Anforderungen an Datensicherheit



Gesetzliche Grundlagen und rechtliche Bestimmungen auf dem Gebiet des Datenschutzes

§ 9 ThürDSG
Technische und organisatorische Maßnahmen

(1) Öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten verarbeiten, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.


(2) Werden personenbezogene Daten automatisiert verarbeitet, sind zur Ausführung der Vorschriften dieses Gesetzes Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind:
1. Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle);
2. zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert oder entfert werden können (Datenträgerkontrolle);
3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle);
4. zu verhindern, daß Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle);
5. zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle);
6. zu gewährleisten, daß überprüft und festgestellt werden kann, an welche Stellen personenpezogenen Daten durch Einrichtungen zur Datenübertragung übermittelt werden können (Übermittlungskontrolle);
7. zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche personenpezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle);
8. zu gewährleisten, daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle);
9. zu verhindern, daß bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle);
10.die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

(3) Werden personenbezogene Daten in nichtautomatisierten Dateien oder in Akten verarbeitet, sind insbesondere Maßnahmen zu treffen, die verhindern, daß Unbefugte bei der Bearbeitung, der Aufbewahrung, dem Transport und der Vernichtung auf die Daten zugreifen können.


§ 9 BDSG
Technische und organisatorische Maßnahmen

Der Inhalt des § 9 BDSG entspricht dem Abs 1 des § 9 ThürDSG mit der Erweiterung des Gültigkeitsbereiches auch auf nicht-öffentliche Stellen. Weitere Absätze gibt es nicht.



Schutz vor dem Zugriff auf den eigenen Rechner durch COOKIES

Beim Zugriff auf Web-Seiten können Daten des Benutzers aufgezeichnet und anderweitig genutzt werden. Diverse Online-Anbieter sind an Verhaltensweisen von Internetnutzern interessiert, um ihre Verkaufsstrategie gezielt einsetzen zu können. Der Zugriff erfolgt hierbei über sogenannte "COOKIES". Ein COOKIE ist eine Textdatei, in welcher der Online-Anbieter automatisch persönliche Daten sammelt (durchgeführte Aktivitäten, E-Mail-Adresse, Paßwörter, Kreditkartennummern etc). Solch ein COOKIE wird beim erstmaligen Zugriff auf ein Web-Angebot an den eigenen Browser übermittelt und von ihm auf der eigenen Festplatte gespeichert (cookies.txt). Auf diese Datei kann der Online-Anbieter bei einem erneuten Zugriff auf seine Web-Site zugreifen, um sie auszuwerten oder neue Informationen einzutragen. Neben nützlichen Funktionen der COOKIES (Einkaufen über Warenkorb o. ä.) können aber auch das Persönlichkeitsrecht beeinträchtigende Zugriffe erfolgen. Jeder Nutzer muß also für sich entscheiden, ob er diese Zugriffe gestattet oder nicht. Durch entsprechende Optionseinstellungen läßt sich dies realisieren. Es erfolgt aber nicht automatisch! Wer einen Zugriff von COOKIES grundsätzlich verhindern will, sollte schon vorhandene cookie.txt-Dateien löschen, eine neue leere cookie.txt-Datei anlegen und diese mit einem Schreibschutz versehen. Mit dieser Maßnahme soll das Speichern weiterer COOKIES nicht mehr möglich sein.

(Quelle: 2. Tätigkeitsbericht des Thüringer Landesschutzbeauftragten)



Technischer Datenschutz

Durch vorbeugende technische und organisatorische Maßnahmen läßt sich der Mißbrauch von Daten weitgehend verhindern.
Ein möglisches Verfahren ist die kryptografische Methode (Verschlüsseln und Entschlüsseln von Daten). Ein solches Verfahren soll hier kurz dargestellt werden.

Das Versetzungsverfahren
Der zu verschlüsselnde Text wird matrizenförmig in Blöcke geschrieben die dann verändert und zum verschlüsselten Text zusammengesetzt werden. Der Klartext wird horizontal in den Block geschrieben. Die verschlüsselte Nachricht ergibt sich aus den Zeichen in vertikaler Richtung.

Beispiel:

code1.gif


Beschreibung des Verfahrens als Struktogramm:
Hierbei wird ein anfangs mit Leerzeichen gefülltes Zeichenfeld von fünf Zeichen Breite und genügender Länge benutzt. In dieses wird der Klartext geschrieben und als Geheimtext ausgelesen.

code2.gif



PASCAL-QUELLTEXT:

program ObjektZumVerschluesselnImFeld;
uses crt;

type tzeile = string[80];
   okrypto = object;
       function verschluessele(klartext : tzeile) : tzeile;
       end;

function okrypto.verschluessele(klartext : tzeile) : tzeile;
var zeile,spalte,maxzeile,i : integer;
     ausgabe : tzeile;
     feld : array[1..5,1..20] of char;

begin {Begin of function}
  for spalte := 1 to 5 do
    for zeile := 1 to 20 do
      feld[spalte,zeile] := ' ';
    zeile := 1; spalte := 1; i := 1;
    while i <= length(klartext) do
      begin
        if spalte > 5 then
          begin
            spalte := 1; zeile := zeile + 1;
          end;
        feld[spalte,zeile] := klartext[i];
        i := i + 1;
        spalte := spalte + 1;
      end;
    maxzeile := zeile; ausgabe := '';
    for spalte := 1 to 5 do
      for zeile := 1 to 20 do
        ausgabe := ausgabe + feld[spalte,zeile];
    verschluessele := ausgabe;
end; {end of function}

var kodierer : okrypto;
      klartext : tzeile;

begin
  clrscr;
  repeat
    write('Klartext: --> ');readln(klartext);
    write('ergibt verschlüsselt: ');
    writeln(kodierer.verschluessele(klartext));
    writeln;
  until klartext = '';
end.


(Quelle: Eckart Modrow, Dateien - Datenbanken - Datenschutz, Dümmler-Verlag)



ü
Literaturtips

2. Tätigkeitsbericht des Thüringer Landesbeauftragten für den Datenschutz -
Berichtszeitraum vom 1. Januar 1996 bis 31. Dezember 1997

Inhalt:


- Seite 242 Kapitel 15.4 (Kontrolltätigkeit in öffentlichen Stellen)
- Seite 245 Kapitel 15.5 (Einsatz von Zutrittskontrollsystemen)
- Seite 249 Kapitel 15.6 (Datenschutzfreundliche Technologien)
- Seite 253 Kapitel 15.7 (Sicherheit mit -Kryptographischen Verfahren-)
- Seite 265 Kapitel 15.8 (Das Signaturgesetz und die Signaturverordnung)
- Seite 273 Kapitel 15.10 (Wartung von Informations- und Kommunikationstechnik)
- Seite 280 Kapitel 15.11 (Virenschutz)
- Seite 288 Kapitel 15.13 (Datenspuren beim Zugriff auf Web-Server)

Eckart Modrow - Dateien, Datenbanken, Datenschutz -
Dümmler-Verlag (ISBN 3-427-46443-1)

Inhalt:



- Seite 22 Kapitel 2.1 (Gesetzliche Regelungen)
- Seite 33 Kapitel 2.2 (Technischer Datenschutz)




Internetadressen

Die Uni Siegen bietet unter dieser Adresse spezielle Informationen zur Sicherheit im Internet an, z. B. "E-Mail", "WWW", "Network Security" http://www.uni-siegen.de/security/internet/index.html
Ein interessanter Aufsatz von U. Tichy über die Sicherheit bei Web-Nutzung http://www.david-datenschutz.de/hinwdsch.html
-datenschutz.de- gibt Antworten auf Fragen zum Datenschutz, z. B. "Allgemeines zum Datenschutz", "Kontrolle des Datenschutzes", "Datenschutzrecht", "Datenschutz und Technik", "Aktuelles" - wird ständig aktuallisiert! http://www.datenschutz.de
Dino Online bietet unter dieser Adresse sehr (!!) vielfältige und umfassende Informationen zum Thema "Computer und Datenschutz ", u. a. Beiträge über Kryptologie, Literatur, Datenschutzgesetze und vielfältige Hinweise zur Datensicherheit http://www.dino-online.de/seiten/go03d.htm
Die Suchmaschine Yahoo stellt bei der Suche nach dem Begriff "Datenschutz" 3 Kategorien, 52 Sites und 1 Nachricht zur Verfügung http://search.yahoo.de/search/de?p=Datenschutz





Startseite

Entwicklungstendenzen

Darstellung von Informationen

Struktur von Rechnernetzen

Datenschutz

Datensicherheit