Datenschutz 6

Questions and Answers

Welche der folgenden Aspekte müssen bei der Gewährleistung eines angemessenen Schutzniveaus gemäß DSGVO berücksichtigt werden?

• Ausschliesslich die Art und Zwecke der Datenverarbeitung, ohne Berücksichtigung der Risiken für die Betroffenen.
• Der Stand der Technik, die Implementierungskosten sowie die Art, Umstände und Zwecke der Datenverarbeitung und die Risiken für die Rechte und Freiheiten der Betroffenen. (correct)
• Nur die Eintrittswahrscheinlichkeiten von Risiken, unabhängig von deren Schweregrad.
• Ausschliesslich die Implementierungskosten und der Stand der Technik.

Warum ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) eine Herausforderung?

• Weil die zunehmende Vernetzung die Informationen an feste Orte bindet.
• Weil es gilt, aus einer Vielzahl möglicher Bedrohungen und Gegenmaßnahmen methodisch diejenigen zu identifizieren, die für ein spezifisches Szenario relevant sind. (correct)
• Weil die Informationstechnologie sich langsam entwickelt und es nur wenige neue Anwendungsgebiete gibt.
• Weil es nur eine geringe Anzahl an möglichen Bedrohungen und Gegenmaßnahmen gibt.

Welchen Einfluss hat die zunehmende Vernetzung auf die Informationssicherheit?

• Sie reduziert das Risikopotenzial, da Informationen besser geschützt sind.
• Sie vereinfacht die Identifizierung von relevanten Bedrohungen und Gegenmaßnahmen.
• Sie führt dazu, dass Informationen ortsunabhängig werden und das Risikopotenzial steigt. (correct)
• Sie macht den physischen Standort der Nutzer relevanter für die Sicherheit.

Warum stellen Spam-E-Mails und Phishing-Angriffe weiterhin ein Problem dar?

Weil typische Verhaltensmuster von Nutzern nach wie vor ausgenutzt werden können. (C)

Was bedeutet der Verlust der Verfügbarkeit von Daten im Kontext der Informationssicherheit?

Dass grundlegende Informationen nicht mehr vorhanden sind. (A)

Welche der folgenden Aufgaben gehört nicht zur Governance-Sicht im GRC-Modell?

Etablierung eines Risikomanagements. (A)

Warum ist die Etablierung eines Risikomanagements wichtig?

Um die Auswirkungen von Risiken auf das Unternehmen tragbar zu machen. (D)

Welche der folgenden Aspekte fallen unter die Compliance-Sicht im GRC-Modell?

Die Einhaltung von Gesetzen, Normen und internen Richtlinien. (B)

Was ist das Hauptziel des IT-Notfallmanagements im Kontext der DSGVO?

Die Sicherstellung der Verfügbarkeit und Belastbarkeit der Systeme bei der Verarbeitung personenbezogener Daten. (B)

Welche Priorität sollte man bei externen Schadensereignissen legen?

Die rasche Wiederherstellung der betrieblichen Leistungsfähigkeit und die Reduktion der Geschäftsunterbrechung. (C)

Weshalb ist es wichtig, auch externe Risiken wie Umweltkatastrophen im IT-Notfallmanagement zu berücksichtigen?

Weil diese Risiken erheblichen Einfluss auf die IT-Systeme und Daten haben können. (D)

Wie hängen Governance, Risiko und Compliance (GRC) im Kontext der Informationssicherheit zusammen?

Governance gibt die Richtung vor, Risikomanagement minimiert Bedrohungen, Compliance stellt die Einhaltung von Regeln sicher. (B)

Ein Unternehmen stellt fest, dass regelmäßig gegen interne Richtlinien verstoßen wird. Welche Maßnahme sollte im Rahmen der Compliance-Sicht ergriffen werden?

Den Umgang mit Verstößen gegen Richtlinien und Vorgaben verbessern. (C)

Welche der folgenden Handlungen minimiert nicht das Risiko eines erfolgreichen Social-Engineering-Angriffs?

Anbieten von kostenlosen Downloads bei Online-Diensten zur Steigerung der Attraktivität. (B)

Wie wirkt sich die Finanzkraft eines Unternehmens typischerweise auf Ransomware-Angriffe aus?

Sie beeinflusst die Höhe des geforderten Lösegelds. (A)

Was ist das Hauptmerkmal von Ransomware?

Sie verschlüsselt Daten oder blockiert den Computerzugriff und fordert ein Lösegeld. (C)

Welche Aussage über die Entschlüsselung von Daten nach einer Ransomware-Attacke ist am zutreffendsten?

Die Entschlüsselung ist unsicher, auch wenn das Lösegeld bezahlt wurde. (A)

Was versteht man unter dem Begriff 'Dumpster Diving' im Kontext der Datensicherheit?

Das Durchsuchen von Müll nach verwertbaren Informationen. (C)

Welche der folgenden Branchen oder Organisationen sind keine typischen Ziele von Ransomware-Attacken?

Privatpersonen ohne jeglichen Online-Bezug. (C)

Wie können Unternehmen am besten auf die Bedrohung durch Ransomware reagieren, bevor ein Angriff stattfindet?

Regelmäßige Backups wichtiger Daten erstellen und diese offline speichern. (C)

Ein Mitarbeiter erhält eine E-Mail, die scheinbar von einem bekannten Lieferanten stammt und ihn auffordert, seine Kontodaten über einen Link zu aktualisieren. Was sollte der Mitarbeiter tun?

Den Lieferanten über einen bekannten Kommunikationskanal kontaktieren, um die Echtheit der E-Mail zu bestätigen. (C)

Wie unterscheidet sich ein Computerwurm hauptsächlich von einem Computervirus?

Ein Wurm benötigt keine menschliche Interaktion, um sich zu verbreiten. (D)

Welche der folgenden Aussagen beschreibt am besten, wie sich ein typischer Computervirus verbreitet?

Er verbreitet sich, wenn Nutzer infizierte Dateien oder E-Mail-Anhänge teilen und öffnen. (B)

Was ist die wahrscheinlichste Folge, wenn sich ein Wurm in einem Netzwerk stark repliziert?

Überlastung des Netzwerks und möglicher Ausfall von Systemen. (D)

Warum ist es wichtig, ausführbare Dateien von unbekannten Quellen nicht auszuführen?

Weil sich darin ein Virus verbergen und den Computer infizieren kann. (D)

Welche Aussage beschreibt am besten die Natur eines Computer Virus?

Ein Programm, das sich an andere Dateien anhängt, um sich zu verbreiten. (C)

Ein Benutzer erhält eine E-Mail mit einem Anhang, der angeblich ein wichtiges Dokument ist. Was sollte der Benutzer tun, um das Risiko einer Virusinfektion zu minimieren?

Die E-Mail löschen, ohne den Anhang zu öffnen, und den Absender kontaktieren, um die Echtheit zu bestätigen. (A)

Warum können sich Würmer schneller verbreiten als Viren?

Würmer können sich ohne menschliches Zutun über Netzwerke replizieren. (B)

Welche der folgenden Handlungen ist am wenigsten geeignet, um sich vor Computerviren und Würmern zu schützen?

Das Öffnen von E-Mail-Anhängen von unbekannten Absendern ohne vorherige Prüfung. (C)

Welche der folgenden Maßnahmen ist kein primäres Ziel bei der Datenerhebung und -sammlung im Sinne des Datenschutzes?

Die unbeschränkte Speicherung der Daten für zukünftige Forschungszwecke. (A)

Welche der folgenden Techniken wird eingesetzt, um die Privatsphäre bei der Datenanalyse und dem Datenmanagement zu schützen?

Anwendung von Suchmechanismen in verschlüsselten Datenmengen ('searchable encryption'). (D)

Welche Maßnahme ist nicht typisch für die Datenaufbewahrungsphase im Hinblick auf den Datenschutz?

Öffentliche Zugänglichmachung aller gespeicherten Daten, um Transparenz zu gewährleisten. (C)

Welches Ziel wird nicht durch den Einsatz von Anonymisierungstechniken bei der Datenverwendung verfolgt?

Ermöglichung der Identifizierung einzelner Personen innerhalb des Datensatzes. (B)

Welche der folgenden Aussagen beschreibt am besten das Prinzip der 'automatisierten Festlegung und Durchsetzung von Datensicherheitsregeln'?

Der Einsatz von Software, die automatisch Datensicherheitsrichtlinien erstellt und durchsetzt. (B)

Wie beeinflusst die Menge der erhobenen personenbezogenen Daten die Anforderungen an den Datenschutz?

Je mehr Daten erhoben werden, desto höher sind die Anforderungen an den Datenschutz, da das Risiko von Datenschutzverletzungen steigt. (A)

Welche Rolle spielt die 'Transparenz' im Kontext des Erwerbs und der Sammlung von Daten?

Transparenz bezieht sich auf die Bereitstellung hinreichender Informationen für Betroffene über die Datenverarbeitung. (A)

Warum ist die 'getrennte Speicherung und Verarbeitung von Daten' (dezentralisiert) eine wichtige Maßnahme im Datenschutz?

Um die Daten besser vor unbefugtem Zugriff zu schützen, indem nicht alle Daten zentral gespeichert sind. (B)

Welche der folgenden Aussagen beschreibt am besten das Konzept von 'Privacy by Design'?

Die Berücksichtigung datenschutzrechtlicher Anforderungen von Anfang an bei der Gestaltung von Verarbeitungstätigkeiten. (D)

Was ist das Hauptziel von 'Privacy by Default' im Kontext des Datenschutzes?

Die Bereitstellung datenschutzfreundlicher Grundeinstellungen durch den Verantwortlichen. (B)

Warum ist eine interdisziplinäre Zusammenarbeit im Bereich Datenschutz und Datensicherheit durch Technikdefinition erforderlich?

Weil unterschiedliche Anforderungen in Einklang gebracht werden müssen. (C)

Welchen Zweck erfüllt die Datenschutz-Folgenabschätzung (DSFA) hauptsächlich?

Die frühzeitige Identifikation von Risiken für die Grundrechte von Personen durch neue Technologien. (B)

Inwiefern kann ein genehmigtes Zertifizierungsverfahren im Datenschutz eine Rolle spielen?

Es kann als Nachweis für die Erfüllung bestimmter Datenschutzmaßnahmen dienen. (D)

Welches Problem kann bei der Durchführung einer Risikoabschätzung im Rahmen des Datenschutzes entstehen?

Die Objektivität der Bewertung, da sie oft vom möglichen Verursacher des Risikos selbst durchgeführt wird. (A)

Was bedeutet es, wenn personenbezogene Daten einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden ohne entsprechende Einwilligung?

Es liegt automatisch ein Verstoß gegen die DSGVO vor. (D)

Was versteht man unter 'Responsible Research und Innovation' im Kontext der Datenschutz-Folgenabschätzung (DSFA)?

Die Fokussierung auf rechtliche Technikfolgen im Sinne einer verantwortungsvollen Forschung und Innovation. (D)

Flashcards

DSGVO Informationssicherheit

Die DSGVO fordert ein Bündel von Maßnahmen zur Gewährleistung der Informationssicherheit, einschließlich eines angemessenen Schutzniveaus unter Berücksichtigung des Stands der Technik, der Kosten, der Art der Datenverarbeitung und der Risiken für Betroffene.

Informationssicherheits-Managementsystem (ISMS)

Ein ISMS hilft, Bedrohungen zu identifizieren und geeignete Gegenmaßnahmen zu entwickeln, um die Informationssicherheit in einem Unternehmen zu gewährleisten.

Steigendes Risikopotenzial

Die rasante Entwicklung der Informationstechnologie, zunehmende Vernetzung und Ortsunabhängigkeit von Informationen erhöhen das Risikopotenzial für die Informationssicherheit.

Spam-E-Mails als Risiko

Auch scheinbar harmlose Phänomene wie Spam-E-Mails können sich zu massiven Problemen entwickeln und die Informationssicherheit gefährden.

Verlust der Datenverfügbarkeit

Der Verlust der Verfügbarkeit von Daten tritt auf, wenn grundlegende Informationen nicht mehr zugänglich sind.

Social Engineering

Ausnutzen menschlicher Psyche zur Informationsbeschaffung oder für unbefugten Zugriff.

Dumpster Diving

Suche in weggeworfenen Dokumenten nach verwertbaren Informationen.

Ransomware

Schadsoftware, die Daten oder Computersysteme sperrt und Lösegeld fordert.

Verschlüsselungstrojaner

Software, die Daten verschlüsselt und für die Entschlüsselung ein Lösegeld verlangt.

Bitcoin (bei Ransomware)

Anonyme digitale Währung, oft für Lösegeldzahlungen verwendet.

Mitarbeiter-Schulungen (gegen Social Engineering)

Fortlaufende Schulungen, um Mitarbeiter für Social Engineering-Angriffe zu sensibilisieren.

Proaktiver Umgang (mit Risiken)

Risikobewusster Umgang, um die Wahrscheinlichkeit von Angriffen zu reduzieren.

Sicherheitslücken ausnutzen

Gezieltes Suchen und Ausnutzen von Schwachstellen in Systemen.

Computervirus

Ein bösartiges Programm, das sich an Dateien anhängt und sich verbreitet.

Schweregrad eines Virus

Die Schwere der Auswirkungen, die von geringfügigen Störungen bis zu dauerhaften Schäden reichen.

Wirtdatei

Eine ausführbare Datei, an die Viren oft angehängt sind.

Menschliches Zutun (Virus)

Ein Virus benötigt eine Aktion des Nutzers, um sich zu verbreiten.

Computerwurm

Eine Unterklasse des Virus, die sich selbstständig verbreitet.

Datei-/Datenübertragungsfunktionen

Würmer nutzen diese Funktionen, um sich ohne menschliche Hilfe zu verbreiten.

Replikationsfähigkeit (Wurm)

Die Fähigkeit, Kopien von sich selbst zu erstellen, was Systeme überlasten kann.

Folgen einer Wurminfektion

Überlastung von Systemressourcen (Speicher/Bandbreite) durch einen Wurm.

Governance-Sicht (GRC)

IT- und Informationssicherheitsziele, abgeleitet von Unternehmenszielen.

Risikosicht (GRC)

Etablierung eines Risikomanagements zur Minimierung von Unternehmensauswirkungen; Identifikation von Risiken und Chancen.

Compliance-Sicht (GRC)

Berücksichtigung externer (Gesetze, Normen) und interner Vorgaben (Richtlinien) sowie Umgang mit Verstößen.

DSGVO: Datenverarbeitung

Sicherstellung der Verfügbarkeit und Belastbarkeit von Systemen, sowie schnelle Wiederherstellung der Daten.

IT-Notfallmanagement: Ziel

Prozesse und Maßnahmen zur raschen Wiederherstellung der betrieblichen Leistungsfähigkeit nach einem Schadensereignis.

Governance-Sicht: Integration

Die Integration von Datenschutz- und Qualitätsmanagementsystemen.

Externe Risiken

Umweltkatastrophen, Brände, Stromausfälle.

Leistungsmessung (Governance)

Regelmäßige Überwachung und Dokumentation um Fortschritt zu prüfen.

Datenschutzmaßnahme

Sicherstellung, dass personenbezogene Daten nicht ohne Einwilligung einer unbestimmten Zahl von Personen zugänglich sind.

Privacy by Design

Frühzeitige Berücksichtigung datenschutzrechtlicher Anforderungen bei der Gestaltung von Verarbeitungstätigkeiten.

Privacy by Default

Datenschutzfreundliche Grundeinstellungen sind standardmäßig voreingestellt.

Datenschutz-Folgenabschätzung

Instrument zur Risikoidentifikation bei neuen datenverarbeitenden Technologien.

Zweck der Folgenabschätzung

Systematisches Nachdenken über die Folgen technischer Entwicklungen, um Mängel zu erkennen.

Interessenskonflikt Risikoabschätzung

Abschätzung durch den Risikoverursacher selbst.

Chance der Folgenabschätzung

Fokus auf rechtliche Technikfolgen im Sinne verantwortungsvoller Forschung.

Inhalt der Abschätzung

Abschätzung, ob in die Grundrechte der Betroffenen eingegriffen wird.

Datenminimierung

Festlegung vor Datenerhebung, welche Daten benötigt werden, und Durchführung von Folgenabschätzungen.

Datenaggregation

Anonymisierungstechniken, um die Identität hinter den Daten zu verschleiern.

Datenverbergung (Hide)

Bereitstellung von Mechanismen für Endnutzer, die dem Datenschutz dienen.

Informationstransparenz (Inform)

Klare und verständliche Informationen für Betroffene bereitstellen und Transparenz schaffen.

Kontrolle (Control)

Mechanismen zur Einholung von Einwilligungen, Opt-Out und Personalisierung der Datenschutzeinstellungen.

Searchable Encryption

Anwendung von Suchmechanismen in verschlüsselten Datenmengen um die Privatsphäre zu wahren.

Dezentralisierte Datenspeicherung

Getrennte Speicherung und Verarbeitung von Daten zur Minimierung von Risiken.

Automatisierte Datensicherheit

Automatisierte Festlegung und Durchsetzung von Datensicherheitsregeln.

Study Notes

Gewährleistung der Informationssicherheit in Deutschland

• Die DSGVO verlangt ein Bündel von Maßnahmen zur Gewährleistung der Informationssicherheit.
• Zu diesen Maßnahmen gehören ein angemessenes Schutzniveau unter Berücksichtigung verschiedener Faktoren.
• Zu diesen Faktoren gehören der Stand der Technik, Implementierungskosten, Art, Umstände und Zwecke der Datenverarbeitung.
• Auch die unterschiedlichen Eintrittswahrscheinlichkeiten und die Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen müssen Berücksichtigt werden.
• Der Umfang der nötigen Sicherheitsmaßnahmen ist anfangs oft nicht direkt ersichtlich.
• Es lässt sich eine Forderung nach einem Informationssicherheits-Managementsystem (ISMS) ableiten.
• Vor allem in größeren Unternehmen ist dies relevant.
• Die Herausforderung bei der Etablierung eines solchen Systems liegt darin, aus vielen möglichen Bedrohungen und Maßnahmen die relevanten für ein spezifisches Szenario zu identifizieren.
• Die Informationstechnologie entwickelt sich schnell weiter und bringt neue Anwendungsgebiete hervor.
• Die zunehmende Vernetzung führt zu ortsunabhängigen Informationen.
• Das Risikopotential steigt ebenfalls, wobei harmlose Phänomene wie Spam schnell zu großen Problemen werden können.
• Der Faktor Mensch ist wichtig, da Nutzerverhalten ausgenutzt wird und Phishing-Angriffe immer noch funktionieren.

Kategorien von Mängeln in der Informationssicherheit

• Es lassen sich drei wesentliche Kategorien von Mängeln in der Informationssicherheit feststellen:
• Verlust der Verfügbarkeit von Daten tritt auf, wenn grundlegende Informationen nicht mehr vorhanden sind.
• Aufgaben ohne diese Informationen können nicht weitergeführt werden.
• Geldtransaktionen sind beispielsweise nicht durchführbar, Online-Bestellungen nicht möglich oder Produktionsprozesse stehen still.
• Verlust der Vertraulichkeit von Informationen betrifft den Schutz persönlicher Daten von Kunden.
• Interne Unternehmensdaten wie Umsatzzahlen, Marketingstrategien oder Forschungsergebnisse sind ebenfalls schützenswert.
• Eine ungewollte Offenlegung kann schwere Schäden verursachen.
• Verlust der Integrität von Daten: Die Korrektheit von Informationen ist entscheidend.
• Eine fehlende Integrität kann zu Fehlbuchungen, falschen Lieferungen oder falschen Produkten führen.
• Der Verlust der Authentizität ist ebenfalls von Bedeutung, beispielsweise bei Zahlungsanweisungen oder digitalen Willenserklärungen.
• Das IT-Grundschutz-Handbuch des BSI bietet Unterstützung bei der Implementierung eines ISMS.
• Es orientiert sich an den Vorgaben der ISO/IEC 27001 und ISO/IEC 27002 und enthält Leitfäden und Standards zur Informationssicherheit.
• Zusätzlich können die Critical Security Controls des Centers for Internet Security oder die IT-Grundschutz-Kataloge des BSI herangezogen werden.
• Diese bieten Hilfestellungen und Verfahren zur Sicherstellung der IT- und Informationssicherheit und zur Erfüllung der DSGVO-Anforderungen.

Grundlagen der Informationssicherheit

• Informationssicherheit erfordert ein umfassendes Managementsystem (ISMS), das auf anerkannten internationalen Normen wie der ISO/IEC 27001 basiert.
• Die IT-Grundschutz-Kataloge des BSI bieten eine detaillierte Anleitung zur Umsetzung der DSGVO-Anforderungen.
• Die Zahl der Angriffe auf Unternehmen hat massiv zugenommen, was mit der steigenden Digitalisierung einher geht.
• Internationale Medien berichten täglich über Cybercrime und damit verbundene Delikte.
• Dies liegt auch an der steigenden Komplexität der IT-Systeme.
• Cyberattacken richten sich zunehmend gegen staatliche IT-Infrastrukturen.
• Albanien und Montenegro wurden kürzlich Ziele von solchen Angriffen.
• Südosteuropäische Länder gelten als anfällig, weil ihre Systeme teilweise veraltet sind.
• Automatisierte Datenverarbeitung hat stark zugenommen, Cloud-Lösungen haben sich etabliert.
• Unternehmen und Behörden müssen als datenschutzrechtliche Verantwortliche keine eigene IT-Architektur betreiben.
• Server und Hardwarekomponenten befinden sich in der Cloud, in den Rechenzentren von IT-Dienstleistern.
• Bei Verarbeitung personenbezogener Daten übernimmt der Cloud-Service-Provider die Rolle des Auftragsverarbeiters.
• Verantwortliche dürfen nur Auftragsverarbeiter beauftragen, die datenschutzkonforme Verarbeitung gewährleisten.
• Auftragsverarbeiter aus der EU sind vorzuziehen, da sie strengen Datenschutzanforderungen unterliegen.
• Das EU-U.S. Privacy Shield, jetzt EU-U.S. Data Privacy Framework, regelt Datenschutzvorgaben für internationalen Datentransfer.
• Anbieter in Deutschland können auch durch das ISO/IEC 27001-Zertifikat für Informationssicherheit zertifiziert sein.

Cybersecurity

• Bei der Wahl eines außereuropäischen Cloud-Anbieters sollte man auf ein Zertifikat der Cloud Security Alliance (CSA) achten.
• Die CSA ist eine international anerkannte Non-Profit-Organisation mit hohem Anspruch an Informationssicherheit.
• CSA-Zertifikate bieten eine gute Risikobewertung und sind IT-lastig.
• Cloud-Service-Provider werden aufgrund der hohen Anzahl an Kundendaten und der verarbeiteten Datenmengen zur Zielscheibe für Cyberkriminelle.
• Neben Unternehmen und Behörden sind auch diese Anbieter ein lohnendes Ziel für Cyberangreifer.
• Datensicherheit in der Cloud ist wichtig, um zu verhindern, dass Angreifer Daten stehlen oder Systeme manipulieren können.
• Datenverarbeitung erfordert Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit.
• Zusammenspiel dieser Aufgaben erfordert multiple Blickwinkel, damit die Automatisierung der Verarbeitung von personenbezogenen Daten und die dazugehörigen Systeme sicher betrieben werden können.
• Laut einer Studie des Digitalverbands Bitkom waren 84 Prozent der Unternehmen in Deutschland im Jahr 2021 Opfer von Datendiebstahl, Spionage und Sabotage.
• Neun Prozent vermuten, ebenfalls betroffen gewesen zu sein.
• Angreifer agieren professioneller, Attacken stammen bei 51 Prozent der betroffenen Unternehmen aus dem Umfeld der organisierten Kriminalität.

IT-Security Angriffsmethoden

• Externe Angriffe auf IT-Infrastruktur von Unternehmen nehmen zu und spielen bei der Informationssicherheit eine größere Rolle.
• Es sollte beachtet werden, dass Attacken werden überwiegend von professionellen Betrügern durchgeführt werden.
• Die Art der Angriffe auf Unternehmen und Computersysteme ("Hacking") hat sich geändert und zielt nun auf die Mitarbeiter ab.
• Nicht mehr das Computersystem, sondern der Mensch mit seiner Psyche ist das Ziel.
• Social Engineering nutzt menschliche Schwächen durch psychologische Tricks aus.
• Angreifer versuchen teilweise, eine Beziehung zum Opfer herzustellen, um ihre Absichten zu verschleiern.
• Die Angreifer können privat motivierte Hacker, Script Kiddies, Unternehmensspione oder staatliche Nachrichtendienste sein.
• Die Angriffsmethoden sind einfach, aber effektiv.
• Angreifer schleusen sich in das Umfeld der Zielperson ein, ohne erkannt zu werden, und zielen auf Informationsbeschaffung ab.
• Angriffe erfolgen immer häufiger digital.
• Es gibt verschiedene Arten von Social Engineering:
• Spam: Täuschung, um den Empfänger zu einer Aktion zu bewegen, z.B. durch Links zu Webseiten oder Malware in Dokumentenanhängen.
• Phishing: Täuschung, um Anmeldeinformationen zu erhalten, wobei gefälschte Anmeldefenster die Eingabe von Passwörtern vortäuschen.
• Vishing: Sensible Daten sollen am Telefon weitergegeben oder Opfer auf eine gefälschte Website gelockt werden.
• Speer-Phishing: Gezielte Methode, bei der Hacker Informationen von Webseiten, Verzeichnissen oder sozialen Netzwerken abgreifen, um die Erfolgschancen zu erhöhen.
• Piggybacking: Täter verfolgt das Opfer oder verleitet es dazu, ihm Zutritt zu einem sicheren Raum zu verschaffen.
• Quid pro Quo: Das Opfer wird mit einem kostenlosen Service gelockt, wobei Zugangsdaten eingefordert werden, die für Cyber-Angriffe genutzt werden.
• Baiting: Die Zielperson wird mit einem kostenlosen Artikel oder Dienst geködert, z.B. mit einem Download, der Malware enthält.
• Dumpster Diving: Angreifer sucht im Müll nach interessanten Informationen, die von einem Unternehmen entsorgt wurden.
• Proaktiver Umgang mit Social Engineering kann das Risiko erfolgreicher Angriffe verringern.
• Fortlaufende Mitarbeiterschulungen können sicherstellen, dass Social Engineering-Bedrohungen erkannt und abgewehrt werden.
• Ransomware ist Schadsoftware, die entweder die Benutzung des Computers oder den Zugriff auf wichtige Daten verhindert und erst nach Zahlung an den Angreifer wieder freigibt.
• Typische Vertreter sind Verschlüsselungstrojaner, die wichtige Daten verschlüsseln.

IT Risiken und Bedrohungen

• Ransomware macht Daten unbrauchbar, die Entschlüsselung erfolgt erst nach anonymer Geldanweisung, z.B. via Bitcoin, ist aber nicht sicher.
• Ransomware ist eine große Bedrohung, Unternehmen und Privatpersonen sind mit hohen Geldforderungen konfrontiert.
• Es gibt viele Varianten mit unterschiedlichen Verbreitungswegen und Verschlüsselungsalgorithmen.
• Die Gefahr, Daten durch Schadsoftware zu verlieren, ist sehr hoch.
• Sicherheitslücken werden gezielt gesucht und ausgenutzt, die erpresste Summe richtet sich nach der Finanzkraft des Unternehmens.
• Um Nachdruck zu verleihen, wird oft mit der Veröffentlichung von Daten gedroht.
• Angriffe richten sich vorwiegend gegen kleine und mittlere Unternehmen, aber auch gegen große internationale Unternehmen.
• Einfallstore sind Zugriffe für die Fernwartung, E-Mails mit schädlichem Anhang oder Links, über die Schadsoftware nachgeladen wird.
• Die Auswirkungen eines Ransomware-Angriffs können massiv sein und es kann Wochen dauern, bis ein System wieder läuft.
• Auch in Deutschland gab es Vorfälle, bei denen Unternehmen Opfer von Ransomware wurden.
• Ein Beispiel ist der Angriff auf den Klinikverbund Universitätsmedizin im Jahr 2020, bei dem sämtliche Systeme verschlüsselt wurden und das Krankenhaus nicht voll arbeiten konnte.
• Das Unternehmen musste eine Geldforderung erfüllen und mit Hilfe einer IT-Firma ein neues IT-System mit verbesserter IT-Security implementieren.
• Eine DDOS-Attacke ist ein massiver Angriff auf einen Internetdienst, bei dem viele Rechner gleichzeitig Anfragen durchführen, um das Datennetz zu überlasten.
• Wörtlich ist es ein „verteilter Dienstverweigerungsangriff“.
• Diese mutwillige Überlastung geht oft mit erpresserischen Geldforderungen einher.
• Es kann sich um eine leere Drohung handeln, aber es besteht immer ein Restrisiko.
• Technik, Angriffsmuster und Methodik können oft auf bekannte Täter schließen lassen.
• Trojaner, Viren und Würmer werden oft synonym verwendet, sind aber nicht identisch.
• Alle drei sind bösartige Programme, die Schaden anrichten können und sollten unterschieden werden, um besser darauf reagieren zu können.
• Ein Computervirus hängt sich an ein Programm oder eine Datei an und verbreitet sich von einem Computer auf den nächsten.
• Viren können nach der Schwere der Infektion unterschieden werden und verursachen geringfügige Effekte oder schädigen Hardware, Software oder Dateien.
• Fast alle Viren sind an eine ausführbare Datei angehängt und können über längere Zeit auf dem Computer vorhanden sein.
• Er infiziert ihn jedoch erst, wenn ein bösartiges Programm aufgerufen oder geöffnet wird.
• Ein Virus kann sich nicht ohne menschliches Zutun verbreiten.
• Nutzer verbreiten Viren, indem sie infizierte Dateien teilen oder E-Mails mit Viren als Anhang versenden.
• Ein Wurm ist eine Unterklasse eines Virus und verbreitet sich von einem Computer zum anderen.
• Anders als Viren können Würmer sich ohne Zutun einer Person übertragen.
• Ein Wurm nutzt Funktionen zur Datenübertragung und kann sich so ohne Hilfe fortbewegen.
• Die größte Gefahr ist seine Fähigkeit zur Replikation, wodurch von einem Computer Hunderte oder Tausende Kopien desselben Wurms versendet werden können.
• Ein Wurm kann eine Kopie von sich an alle Personen im E-Mail-Adressbuch senden und sich anschließend replizieren und auf andere übertragen.
• Die Kopierfähigkeit und die Möglichkeit, sich über Netzwerke zu übertragen, führt meist dazu, dass der Wurm zu viel Systemspeicher oder Netzwerkbandbreite verbraucht.
• Webserver, Netzwerkserver und Computer reagieren nicht mehr.
• Bei einigen Angriffen, wie dem Blaster-Wurm, wurde der Wurm so programmiert, dass er Lücken ausnutzt, um die Kontrolle über den Computer zu übernehmen. Ein Trojaner ist ein Schadprogramm und ahmt eine echte Anwendung nach.
• Anders als Viren replizieren sich Trojaner nicht selbst, können aber großen Schaden anrichten.
• Trojaner öffnen eine Hintertür für bösartige Benutzer oder Programme, um Zugang zum System zu erhalten und vertrauliche Informationen zu stehlen.

Informationssicherheits-Managementsysteme

• Ein Informationssicherheits-Managementsystem (ISMS) ist ein Steuerungsrahmen für Verfahren und Regeln innerhalb von Unternehmen und Behörden.
• Es dient dazu, die Informationssicherheit festzulegen, zu steuern, zu kontrollieren und laufend zu verbessern.
• Dazu zählen organisatorische, technische, prozessuale und personelle Maßnahmen.
• Definierte Verantwortliche kümmern sich um die ihnen zugeordneten Informationswerte wie Dokumente, Daten oder Systeme.
• Sie legen den Schutzbedarf fest und gestalten Regeln für den sicheren Umgang mit personenbezogenen Daten.
• Sie nehmen eine Rolle in internen Organisationsprozessen wahr und garantieren, dass Mitarbeiter sensibilisiert und geschult werden.
• Eine umfassende Integration in die betriebliche Organisation stellt sicher, dass Daten- und Informationssicherheit gelebt und verbessert wird.
• Das Informationssicherheits-Managementsystem bedient sich der drei Sichtweisen Governance, Risiko und Compliance.
• Die Governance-Sicht umfasst die IT- und Informationssicherheitsziele, die aus Unternehmens- und Behördenzielen abgeleitet sind.
• Sie integriert Managementsysteme wie Datenschutz- oder Qualitätsmanagementsysteme und die Ausrichtung an der Unternehmensstrategie.
• Eine Leistungsmessung ergänzt die Governance-Sicht, damit Zielerreichung und Fortschritt durch Überwachung und Dokumentation sichergestellt werden können.
• Die Risikosicht beinhaltet ein Risikomanagement, um Risiken zu reduzieren und Auswirkungen tragbar zu machen.
• Zusätzlich sollen Risiken und Chancen identifiziert werden.
• Die Compliance-Sicht umfasst die Berücksichtigung von externen Vorgaben durch Gesetze, Regulatoren und Normen.
• Dazu gehören die Etablierung und Verbreitung von internen Vorgaben sowie die Erfüllung von verpflichtenden Auflagen.
• Nicht zuletzt geht es um den Umgang mit Verstößen gegen Richtlinien und Vorgaben.

IT-Notfall und Krisenmanagement

• Bei der Verarbeitung personenbezogener Daten muss sich der Verantwortliche mit IT-Notfallmanagement befassen.
• Laut DSGVO muss die Verfügbarkeit und Belastbarkeit der Systeme sichergestellt bzw. die Daten rasch wiederhergestellt werden.
• Externe Risiken wie Umweltkatastrophen, Brand oder Stromausfall sind zu berücksichtigen.
• Diese Risiken können nur bedingt gemindert werden, deshalb ist eine rasche Wiederherstellung wesentlich.
• Diese Thematik greift das Business Continuity Management auf und setzt auf Maßnahmen, um kritische Geschäfts- und Behördenprozesse aufrechtzuerhalten und Schäden zu minimieren.
• Die IT orientiert sich dabei an den technischen Möglichkeiten, nicht am Budget, und die Verfügbarkeit wird aus organisatorischer Sicht oft höher erwartet, als die IT leisten kann.
• Es muss ein Kompromiss gefunden werden, um Zeit, Kosten und Qualität im Gleichgewicht zu halten.
• Schadensausmaße können nach Art der Störung eingeschätzt werden, wobei Störungen ungeplante Ereignisse sind, die im regulären Tagesgeschäft behandelt werden.
• Die nächste Stufe ist der Notfall, der sich aus einer länger andauernden Störung ableiten kann und Auswirkungen auf Kerngeschäftsprozesse hat. Ein Notfall muss unmittelbar behandelt werden und kann eintreten, wenn die maximale Ausfallzeit überschritten wird.
• Eine Krise ist ein auf die Organisation begrenzter verschärfter Notfall, der die Existenz bedroht bzw. die Gesundheit oder das Leben von Personen beeinträchtigt.
• Das Notfallmanagement versucht, Krisen, Notfällen oder Störungen durch proaktive Notfallpläne entgegenzuwirken.
• Die Notfallvorsorge setzt auf organisatorische und technische Maßnahmen, um Geschäftsunterbrechungen zu vermeiden und die Notfallbewältigung auf die rasche Wiederherstellung des Normalbetriebs.
• Jede Organisation kann sich auf Notfälle vorbereiten und entsprechende Schritte festlegen.
• Im Wesentlichen beinhaltet die Notfallplanung Einzelschritte:
  • Notfallorganisation (Ernennung von Verantwortlichen)
  • Risikoanalyse (Identifikation und Bewertung)
  • Business Impact Analyse
  • Kontinuitätsstrategie (Wiederanlaufplanung)
  • Notfallvorsorgekonzept
  • Notfallablauforganisation
  • Notfallhandbücher
  • Planung von Notfalltests und Übungen
  • Laufende Verbesserung
• Der Entwurf eines Planes zur Wiederherstellung gelingt, wenn die Struktur bekannt ist und kritische Prozesse identifiziert sind.
• Die Notfallvorsorge aus IT-Sicht unterscheidet sich von der Sicht der Organisation, IT-Systeme und Dienstleistungen sind Zulieferer, um wiederkehrende Ereignisse zu erzielen.
• Die IT-Struktur muss gesondert betrachtet werden, da IT-Systeme in jedem Geschäftsprozess kritisch sind.
• Je nach Schadensausmaß wird zwischen Störungen, Notfällen und Krisen unterschieden und Faktoren werden im Rahmen der IT-Notfallplanung gegeneinander abgewogen.

Datenschutz durch Technikgestaltung

• Verantwortliche und Auftragsverarbeiter müssen die Grundsätze des Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen berücksichtigen.
• Geeignete interne Strategien und Maßnahmen müssen beschlossen und implementiert werden..
• Im Unterschied zu allgemeinen Maßnahmen zielen diese darauf ab, die Rechtmäßigkeit der Datenverarbeitung zu gewährleisten und datenschutzrechtliche Risiken zu vermindern.
• Sowohl die Planung als auch die Verarbeitung selbst muss geeignete technische und organisatorische Maßnahmen berücksichtigen.
• Dies dient um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
• Stand der Technik, Implementierungskosten, Art, Umfang, Umstände, Verarbeitungszwecke sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen müssen berücksichtigt werden.
• Datenschutzfreundliche Grundeinstellungen stellen sicher, dass durch Voreinstellungen nur solche Daten verarbeitet werden, deren Verarbeitung für den Zweck erforderlich ist.
• Ein abgegrenzter Nutzerkreis auf Social Media Plattformen ist ein Beispiel für eine datenschutzfreundliche Voreinstellung.
• Wunschzettel in Webshops sollten ohne Einwilligung nicht öffentlich im Internet verfügbar sein.
• Der Einsatz der Pseudonymisierung von personenbezogenen Daten ist ein Beispiel für Datenschutz durch Technikgestaltung.
• Im Sinne der DSGVO ist eine Pseudonymisierung gegeben, wenn die Daten ohne Hinzufügung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können.
• Diese Informationen müssen gesondert aufbewahrt und vor unbefugtem Zugriff geschützt werden.
• Praktische Anwendungsfälle für „privacy by design“ sind die technische Umsetzung von Löschkonzepten, Benutzerberechtigungskonzepten oder automatischer Validierung bei Dateneingabe.
• Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) schlägt Strategien zur Umsetzung des Prinzips „privacy by design" in verschiedenen Stadien der Datenverarbeitung vor:
  • Erwerb und Sammlung von Daten: Datenminimierung durch Festlegung benötigter Daten und Folgenabschätzungen.
  • Datenanalyse und -management: Anonymisierungstechniken und Mechanismen zum Schutz der Privatsphäre.
• Datenaufbewahrung: Verschlüsselung nicht aktiv verwendeter Daten, Authentifizierung, Zugangskontrolle und getrennte Speicherung.
• Datenverwendung: Anonymisierungstechniken, Sicherstellung hoher Datenqualität und zuverlässiger Herkunft.
• Umsetzung automatisierter Festlegung und Durchsetzung von Datensicherheitsregeln für alle Phasen.
• Die Verpflichtungen gelten für Menge, Umfang, Speicherfrist und Zugänglichkeit der erhobenen Daten.
• Maßnahmen müssen sicherstellen, dass personenbezogene Daten nicht ohne entsprechende Einwilligung zugänglich gemacht werden.
• Datenschutz durch Technik erfordert interdisziplinäre Arbeit und die Harmonisierung verschiedener Anforderungen.
• Die Einhaltung eines genehmigten Zertifizierungsverfahrens kann als Nachweis für die Erfüllung der Maßnahmen dienen.
• Verantwortliche müssen datenschutzrechtliche Anforderungen frühzeitig berücksichtigen und die Einhaltung der DSGVO durch technische und organisatorische Maßnahmen sicherstellen („privacy by design“).
• Verantwortliche müssen datenschutzfreundliche Grundeinstellungen vorsehen („privacy by default“).

Datenschutz-Folgenabschätzung

• Die Datenschutz-Folgenabschätzung ist ein Instrument zur Identifikation von Risiken durch neue Technologien und Systeme für Grundrechte auf Privatleben und Datenschutz.
• Sie dient als Frühwarnsystem, um über Folgen nachzudenken und Mängel rechtzeitig zu erkennen.
• Eine Balance zwischen gesetzlichen Regelungen und Messbarmachung sollte hergestellt werden.
• Obwohl die Risikoabschätzung durch den möglichen Verursacher erfolgt, bietet die Verpflichtung auch die Chance, den Fokus auf rechtliche Technikfolgen zu lenken.
• Verantwortliche führen eine Abschätzung durch, ob in Grundrechte eingegriffen wird, was oft mit einer Datenschutz-Folgenabschätzung einhergeht.
• Dabei stehen die Betroffenen im Fokus.
• Für Unternehmen lässt sich ableiten, bei welchen Verarbeitungstätigkeiten ein Risiko für Betroffene und Sicherheitsprobleme bestehen.
• Verantwortliche erhalten eine Aussage darüber, wo aus Datensicherheitssicht hoher Handlungsbedarf besteht.
• Entwickler werden unterstützt, Datenschutzrisiken zu erkennen und zu vermeidenDie Folgenabschätzung trägt zu Transparenz bei und ermöglicht Debatten.

Zertifizierung und Verhaltensregeln

• Datenschutz-Zertifizierungen sind unabhängige Evaluierungen durch Dritte, die die Selbstverpflichtung zum Datenschutz verdeutlichen.
• Zertifizierungen können für IT-Produkte, Dienstleistungen oder Unternehmen durchgeführt werden und werden mit einer Gültigkeitsdauer ausgestellt.
• Datenschutz-Zertifikate machen Unternehmen für Kunden und Mitarbeiter attraktiver und können z.B. sichere Mail-Kommunikation beglaubigen.
• Zertifizierungen orientieren sich an Normen und Best Practices, wobei Normen ein einheitliches Rahmenwerk, Dokumentation, Organisation und Maßnahmen bieten.
• Folgende Normen haben sich in Deutschland etabliert:
  • ISO/IEC 27001: Internationaler Standard für Informationssicherheit mit klaren Vorgaben und Sicherheitsmaßnahmen.
  • ISO/IEC 27002: Ergänzung zu ISO/IEC 27001 mit Anleitungen und Best Practices für die Umsetzung.
  • ISO/IEC 27018: Sicherheitsmaßnahmen zum Schutz personenbezogener Daten in der Cloud.
• IT-Grundschutz des BSI ist ein umfassendes Framework für Informationssicherheit, kompatibel zu ISO/IEC 27001 und enthält umfangreiche Sicherheitsmaßnahmen.
• Es gibt viele Anbieter von Zertifizierungen mit eigenen Gütesiegeln, die durch unabhängige Gutachter und Zertifizierungsstellen vergeben werden.
• Die Bestimmungen werden in der DSGVO festgelegt und haben eine maximale Gültigkeit von drei Jahren.
• Das Verfahren erfolgt nach einem Anforderungskatalog und bezieht den Datenschutzbeauftragten des Unternehmens ein.
• Neben dem Datenschutz werden auch die Sicherheit der Computersysteme, Abläufe und die physische Sicherheit auditiert.
• Nach der Prüfung wird ein Gutachten erstellt, das die Grundlage für die Ausstellung des Zertifikats darstellt.
• Das Verfahren sollte verhältnismäßig sein, da kleine und mittlere Unternehmen keine hohen Kosten aufwenden können.
• Verhaltensregeln („codes of conduct“) sind Leitlinien einer guten Datenschutzpraxis und tragen zur Standardisierung der Verhaltensweise von Verantwortlichen und Auftragsverarbeitern bei.
• Verhaltensregeln sollen den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen Rechnung tragen.
• Verbände und Vereinigungen können Anträge auf Genehmigung von branchenspezifischen Verhaltensregeln bei der Datenschutzbehörde stellen.
• Verhaltensregeln können folgende Bereiche festlegen:
  • faire und transparente Verarbeitung
  • berechtigte Interessen des Verantwortlichen
  • Erhebung, Pseudonymisierung und Unterrichtung zu personenbezogenen Daten
  • Ausübung der Rechte betroffener Personen
  • Schutz von Kindern
  • Maßnahmen für die Datensicherheit gemäß DSGVO
  • Meldung von Verletzungen des Schutzes
  • Übermittlung personenbezogener Daten an Drittländer
  • außergerichtliche Streitbeileggung
• Verhaltensregeln können strengere Regelungen als die DSGVO vorsehen, aber das Datenschutzniveau darf nicht unterschritten werden.
• Verhaltensregeln sind keine Einzelfallüberprüfung, sondern haben generell eine abstrakte Wirkung und einen branchenspezifischen Mehrwert.
• Die Datenschutzbehörde genehmigt und veröffentlicht Verhaltensregeln, Anträge sind gebührenpflichtig und es müssen Überwachungsstellen eingerichtet werden.
• Einhaltung erfolgt auf freiwilliger Basis und in Deutschland gibt es Verhaltensregeln für bestimmte Branchen, wie Telekommunikationsanbieter und Direktmarketing.
• Datenschutz-Zertifizierungen dienen dem Nachweis von Anforderungen und können für IT-Produkte, Dienstleistungen oder Unternehmen durchgeführt werden. Unter Verhaltensregeln werden standardisierte branchenspezifische Vorgaben auf freiwilliger Basis verstanden.