Straftaten

– Urheberrechtsverstöße, Pornographie

• Abwehr von Hackern• Abwehr von Wirtschaftsspionage• Schutz vor Viren und Würmern


Konflikt

• Datenschutz:– So wenig Daten wie möglich– geschützt aufbewahren

• IT-Sicherheit (=Kontrolle??)– Datenschutz ist Täterschutz– Umfangreiche Protokoll Daten (benötigt man die

wirklich?)– Wie lange benötigt man die Daten?

©20

03 R

aine

r W

. Ger

ling

A

lle R

echt

e V

orbe

halte

n


10


Zweckbindung im BDSG

§ 31 BDSG Besondere Zweckbindung Personenbezogene Daten, die ausschließlich zu

Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden.


Datensparsamkeit

• Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen.

• Muss man wirklich alles speichern?• Was nicht gespeichert wird, muss auch nicht

gelöscht werden!

©20

03 R

aine

r W

. Ger

ling

A

lle R

echt

e V

orbe

halte

n


11


Mitbestimmung

• Protokollierung und Auswertung von Beschäftigtendaten ist mitbestimmt!– § 87 Abs. 1 Nr. 6 BetrVG– Betriebsvereinbarung ist notwendig– Besonders kritisch:

• Firewall

• E-Mail Server

• http-Proxy-Server

• WWW-Server

• Einwahlserver


Probleme

• Regeln zur Missbrauchsbekämpfung sind bei Telekommunikation und TeleMediendiensten unterschiedlich!

• Wann verlieren Daten den Schutz des TDDSG bzw. des Fernmeldegeheimnisses?

• Wann wird die Trennung von Medien- und Telediensten aufgehoben?

©20

03 R

aine

r W

. Ger

ling

A

lle R

echt

e V

orbe

halte

n


12


Planung der Policy

• Welche Daten will ich wozu verarbeiten?• Wie sind die Rechtsgrundlagen?• Formulierung der Policy• „Testlauf“ mit ausgewählten Betroffenen• Policy wird freigegeben• Regelmäßige Anpassung auf Grund der

Rückkoppelungen


Strategie für Policy

• Erlauben die Gesetze meine Datenerhebung/-verarbeitung?

• Ist die Verarbeitung anonym möglich?• Ist die Verarbeitung pseudonym möglich?• Wie hole ich mir eine Einwilligung, wenn die

gesetzliche Erlaubnis fehlt?– Ziel der Verarbeitung erläutern– Ansprechpartner nennen– Speicherfristen benennen

• Datenvermeidung und Datensparsamkeit

©20

03 R

aine

r W

. Ger

ling

A

lle R

echt

e V

orbe

halte

n


13


Zusammenfassung

• Beachten Sie alle Gesetze!• Informieren Sie die Betroffenen ehrlich und

offen!• Alle Informationen sollten gut lesbar und

verständlich sein.• Keine juristischen Spitzfindigkeiten!• Definieren Sie nicht nur Pflichten sondern

auch Rechte!


Die 10 Grundfragen(nach D. Fox)

• Kennen Sie alle kritischen IT-Geschäftsprozesse?• Gibt es für diese eine realistische Risikobewertung?• Welche Ausfallzeiten können Sie maximal tolerieren?• Existiert ein lückenloses IT-Sicherheitskonzept?• Gibt es für alle kritischen Systeme einen Notfallplan?• Wird der Notfallplan regelmäßig geprüft und trainiert?• Genügen die Maßnahmen den gesetzlichen

Anforderungen?• Wird das IT-Sicherheitskonzept regelmäßig auditiert?• Wird die Umsetzung der Maßnahmen kontrolliert?• Kennen die Mitarbeiter die Security Policy und wird ihre

Einhaltung motiviert und überprüft?

Documents

Rechtliche Vorgaben und Standards zur IT-Sicherheitrgerlin/pdf/erfa49-01.pdf · Zutrittskontrolle 2. Zugangskontrolle 3. Zugriffskontrolle 4. Weitergabekontrolle 5. Eingabekontrolle