Anforderungen an die ITSicherheit – Die Welt nach Wegfall der 8 Gebote aus § 9 BDSG und der Anlage zu § 9 BDSG

10.06.2016

Andreas Sachs BayLDA

uuuuuuu uu$$$$$$$$$$$uu uu$$$$$$$$$$$$$$$$$uu u$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$$$u u$$$$$$" "$$$" "$$$$$$u "$$$$" u$u $$$$" $$$u u$u u$$$ $$$u u$$$u u$$$ "$$$$uu$$$ $$$uu$$$$" "$$$$$$$" "$$$$$$$" u$$$$$$$u$$$$$$$u u$"$"$"$"$"$"$u $$u$ $ $ $ $u$$ $$$$$u$u$u$$$ "$$$$$$$$$" ““““““

Stand heute: § 9 BDSG: Technische und organisatorische Maßnahmen

Aufsichtsbehörde

Es müssen Maßnahmen getroffen werden, solange diese Verhältnismäßig sind.

Wer legt fest, was (in Bayern) getan werden muss?

1. 2. 3. 4. 5. 6. 7. 8.

8 Gebote: Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungsgebot

„…insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen.“ (§9 BDSG)

2 Andreas Sachs BayLDA

I

Security vs. Safety

Andreas Sachs BayLDA

I

Technischer Datenschutz und IT-Sicherheit

Technischer Datenschutz IT-Sicherheit, Datensicherheit BetroffenenRechte Verfügbarkeit

Vertraulichkeit

Datensparsamkeit

Anonymisierung & Pseudonymisierung

Integrität Protokollierung Authentizität

Andreas Sachs BayLDA

Sicherheit der Verarbeitung - Was sagt die EU-DSGVO? Kapitel IV

Verantwortliche und Auftragsverarbeiter Abschnitt 2 Sicherheit personenbezogener Daten Artikel 32

Sicherheit der Verarbeitung

(1)Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

Andreas Sachs BayLDA

Sicherheit der Verarbeitung - Was sagt die EU-DSGVO? Kapitel IV

Verantwortliche und Auftragsverarbeiter Abschnitt 2 Sicherheit personenbezogener Daten Artikel 32

Sicherheit der Verarbeitung

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Andreas Sachs BayLDA

Sicherheit der Verarbeitung - Was sagt die EU-DSGVO? Kapitel IV

Verantwortliche und Auftragsverarbeiter Abschnitt 2 Sicherheit personenbezogener Daten Artikel 32

Sicherheit der Verarbeitung

(2)Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. (3)Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen. Andreas Sachs BayLDA

Sicherheit der Verarbeitung - Was sagt die EU-DSGVO? Kapitel IV

Verantwortliche und Auftragsverarbeiter Abschnitt 2 Sicherheit personenbezogener Daten Artikel 32

Sicherheit der Verarbeitung

(4)Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Andreas Sachs BayLDA

„Angemessenes Schutzniveau“ Welchen Schutzbedarf haben personenbezogene Daten? Annäherung:

Das Schadenspotential des Persönlichkeitsrechts, wenn etwas „schief“ geht:

Verlust Vertraulichkeit, Verlust Verfügbarkeit, Verlust Integrität 

Schutzbedarf normal • •



Schutzbedarf hoch und sehr hoch • •

!

Artikel 4 Abs. 1 : Personenbezogene Daten die nicht „sensibel“ sind Beispiel: Anschrift eines Bürgers

Artikel 9: Verarbeitung besonderer Kategorien personenbezogener Daten Beispiel: Diagnosedaten bei einer Krankheit des Betroffenen

Merke: Der Schutzbedarf spielt eine sehr bedeutende Rolle bei der Auswahl der geeigneten technischen und organisatorischen Maßnahmen.

Andreas Sachs BayLDA

Risiko - was sagt die EU-DSGVO dazu? EU-DSGVO - Anzahl Treffer: „Risiko“ 47x „Hohes Risiko“ 14x Wie ist der Begriff Risiko allgemein definiert:

Andreas Sachs BayLDA



Duden: möglicher negativer Ausgang bei einer Unternehmung, mit dem Nachteile, Verlust, Schäden verbunden sind



Glossar BSI: Risiko wird auch häufig definiert als die Kombination aus der Wahrscheinlichkeit, mit der ein Schaden auftritt, und dem Ausmaß dieses Schadens.



NIST: Risk is a function of the likelihood of a given threat-source’s exercising a particular potential vulnerability, and the resulting impact of that adverse event on the organization.

Risiko - Welche Faktoren spielen beim Risiko eine Rolle? Schutzbedarfskategorien normal

Die Schadensauswirkungen sind begrenzt und überschaubar.

hoch

Die Schadensauswirkungen können beträchtlich sein.

sehr hoch

Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

Artikel 4 Abs. 1

Artikel 9 Verarbeitung besonderer Kategorien personenBezogener Daten

Andreas Sachs BayLDA

Einfache Beispiele zur Schutzbedarfsfeststellung Online-Shopping

Parteizugehörigkeit

„HIV-Infektion“

Andreas Sachs BayLDA

normal

hoch

sehr hoch

Risiko - was sagt die EU-DSGVO dazu? (52) Eintrittswahrscheinlichkeit und Schwere des Risikos sollten nach der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein hohes Risiko birgt. Ein hohes Risiko ist ein besonderes Risiko der Beeinträchtigung der Rechte und Freiheiten der betroffenen Personen.

! Andreas Sachs BayLDA

Wichtig: Der Betroffene steht im Mittelpunkt einer Risikobewertung (und nicht die Unternehmenswerte!)

Risiko - was sagt die EU-DSGVO dazu? •

Anleitungen, wie der Verantwortliche oder Auftragsverarbeiter geeignete Maßnahmen durchzuführen hat und wie die Einhaltung der Anforderungen nachzuweisen ist, insbesondere was die Ermittlung des mit der (77) Verarbeitung verbundenen Risikos, dessen Abschätzung in Bezug auf Ursache, Art, Eintrittswahrscheinlichkeit und Schwere und die Festlegung bewährter Verfahren für dessen Eindämmung betrifft, könnten insbesondere in Form von genehmigten Verhaltensregeln, genehmigten Zertifizierungsverfahren, Leitlinien des Ausschusses oder Hinweisen eines Datenschutzbeauftragten gegeben werden. …

Risiko

Maßnahmen Nachweis Andreas Sachs BayLDA

Code of Conduct

Genemigte Zertifikate

Datenschutzbeauftragter Datenschutzausschuss

Risiko: Generischer Ansatz

Bedrohung

Schwachstellen z. B. Programmierfehler im Smartphone-Betriebssystem

z. B. mobile Schadsoftware

Gefährdung z. B. Trojanersoftware auf Unternehmensgeräte

Andreas Sachs BayLDA

Risiko: Generischer Ansatz Installation einer kostenlosen Spiele-App, die den Schadcode „Trojan.AndroidOS.MTK.a“ enthält

Eintreten eines Bedrohungsereignisses

Schwachstellen

•

Das UnternehmenSmartphone hat keine aktuelle Android-Version

•

Bereitschaft, eine App aus einem alternativen App-Store zu installieren

•

Glück gehabt: Daten wurden nicht missbraucht

•

Oder: Schaden tritt ein, ohne dies zu merken

VORFALL: • Auslesen der vollständigen Kundenliste

•

Smartphone wird Teil eines Botnetzes

Reputationsverlust, da Adressen für Spear-Phishing Angriffe missbraucht wurden

Andreas Sachs BayLDA

Schaden

Vorfall

Kein Schaden

Risiko: Generischer Ansatz

Risiko

=

Schaden

P( ) * Schaden

Das quantifizierte Risiko ergibt sich aus dem Schaden mal der Eintrittswahrscheinlichkeit des Schaden (Eckert, IT-Sicherheit)

 Die Durchführung einer (vollständigen) Risikoanalyse erfordert großen technischen und methodischen Sachverstand  Eine Risikoanalyse ist beim BSI-Grundschutz deswegen erst bei einem erhöhten Schutzbedarf notwendig

Andreas Sachs BayLDA

Risiko und Maßnahmen

Bedrohung

Schwachstellen

Maßnahmen

Für personenbezogene Daten: Technische und organisatorische Maßnahmen zur Reduzierung oder Behebung der Gefährdung Beispiele: • Mobile-Device-Management • Kundendaten nicht im Adressbuch • Installation von Apps begrenzen • Internetzugang nur über VPN (Datenabflusskontrolle durchführen)

Andreas Sachs BayLDA

Risiko und Maßnahmen Bedrohung

Schwachstellen

Gefährdung

Maßnahmen

Maßnahmen sollen  Gefährdungen reduzieren  Schäden kompensieren

Vorfall

Schaden

Andreas Sachs BayLDA

Kein Schaden

…geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten…

Risikobewertung bei großen Unternehmen  Bestehende Risikobewertungsprozesse nutzen (z. B. für Compliance)

 Fokus auf Betroffenenrechte statt auf Unternehmenswerte (Umdenken gefordert!)

 ISO27001 oder IT-Grundschutz kann Basis sein

Andreas Sachs BayLDA

Risikobewertung bei KMUs  Fokussierte Risikobewertung durchführen  Fokus auf Betroffenenrechte statt auf Unternehmenswerte  (Erstmal) unstrukturiert und Ad-Hoc ist besser als nichts  Das Verfahrensverzeichnis ist Basis

Andreas Sachs BayLDA

Risikobewertung für Unternehmen allgemein Code of Conduct

 

Datenschutzbeauftragter

Kriterien

  

Genehmigte Zertifikate

Datenschutzausschuss

Andreas Sachs BayLDA

!

Die Entwicklung auf europäischer Ebene verfolgen Stellungnahmen der Aufsichtsbehörden im Blick behalten Ggf. bei den eigenen Verbänden nachfragen Ggf. eine geeignete Zertifizierung wählen Bei der zuständigen Aufsichtsbehörde um Beratung ersuchen

Wichtig: Dokumentation vorbereiten/sichten und Verfahrensverzeichnis aktualisieren

Schutzziele - Was sagt die EU-DSGVO? Kapitel IV

Verantwortliche und Auftragsverarbeiter Abschnitt 2 Sicherheit personenbezogener Daten Artikel 32

Sicherheit der Verarbeitung

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; Erwägungsgründe hierzu: (39) Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben …

!

(83) Zur Aufrechterhaltung der Sicherheit … Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des

Stands der Technik und der Implementierungskosten ein Schutzniveau - auch hinsichtlich der Vertraulichkeit - gewährleisten,…

Andreas Sachs BayLDA

Schutzziele Vertraulichkeit Verfügbarkeit

Integrität

Kein unautorisierter Zugang auf personenbezogene Daten möglich Personenbezogene Daten sind vorhanden, wenn diese gebraucht werden

Personenbezogene Daten können nicht (unbemerkt) geändert werden

Die drei Klassiker in der Informationssicherheit

Andreas Sachs BayLDA

Beispiel 1: Schutzziel Vertraulichkeit

Angreifer Alle Daten eines Online-Shops (E-Mail-Adresse, Name, Anschrift, Bestellungen,…) werden aus der Ferne (über eine SQL-Injection-Lücke) gehackt

Beispiel-Fokus auf Unternehmenswerte: Image-Schaden

Andreas Sachs BayLDA

Beispiel 2: Schutzziel Vertraulichkeit

Neugieriger Angestellter Die Kontobewegungen eines ganzen Straßenzuges wurden von einem Mitarbeiter einer Bank unbefugt ausgelesen

Fokus auf Betroffenenrechte: Verletzung des Rechts auf Datenschutz Andreas Sachs BayLDA

Beispiel 3: Schutzziel Verfügbarkeit Zombie-Bot Zombie-Bot Zombie-Bot

Ein Online-Shop ist aufgrund einer DDoS-Attacke nicht erreichbar

Zombie-Bot Zombie-Bot

Beispiel-Fokus auf Unternehmenswerte: Umsatz-Schaden Andreas Sachs BayLDA

Beispiel 4: Schutzziel Verfügbarkeit

Schadcode

Das medizinische Arztinformationssystem (AIS) mit allen Patientendaten ist nach einem Malware-Befall mit einem Krypto-Trojaner vernichtet.

Fokus auf Betroffenenrechte: kein Auskunftsanspruch mehr möglich

Andreas Sachs BayLDA

Beispiel 5: Schutzziel Integrität

Unternehmensnetz

DownloadServer

Ein Angreifer versieht einen Download eines SoftwareUpdates mit einem Trojaner

Angreifer Beispiel-Fokus auf Unternehmenswerte: Backdoor eines Hackers ins Unternehmensnetz Andreas Sachs BayLDA

Beispiel 6: Schutzziel Integrität Unachtsame Angestellte

RIP

Datenbank

Eine Mitarbeiterin einer Versicherung setzt aus Versehen im Datensatz eines Patienten den Wert „verstorben“

Fokus auf Betroffenenrechte: Mühsames „Heilen“ des Fehler, damit auch der Datensatz wieder lebt

Andreas Sachs BayLDA

Neu: Schutzziel Belastbarkeit Was bedeutet das? Englisch: resilience (dt. Resilienz) Lateinischen «resilire» bedeutet zurückspringen

!

Begriff aus der Psychologie: Das Resilienzkonzept umschreibt die Fähigkeit, zerrüttenden Herausforderungen des Lebens standzuhalten und aus diesen Erfahrungen gestärkt und bereichert hervorzugehen (Wustmann, 2012) Begriff aus der Physik: Eigenschaft hochelastischer Materialien, die nach einer Verformung wieder ihre ursprüngliche Form annehmen Evolutionsbiologie: Resilienz beschreibt das Potential eines Systems, Störungen und Schocks zu absorbieren und möglichst unbeschadet weiter existieren zu können Andreas Sachs BayLDA

Neu: Schutzziel Belastbarkeit Was hat das mit Datenschutz zu tun?  Bei (Cyber-)Resilienz geht es um das Management von Risiken und nicht um die Ausschaltung von Risiken  Sicherheit muss über Systeme, Software und IT-Abteilungen hinausgehen und eine Erhöhung des Sicherheitsbewusstseins sämtlicher Mitarbeiter sowie optimierte Unternehmensprozesse beinhalten  Vordergründig stabile Systeme sind meist fragiler als Systeme, in denen häufig Störungen auftreten

 Jede kleine Störung verbessert das System  Vermeidung kleiner Fehler führen dazu, dass größere Fehler schlimmer ausfallen

Andreas Sachs BayLDA

Schutzziel Belastbarkeit

In Unternehmen entsteht durch eine Abhängigkeit von Internet, Cloud Diensten, Dienstleistern (ADV-Vertrag schafft nur rechtliche Rahmenbedingung) und Kunden sowie aufgrund des hohen Einflusses der „normalen“ Mitarbeiter auf die IT-Sicherheit

ein sehr komplexes System

Bewährte Management-/Steuerungsmethoden greifen hier nicht mehr Andreas Sachs BayLDA

Schutzziel Belastbarkeit Wie wird Resilienz erreicht? • Resilienz kann nicht durch Checklisten erreicht werden • Aktuellen Bedrohungslagen sowie akzeptierte Risikolevel stehen im Fokus • Die EU-DSGVO nennt hier keine weiteren Details Ein möglicher Ansatz:  Eine vorausschauende IT-Sicherheitsstrategie muss her  Erweiterung des defensiven Ansatzes („Es darf nichts passieren“) um eine realistischere Komponente („Es kann was schief gehen – bereiten wir uns darauf vor“)  Cyber-Resilienz geht IT-Sicherheit auf verschiedenen Ebenen an und bezieht Personen, Prozesse und Technologie mit ein. Andreas Sachs BayLDA

Stand der Technik Wer legt den Stand der Technik fest? Und was ist das überhaupt?

Die EU-DSGVO definiert den Begriff „Stand der Technik“ nicht

„Anerkannte Regeln der Technik“:

Sind in der Praxis aktuell geschulten Technikern durchweg bekannt und haben sich aufgrund fortdauernder praktischer Erfahrung bewährt. Beispiele: Zugangskennungen mit Passwortschutz, Servern nicht öffentlich zugänglich, Virenscanner, Firewall (Paketfilter),HTTPS-Verschlüsselung…

„Stand der Technik“:

Gesicherte Erkenntnis von Wissenschaft und Technik und für die praktische Anwendung verfügbar. Höhere Stufe der technischen Entwicklung als „anerkannte Regeln der Technik“, die sich in der allgemeinen Praxis noch nicht langfristig bewährt haben muss. Beispiele: Zwei-Faktor-Authentifizierung, Malwareschutz mit Sandboxing und IPS/IDS, Next-GenerationFirewall, HTTPS-Verschlüsselung mit TLS1.2 und PFS, …

Andreas Sachs BayLDA

Technische und organisatorische Maßnahmen Generalle Frage: Wie werden Maßnahmen ausgewählt?  

Die EU-DSGVO hat keine (Check-)liste wie Anlage zu §9 BDSG Aber: Für einzelne Anwendungsszenarien machen Checklisten weiterhin Sinn: Beispiele:  Physikalische Sicherheit des Unternehmens  Berechtigungsmanagement  Authentifizierung  Löschkonzepte  Verschlüsselung  Schutz gegen Angreifer  Backup-Konzepte

Andreas Sachs BayLDA

Technische und organisatorische Maßnahmen Generalle Frage: Wie werden Maßnahmen ausgewählt?  Ansatz 1: anhand einer (fokussierten) Risikoanalyse  Ansatz 2: ad hoc heute schon auf dem Weg zur Risikobewertung Für jedes Verfahren des Verfahrensverzeichnisses sowie einmal für das Unternehmen an sich ist Folgendes zu tun: • • • • • •

Andreas Sachs BayLDA

Schutzbedarf feststellen Schutzmaßnahmen individuell auf Verfahren anwenden Auch Auftragsdatenverarbeitung mit einbeziehen Einbinden der IT-Administration bzw. des IT-Sicherheitsbeauftragten ad hoc Restrisikobewertung „nach“ Bauchgefühl Ziel ist auch, einen Überblick über die eigenen Verfahren und die entsprechenden Schutzmaßnahmen zu bekommen

Verschlüsselung als Maßnahme? Was sagt die EU-DSGVO dazu:

Andreas Sachs BayLDA



(83) Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung … Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen



Art. 6 (Rechtmäßigkeit der Verarbeitung): … geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.



Art. 32 (Sicherheit der Verarbeitung): … Maßnahmen schließen unter anderem Folgendes ein: … Verschlüsselung personenbezogener Daten



Artikel 34 („Benachrichtigung der Betroffenen bei Datenpannen“): Benachrichtigung nicht erforderlich … unzugänglich gemacht werden, etwa durch Verschlüsselung;

Weiterer Einsatz von technischen und organisatorischen Maßnahmen in der DS-GVO

Code of Conduct / Zertifizierung

Privacy by Default

Security Datenschutzfolgeabschätzung

TOMs

Privacy by Design

Andreas Sachs BayLDA

ADV/Cloud

Datenschutzkonforme Verarbeitung

Vielen Dank für Ihre uuuuuuu uu$$$$$$$$$$$uu uu$$$$$$$$$$$$$$$$$uu u$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$$$u u$$$$$$" "$$$" "$$$$$$u "$$$$" u$u $$$$" $$$u u$u u$$$ $$$u u$$$u u$$$ "$$$$uu$$$ $$$uu$$$$" "$$$$$$$" "$$$$$$$" u$$$$$$$u$$$$$$$u u$"$"$"$"$"$"$u $$u$ $ $ $ $u$$ $$$$$u$u$u$$$ "$$$$$$$$$" ““““““ Andreas Sachs BayLDA

Aufmerksamkeit.