………………………………………… Bedeutung der EU-DatenschutzGrundverordnung für IT-Verantwortliche Der Einfluss auf die Funktionen und das Verhalten in der IT Ernst Stippl, Sphinx IT Consulting ………………………………………… Fakten In Österreich gab es 2016 etliche hundert IT-Security Angriffe Es dauert im Schnitt 229 Tage vom Angriff zur Erkennung desselben www.sphinx.at 2 Aussage am E:DAY 17 zu Sicherheit und Datenschutz www.sphinx.at 3 Die Top-Ten Hacking Methoden 1. Social engineering 2. Kompromittierte Benutzerkennungen 3. Web-basierende Attacken (SQL Injection, etc.) 4. Client-side Attacken gegen z.B. Document Reader oder Web Browser 5. Exploits gegen populäre Server-Updates, z. B. Heartbleed 6. Kompromittierte unmanaged Personal Devices (Handies, Tablets, Notebooks) 7. Physischer Einbruch 8. Kompromittierte Schatten-IT, besonders: persönliche Cloud-Accounts zur geschäftlichen Nutzung 9. Kompromittierte externe Service-Provider, z. B. Outsourced Infrastruktur 10. Missbrauch von Daten, die in die Cloud ausgelagert werden www.sphinx.at 4 Aussage aus der IDG CISO Studie (2017) www.sphinx.at 5 Was wir am häufigsten finden • Systeme und Internet (Whois, DNS, Google, Soziale Netze) bieten zu viel Informationen für Angreifer • Betriebssysteme, Middleware und Anwendungen sind nicht auf dem aktuellen Stand • Betriebssysteme werden nach der Installation nicht „gehärtet“ – Zu viele aktive Dienste erhöhen die Verwundbarkeit – Dienste laufen unnötigerweise unter privilegiertem Benutzerkontext – Standardeinstellungen werden nach der Installation nicht geändert – Standard-Kennwörter und -Benutzer werden nach der Installation nicht geändert oder umbenannt • Passwörter lauten gleich wie die Benutzer-ID (z.B. admin/admin) oder sind trivial und leicht zu erraten • Passwörter liegen in Scripts im Klartext vor • Dieselben Passwörter werden auf mehren Systemen verwendet • Zugriffsberechtigungen sind nicht stringent, bzw. sind sensible Daten nicht verschlüsselt • Netzwerke sind nicht ausreichend segmentiert, bzw. ist der Verkehr nicht eingeschränkt • Überwachungssysteme schlagen nicht an – das Vorfalls-Management ist nicht ausreichend www.sphinx.at 6 Maßnahmen zur Datensicherheit und DS-GVO-Compliance Um auch dann Zugriff auf Daten zu verhindern, wenn eine hohe Authentifizierungserlaubnis für bestimmte User (z.B. Administratoren) vorliegt: Datenverschlüsselung von zentralen Datenbeständen Um Zugriff auf Daten zu verhindern, wenn Geräte unautorisiert betrieben (oder gestohlen) werden: Datenverschlüsselung auf mobilen Geräten (Mobiles, Tablets, Laptops) Überwachung des Netzwerk-Traffic und des Userverhaltens sowie Analyse/Korrelierung von ungewöhnlichen Vorkommnissen: SIEM System Abwehr von Zugriffen auf Datenbanken aus nicht bekannten oder veränderten Applikationen: Database Firewall ( https://www.netsparker.com/blog/web-security/sql-injection-cheat-sheet/ ) www.sphinx.at 7 Maßnahmen zur Datensicherheit und DS-GVO-Compliance Datenmissbrauch hintanhalten: Regelmäßige Überprüfung von Zugangsberechtigungen und deren Änderung/Anpassung Wenn eMail geschäftskritisch ist: eMail Signaturen / Verschlüsselung Wenn zentrale IT insgesamt geschäftskritisch ist: Betriebssicherheit (phy. Zugangskontrolle bis Desaster Recovery Vorkehrung) www.sphinx.at 8 Privacy by Design, Privacy by Default Frühzeitige Integration von Datenschutzanforderungen in die Konzeption von Entwicklungs- und Change-Prozessen „von Haus aus“ datenschutzfreundlich Die drei wesentlichsten Grundsätze sind: • Transparenz der Datenverarbeitung und Kontrollmöglichkeit durch den Betroffenen; • Einsatz von Verfahren, die technischen Sicherheitsstandards genügen; • Datenschutzkonforme Voreinstellungen (Privacy by Default); hierzu gehört insbesondere die Umsetzung der Grundsätze von Datenvermeidung und Datensparsamkeit. Datenschutzfreundliche Vorkonfiguration von Produkten www.sphinx.at 9 Datenklassifizierung • Öffentlich – intern – vertraulich – geheim • Personenbezogen – nicht personenbezogen • Schutzbedürftig – nicht schutzbedürftig • Speicherort (logisch) Datenbank – Filesystem (Applikation?) • Speicherort (physikalisch) Zentrales Storage (SAN), lokales Storage (im Server), am Tablett, im Mobiltelefon, in der Cloud, auf Archivbändern, … • Nach Compliance-Vorgaben (z.B. PCI-DSS) www.sphinx.at 10 Datenklassifizierung Stufe Personenbezogene Daten, zum Beispiel A die frei zugänglich sind. Der Einsichtnehmende muss dabei kein berechtigtes Interesse geltend machen. deren unsachgemäße Handhabung zwar keine besondere Beeinträchtigung erwarten lässt, deren Kenntnisnahme jedoch an ein berechtigtes Interesse der Einsichtnehmenden gebunden ist. deren unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen könnte („Ansehen”). Telefonbücher, Adressbücher, Wahlvorschlagsverzeichnisse beschränkt zugängliche öffentliche Dateien, Verteiler für Unterlagen D deren unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen könnte („Existenz”). E deren unsachgemäße Handhabung Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen könnte. Anstaltsunterbringung, Straffälligkeit, dienstliche Beurteilungen, Gesundheitsdaten, Schulden, Pfändungen Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können B C www.sphinx.at Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten 11 Anonymisieren und Pseudonymisieren Durch anonymisierte Daten kann eine Person nicht eindeutig identifiziert werden. Anonymisieren bedeutet, dass auch bei Kenntnis des verwendeten Algorithmus, hoher Rechenleistung und (sehr) viel Zeit es nicht möglich ist, die anonymisierten Daten wieder in ihren Originalzustand zurück zu versetzen. Komplettes anonymisieren ist sehr schwierig zu erreichen Pseudonymisieren bedeutet, dass pseudonymisierte Daten bei Kenntnis des verwendeten Pseudonymisierungsalgorithmus wieder in ihren Originalzustand versetzt werden können. www.sphinx.at 12 Risikoanalyse - Identifizieren der Risiken • • • • Diebstahl von Daten durch Fremde Diebstahl durch Daten durch die eigenen Mitarbeiter Datenverluste durch fahrlässiges Handeln im Unternehmen Datenverluste durch technische Fehler ... - Bewertung von Eintrittswahrscheinlichkeiten - Maßnahmen zur Verringerung oder Vermeidung des Risikos: • Sofern noch nicht geschehen, werden Laptops und andere mobile Geräte verschlüsselt • Jeder Zugriff auf Daten im unternehmenseigenen Netzwerk wird protokolliert • Ein fundiertes Berechtigungskonzept sorgt dafür, dass nur diejenigen Zugriff auf Daten erhalten, die ihn benötigen • ... www.sphinx.at 13 Quality Mgmt - Information Systems Mgmt - DS-GVO QMS - Qualitätsmanagementsysteme Ein Qualitätsmanagementsystem ist eine Methode der Unternehmensführung. Qualitätsmanagementsysteme stellen sicher, dass die Systemqualität, Prozessqualität und die Produktqualität in einer Organisation geprüft und verbessert wird. Ziel eines Qualitätsmanagementsystems ist eine dauerhafte Verbesserung der Unternehmensleistung. ISMS - Information Security Management System Das Information Security Management System („Managementsystem für Informationssicherheit“) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Ein bestehendes, aktuelles QMS (und ISMS) erleichtert die Implementierung der DS-GVO wesentlich: (Mgmt buy-in, Dokumentation, Prozesse, kontinuierliche Verbesserungen, Audits, …) www.sphinx.at 14 Einführung und Umsetzung der DS-GVO • Datenschutztraining • Einbindung des Betriebsrats • Überprüfung der Betriebsvereinbarungen • Einführung einer Datenschutzberatung • Prozessplanung für DS-GVO-relevante Abläufe • Einrichtung eines Beschwerdemanagements • Vertragsmanagement • Einwilligungsmanagement • Dokumentation der relevanten Prozesse www.sphinx.at 15 Von jetzt zum Mai 2018 Auf dem Weg zur Erfüllung der DS-GVO gibt es: • Organisatorische Maßnahmen • Technische Maßnahmen wie Änderungen an IT Systemen oder Implementierung neuer Tools Die technischen Maßnahmen benötigen zu allererst eine Ist-Aufnahmen von: • IT Objekten (HW-Systemen (Infrastruktur), Datenbeständen, Programmsystemen) • IT Prozessen • IT Dokumentation speziell in Hinblick auf die in der DS-GVO „schützenswerten Daten“. www.sphinx.at 16 Projektablauf Phase 1: Projekt-Initialisierung Projekt-Initialisierung: Vorstellen der einzelnen Phasen der DL vor GF, IT-Mgmt, Datenschutzbeauftragten Ergebnis: Alle Beteiligten haben eine klare und übereinstimmende Vorstellung vom Umfang und Inhalt der Dienstleistung. Die Geschäftsführung/der Vorstand erklärt seine Unterstützung des Projekts und des Datenschutzes innerhalb der Organisation. • Grundlegende Einigung über die Inhalte des Projekts • Beschluss der Vorgangsweise • Nennung der beteiligten und involvierten Personen (intern und extern) • Erarbeitung eines groben Zeitrahmens • Kick-off Meeting aller Beteiligten mit persönlichen Kennenlernen • GF/Vorstand „go ahead“ Entscheidung • … www.sphinx.at 17 Projektablauf Phase 2: Erhebung d. Ist-Situation Erheben der Ist-Situation: Es werden die relevanten Abläufe, Personen, Datenbestände, Systeme erhoben. Ergebnis: Es liegt eine Beschreibung der Ist-Situation in schriftlicher Form, in mehreren Dokumenten vor. • Auffinden von Datenbeständen: Automatisiertes Finden von Datenbanken unterschiedlicher Typen, deren Schemas und durchsuchen dieser nach Namen, welche auf schützenswerte Daten hindeuten (also z.B. Columns wie Familienname, Geburtsdatum, Religionsbekenntnis, etc.) • Auffinden von Programmmodulen, welche auf diese Datenbestände (i.e. Columns) zugreifen • Auffinden von mehrfach gespeicherten Informationen • Analyse der Datensicherungen (Menge, Typ, RetentionZeiträume, etc.) • Sichtung der Dokumentation von bestehenden QualityManagement-Systemen • Information über Datenaustausch mit anderen Firmen/Organisationen •… www.sphinx.at 18 Projektablauf Phase 3: Definition der Soll-Situation Definition der Soll-Situation: Auf Basis der Anforderungen aus der DS-GVO werden die Ziele der TransformationsPhase festgelegt, den relevanten Personen kommuniziert und deren OK eingeholt. Ergebnis: Es liegt ein verabschiedeter Projektphasen-Plan für die Transformations-Phase vor. • Definition von notwendigen Änderungen an Datenbeständen • Definition von Prozessen oder Prozessänderungen, welche die Implementierung von Abläufen zur Wahrung der zukünftigen Consumer-Rechte zeigen. • Beispielhafte Erstellung der Dokumentation von Programmsystemen • Risikomanagement • Definition des Prozesses für Auskünfte über personenbezogene Daten • Definition des Prozesses zum „Vergessen“ (Löschen) von personenbezogene Daten • Überlegungen und Entscheidungen zu mobilen Endgeräten (Laptops, Tabletts, Handys) • … www.sphinx.at 19 Projektablauf Phase 4: Transformationsphase Während der Transformationsphase werden die organisatorischen und technischen Änderungen durchgeführt und neu hinzukommende Dokumente erstellt. Ergebnis: Der Umgang mit personenbezogenen Daten, welche unter die DS-GVO fallen, wurde in die Form übergeführt, die in der SollSituation festgelegt wurde. • Einführung der neuen bzw. geänderten Prozesse mit Schulung • SW-technische Anpassungen • Erstellung der notwendigen Dokumentation • … www.sphinx.at 20 Projektablauf Phase 5: Pilot-Phase Die Pilot-Phase dient zum ersten Sammeln von Erfahrungen im Umgang mit den neuen Abläufen und zum eventuellen Nachbessern von festgestellten Abweichungen von der Soll-Situation. Ergebnis: Die dokumentierten Abläufe sind getestet und überprüft und, wo notwendig, nachgebessert worden. Die Dokumentation wurde daran angepasst • Überprüfung der neuen bzw. geänderten Prozesse anhand von Test-Requests • Überprüfung der SW-technischen Anpassungen • Überprüfung der Dokumentation gegen aktuelle Abläufe und SW-Funktionen • … www.sphinx.at 21 Dokumentation (Auszug) • • • • • • • Namen und Kontaktdaten des bzw. der Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten Zweck der Datenverarbeitung (aus Beweisgründen ev. auch die Angabe der Rechtsgrundlage (z.B. Einwilligungserklärung) für den Datenverarbeitungszweck Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (z.B. Kunden und Lieferanten; Rechnungsdaten, Adressdaten) Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (z.B. Sozialversicherung, Finanzamt, Rechtsanwalt, Steuerberater) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland (z.B. USA) die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (nach Möglichkeit) allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen www.sphinx.at 22 ? DI Ernst Stippl E [email protected] M 0664 / 824 74 93 T +43 1 599 31-0 ………………………. sphinx Aspernbrückengasse 2 1020 Wien ………………………. www.sphinx.at www.blueboxx.at www.sphinx.at 23