Tag 1
1 Datensicherung​
1.1 Betriebliche Rahmenbedingungen​
Grundwerte der Datensicherheit:
- Vertraulichkeit
- Integrität
- VerfĂĽgbarkeit
1.1.1 Vertraulichkeit​
Daten werden unter Einhaltung des Datenschutzgesetzes bearbeitet. Unberichtigten Personen wird der Zugriff nicht erlaubt.
1.1.2 Integrität​
Integrität ist die Korrektheit und Vollständigkeit von Informationen und Daten. D.h. korrekte Schreibweise von Nachnamen und frei von Daten-Manipulation.
1.1.3 Verfügbarkeit​
Systeme mĂĽssen immer fĂĽr den Benutzer erreichbar sein. Ausgenohmen davon sind angekĂĽndigte Wartungen.
1.2 Gesetzliche Vorschriften​
Schutz der Daten ist gesetzlich vorgeschrieben. In der Schweiz ist das OR (Obligationenrecht) und DSG (Datenschutzgesetz) relevant.
1.2.1 OR​
Jedes Unternehmen ist verpflichtet, Daten auf eine bestimmte Zeit aufzubewahren (meistens 10 Jahre). Wie diese Daten gesichert sind, ist egal. Die Daten müssen während dieser Zeitspanne jederzeit gelesen werden können.
1.2.2 DSG​
Natürliche und juristische Personendaten sind sensibel und müssen daher geschützt werden. Diese Daten werden mit dem DSG geregelt. Das Datenschutzgesetz möchte die Persönlichkeit und Grundrechte der Personen schützen. Besonders zu schützende Personendaten sind:
- Religiöse Ansichten
- Weltanschauliche Ansichten
- Politische Ansichten und Tätigkeiten
- Gesundheit
- Intimsphäre
- Rassenzugehörigkeit
Sobald Personendaten bearbeitet werden, muss das DSG eingehalten werden. Vor unbefugter Bearbeitung muss gemäss Art. 7 DSG geschuützt werden. Für die Planung und Umsetzungen der Schutzmassnahmen bietet das VDSG (Verordnung zum Datenschutzgesetz) Hilfe.
Art. 9 VDSG Stand: 1. Dezember 2010
2 Wert der Daten​
Praktisch alle Vorgänge in einem Unternehmen werden erfasst, bearbeitet und abgespeichert. Somit bildet sich schnell eine grosse Datenmenge. Wie gross ist der Wert dieser Daten? Dokumente die auf Papier sind, können die Informationen nachträglich manuell wieder eingegeben werden. Dieser Aufwand kann berechnet werden. Aber wie sieht es mit den Daten aus, die nicht mehr rekonstruiert werden können?
2.1 Bedrohungen​
- Höhere Gewalt
- Menschliches Versagen
- Technisches Versagen
- Kriminelle Handlung
2.1.1 Höhere Gewalt​
Hier kommt die Bedrohung von aussen. Meistens hat man darauf keinen Einfluss. Höhere Gewalten sind:
- Feuer
- Naturkatastrophen
- Stromausfall
2.1.2 Menschliches Versagen​
Die grösste Bedrohung ist das menschliche Versagen:
- Versehentliches Löschen von Daten
- Fehlerhaftes Programmieren
- Verlust der Vertraulichkeit durch herumliegende Daten
- Fehlende Dokumentation
2.1.3 Technisches Versagen​
Hier fallen wegen einem Defekts technische Geräte aus. Mögliche Gründe:
- Hardwaredefekt
- Softwarefehler
- Defekte an Systemen
- Defekte an Netzwerkkomponenten
2.1.4 Kriminelle Handlungen​
Ähnlich wie beim menschlichen Versagen, werden hier Daten gelöscht, nur absichtlich. Darunter wird folgendes gezählt:
- Absichtliche Manipulation an Geräten, Programmen oder Daten
- Missbrauch vertraulicher Daren
- Diebstahl oder Kidnapping von Geräten, Programmen oder Daten
- Einbringen von bösartiger Software (Virus)
- Hacking, Industriespionage
- Vandalismus
- Sabotage
2.2 Massnahmen zur Datensicherheit​
- Organisatorische Massnahmen
- Personelle Massnahmen
- Technische Massnahmen
- Bauliche Massnahmen
2.2.1 Organisatorische Massnahmen​
Hier wird die Organisation des Unternehmens angepasst. Darunter zählt der Organisationsaufbau, die Prozesse und Schulungen.
- Dokumentation des Sicherheitskonzepts
- Herausgabe von Verhaltenweisungen
- Optimierung von Sicherheitsabläufen
- Erstellung von Arbeitsbeschreibungen
- Schulungen der Anwender
2.2.2 Personelle Massnahmen​
Personelle Massnahmen sind Massnahmen, die Mitarbeitende direkt betreffen.
- Einstellen eines Sicherheitsverantwortlichen
- Zuteilung von Mitarbeitenden in andere Abteilungen
- Entlassung von Mitarbeitenden, z.B. nach krimineller Aktivität
2.2.3 Technische Massnahmen​
Datensicherheit mithilfe von technischen Massnahmen sicherstellen
- Datensicherung (Backup & Restore)
- Anmeldung mit Passwort
- DatenverschlĂĽsselung
- Firewall
- Antivirenprogramme
Datensicherung ist auch ein Teilbereich der Datensicherheit
2.2.4 Bauliche Massnahmen​
Die Datensicherheit kann auch mittels Umbau der Infrastruktur gewährleistet werden.
- Blitzschutz
- Feuerschutz
- Einbruchschutz
- Alarmanlage
2.3 Preloss/Postloss​
Massnahmen können vor dem Entstehen eliminiert werden (Preloss). In Falle eines Ereignis kann die Ausbreitung unterbinden werden (Postloss).
| Preloss | Postloss |
|---|---|
| Dies sind Massnahmen, die die Eintrittswahrscheinlichkeit eines Ereignisses verhindern sollen. Es sind also präventive Massnahmen zur Reduktion der Eintrittswahrscheinlichkeit einer Bedrohung. | Dies sind Massnahmen, die zur Schadensbegrenzung beitragen. Es sind also restriktive Massnahmen zur Begrenzung der Schadengrösse. |
Ereignis
|--------------------------|*|--------------------------|
Preloss Postloss
Daten sind unbezahlbar und sind konstant verschiedenen Bedrohungen ausgesetzt:
- Höhere Gewalt
- Menschliches Versagen
- Technisches Versagen
- Kriminelle Handlung
Mit organisatorischen, personellen, technischen und baulichen Massnahmen können die Daten geschützt werden. Aus betrieblichen Gründen ist darauf zu achten, dass Daten jederzeit und in korrekter Weise den Mitarbeitenden zur Verfügung stehen. Bei einem Verlust könnte die Existenz des Unternehmens bedroht sein. Zudem existieren auch gesetzliche Vorschriften zur Datenhaltung und -sicherung.
3 Repetitionsfragen​
- In welche vier Ursachen werden Bedrohungen eingeteilt?
- Höhere Gewalt, Menschliches Versagen, Technisches Versagen, Kriminelle Handlung
- Nennes Sie zwei Beispiele fĂĽr technische Massnahmen zur Datensicherheit.
- Datensicherung, Firewall
- Sie nehmen ein Grippe-Medikament ein, weil Sie Fieber haben. Handelt es sich dabei um eine Massnahme im Bereich Preloss oder Postloss? BegrĂĽnden Sie Ihre Antwort.
- Postloss, das Ereignis ist das Fieber und das Medikament wird erst danach eingenommen.
- Im Rahmen der Datensicherheit lassen sich drei Grundwerte unterscheiden. Wie heissen diese?
- Vertraulichkeit, Integrität, Verfügbarkeit