Technischer Datenschutz

Question 1

Beispiele für Datenschutz-Folgenabschätzungen

Answer 1

○ Scoring

○ Videoüberwachung

○ Medizinische Daten

○ KI-Technologien

Question 2

Was beinhaltet eine Datenschutz-Folgenabschätzung mindestens?

Answer 2

○ Systematische Beschreibung der geplanten Verarbeitungsvorgänge und Zwecke der Verarbeitung

○ Bewertung der Notwendigkeit und Verhältnismäßigkeit

○ Bewertung der Risiken

○ Geplante Abhilfemaßnahmen, einschließlich Garantien

Question 3

Vorgehen bei einer Datenschutz-Folgenabschätzung

Answer 3

○ Modellierung der Risikoquellen
↓
○ Risikobeurteilung
↓
○ Auswahl geeigneter Abhilfemaßnahmen
↓
Erstellung des Datenschutz-Folgenabschätzungs-Berichts

Question 4

IT-Sicherheit vs. Datenschutz

Answer 4

○ IT-Sicherheit → Schutz der Daten

○ Datenschutz → Schutz der Menschen

Question 5

Schichten des Datenschutzes in Kommunikationsnetzen

Answer 5

○ Ebene der Anwendung (Inhalte)
→ Kundendaten

○ Ebene der Dienste (Internet)
→ Webserver Zugriff

○ Ebene der Netze (Telekommunikation)
→ Datenverkehr

Question 6

Welche Arten von Personenbezogenen Daten gibt es in Kommunikationsnetzen?

Answer 6

○ Bestandsdaten

○ Inhaltsdaten

○ Verkehrsdaten

Question 7

E-Privacy Verordnung

Answer 7

○ Soll Verwendung von Cookies und Tracking-Mechanismen regeln

Question 8

Kontroversen um E-Privacy Verordnung

Answer 8

○ Tracking als Ersatz für Bezahlung zugelassen

○ Koppelungsverbot

Question 9

Was versteht man unter dem Verbot mit Erlaubnisvorbehalt?

Answer 9

○ Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten

○ Es sei denn
- diese ist durch ein Gesetz oder eine andere Rechtsvorschrift erlaubt
- oder der Betroffene hat eingewilligt

Question 10

Anforderungen an eine Einwilligung

Answer 10

○ Transparenz

○ Informiertheit

○ Beweislast für Vorliegen bei Verantwortlichen

○ Koppelungsverbot

Question 11

Privacy by Default

Answer 11

○ Datenschutzfreundliche Voreinstellungen

○ Beschränkung auf Verarbeitungszweck

○ Beschränkung des Umfangs

○ Beschränkung auf Speicherfristen

○ Beschränkung der Zugänglichkeit

Question 12

Was fordert Artikel 32 (1) in Präzisierung von Artikel 25 (1)

Answer 12

○ Geeignete technisch-organisatorische Maßnahmen
- Zur Pseudonymisierung und Verschlüsselung
- Zur Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit
- Zur Wiederherstellung der Verfügbarkeit nach Zwischenfällen
- Zur Überprüfung, Bewertung und Evaluierung der tech-org Maßnahmen

Question 13

Methoden und Werkzeuge zur Identifikation von Bedrohungen

Answer 13

○ Checklisten

○ Fehler- und Angriffsbäume

○ Planspiele

○ Szenarioanalysen

○ Historische Daten

Question 14

Methoden und Werkzeuge zur Bewertung von Risiken

Answer 14

○ Qualitative Bewertung

○ Quantitative Bewertung

○ Spieltheorie

○ Maximalwirkungsanalyse

Question 15

Herausforderungen bei der Identifikation von Bedrohungen

Answer 15

○ Vollständige Erfassung aller Bedrohungen

Question 16

Herausforderungen bei der Bewertung von Risiken

Answer 16

○ Abhängigkeit von den Assets

○ Strategische Angreifer

○ Korrelationen

○ Quantifizierbarkeit

Question 17

Methoden zur Steuerung der Risiken

Answer 17

○ Risikovermeidung

○ Risikobehandlung

○ Risikoüberwälzung

○ Risikoakzeptanz

Question 18

Herausforderungen bei der Steuerung von Risiken

Answer 18

○ Komplexität der Problemstellung

○ Finden von geeigneten Musterlösungen

○ Komposition eines sicheren Gesamtsystems aus sicheren Teillösungen

Question 19

Methoden zur Überwachung der Risiken und Maßnahmen

Answer 19

○ Kennzahlen- und Scorecard-Systeme

○ Return on Security Investment (ROSI)

Question 20

Herausforderungen bei der Überwachung der Risiken und Maßnahmen

Answer 20

○ Die richtigen Kennzahlen verwenden

○ Kennzahlen richtig ermitteln

○ Kennzahlen aktuell halten

Question 21

Was sind Verfahren und Algorithmen der Vertraulichkeit?

Answer 21

○ Inhaltsdaten:
- Verschlüsselung (RSA, Data encryption Standard)
- Steganographie (Verdecktheit)

○ Verkehrsdaten
- Web-Anonymisierer, Remailer, anonyme Zahlungssysteme
→ Proxies, Pseudonyme

Question 22

Welche Arten von Daten können geschützt werden?

Answer 22

○ Inhaltsdaten

○ Verkehrsdaten

Question 23

Was sind Verfahren und Algorithmen der Integrität und Zurechenbarkeit/Rechtsverbindlichkeit?

Answer 23

○ Integrität:
- Message-Authentication Codes
- Challenge-Response-Authentifikation

○ Zurechenbarkeit/Rechtsverbindlichkeit:
- Digitale Signaturen

Question 24

Was versteht man unter Redundanz?

Answer 24

○ Mehrfache Auslegung von Systemkomponenten (Dopplung)

○ Bei Ausfall übernimmt Ersatzkomponente

Question 25

Was versteht man unter Diversität?

Answer 25

○ Verschiedenartigkeit der Herkünfte ○ Tolerieren von systematischen Fehlern und verdeckten trojanischen Pferden

Question 26

Wie kann man die Verschlüsselung gegen Supercomputer schützen?

Answer 26

○ Schlüssel ausreichend lang wählen

Question 27

Wie kann man die Verschlüsselung gegen Quantencomputer schützen?

Answer 27

○ Symmetrisch: Schlüssellänge verdoppeln (min. 256 Bit) ○ Asymmetrisch: Hoffen auf Post-Quantum Kryptographie

Question 28

Was ist das Standard-Datenschutzmodell?

Answer 28

○ Methode zur Datenschutzberatung und -prüfung auf Basis einheitlicher Gewährleistungsziele ○ Methode zur Überprüfung der Übereinstimmung der gesetzlichen Anforderungen im Umgang mit personenbezogenen Daten und der entsprechenden Umsetzung dieser Vorgaben

Question 29

Was sind die Bausteine des IT-Grundschutz-Kompendiums des BSI?

Answer 29

○ Prozessorientierte Bausteine (gesamt 39) - ISMS (Sicherheitsmanagement) - ORP (Organisation und Personal) ○ Systemorientierte Bausteine (gesamt 49) - APP (Anwendungen) - SYS (IT-Systeme)

Question 30

Wie viele Bausteine des BSI hat das Standard-Datenschutzmodell implementiert?

Answer 30

○ 8 (9) ○ Baustein 11, 41, 42, 43, 50, 60, 61, 62, (80)

Question 31

Welche Arten von Pseudonymen gibts es?

Answer 31

○ Personenpseudonyme - Öffentliche, nicht-öffentliche, anonyme ○ Rollenpseudonyme - Geschäftsbeziehungspseudonym, Transaktionspseudonym

Question 32

Pseudonymisierung vs. Anonymisierung

Answer 32

○ Pseudonymisierung: Ersetzen der Daten durch Zuordnungsregel → bei Kenntnis der Regel: personenbezogene Daten ○ Anonymisierung: Re-Identifizierung nicht, oder nur mit hohem Aufwand möglich

Question 33

Was soll technischer Datenschutz abdecken?

Answer 33

○ Adressen ○ zeitliche Korrelationen ○ Übertragenes Datenvolumen ○ Inhaltliche Korrelation ○ Orte

Question 34

Was sind die Besonderheiten von Broadcast?

Answer 34

○ Technik zum Schutz des Empfängers ○ Alle Teilnehmer erhalten alles ○ Lokale Auswahl ○ Konsumierter Inhalt des Nutzers bleibt verborgen

Question 35

Was ist ein Proxie?

Answer 35

○ Zwischengeschaltete Station, die Nachrichten empfängt und im eigenen Namen sendet ○ Weiss von wem er Nachrichten bekommt und an wen er sendet

Question 36

Was ist ein Mix-Netz

Answer 36

○ Im Grunde ein Proxie

Question 37

Möglichkeiten zur Strafverfolgung

Answer 37

○ Zugriff auf Klartexte durch Installation einer Software auf Rechner des Verdächtigen ○ Analyse charakteristischer Eigenschaften des Datenverkehrs → passsiver Beobachter kann auf Inhalts und/oder Adressdaten schließen

Question 38

Was sind die 7 Grundprinzipien von Privacy by Design?

Answer 38

1. Proaktiv, nicht reaktiv 2. Datenschutz als Standardeinstellung 3. Datenschutz in Design eingebettet 4. Volle Funktionalität 5. Durchgängige Sicherheit 6. Sichtbarkeit und Transparenz 7. Wahrung der Privatsphäre

Question 39

Privacy by Design Strategien - Technisch

Answer 39

○ Minimise → Nur notwendige Daten speichern ○ Seperate → Daten verteilt verarbeiten und speichern ○ Aggregate → Daten auf notwendiges Maß zusammenfassen ○ Perturbate → Daten durch zufällige Störungen ungenau machen ○ Hide → Daten nicht in offener Form speichern

Question 40

Privacy by Design Strategien - Organisatorisch

Answer 40

○ Enforce → Durchsetzung einer Datenschutz-Policy ○ Inform → Betroffene über Datenverarbeitung informieren ○ Control → Eingriffsmöglichkeit der Betroffenen ○ Demonstrate → Überprüfbarkeit

Question 41

Goldene Regeln zur Umsetzung von Datenschutz

Answer 41

○ Informieren (Transparenz) ○ Auskunftsverfahren etablieren ○ Einwilligung, wo nötig ○ Weniger (speichern) ist mehr (Datenschutz) ○ Regelmäßige Sensibilisierung ○ Sanktionen bei Verstößen klarmachen

Question 42

Was versteht man unter Big Data?

Answer 42

○ Datenmengen, die - zu groß sind, oder/und - zu komplex sind, oder/und - sich zu schnell ändern → Können mit herkömmlichen Datenbanksystemen und Datenverarbeitungssystemen nicht effektiv gespeichert und verarbeitet werden