# Informationssicherheit
### Vertraulichkeit:
Es ist nicht moeglich unautorisiert an Informationen zu gelangen
### Integritaet:
Es ist unmoeglich unautorisiert und unbekannt zu schuetzende Daten zu manipulieren
### Verfuegbarkeit:
Authentifizierte und autorisierte Benutzer koennen nicht unautorisiert behindert werden
## Urheberrecht/Copyright; Markenrecht, Lizenzen
### UrhG - Urheberrechtsgesetz
*Hier werden neben den Rechten der Urheber von geschuetzten Werken deren Benutzung moegliche Massnahmen bei Urheberrechtsverletzungen, sowie deren Strafen festgelegt*
### MarkenG - Markengesetz
- *§1 Schutzfaehig sind Marken, geschaeftliche Bezeichnungen, geografische Herkunftsangaben*
- *§2 "Als Marke koennen alle Zeichen, insbesondere Woerter einschliesslich Personennamen, Abbildungen, Buchstaben, Zahlen, Klaenge, dreidimensionale Gestaltungen einschliesslich der Form einer Ware oder ihre Verpackung sowie sonstige Aufmachungen einschliesslich Farben und Fabrzusammenstellungen geschutzt werden, die geeignet sind, Waren oder Dienstleistungen eines Unternehmens von denjenigen anderer Unternehmen zu unterscheiden."*
- *Marken duerfen nur mit Einwilligung der Markeninhaber verwendet werden*
### Creative-Common-Lizenz
Creative Commons (CC) ist eine gemeinnuetzige Organisation, die sog. CC-Lizenzen mit denen Urheber eigenverantwortliche rechtlich geschuetzte Inhalte (Texte, Bilder, Musikstuecke, Videoclips usw) anbieten koennen. Damit kann Benutzern mehr erlaubt werden als es das Urheberrecht vorsieht
#### Rechtemodule
### Lizenzarten
- Rechnergebundene Lizenz (Nodelocked Lizenz)
- Benutzergebundene Lizenz (Named User License)
- Netzwerklizenz (Floating License, Concurrent Use License)
- Public-Domain-Software (gemeinfrei); Verzicht auf Urheberrecht (gemeinfrei), kostenlose Nutzung, Weiterverbreitung erlaubt, Quellcode oft verfuegbar
- Open-Source-Software; Quellcode frei verfuegbar, Weiterverbreitung erlaubt, Veraenderung erlaubt meist kostenlos
- Freeware; Kostenlose Nutzung, Weiterverbreitung erlaubt, Quellcode kann zugaenglich sein, Veraenderung nciht erlaubt
- Freie Softwarelizenz; Kostenlose Nutzung, Weiterverbreitung erlaubt, Veränderung erlaubt, Offenlegung des Quellcodes verpflichtend
- Shareware; Weiterverbreitung erlaubt, Veränderung verboten, Quellcode nicht verfügbar, bei längerer Benutzung Regestrierung oder Kauf nögtig
- Proprietäre Software; Kopien dürfen erstellt werden, Software bleibt Eigentum des Herstellers, Änderungen und Weiterverbreitung verboten
- Kommerzielle Software; Erwerben des Nutzungsrechts
- Shrinkwraps, EULA, Clickwrap; Dem Benutzer wird durch einen sogennanten Endnutzer-Lizenzvertrag des Softwarehersteller die Nutzungsbedingungen genau vorgegeben.
- Current User Lizenz; Software darf je nach Nutzungsbedingungen auf mehreren Geräten installiert werden
- Standardlizent(Concurrent USer Lizenz); Darf auf vielen Rechnern installiert, aber jeweils nur zeitlich auf so vielen geräten benutzt werden, wie LIzenz gekauft wurde
- Dauerlizenz; EIne Dauerlizenz erlaubt eine unbegrenzte Nutzung der Software
- Gebraucht-Lizenzen; Nach einem EuGH-Urteil dürfen Lizenzen weiterverkauft werden
### PDCA-Zyklus (Plan-Do-Check-Act-Zyklus)
Da sich die Anforderungen an den Datenschutz steigt an die Gegebenheiten (Bedorhungslage, rechtliche Rahmenbedingungen, Markt/Wettbewerb) angepasst werden muessen, wird der sog. PDCA-Zyklus verwendet. Dieser entspricht im Grossen und Ganzen den Anforderungen an den Verantwortlichen.
### Elementare Gefaehrdungen (3 wissen)
Das BSI hat eine Analyse der Gefaehrdungen vorgenommen und 47 elemetare Gefaehrdungen festgelegt, die fuer die Risikoanalyse optimiert sind und sowohl produktneutral als auch meist technikneutral sind. Jeder Baustein behandelt entsprechende Gefaehrdungen und Gefaehrdungslagen mit Bedohungen und Schwachstellen:
### Anforderungen
- Basis-Anforderungen (B) sind das Minimum von Sicherheitsanforderungen, die zu erfuellen sind (MUSS- bzw. DARF-NICHT/KEINE-Anforderungen)
- Standard-Anforderungen (S) bieten eine angemessene Sicherheit (SOLLTE-Anforderungen)
- Anforderungen bei erhoetem Schutzbedarf (H). Hier gibt es exemplarische Anforderungen (SOLLTE-ANFORDERUNGEN), die aufzeigen, wie man sich zusaetzlich abischern kann
### Schichtenmodell
### Schutzbedarfstestellun fuer Anwendungen
### Schutzbedarfsfestellung fuer IT-Systeme
### Vorgehen und Vererbung
(Hier geht es darum, wie der Schutzbedarf von IT-Systemen aus dem Schutzbedarf der unterstützten Geschäftsprozesse und Informationen abgeleitet wird.)
- Objekte im Informationsverbund unterstützen Geschäftsprozesse und Anwendungen.
- Ihr Schutzbedarf hängt vom Schutzbedarf der unterstützten Geschäftsprozesse und Informationen ab.
- Zuerst wird der Schutzbedarf der Geschäftsprozesse und Informationen bestimmt.
- Dieser wird dann auf Anwendungen, IT-Systeme, Räume und Kommunikationsverbindungen übertragen.
### Maximumprinzip
(Das Maximumprinzip besagt, dass der Schutzbedarf bei IT-Systemen oft von den unterstützten Anwendungen geerbt wird.)
- Der Schutzbedarf bei IT-Systemen wird oft von den unterstützten Anwendungen geerbt.
- Der höchste Schutzbedarf aller benötigten Anwendungen wird übernommen.
- Effiziente Bewertung und Zuweisung des Schutzbedarfs auf Systemebene werden dadurch ermöglicht.
- Vereinfachte Klassifizierung und Implementierung von Sicherheitsmaßnahmen für das IT-System.
- Reduzierter Aufwand für die Einzelbewertung jedes Systems durch die Aggregation des Schutzbedarfs.
### Kumulationseffekt
(Der Kumulationseffekt tritt auf, wenn der Schutzbedarf des IT-Systems höher ist als der Schutzbedarf der einzelnen Anwendungen, die es unterstützt. )
- Der Schutzbedarf des IT-Systems kann höher sein als der Schutzbedarf der einzelnen Anwendungen.
- Dies tritt auf, wenn ein Server mehrere Anwendungen mit normalem Schutzbedarf unterstützt.
- Einzelne Anwendungs-Ausfälle könnten überbrückt werden, ohne großen Schaden zu verursachen.
- Jedoch könnte ein gleichzeitiger Ausfall aller Anwendungen erheblichen Schaden verursachen.
- Das IT-System erfordert daher einen höheren Schutz, um potenzielle Gesamtausfälle zu verhindern.
### Verteilungseffekt
(Der Verteilungseffekt tritt auf, wenn der Schutzbedarf des IT-Systems niedriger ist als der Schutzbedarf der zugeordneten Anwendungen.)
- Der Schutzbedarf des IT-Systems kann niedriger sein als der Schutzbedarf der zugeordneten Anwendungen.
- Dies tritt auf, wenn eine Anwendung mit hohem Schutzbedarf auf mehrere Systeme verteilt ist.
- Auf dem betreffenden IT-System werden möglicherweise weniger wichtige Teile dieser Anwendung ausgeführt.
- Bei Anwendungen, die personenbezogene Daten verarbeiten, könnten weniger kritische Komponenten existieren, in denen Daten nur in pseudonymisierter Form verwendet werden.
- In solchen Fällen kann der Schutzbedarf des IT-Systems niedriger sein, da die kritischen Teile der Anwendung anderswo ausgeführt werden und auf diesem System weniger sensible Daten verarbeitet werden.
## Gebote fuer Datensicherheit und Datenschutz nach BDSG
### Benutzerkontrolle:
Verhinderung der Nutzung mithilfe von Einrichtungen zur Datenuebertragung durch Unbefugte
- Automatische Systemsperren
- Firewall
- sichere Passwoerter
- Mehrfaktor-Authentifizierung
- Sperren von Geraeteanschluessen
- Antiviren-Programme
### Zugriffskontrolle
Ausschliesslich Berechtigte duerfen in Abh. von ihrem Zugangsberechtigung zu personenbezogenen Daten Zugang haben
- Berechtigungskonzepte (Direkt- und Fernzugriff)
- Pseudonymisierung (z.B. mit Pseudonym, Nummer, o.ae)
- Verschluesselung von Datentraegern
- Gesicherte Schnittstellen
- Protokollierung von Zugriffen
### Uebertragungskontrolle/Weitergabekontrolle:
Gewaerleistung, dass ueberprueft werden kann an welche Stellen personenbezogene Daten uebermittelt oder zur Verfuegung gestellt werden und wurden
- Firewall
- sichere Protokolle
- Richtlinien zum Transport von Datentraegern
- Verschluesselung
- VPN
### Eingabekontrolle:
Gewaerleistung, dass nachtraeglich geprueft werden kann, zu welcher Zeit und von wem eingegeben und veraendert worden sind
- Protokolle
- Log-Dateien
## Risikobehandlung
| Begriff | Erklärung |
| -------- | -------- |
| Reduktion | Umsetzung von zusätzlichen Massnahmen; die die EIntrittshäufigkeit senken oder die Auswirkunen reduzieren |
|Akzeptanz|Restrisiken können von der Geschäftsführung akzeptiert werden; hierzu ist es erforderlich, dass die Geschäftsführung fundiert, vollständig, transparent und verständlich über die Restrisiken samt Folgen informaiert wird|
|Transfer|Anwälzung des Risikos auf externe Risikoträger (Versicherung, Zulieferer, ...)|
|Vermeidung| Nur, wenn Risiko nicht akzeptabel oder keine günstigeren Alternativen; Risiken aus dem Geltungsbereich des Informationsverbundes ausschliessen; Auf Produktion und Absatz verzichten|
### Weitere Begriffe:
**Risikodiversifikation**: Das Risiko wird in mehrere, nicht miteinander positiv korrelierende Einzelrisiken gespalten
**Risikodeckung/-vorsorge**: Ansammlung von ausreichendem Eigenkapital, um den Risikoeintritt durch Selbsttragen aussitzen zu können
Sign in with Wallet
Connect another wallet