E Stippl Bedeutung der DSGVO für IT Verantwortliche

Werbung
…………………………………………
Bedeutung der EU-DatenschutzGrundverordnung für IT-Verantwortliche
Der Einfluss auf die Funktionen und das Verhalten in der IT
Ernst Stippl, Sphinx IT Consulting
…………………………………………
Fakten
In Österreich gab es 2016 etliche hundert IT-Security Angriffe
Es dauert im Schnitt 229 Tage vom Angriff zur Erkennung desselben
www.sphinx.at
2
Aussage am E:DAY 17 zu Sicherheit und Datenschutz
www.sphinx.at
3
Die Top-Ten Hacking Methoden
1. Social engineering
2. Kompromittierte Benutzerkennungen
3. Web-basierende Attacken (SQL Injection, etc.)
4. Client-side Attacken gegen z.B. Document Reader oder Web Browser
5. Exploits gegen populäre Server-Updates, z. B. Heartbleed
6. Kompromittierte unmanaged Personal Devices (Handies, Tablets, Notebooks)
7. Physischer Einbruch
8. Kompromittierte Schatten-IT, besonders: persönliche Cloud-Accounts zur
geschäftlichen Nutzung
9. Kompromittierte externe Service-Provider, z. B. Outsourced Infrastruktur
10. Missbrauch von Daten, die in die Cloud ausgelagert werden
www.sphinx.at
4
Aussage aus der IDG CISO Studie (2017)
www.sphinx.at
5
Was wir am häufigsten finden
• Systeme und Internet (Whois, DNS, Google, Soziale Netze) bieten zu viel Informationen
für Angreifer
• Betriebssysteme, Middleware und Anwendungen sind nicht auf dem aktuellen Stand
• Betriebssysteme werden nach der Installation nicht „gehärtet“
– Zu viele aktive Dienste erhöhen die Verwundbarkeit
– Dienste laufen unnötigerweise unter privilegiertem Benutzerkontext
– Standardeinstellungen werden nach der Installation nicht geändert
– Standard-Kennwörter und -Benutzer werden nach der Installation nicht geändert
oder umbenannt
• Passwörter lauten gleich wie die Benutzer-ID (z.B. admin/admin) oder sind trivial und
leicht zu erraten
• Passwörter liegen in Scripts im Klartext vor
• Dieselben Passwörter werden auf mehren Systemen verwendet
• Zugriffsberechtigungen sind nicht stringent, bzw. sind sensible Daten nicht
verschlüsselt
• Netzwerke sind nicht ausreichend segmentiert, bzw. ist der Verkehr nicht eingeschränkt
• Überwachungssysteme schlagen nicht an – das Vorfalls-Management ist nicht
ausreichend
www.sphinx.at
6
Maßnahmen zur Datensicherheit und DS-GVO-Compliance
Um auch dann Zugriff auf Daten zu verhindern, wenn eine hohe
Authentifizierungserlaubnis für bestimmte User (z.B. Administratoren) vorliegt:
Datenverschlüsselung von zentralen Datenbeständen
Um Zugriff auf Daten zu verhindern, wenn Geräte unautorisiert betrieben (oder
gestohlen) werden:
Datenverschlüsselung auf mobilen Geräten (Mobiles, Tablets, Laptops)
Überwachung des Netzwerk-Traffic und des Userverhaltens sowie
Analyse/Korrelierung von ungewöhnlichen Vorkommnissen:
SIEM System
Abwehr von Zugriffen auf Datenbanken aus nicht bekannten oder veränderten
Applikationen:
Database Firewall
( https://www.netsparker.com/blog/web-security/sql-injection-cheat-sheet/ )
www.sphinx.at
7
Maßnahmen zur Datensicherheit und DS-GVO-Compliance
Datenmissbrauch hintanhalten:
Regelmäßige Überprüfung von Zugangsberechtigungen und deren
Änderung/Anpassung
Wenn eMail geschäftskritisch ist:
eMail Signaturen / Verschlüsselung
Wenn zentrale IT insgesamt geschäftskritisch ist:
Betriebssicherheit (phy. Zugangskontrolle bis Desaster Recovery Vorkehrung)
www.sphinx.at
8
Privacy by Design, Privacy by Default
Frühzeitige Integration von Datenschutzanforderungen in die Konzeption von
Entwicklungs- und Change-Prozessen
„von Haus aus“ datenschutzfreundlich
Die drei wesentlichsten Grundsätze sind:
• Transparenz der Datenverarbeitung und Kontrollmöglichkeit durch den
Betroffenen;
• Einsatz von Verfahren, die technischen Sicherheitsstandards genügen;
• Datenschutzkonforme Voreinstellungen (Privacy by Default); hierzu gehört
insbesondere die Umsetzung der Grundsätze von Datenvermeidung und
Datensparsamkeit.
Datenschutzfreundliche Vorkonfiguration von Produkten
www.sphinx.at
9
Datenklassifizierung
• Öffentlich – intern – vertraulich – geheim
• Personenbezogen – nicht personenbezogen
• Schutzbedürftig – nicht schutzbedürftig
• Speicherort (logisch) Datenbank – Filesystem (Applikation?)
• Speicherort (physikalisch) Zentrales Storage (SAN), lokales Storage (im
Server), am Tablett, im Mobiltelefon, in der Cloud, auf Archivbändern, …
• Nach Compliance-Vorgaben (z.B. PCI-DSS)
www.sphinx.at
10
Datenklassifizierung
Stufe
Personenbezogene Daten,
zum Beispiel
A
die frei zugänglich sind. Der Einsichtnehmende
muss dabei kein berechtigtes Interesse geltend
machen.
deren unsachgemäße Handhabung zwar keine
besondere Beeinträchtigung
erwarten lässt, deren Kenntnisnahme jedoch an ein
berechtigtes Interesse der Einsichtnehmenden
gebunden ist.
deren unsachgemäße Handhabung den Betroffenen
in seiner gesellschaftlichen Stellung oder in seinen
wirtschaftlichen Verhältnissen beeinträchtigen
könnte („Ansehen”).
Telefonbücher,
Adressbücher,
Wahlvorschlagsverzeichnisse
beschränkt zugängliche öffentliche
Dateien,
Verteiler für Unterlagen
D
deren unsachgemäße Handhabung den Betroffenen
in seiner gesellschaftlichen Stellung oder in seinen
wirtschaftlichen Verhältnissen erheblich
beeinträchtigen könnte („Existenz”).
E
deren unsachgemäße Handhabung Gesundheit,
Leben oder Freiheit des Betroffenen
beeinträchtigen könnte.
Anstaltsunterbringung,
Straffälligkeit,
dienstliche Beurteilungen,
Gesundheitsdaten,
Schulden, Pfändungen
Daten über Personen, die mögliche Opfer
einer strafbaren Handlung sein können
B
C
www.sphinx.at
Einkommen,
Sozialleistungen,
Grundsteuer,
Ordnungswidrigkeiten
11
Anonymisieren und Pseudonymisieren
Durch anonymisierte Daten kann eine Person nicht eindeutig identifiziert werden.
Anonymisieren bedeutet, dass auch bei Kenntnis des verwendeten Algorithmus,
hoher Rechenleistung und (sehr) viel Zeit es nicht möglich ist, die anonymisierten
Daten wieder in ihren Originalzustand zurück zu versetzen. Komplettes
anonymisieren ist sehr schwierig zu erreichen
Pseudonymisieren bedeutet, dass pseudonymisierte Daten bei Kenntnis des
verwendeten Pseudonymisierungsalgorithmus wieder in ihren Originalzustand
versetzt werden können.
www.sphinx.at
12
Risikoanalyse
- Identifizieren der Risiken
•
•
•
•
Diebstahl von Daten durch Fremde
Diebstahl durch Daten durch die eigenen Mitarbeiter
Datenverluste durch fahrlässiges Handeln im Unternehmen
Datenverluste durch technische Fehler
...
- Bewertung von Eintrittswahrscheinlichkeiten
- Maßnahmen zur Verringerung oder Vermeidung des Risikos:
• Sofern noch nicht geschehen, werden Laptops und andere mobile Geräte
verschlüsselt
• Jeder Zugriff auf Daten im unternehmenseigenen Netzwerk wird protokolliert
• Ein fundiertes Berechtigungskonzept sorgt dafür, dass nur diejenigen Zugriff auf
Daten erhalten, die ihn benötigen
• ...
www.sphinx.at
13
Quality Mgmt - Information Systems Mgmt - DS-GVO
QMS - Qualitätsmanagementsysteme
Ein Qualitätsmanagementsystem ist eine Methode der Unternehmensführung.
Qualitätsmanagementsysteme stellen sicher, dass die Systemqualität, Prozessqualität und
die Produktqualität in einer Organisation geprüft und verbessert wird. Ziel eines
Qualitätsmanagementsystems ist eine dauerhafte Verbesserung der
Unternehmensleistung.
ISMS - Information Security Management System
Das Information Security Management System („Managementsystem für
Informationssicherheit“) ist eine Aufstellung von Verfahren und Regeln innerhalb eines
Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren,
zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.
Ein bestehendes, aktuelles QMS (und ISMS) erleichtert die Implementierung der DS-GVO
wesentlich: (Mgmt buy-in, Dokumentation, Prozesse, kontinuierliche Verbesserungen,
Audits, …)
www.sphinx.at
14
Einführung und Umsetzung der DS-GVO
• Datenschutztraining
• Einbindung des Betriebsrats
• Überprüfung der Betriebsvereinbarungen
• Einführung einer Datenschutzberatung
• Prozessplanung für DS-GVO-relevante Abläufe
• Einrichtung eines Beschwerdemanagements
• Vertragsmanagement
• Einwilligungsmanagement
• Dokumentation der relevanten Prozesse
www.sphinx.at
15
Von jetzt zum Mai 2018
Auf dem Weg zur Erfüllung der DS-GVO gibt es:
• Organisatorische Maßnahmen
• Technische Maßnahmen wie Änderungen an IT Systemen oder Implementierung
neuer Tools
Die technischen Maßnahmen benötigen zu allererst eine Ist-Aufnahmen von:
• IT Objekten (HW-Systemen (Infrastruktur), Datenbeständen, Programmsystemen)
• IT Prozessen
• IT Dokumentation
speziell in Hinblick auf die in der DS-GVO „schützenswerten Daten“.
www.sphinx.at
16
Projektablauf Phase 1: Projekt-Initialisierung
Projekt-Initialisierung: Vorstellen
der einzelnen Phasen der DL vor GF,
IT-Mgmt, Datenschutzbeauftragten
Ergebnis: Alle Beteiligten haben
eine klare und übereinstimmende
Vorstellung vom Umfang und Inhalt
der Dienstleistung. Die
Geschäftsführung/der Vorstand
erklärt seine Unterstützung des
Projekts und des Datenschutzes
innerhalb der Organisation.
• Grundlegende Einigung über die Inhalte
des Projekts
• Beschluss der Vorgangsweise
• Nennung der beteiligten und involvierten
Personen (intern und extern)
• Erarbeitung eines groben Zeitrahmens
• Kick-off Meeting aller Beteiligten mit
persönlichen Kennenlernen
• GF/Vorstand „go ahead“ Entscheidung
• …
www.sphinx.at
17
Projektablauf Phase 2: Erhebung d. Ist-Situation
Erheben der Ist-Situation: Es werden
die relevanten Abläufe, Personen,
Datenbestände, Systeme erhoben.
Ergebnis: Es liegt eine Beschreibung
der Ist-Situation in schriftlicher Form,
in mehreren Dokumenten vor.
• Auffinden von Datenbeständen: Automatisiertes Finden
von Datenbanken unterschiedlicher Typen, deren Schemas
und durchsuchen dieser nach Namen, welche auf
schützenswerte Daten hindeuten (also z.B. Columns wie
Familienname, Geburtsdatum, Religionsbekenntnis, etc.)
• Auffinden von Programmmodulen, welche auf diese
Datenbestände (i.e. Columns) zugreifen
• Auffinden von mehrfach gespeicherten Informationen
• Analyse der Datensicherungen (Menge, Typ, RetentionZeiträume, etc.)
• Sichtung der Dokumentation von bestehenden QualityManagement-Systemen
• Information über Datenaustausch mit anderen
Firmen/Organisationen
•…
www.sphinx.at
18
Projektablauf Phase 3: Definition der Soll-Situation
Definition der Soll-Situation: Auf Basis
der Anforderungen aus der DS-GVO
werden die Ziele der TransformationsPhase festgelegt, den relevanten
Personen kommuniziert und deren OK
eingeholt.
Ergebnis: Es liegt ein verabschiedeter
Projektphasen-Plan für die
Transformations-Phase vor.
• Definition von notwendigen Änderungen an
Datenbeständen
• Definition von Prozessen oder Prozessänderungen,
welche die Implementierung von Abläufen zur Wahrung
der zukünftigen Consumer-Rechte zeigen.
• Beispielhafte Erstellung der Dokumentation von
Programmsystemen
• Risikomanagement
• Definition des Prozesses für Auskünfte über
personenbezogene Daten
• Definition des Prozesses zum „Vergessen“ (Löschen) von
personenbezogene Daten
• Überlegungen und Entscheidungen zu mobilen
Endgeräten (Laptops, Tabletts, Handys)
• …
www.sphinx.at
19
Projektablauf Phase 4: Transformationsphase
Während der Transformationsphase
werden die organisatorischen und
technischen Änderungen durchgeführt
und neu hinzukommende Dokumente
erstellt.
Ergebnis: Der Umgang mit
personenbezogenen Daten, welche
unter die DS-GVO fallen, wurde in die
Form übergeführt, die in der SollSituation festgelegt wurde.
• Einführung der neuen bzw. geänderten
Prozesse mit Schulung
• SW-technische Anpassungen
• Erstellung der notwendigen
Dokumentation
• …
www.sphinx.at
20
Projektablauf Phase 5: Pilot-Phase
Die Pilot-Phase dient zum ersten
Sammeln von Erfahrungen im Umgang
mit den neuen Abläufen und zum
eventuellen Nachbessern von
festgestellten Abweichungen von der
Soll-Situation.
Ergebnis: Die dokumentierten Abläufe
sind getestet und überprüft und, wo
notwendig, nachgebessert worden. Die
Dokumentation wurde daran angepasst
• Überprüfung der neuen bzw. geänderten
Prozesse anhand von Test-Requests
• Überprüfung der SW-technischen
Anpassungen
• Überprüfung der Dokumentation gegen
aktuelle Abläufe und SW-Funktionen
• …
www.sphinx.at
21
Dokumentation (Auszug)
•
•
•
•
•
•
•
Namen und Kontaktdaten des bzw. der Verantwortlichen, des Vertreters des
Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
Zweck der Datenverarbeitung (aus Beweisgründen ev. auch die Angabe der
Rechtsgrundlage (z.B. Einwilligungserklärung) für den Datenverarbeitungszweck
Beschreibung der Kategorien betroffener Personen und der Kategorien
personenbezogener Daten (z.B. Kunden und Lieferanten; Rechnungsdaten,
Adressdaten)
Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten
offengelegt worden sind oder noch offengelegt werden (z.B. Sozialversicherung,
Finanzamt, Rechtsanwalt, Steuerberater)
gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland
(z.B. USA)
die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
(nach Möglichkeit)
allgemeine Beschreibung der technischen und organisatorischen
Datensicherheitsmaßnahmen
www.sphinx.at
22
?
DI Ernst Stippl
E [email protected]
M 0664 / 824 74 93
T +43 1 599 31-0
……………………….
sphinx
Aspernbrückengasse 2
1020 Wien
……………………….
www.sphinx.at
www.blueboxx.at
www.sphinx.at
23
Herunterladen