Datenschutz in der Informationstechnik: Eine Umfrage zum Datenschutzsiegel in Mecklenburg-Vorpommern

Der Arbeitskreis IT-Security der IT-Initiative Mecklenburg-Vorpommern hat mit Unterstützung des Landesbeauftragten für den Datenschutz und der PLANET IC GmbH vom 10.-31. Mai 2006 eine Umfrage zum Datenschutz in der Informationstechnik durchgeführt. Ziel dieser Erhebung ist es, den Kenntnisstand sowie den Bedarf an Normen, Standards und Zertifikaten zum Datenschutz in Mecklenburg-Vorpommern zu ermitteln und daraus Empfehlungen für das Land und die hier ansässigen Unternehmen, die auf dem Gebiet der Informationstechnologie ihr Geschäftsfeld haben, abzuleiten. Ein besonderer Schwerpunkt der Befragung ist die Ermittlung der Haltung der Unternehmen zu einem eigenen Datenschutzsiegel des Landes Mecklenburg-Vorpommern. --

Informationssicherheit – Grundlagen für Bibliotheken: Praxis-Überblick über den IT-Grundschutz-Standard

Für das Handlungsvermögen einer Bibliothek ist die Sicherheit der von ihr verarbeiteten Informationen zentral. Viele Einrichtungen wissen aber nicht, welche Daten verarbeitet werden oder wie es um deren Sicherheit bestellt ist. Mithilfe eines strukturierten Vorgehens auf Basis etablierter Standards kann Schritt für Schritt und nachvollziehbar dargelegt werden, ob die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen und der diese verarbeitenden Systeme ausreichend gewährleistet sind. Der Beitrag stellt exemplarisch vor, wie eine Bibliothek ihre Informationssicherheit nach dem Standard IT-Grundschutz 200-2 des Bundesamtes für Sicherheit in der Informationstechnik dokumentieren kann

Leitlinie zur Informationssicherheit der Landesverwaltung des Landes Berlin (Informationssicherheitsleitlinie – InfoSic-LL)

LEITLINIE ZUR INFORMATIONSSICHERHEIT DER LANDESVERWALTUNG DES LANDES BERLIN (INFORMATIONSSICHERHEITSLEITLINIE – INFOSIC-LL) Leitlinie zur Informationssicherheit der Landesverwaltung des Landes Berlin (Informationssicherheitsleitlinie – InfoSic-LL) (Rights reserved) ( -

Entwicklung einer Diagnose-Shell zur Unterstützung von Informationssystemsicherheit

Im Rahmen der Arbeit wurde ein Expertisemodell des Managements der Informationssystemsicherheit (IS-Sicherheit) entwickelt und durch eine Diagnose-Shell operationalisiert. Es stand die Wissensrepräsentation und nutzung des IS-Sicherheitswissens zur Unterstützung des IS-Sicherheitsmanagements im Mittelpunkt. Hierfür wurden Methoden des Knowledge Engineering verwendet, um die IS-Sicherheitsstrategien durch diagnostische Problemlösungsmethoden zu beschreiben. Das benötigte IS-Sicherheitswissen wird durch IS-Sicherheitskonzepte repräsentiert. Die Modelle sind auf unterschiedlichen Abstraktionsstufen entwickelt worden, die zu einem epistemologischen Expertisemodell zusammengefasst worden sind. Es werden die drei Ebenen (Aufgaben-, Inferenz- und Domänen-Ebene) des Expertisemodells beschrieben und abgegrenzt. Die Aufgaben- und Inferenzebene beschreiben die Problemlösungsmethoden. Hierfür spezifiziert die Aufgabenebene das Ziel der Diagnose und deren Teilaufgaben. Es werden auf dieser Ebene generische Kontrollstrukturen bzw. Basis-Inferenzen (z.B. eines diagnostischen Problemlösungsprozesses) beschrieben. Eine Verfeinerung der Aufgabenebene bildet die Inferenzebene, die die Abhängigkeit zwischen Inferenzen und Wissens-Rollen darstellt. In der Domänenebene wird das domänenspezifische Wissen (z.B. das Sicherheitswissen) beschrieben, das zur konkreten Problemlösung (z.B. Schwachstellenanalyse oder Risikoanalyse) benötigt wird. Für die Problemlösung werden die Konzepte der Domänenebene, wie z.B. Schwachstellen oder Gefahren, auf die Wissens-Rollen der Problemlösungsmethoden überführt. Es wurde ein Entwurfsmodell für einen wissensbasierten Fragenkatalog entwickelt, das das Expertisemodell operationalisiert und die Grundlage für die spätere Implementierung darstellt. Hierfür werden die konventionellen, computergestützten Fragenkataloge durch eine wissensbasierte Regel-Komponente erweitert, die eine explizite Repräsentation von Abhängigkeitskonzepten ermöglicht. Darauf basierend wurde ein wissensbasierter Diagnose-Prototyp implementiert, der eine direkte Wissenseingabe und nutzung durch einen IS-Sicherheitsexperten unterstützt. Das wissensbasierte System kann auf Basis der Erhebung eine spezifische Problemlösung durchführen und automatisiert ein IS-Sicherheitskonzept erstellen

Entwicklung eines Common Criteria Schutzprofils für elektronische Wahlgeräte mit Paper Audit Trail

Mit dem Urteil vom 3. Marz 2009 hat das Bundesverfassungsgericht die bislang in der Bundesrepublik Deutschland eingesetzten Wahlgeräte für verfassungswidrig erklart. Grund für dieses Urteil war die fehlende Umsetzung des Prinzips der Öffentlichkeit der Wahl. Mit dem Urteil erklarte das Gericht jedoch nicht grundsätzlich den Einsatz elektronischer Wahlgeräte für verfassungswidrig. Im Rahmen des von der DFG geforderten Projekts ’VerKonWa’ wurde das EasyVote System entwickelt, welches den Öffentlichkeitsgrundsatz durch sogenannte Paper Audit Trails umsetzt. Im Rahmen dieser Arbeit berichten wir über die Erfahrung bei der Entwicklung eines Common Criteria Schutzprofils für elektronische Wahlgeräte mit Paper Audit Trails

Rechtliche Aspekte des Forschungsdatenmanagements Eine Einführung

Die Darstellung der rechtlichen Aspekte des Forschungsdatenmanagements ist vom C3RDM Competence Center of Research Data Management an der Universität zu Köln herausgegeben und soll einen ersten Einblick in die rechtlichen Fragestellungen bieten

Security and Privacy in the Smart Grid

Der vermehrte Einsatz von erneuerbaren Energien, welche nicht ständig verfügbar und nur begrenzt speicherbar sind, erschweren die Steuerung der Stromnetze. Zur Anpassung der Energieerzeugung an den tatsächlichen Bedarf werden Smart Grids („intelligente Stromnetze“) aufgebaut, die eine Steuerung des Energieverbrauchs in Abhängigkeit von der Verfügbarkeit ermöglichen. Die bereits vorhandenen Stromnetze werden hierzu um Kommunikationsnetze erweitert. Smart Meter („intelligente Stromzähler“) die beim Verbraucher eingesetzt werden, senden über die Kommunikationsnetze Messdaten zyklisch an die jeweiligen Stromnetzbetreiber. In Zukunft soll auch eine Steuerung von Haushaltsgeräten möglich werden. Daraus ergeben sich neue Herausforderungen in Bezug auf Sicherheit und Datenschutz. Die hier vorliegende Arbeit bietet eine kurze Einführung in die Grundlagen zum Thema Smart Grid. Es wird eine Referenzarchitektur definiert und die einzelnen Bestandteile des Smart Grids werden vorgestellt. Eine Auseinandersetzung mit den rechtlichen und regulatorischen Rahmenbedingungen sowie ein Überblick über den Stand der Entwicklungen intelligenter Stromnetze, insbesondere der Verbreitung von Smart Metern, vervollständigt die Grundlagen. Zusätzlich werden wesentliche Aspekte von Sicherheit und Datenschutz angesprochen. Darauf aufbauend wird die Sicherheit in Smart Grids untersucht. Hierzu werden die Ursachen für Bedrohungen im Rahmen einer Bedrohungsanalyse anhand eines Szenarios analysiert. Abgeleitet von den Ergebnissen der Bedrohungsanalyse werden Risiken innerhalb einer Risikoanalyse evaluiert und Maßnahmen empfohlen, um die festgestellten Risiken zu bewältigenThe increased use of renewable energy sources, which are not constantly available and only limited storable complicate the management of power grids. Smart Grids allowing control of energy consumption depending on availability will be built up in order to adapt energy generation on the actual demand of energy. For this purpose existing power grids are extended by communications networks. Smart meters located at the customer are used to send data periodically to the respective power company via communication networks. For the future there are also plans to control household appliances. This results in new challenges in terms of security and privacy. The following thesis provides a brief introduction to the basics of smart grids. A reference architecture will be defined and individual components of the Smart Grid are presented. A discussion of the legal and regulatory framework as well as an overview about the the current state of development with already installed smart meters completes the Smart Grid basics. In addition, key aspects of security and privacy are addressed. On this basis the security of smart grids is investigated. For this purpose the causes of threats will be analyzed in a threat analysis based on a scenario. Derived from the findings of the threat analysis, risks are evaluated within a risk analysis. Finally measures are recommended to address the identified risks

Case Kritis - Fallstudien zur IT-Sicherheit in Kritischen Infrastrukturen

Kritische Infrastrukturen bilden das Rückgrat unserer Gesellschaft. Fallen sie aus, kaskadieren die Auswirkungen schnell und können katastrophale Folgen haben. Wie andere Unternehmen sind auch Kritische Infrastrukturen weitgehend von Informationstechnik durchdrungen und nicht selten von deren fehlerfreier Funktion abhängig. Es wundert somit nicht, dass auch der Gesetzgeber angemessene Maßnahmen verlangt. Aber welchen speziellen Herausforderungen stehen Kritische Infrastrukturen dabei gegenüber? Und wie kann diesen wirksam und effizient begegnet werden? Dieses Buch bündelt neun Lösungen aus der Praxis, die Good Practices von Betreibern Kritischer Infrastrukturen, beispielgebende Projekte und Technologien aufzeigen und deren Erfolgsfaktoren mögliche Antworten auf diese Fragen geben. Der Band enthält Fachbeiträge zu folgenden Themen: - Gesetzliche Anforderungen an die IT-Sicherheit in Deutschland und Europa - Stand der Technik im Bereich der IT-Sicherheit Kritischer Infrastrukturen - Umsetzung im Unternehmen: Von der IT-Sicherheit zu Innovatio