IT-Sicherheit

Question 1

Wann ist die DSGVO in kraft getreten?

Answer 1

Die DSGVO ist am 25. Mai 2016 in Kraft getreten, jedoch jedes Unternehmen in den EU-Mitgliedstaaten müssen die Datenschutzverordnung erst seit dem 25. Mai 2018 verbindlich anwenden.

Diese verändert und erweitert viele Grundsätze des Datenschutzrechts aus dem Bundesdatenschutzgesetz (BDSG).
Zudem steht das Recht der Europäischen Union über dem nationalen Recht. Darum ist die DSGVO dem BDSG übergeordnet.

Question 2

Personenbezogene Daten

Answer 2

Nach der DSGVO sind personenbezogene Daten informationen, die eine natürliche Person identifizieren oder identifizierbar machen.
Personenbezogene Daten sind z. B.:
• Name, Alter, Familienstand, Geburtsdatum
• Personalausweisnummer, Sozialversicherungsnummer
• Adressdaten sowie Telefonnummer, E-Mail-Adresse
• Konto- und Kreditkartennummer
• Bonitätsdaten
• Kraftfahrzeugnummer, Kfz-Kennzeichen
• Gesundheitsdaten und genetische Daten
• rassische und ethnische Herkunft
• politische Meinungen
• religiöse oder weltanschauliche Überzeugungen
• Gewerkschaftszugehörigkeit
• Werturteile wie zum Beispiel Zeugnisse
• Vorstrafen
• IP-Adresse und Cookies
• Meinungen, Beurteilungen oder Einschätzungen

Question 3

Für wen gilt die DSGVO?

Answer 3

Die DSGVO gilt für alle Unternehmen, die in der EU ansässig sind und die Verordnung gilt auch für Unternehmen mit Sitz außerhalb der EU, wenn diese Daten von Personen aus der EU verarbeiten.

Question 4

Was regelt die DSGVO?

Answer 4

Die Vorschrift regelt das Datenschutzrecht - also die Verarbeitung von personenbezogenen Daten - einheitlich europaweit und dient dem Schutz von personenbezogenen Daten innerhalb der Europäischen Union.

Question 5

Wann ist ein Datenschutzbeauftragter erforderlich?

Answer 5

Die Erforderlichkeit eines Datenschutzbeauftragten ist geregelt in der DSGVO
und in Art. 37 und zum anderen in § 38 BDSG.
Dort heißt es, dass ein Datenschutzbeauftragter benötigt wird, wenn…

• es sich um eine Behörde oder öffentliche Stelle handelt –
mit Ausnahme von Gerichten im Rahmen ihrer justiziellen Tätigkeit.

• die Kerntätigkeit in der Durchführung von Datenverarbeitungsvorgängen besteht.
(Z. B. in einem Marktforschungsunternehmen, Sicherheitsunternehmen oder Versicherungsunternehmen)
Die Kerntätigkeit muss aber umfangreich und regelmäßige sowie systematische
Überwachung von betroffenen Personen beinhalten.

• das Unternehmen besonders sensible Daten, wie beispielsweise Bonitäts- oder Gesundheitsdaten,
ethnische Daten, politische Meinungen, religiöse oder sexuelle
Orientierungen in Datenverarbeitungssystemen verarbeitet, dann wird
auf jeden Fall ein Datenschutzbeauftragter benötigt.

Die Anzahl der Beschäftigen spielt dann keine Rolle.

Aber wenn diese Punkte nicht zutreffen, dann nur, wenn mindestens 20 Mitarbeiter
in einem Unternehmen personenbezogene Daten automatisiert verarbeiten.
Ob es sich dabei um fest angestellte Mitarbeiter, freie Mitarbeiter oder Aushilfen handelt, ist
irrelevant. Sofern diese Arbeiten am Computer verrichtet werden, ist von einer automatisierten Verarbeitung
der Daten auszugehen.

Datenschutzbeauftragter kann ein interner (geschulter) Mitarbeiter oder ein externer Beauftragter sein.

Question 6

Drei Schutzziele bzw. Grundwerte der Informationssicherheit nach BSI.

Answer 6

• Verfügbarbeit (Availability)
• Integrität (Integrity) 
• Vertraulichkeit (Confidentiality)
(kann ergänzt werden durch:
 Authenitizität, Verbindlichkeit, Zuverlässigkeit, Nichtabstreitbarkeit.)

Question 7

Datenschutz

Answer 7

Unter Datenschutz versteht man den Schutz von personenbezogenen Daten.
Hierunter fallen alle Daten, die sich auf eine natürliche Person beziehen.

Ziel des Datenschutzes ist der Schutz des allgemeinen Persönlichkeitsrechts der
betroffenen natürlichen Personen.
Normen hierzu finden sich in der DSGVO und dem BDSG.
Der Datenschutz dient somit dem Zweck natürliche Personen und ihre
Grundrechte und Grundfreiheiten zu schützen.

Question 8

Datensicherheit

Answer 8

Datensicherheit beschäftigt sich hingegen generell mit der Sicherheit von Daten.

Ziel der Datensicherheit ist der Schutz von Daten allgemein, nicht nur von
personenbezogenen Daten. Hierunter fallen damit auch reine
Unternehmensdaten, also Daten von juristischen Personen.
Das oberste Ziel der Datensicherheit besteht in der Gewährleistung
• der Vertraulichkeit
• der Integrität und
• der Verfügbarkeit von Daten

Vereinfacht könnte man sagen, dass es sich hier um die praktischen
Sicherheitsmaßnahmen oder Ansätze zum Schutz von Daten handelt
(z. B. Maßnahmen zur Datensicherung, technischer Schutz vor Datenverlust usw.).

Question 9

Informationssicherheit

Answer 9

Dieser Begriff zielt auf den Schutz aller Informationen (digital/analog).

Question 10

IT-Sicherheit

Answer 10

Sie bezieht sich allgemein auf den Einsatz von Informationstechnik und
gewährleistet, dass die Vertraulichkeit, Integrität und Verfügbarkeit von
Informationen und Informationstechnik durch angemessene
Maßnahmen geschützt sind.

Question 11

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Answer 11

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) befasst sich mit allen Fragen rund um die IT-Sicherheit in der Informationsgesellschaft.

Ziel des BSI ist es, den sicheren Einsatz von Informations- und
Kommunikationstechnik in unserer Gesellschaft zu ermöglichen und voranzutreiben.

Question 12

Botnetz

Answer 12

Ein Verbund von Rechnern (Systemen), die unbemerkt von einem
fernsteuerbaren Schadprogramm (Bot) befallen sind

Question 13

Phishing

Answer 13

Manipulierte Webseiten und Websites/E-Mails mit Links zu Anmelde oder Prüfseiten, mit denen Passwörter und Login-Daten abgegriffen werden

Question 14

Keylogger

Answer 14

Hard- oder Software zum Mitschneiden von Tastatureingaben

Question 15

Nicknapping

Answer 15

Cyber-Angriff, bei dem der Angreifer unter einem bekannten Namen
oder Pseudonym auftritt.

Question 16

Scareware

Answer 16

Angstsoftware, die der Nutzer selbst auf seinem System installiert, weil
ihm ein Schaden vorausgesagt wird.

Question 17

Malware (Malicious Software)

Answer 17

Schadprogramme, die wie Viren, Würmer oder Trojanische Pferde

Question 18

Ramsomware

Answer 18

Schadprogramme, die den Zugriff auf Daten und Systeme einschränken
oder verhindern und diese Ressourcen nur gegen Zahlung eines
Lösegeldes (engl. ransom) wieder freigeben

Question 19

DoS (Denial of Service)

Answer 19

Verweigerung des Dienstes, z. B. durch gekaperte Computer, die
Webserver durch Massenanfragen zusammenbrechen lassen.

Question 20

CEO-Fraud oder „Cheftrick“

Answer 20

Methode der Angreifer, „Chefmails“ an Mitarbeiter, insbesondere
des Rechnungswesens, zu senden, um damit Betrügereien zu
unternehmen.

Question 21

Bundesdatenschutzgesetz (BDSG)

Answer 21

Das Bundesdatenschutzgesetz richtet sich nach § 1 BDSG (neu) an öffentliche und nicht-öffentliche Stellen.
Zu den nicht-öffentlichen Stellen gehören Unternehmen, die personenbezogene Daten:​
• ganz- oder teilautomatisiert verarbeiten (z. B. computergestützt)​
• nichtautomatisiert verarbeiten und die Daten in einem Dateisystem speichern​

Question 22

Bundesdatenschutzgesetz (BDSG)

Answer 22

Das neue Bundesdatenschutzgesetz (BDSG) ergänzt und konkretisiert
die europäische DSGVO bzw. geht auf die Öffnungsklauseln, die dort enthalten sind, ein.
Alles, was die DSGVO regelt, gilt unmittelbar, da sie Vorrang vor nationalem Recht hat und die
BDSG-neu enthält Bestimmungen, welche die DSGVO auslässt oder bewusst offenlässt.
Aber auch bei Überschneidungen gilt die DSGVO.
Die Regelungen, die getroffen werden, beziehen sich – wie auch diejenigen der DSGVO –
sowohl auf öffentliche (Bundesbehörden, Bundesämter)
als auch nicht-öffentliche Stellen (wie eine AG, GmbH, KG oder OHG,).

Zu letzteren zählen zum Beispiel Unternehmen die personenbezogene Daten:​
• ganz- oder teilautomatisiert verarbeiten (z. B. computergestützt)​
• nichtautomatisiert verarbeiten und die Daten in einem Dateisystem speichern

Question 23

Wann kommen die Landesdatenschutzgesetze (LDSG) der einzelnen Bundesländer zur Anwendung und für wen gilt die?

Answer 23

Das LDSG gilt für die öffentlichen Stellen des einzelnen Bundeslandes z. B. für Landesbehörden und Kommunalverwaltungen.
Jedes Bundesland hat sein eigenes Landesdatenschutzgesetz.

Das jeweils einschlägige LDSG kommt somit grundsätzlich nur zur Anwendung, wenn öffentliche Stellen eines Bundeslandes wie z.B. die jeweiligen Landesbehörden und Kommunalverwaltungen personenbezogene Daten verarbeiten bzw. wenn es um Befugnisse des jeweiligen Landesbeauftragten für den Datenschutz geht.

Ausnahmen hiervon sind, dass die öffentliche Stelle des Landes
• Bundesrecht ausführen würde, oder
• als Organ der Rechtspflege tätig ist und es sich nicht um Verwaltungsangelegenheiten handelt,
dann gilt gem. § 1 Abs. 2 Nr. 2 BDSG wieder das BDSG.

Question 24

IT-Grundschutz

Answer 24

Der IT-Grundschutz ist eine Anleitung bzw. Vorgehensweise, Empfehlung sowie Hilfe zur Selbsthilfe
für Behörden, Unternehmen und Institutionen, die sich mit der Absicherung ihrer Daten,
Systeme und Informationen befassen wollen.

Diese Sammlung von Standards und Katalogen, die vom Bundesamt für Sicherheit in der
Informationstechnik kurz. BSI zur Verfügung gestellt werden, bieten eben
allgemeine Methoden zur Minimierung von Gefährdungen von IT-Anwendungen und IT-Systemen.

Diese Dokumente werden regelmäßig überarbeitet und technischen Neuerungen angepasst.
Sie lassen sich im Wesentlichen in die BSI-Standards und das IT-Grundschutz-Kompendium unterteilen.

Question 25

BSI-Standard

Answer 25

Die BSI-Standards sind ein elementarer Bestandteil der IT-Grundschutz-Methodik.
Die BSI-Standards, erläutern die Grundlagen für die Erstellung eines IT-Sicherheitskonzepts.
Das heißt, die BSI Standards enthalten Empfehlungen zu Methoden, Prozessen und Verfahren
sowie Vorgehensweisen und Maßnahmen zu unterschiedlichen Aspekten der Informationssicherheit.

Zudem geben sie Hilfestellungen, wie ein geeignetes Sicherheitsmanagement zu etablieren ist.

Question 26

Basis-Absicherung

Answer 26

Die Basis-Absicherung bietet einen Einstieg in die Informationssicherheit und ist nicht zertifizierungsfähig.

Zudem ist die Basis-Absicherung dazu da, damit Institutionen nachweisen können, dass sie in
die Informationssicherheit eingestiegen sind und alle Geschäftsprozesse bzw. Fachaufgaben, Daten
und Komponenten des betrachteten Informationsverbundes unter technischen, infrastrukturellen,
organisatorischen und personellen Aspekten mit einem Mindestmaß an Informationssicherheit
nach der Basis-Absicherung umgesetzt haben.

Question 27

ISO 27001-Zertifikat

Answer 27

ISO 27001 ist eine internationale Norm für Informationssicherheit in
privaten, öffentlichen oder gemeinnützigen Organisationen.

Sie beschreibt die Anforderungen für das Einrichten, Realisieren, Betreiben und Optimieren
eines dokumentierten Informationssicherheits-Managementsystems.

Mit einem ISO 27001-Zertifikat auf der Basis des IT-Grundschutzes kann eine Institution
belegen, dass die umgesetzten Maßnahmen zur Informationssicherheit anerkannten internationalen Standards
entsprechen und dadurch zusätzliches Vertrauen bei Kunden und Partnern schaffen.

Question 28

Aufgaben des Datenschutzbeauftragten

Answer 28

• Erstellung von Richtlinien
• Durchführung einer Datenschutz-Folgenabschätzung
• Erstellung des Verzeichnisses der Verarbeitungstätigkeiten
• Datenschutzvorfälle und Betroffenenanfragen
• Datenschutzrechtliche Mitarbeiterschulungen
• Mitwirkung bei Mitarbeiterkontrollen

Question 29

Aufgaben des IT-Sicherheitsbeauftragten

Answer 29

• Bestandsaufnahme der bisherigen Aktivitäten zur IT-Sicherheit
• Abstimmung der IT-Sicherheitszielen mit den Zielen des Unternehmens
• Erstellung einer IT-Sicherheitsleitlinie
• Aufbau, Betrieb und Weiterentwicklung der IT-Sicherheitsorganisation
• Erstellung eines IT-Sicherheitskonzepts und dessen Anpassung an neue gesetzliche Gegebenheiten
• Erstellung von Richtlinien und Regelungen zur Informationssicherheit
• Unterrichtung der Unternehmensleitung zum Status quo der IT-Sicherheit
• Sicherstellung des Informationsflusses für das IT-Sicherheitsmanagement
• Dokumentation der IT-Sicherheitsmaßnahmen sowie Kontrolle dieser Maßnahmen
• Durchführung von Schulungsmaßnahmen zum Thema IT-Sicherheit
• Leitung der Analyse und Nachbearbeitung von IT-Sicherheitsvorfällen
• Verwaltung der für die IT-Sicherheit zur Verfügung stehenden Ressourcen (Budget, Arbeitszeit)
• Funktion als Ansprechpartner auf dem Gebiet der IT-Sicherheit für Kollegen, aber auch für externe Geschäftspartner und Kunden

Question 30

Betroffenenrechte

Answer 30

• Transparenz – Der Kunde muss jederzeit in Erfahrung bringen können, welche Daten über ihn gespeichert sind.
Es besteht ein Auskunftsrecht nach DSGVO Art. 15.
• Integrität – Die Daten dürfen durch den Speichervorgang nicht verändert werden
• Revisionsfähigkeit – Speichervorgang muss nachweisbar sein, dies ist z.B. wichtig für Ihre Steuererklärung
• Löschung – Daten müssen aus der Cloud gelöscht oder gesperrt werde können. Beim Löschvorgang sollten die Daten mehrmals Überschieben werden, damit sie nicht mit Spezialprogrammen wiederhergestellt werden können
• Trennung der Daten – Der Provider als Auftragsverarbeiter, darf die Daten nicht mit seinen eigenen Datensätzen vermischen und er darf die Daten auch nicht mit den Daten anderer Kunden vermischen
• Verfügbarkeit – Der Provider haftet, wenn er Verfügbarkeit garantiert, diese aber nicht bietet.

Betroffene können sich an die Datenschutzbehörden die an ihrem Wohnsitz zuständig sind wenden.

Question 31

TOMs

Answer 31

Technische und organisatorischen Maßnahmen eines Unternehmens, zum Schutz personenbezogener Daten.

Question 32

RAID

Answer 32

Redundant array of independent disks
Organisation von mehrere physischer Massenspeichern zu einem logischen Laufwerk.

Dient der Ausfallsicherheit.

Mehrfach Vorkommen der selben Daten (Redundanzen) werden gezielt erzeugt, damit beim Ausfall einzelner Speichermedien das RAID nach Ersetzen der ausgefallenen Komponenten durch einen Rebuild der ursprüngliche Zustand wiederhergestellt werden kann