Anforderungen an die ITSicherheit – Die Welt nach Wegfall der 8 Gebote aus § 9 BDSG und der Anlage zu § 9 BDSG
10.06.2016
Andreas Sachs BayLDA
uuuuuuu uu$$$$$$$$$$$uu uu$$$$$$$$$$$$$$$$$uu u$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$$$u u$$$$$$" "$$$" "$$$$$$u "$$$$" u$u $$$$" $$$u u$u u$$$ $$$u u$$$u u$$$ "$$$$uu$$$ $$$uu$$$$" "$$$$$$$" "$$$$$$$" u$$$$$$$u$$$$$$$u u$"$"$"$"$"$"$u $$u$ $ $ $ $u$$ $$$$$u$u$u$$$ "$$$$$$$$$" ““““““
Stand heute: § 9 BDSG: Technische und organisatorische Maßnahmen
Aufsichtsbehörde
Es müssen Maßnahmen getroffen werden, solange diese Verhältnismäßig sind.
Wer legt fest, was (in Bayern) getan werden muss?
1. 2. 3. 4. 5. 6. 7. 8.
8 Gebote: Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungsgebot
„…insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen.“ (§9 BDSG)
2 Andreas Sachs BayLDA
I
Security vs. Safety
Andreas Sachs BayLDA
I
Technischer Datenschutz und IT-Sicherheit
Technischer Datenschutz IT-Sicherheit, Datensicherheit BetroffenenRechte Verfügbarkeit
Vertraulichkeit
Datensparsamkeit
Anonymisierung & Pseudonymisierung
Integrität Protokollierung Authentizität
Andreas Sachs BayLDA
Sicherheit der Verarbeitung - Was sagt die EU-DSGVO? Kapitel IV
Verantwortliche und Auftragsverarbeiter Abschnitt 2 Sicherheit personenbezogener Daten Artikel 32
Sicherheit der Verarbeitung
(1)Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
Andreas Sachs BayLDA
Sicherheit der Verarbeitung - Was sagt die EU-DSGVO? Kapitel IV
Verantwortliche und Auftragsverarbeiter Abschnitt 2 Sicherheit personenbezogener Daten Artikel 32
Sicherheit der Verarbeitung
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Andreas Sachs BayLDA
Sicherheit der Verarbeitung - Was sagt die EU-DSGVO? Kapitel IV
Verantwortliche und Auftragsverarbeiter Abschnitt 2 Sicherheit personenbezogener Daten Artikel 32
Sicherheit der Verarbeitung
(2)Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. (3)Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen. Andreas Sachs BayLDA
Sicherheit der Verarbeitung - Was sagt die EU-DSGVO? Kapitel IV
Verantwortliche und Auftragsverarbeiter Abschnitt 2 Sicherheit personenbezogener Daten Artikel 32
Sicherheit der Verarbeitung
(4)Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
Andreas Sachs BayLDA
„Angemessenes Schutzniveau“ Welchen Schutzbedarf haben personenbezogene Daten? Annäherung:
Das Schadenspotential des Persönlichkeitsrechts, wenn etwas „schief“ geht:
Verlust Vertraulichkeit, Verlust Verfügbarkeit, Verlust Integrität
Schutzbedarf normal • •
Schutzbedarf hoch und sehr hoch • •
!
Artikel 4 Abs. 1 : Personenbezogene Daten die nicht „sensibel“ sind Beispiel: Anschrift eines Bürgers
Artikel 9: Verarbeitung besonderer Kategorien personenbezogener Daten Beispiel: Diagnosedaten bei einer Krankheit des Betroffenen
Merke: Der Schutzbedarf spielt eine sehr bedeutende Rolle bei der Auswahl der geeigneten technischen und organisatorischen Maßnahmen.
Andreas Sachs BayLDA
Risiko - was sagt die EU-DSGVO dazu? EU-DSGVO - Anzahl Treffer: „Risiko“ 47x „Hohes Risiko“ 14x Wie ist der Begriff Risiko allgemein definiert:
Andreas Sachs BayLDA
Duden: möglicher negativer Ausgang bei einer Unternehmung, mit dem Nachteile, Verlust, Schäden verbunden sind
Glossar BSI: Risiko wird auch häufig definiert als die Kombination aus der Wahrscheinlichkeit, mit der ein Schaden auftritt, und dem Ausmaß dieses Schadens.
NIST: Risk is a function of the likelihood of a given threat-source’s exercising a particular potential vulnerability, and the resulting impact of that adverse event on the organization.
Risiko - Welche Faktoren spielen beim Risiko eine Rolle? Schutzbedarfskategorien normal
Die Schadensauswirkungen sind begrenzt und überschaubar.
hoch
Die Schadensauswirkungen können beträchtlich sein.
sehr hoch
Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.
Artikel 4 Abs. 1
Artikel 9 Verarbeitung besonderer Kategorien personenBezogener Daten
Andreas Sachs BayLDA
Einfache Beispiele zur Schutzbedarfsfeststellung Online-Shopping
Parteizugehörigkeit
„HIV-Infektion“
Andreas Sachs BayLDA
normal
hoch
sehr hoch
Risiko - was sagt die EU-DSGVO dazu? (52) Eintrittswahrscheinlichkeit und Schwere des Risikos sollten nach der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein hohes Risiko birgt. Ein hohes Risiko ist ein besonderes Risiko der Beeinträchtigung der Rechte und Freiheiten der betroffenen Personen.
! Andreas Sachs BayLDA
Wichtig: Der Betroffene steht im Mittelpunkt einer Risikobewertung (und nicht die Unternehmenswerte!)
Risiko - was sagt die EU-DSGVO dazu? •
Anleitungen, wie der Verantwortliche oder Auftragsverarbeiter geeignete Maßnahmen durchzuführen hat und wie die Einhaltung der Anforderungen nachzuweisen ist, insbesondere was die Ermittlung des mit der (77) Verarbeitung verbundenen Risikos, dessen Abschätzung in Bezug auf Ursache, Art, Eintrittswahrscheinlichkeit und Schwere und die Festlegung bewährter Verfahren für dessen Eindämmung betrifft, könnten insbesondere in Form von genehmigten Verhaltensregeln, genehmigten Zertifizierungsverfahren, Leitlinien des Ausschusses oder Hinweisen eines Datenschutzbeauftragten gegeben werden. …
Risiko
Maßnahmen Nachweis Andreas Sachs BayLDA
Code of Conduct
Genemigte Zertifikate
Datenschutzbeauftragter Datenschutzausschuss
Risiko: Generischer Ansatz
Bedrohung
Schwachstellen z. B. Programmierfehler im Smartphone-Betriebssystem
z. B. mobile Schadsoftware
Gefährdung z. B. Trojanersoftware auf Unternehmensgeräte
Andreas Sachs BayLDA
Risiko: Generischer Ansatz Installation einer kostenlosen Spiele-App, die den Schadcode „Trojan.AndroidOS.MTK.a“ enthält
Eintreten eines Bedrohungsereignisses
Schwachstellen
•
Das UnternehmenSmartphone hat keine aktuelle Android-Version
•
Bereitschaft, eine App aus einem alternativen App-Store zu installieren
•
Glück gehabt: Daten wurden nicht missbraucht
•
Oder: Schaden tritt ein, ohne dies zu merken
VORFALL: • Auslesen der vollständigen Kundenliste
•
Smartphone wird Teil eines Botnetzes
Reputationsverlust, da Adressen für Spear-Phishing Angriffe missbraucht wurden
Andreas Sachs BayLDA
Schaden
Vorfall
Kein Schaden
Risiko: Generischer Ansatz
Risiko
=
Schaden
P( ) * Schaden
Das quantifizierte Risiko ergibt sich aus dem Schaden mal der Eintrittswahrscheinlichkeit des Schaden (Eckert, IT-Sicherheit)
Die Durchführung einer (vollständigen) Risikoanalyse erfordert großen technischen und methodischen Sachverstand Eine Risikoanalyse ist beim BSI-Grundschutz deswegen erst bei einem erhöhten Schutzbedarf notwendig
Andreas Sachs BayLDA
Risiko und Maßnahmen
Bedrohung
Schwachstellen
Maßnahmen
Für personenbezogene Daten: Technische und organisatorische Maßnahmen zur Reduzierung oder Behebung der Gefährdung Beispiele: • Mobile-Device-Management • Kundendaten nicht im Adressbuch • Installation von Apps begrenzen • Internetzugang nur über VPN (Datenabflusskontrolle durchführen)
Andreas Sachs BayLDA
Risiko und Maßnahmen Bedrohung
Schwachstellen
Gefährdung
Maßnahmen
Maßnahmen sollen Gefährdungen reduzieren Schäden kompensieren
Vorfall
Schaden
Andreas Sachs BayLDA
Kein Schaden
…geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten…
Risikobewertung bei großen Unternehmen Bestehende Risikobewertungsprozesse nutzen (z. B. für Compliance)
Fokus auf Betroffenenrechte statt auf Unternehmenswerte (Umdenken gefordert!)
ISO27001 oder IT-Grundschutz kann Basis sein
Andreas Sachs BayLDA
Risikobewertung bei KMUs Fokussierte Risikobewertung durchführen Fokus auf Betroffenenrechte statt auf Unternehmenswerte (Erstmal) unstrukturiert und Ad-Hoc ist besser als nichts Das Verfahrensverzeichnis ist Basis
Andreas Sachs BayLDA
Risikobewertung für Unternehmen allgemein Code of Conduct
Datenschutzbeauftragter
Kriterien
Genehmigte Zertifikate
Datenschutzausschuss
Andreas Sachs BayLDA
!
Die Entwicklung auf europäischer Ebene verfolgen Stellungnahmen der Aufsichtsbehörden im Blick behalten Ggf. bei den eigenen Verbänden nachfragen Ggf. eine geeignete Zertifizierung wählen Bei der zuständigen Aufsichtsbehörde um Beratung ersuchen
Wichtig: Dokumentation vorbereiten/sichten und Verfahrensverzeichnis aktualisieren
Schutzziele - Was sagt die EU-DSGVO? Kapitel IV
Verantwortliche und Auftragsverarbeiter Abschnitt 2 Sicherheit personenbezogener Daten Artikel 32
Sicherheit der Verarbeitung
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; Erwägungsgründe hierzu: (39) Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben …
!
(83) Zur Aufrechterhaltung der Sicherheit … Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des
Stands der Technik und der Implementierungskosten ein Schutzniveau - auch hinsichtlich der Vertraulichkeit - gewährleisten,…
Andreas Sachs BayLDA
Schutzziele Vertraulichkeit Verfügbarkeit
Integrität
Kein unautorisierter Zugang auf personenbezogene Daten möglich Personenbezogene Daten sind vorhanden, wenn diese gebraucht werden
Personenbezogene Daten können nicht (unbemerkt) geändert werden
Die drei Klassiker in der Informationssicherheit
Andreas Sachs BayLDA
Beispiel 1: Schutzziel Vertraulichkeit
Angreifer Alle Daten eines Online-Shops (E-Mail-Adresse, Name, Anschrift, Bestellungen,…) werden aus der Ferne (über eine SQL-Injection-Lücke) gehackt
Beispiel-Fokus auf Unternehmenswerte: Image-Schaden
Andreas Sachs BayLDA
Beispiel 2: Schutzziel Vertraulichkeit
Neugieriger Angestellter Die Kontobewegungen eines ganzen Straßenzuges wurden von einem Mitarbeiter einer Bank unbefugt ausgelesen
Fokus auf Betroffenenrechte: Verletzung des Rechts auf Datenschutz Andreas Sachs BayLDA
Beispiel 3: Schutzziel Verfügbarkeit Zombie-Bot Zombie-Bot Zombie-Bot
Ein Online-Shop ist aufgrund einer DDoS-Attacke nicht erreichbar
Zombie-Bot Zombie-Bot
Beispiel-Fokus auf Unternehmenswerte: Umsatz-Schaden Andreas Sachs BayLDA
Beispiel 4: Schutzziel Verfügbarkeit
Schadcode
Das medizinische Arztinformationssystem (AIS) mit allen Patientendaten ist nach einem Malware-Befall mit einem Krypto-Trojaner vernichtet.
Fokus auf Betroffenenrechte: kein Auskunftsanspruch mehr möglich
Andreas Sachs BayLDA
Beispiel 5: Schutzziel Integrität
Unternehmensnetz
DownloadServer
Ein Angreifer versieht einen Download eines SoftwareUpdates mit einem Trojaner
Angreifer Beispiel-Fokus auf Unternehmenswerte: Backdoor eines Hackers ins Unternehmensnetz Andreas Sachs BayLDA
Beispiel 6: Schutzziel Integrität Unachtsame Angestellte
RIP
Datenbank
Eine Mitarbeiterin einer Versicherung setzt aus Versehen im Datensatz eines Patienten den Wert „verstorben“
Fokus auf Betroffenenrechte: Mühsames „Heilen“ des Fehler, damit auch der Datensatz wieder lebt
Andreas Sachs BayLDA
Neu: Schutzziel Belastbarkeit Was bedeutet das? Englisch: resilience (dt. Resilienz) Lateinischen «resilire» bedeutet zurückspringen
!
Begriff aus der Psychologie: Das Resilienzkonzept umschreibt die Fähigkeit, zerrüttenden Herausforderungen des Lebens standzuhalten und aus diesen Erfahrungen gestärkt und bereichert hervorzugehen (Wustmann, 2012) Begriff aus der Physik: Eigenschaft hochelastischer Materialien, die nach einer Verformung wieder ihre ursprüngliche Form annehmen Evolutionsbiologie: Resilienz beschreibt das Potential eines Systems, Störungen und Schocks zu absorbieren und möglichst unbeschadet weiter existieren zu können Andreas Sachs BayLDA
Neu: Schutzziel Belastbarkeit Was hat das mit Datenschutz zu tun? Bei (Cyber-)Resilienz geht es um das Management von Risiken und nicht um die Ausschaltung von Risiken Sicherheit muss über Systeme, Software und IT-Abteilungen hinausgehen und eine Erhöhung des Sicherheitsbewusstseins sämtlicher Mitarbeiter sowie optimierte Unternehmensprozesse beinhalten Vordergründig stabile Systeme sind meist fragiler als Systeme, in denen häufig Störungen auftreten
Jede kleine Störung verbessert das System Vermeidung kleiner Fehler führen dazu, dass größere Fehler schlimmer ausfallen
Andreas Sachs BayLDA
Schutzziel Belastbarkeit
In Unternehmen entsteht durch eine Abhängigkeit von Internet, Cloud Diensten, Dienstleistern (ADV-Vertrag schafft nur rechtliche Rahmenbedingung) und Kunden sowie aufgrund des hohen Einflusses der „normalen“ Mitarbeiter auf die IT-Sicherheit
ein sehr komplexes System
Bewährte Management-/Steuerungsmethoden greifen hier nicht mehr Andreas Sachs BayLDA
Schutzziel Belastbarkeit Wie wird Resilienz erreicht? • Resilienz kann nicht durch Checklisten erreicht werden • Aktuellen Bedrohungslagen sowie akzeptierte Risikolevel stehen im Fokus • Die EU-DSGVO nennt hier keine weiteren Details Ein möglicher Ansatz: Eine vorausschauende IT-Sicherheitsstrategie muss her Erweiterung des defensiven Ansatzes („Es darf nichts passieren“) um eine realistischere Komponente („Es kann was schief gehen – bereiten wir uns darauf vor“) Cyber-Resilienz geht IT-Sicherheit auf verschiedenen Ebenen an und bezieht Personen, Prozesse und Technologie mit ein. Andreas Sachs BayLDA
Stand der Technik Wer legt den Stand der Technik fest? Und was ist das überhaupt?
Die EU-DSGVO definiert den Begriff „Stand der Technik“ nicht
„Anerkannte Regeln der Technik“:
Sind in der Praxis aktuell geschulten Technikern durchweg bekannt und haben sich aufgrund fortdauernder praktischer Erfahrung bewährt. Beispiele: Zugangskennungen mit Passwortschutz, Servern nicht öffentlich zugänglich, Virenscanner, Firewall (Paketfilter),HTTPS-Verschlüsselung…
„Stand der Technik“:
Gesicherte Erkenntnis von Wissenschaft und Technik und für die praktische Anwendung verfügbar. Höhere Stufe der technischen Entwicklung als „anerkannte Regeln der Technik“, die sich in der allgemeinen Praxis noch nicht langfristig bewährt haben muss. Beispiele: Zwei-Faktor-Authentifizierung, Malwareschutz mit Sandboxing und IPS/IDS, Next-GenerationFirewall, HTTPS-Verschlüsselung mit TLS1.2 und PFS, …
Andreas Sachs BayLDA
Technische und organisatorische Maßnahmen Generalle Frage: Wie werden Maßnahmen ausgewählt?
Die EU-DSGVO hat keine (Check-)liste wie Anlage zu §9 BDSG Aber: Für einzelne Anwendungsszenarien machen Checklisten weiterhin Sinn: Beispiele: Physikalische Sicherheit des Unternehmens Berechtigungsmanagement Authentifizierung Löschkonzepte Verschlüsselung Schutz gegen Angreifer Backup-Konzepte
Andreas Sachs BayLDA
Technische und organisatorische Maßnahmen Generalle Frage: Wie werden Maßnahmen ausgewählt? Ansatz 1: anhand einer (fokussierten) Risikoanalyse Ansatz 2: ad hoc heute schon auf dem Weg zur Risikobewertung Für jedes Verfahren des Verfahrensverzeichnisses sowie einmal für das Unternehmen an sich ist Folgendes zu tun: • • • • • •
Andreas Sachs BayLDA
Schutzbedarf feststellen Schutzmaßnahmen individuell auf Verfahren anwenden Auch Auftragsdatenverarbeitung mit einbeziehen Einbinden der IT-Administration bzw. des IT-Sicherheitsbeauftragten ad hoc Restrisikobewertung „nach“ Bauchgefühl Ziel ist auch, einen Überblick über die eigenen Verfahren und die entsprechenden Schutzmaßnahmen zu bekommen
Verschlüsselung als Maßnahme? Was sagt die EU-DSGVO dazu:
Andreas Sachs BayLDA
(83) Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung … Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen
Art. 6 (Rechtmäßigkeit der Verarbeitung): … geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.
Art. 32 (Sicherheit der Verarbeitung): … Maßnahmen schließen unter anderem Folgendes ein: … Verschlüsselung personenbezogener Daten
Artikel 34 („Benachrichtigung der Betroffenen bei Datenpannen“): Benachrichtigung nicht erforderlich … unzugänglich gemacht werden, etwa durch Verschlüsselung;
Weiterer Einsatz von technischen und organisatorischen Maßnahmen in der DS-GVO
Code of Conduct / Zertifizierung
Privacy by Default
Security Datenschutzfolgeabschätzung
TOMs
Privacy by Design
Andreas Sachs BayLDA
ADV/Cloud
Datenschutzkonforme Verarbeitung
Vielen Dank für Ihre uuuuuuu uu$$$$$$$$$$$uu uu$$$$$$$$$$$$$$$$$uu u$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$$$u u$$$$$$$$$$$$$$$$$$$$$$$$$u u$$$$$$" "$$$" "$$$$$$u "$$$$" u$u $$$$" $$$u u$u u$$$ $$$u u$$$u u$$$ "$$$$uu$$$ $$$uu$$$$" "$$$$$$$" "$$$$$$$" u$$$$$$$u$$$$$$$u u$"$"$"$"$"$"$u $$u$ $ $ $ $u$$ $$$$$u$u$u$$$ "$$$$$$$$$" ““““““ Andreas Sachs BayLDA
Aufmerksamkeit.