DSGVO: Konkrete Hilfe bei der Umsetzung Was bei der Verarbeitung von personenbezogenen Daten in Web-Anwendungen zu beachten ist

Agenda Einführung DSGVO

Arne Arnold, freier Redakteur für COMPUTERWOCHE

Risikobewusstsein und -minimierung unter der DSGVO

Dr. Anna Schmits, EMEA Datenschutzbeauftragte, Akamai

Adaption und Prävention auf der technischen Ebene

Gerhard Giese, Manager Enterprise Security Architects EMEA, Akamai

©2017 AKAMAI

Datenschutz-Grundverordnung Risikobewusstsein und -minimierung unter der DSGVO Dr. Anna Schmits EMEA Datenschutzbeauftragte Akamai Technologies

26. Oktober 2017

DSGVO •

Die EU Datenschutz Grundverordnung, ist das neue EU Datenschutzgesetz.

•

Sie tritt am 25. Mai 2018 in Kraft.

•

Sie regelt die Verarbeitung personenbezogener Daten von EU Bürgern.

•

Sie gilt innerhalb und außerhalb der EU.

©2017 AKAMAI

DSGVO – Risikobewusstsein und -minimierung •

Ziele der DSGVO:

- Umfänglicher Schutz der EU Bürger. - Rechenschaftspflicht des datenverarbeitenden Unternehmens.

•

Rechte des Betroffenen:

- Recht auf Zugang zu den Daten. - Recht auf Richtigstellung. - Recht auf Löschung. - Recht auf Vergessen.

•

Die Rechenschaftspflicht zielt darauf ab, das datenverarbeitende Unternehmen verantwortlich zu machen und die Einhaltung der DSGVO nachzuweisen zu lassen.

©2017 AKAMAI

DSGVO – Risikobewusstsein und -minimierung Die Datenschutz-Folgenabschätzung: •

Abschätzung der Folgen der Verarbeitung, für die Rechte und Freiheiten natürlicher Personen

•

Was für Risiken bestehen unter Beachtung: ✓ der Art der personenbezogenen Daten, ✓ der jeweiligen Verarbeitungsvorgänge, ✓ der getroffenen Maßnahmen zum Schutz der Daten?

©2017 AKAMAI

DSGVO – Risikobewusstsein und -minimierung •

Geeignete Maßnahmen zum Schutz personenbezogener Daten.

• Hinweise, was angemessen ist: Verschlüsselung, Pseudonymisierung und Anonymisierung. • Weitere Beispiele sind in dem ISO 27001 Standard und in dem Anhang zu § 9 des BDSG zu finden. • Ziel ist es, das Risiko zu minimieren, dass mit der Datenverarbeitung verbunden ist. ©2017 AKAMAI

Adaption und Prävention auf der technischen Ebene Wie Akamai bei der Einhaltung der DSGVO unterstützt Gerhard Giese Manager Enterprise Security Architects EMEA Akamai Technologies

26. Oktober 2017

Security Know-how

Mehr als 18 Jahre Erfahrung 1998 │ Akamai founded

2011 │ Kona Site Defender

2004 │ Largest DDoS 80 Gbps

2014 │ Prolexic acquired 2014 │ KRS 2014 │ 321 Gbps DDoS

2007 │ Largest DDoS >50 Gbps 2013 │ CSI

©2017 AKAMAI

2003 │ Prolexic founded

2009 │ Korea DDoS attacks

2003││Site Prolexic founded 2003 Shield introduced

2009 │ First Cloud WAF

2015 │ Managed WAF 2015 │ Client Reputation

Gartner: Akamai im Leader Quadrant für WAF* * Web Application Firewall

Source: Magic Quadrant for Web Application Firewalls, Gartner (August 2017) Gartner unterstützt keine der Anbieter, Produkte oder Dienste, die in seinen Forschungspublikationen erwähnt werden, und rät Technologienutzern nicht, nur die Anbieter mit den höchsten Bewertungen oder sonstigen Attributen auszuwählen. Forschungspublikationen von Gartner geben die Ansichten der Gartner-Forschungsabteilung wieder und sollten nicht als Tatsachenbehauptungen verstanden werden. Gartner schließt jegliche ausdrückliche oder stillschweigende Gewährleistung in Bezug auf diese Forschung aus, einschließlich Gewährleistungen der Handelsüblichkeit oder Eignung für einen bestimmten Zweck.

OWASP Top 10 RC1 - 2017 •

A1 – Injection

•

A6 – Sensitive Data Exposure

•

A2 – Broken Authentication

•

A7 – Insufficient Attack Protection

•

A3 – Cross-Site Scripting

•

A8 – Cross-Site Request Forgery

•

A4 – Broken Access Control

•

A9 – Using Components with Vul.

•

A5 – Security Misconfiguration

•

A10 – Under protected APIs

©2017 AKAMAI

OWASP Top 10 RC2 – Okt. 2017 •

A1 – Injection

•

A6 – Security Misconfiguration

•

A2 – Broken Authentication

•

A7 – Cross-Site Scripting

•

A3 – Sensitive Data Exposure

•

A8 – Insecure Deserialization

•

A4 – XML External Entities

•

A9 – Using Components with Vul.

•

A5 – Broken Access Control

•

A10 – Insufficient Logging & Mon.

©2017 AKAMAI

Angriffe auf persönliche Daten

Poisoned

Web Page

Fake Setup

DNS Web Page

Application Database Server

©2017 AKAMAI

Angriff über DNS

Angriffe auf persönliche Daten

HACKED

Web Page

Injection Attacke über Web Applikation Injection Attacke über APIs Application Database Server

©2017 AKAMAI

API

Angriffe auf persönliche Daten

ACCOUNT HACKED

Web Page

Credential Abuse Attacke

Application Database Server

©2017 AKAMAI

API

Angriffe auf persönliche Daten

ACCOUNT HACKED

Web Page

Credential Abuse Attacke

Application Database Server

API

Akamai Cloud Security Solution Bot Manager Detect Anomaly Bot and Control request/response from Bot.

Client Reputation

Kona Site Defender

Using reputation information from Cloud Security Intelligence to protect from malicious source.

Integrated web security solution, protect customer Origin from DDoS / Web Attacks.

Cloud Security Intelligence Attack source on Bot Net

Edge Server 230K+ Web Server

user

Prolexic

Data Center

Fast DNS

Prolexic Protect from DDoS attacks Data Center level.

Fast DNS Highly distributed authoritative DNS service to protect from DDoS attacks.

Akamai Cloud Security Solution – DSGVO Bot Manager Detect Anomaly Bot and Control request/response from Bot.

Client Reputation

Kona Site Defender

Using reputation information from Cloud Security Intelligence to protect from malicious source.

Integrated security solution, Integrated webweb security solution, protect protect customer customer Origin from DDoS / Web Attacks. Origin from DDoS / Web Attacks.

Cloud Security Intelligence Attack source on Bot Net

Edge Server 230K+ Web Server

Data Center

user

Fast DNS

Fast DNS Highly distributed authoritative DNS service to protect from DDoS attacks.

Sicherheitsansatz und Full Service Managed DDoS Protection

DDoS Fee Protection

Web App Protection

Security ©2017 AKAMAI

API Protection

Adaptive Caching

Custom Rule Builder

Origin Protection

Security Monitor

Compliance Management

Site FailOver

SIEM Integration

Multi– Security Configuration

Performance

Management

Fast DNS

Client Reputation

Bot Manager

Options

Vielen Dank! Gerne beantworten wir Ihre Fragen.