LF4

Schutzbedarfsanalyse im eigenen Arbeitsbereich durchführen

• IT-Sicherheit und Datenschutz
• Schutzbedarfsanalyse
• Sicherheitsmechanismen / TOM

https://johannesloetzsch.github.io/LF4

Ziele

Rahmenlehrplan:

„Die Schülerinnen und Schüler verfügen über die Kompetenz, mit Hilfe einer bestehenden Sicherheitsrichtlinie eine Schutzbedarfsanalyse zur Ermittlung der Informationssicherheit auf Grundschutzniveau in ihrem Arbeitsbereich durchzuführen.“

• betriebliche Vorgaben und rechtliche Regelungen zur IT-Sicherheit und zum Datenschutz einhalten

• Bedrohungsszenarien erkennen und Schadenspotenziale unter Berücksichtigung wirtschaftlicher und technischer Kriterien einschätzen

  • Kunden und Kundinnen im Hinblick auf Anforderungen an die IT-Sicherheit und an den Datenschutz beraten

• Sicheheitsanforderungen von IT-Systemen analysieren und Maßnahmen zur IT-Sicherheit ableiten, abstimmen, umsetzen und evaluieren

  • Sicherheitsmechanismen insbesondere Zugriffsmöglichkeiten und -rechte festlegen und implementieren

• Wirksamkeit und Effizienz der umgesetzten Maßnahmen zur IT-Sicherheit und zum Datenschutz prüfen

Prüfungskatalog:

(Stand: 2. Auflage 2024)

• (AP1/06/01) Betriebliche Regelungen zur IT-Sicherheit auf Grundschutzniveau im eigenen Arbeitsbereich analysieren, anwenden und ihre Einhaltung überprüfen:
  • TOM, personelle Maßnahmen
  • ISO 2700X, BSI IT-Grundschutz
  • DSGVO, BDSG
• (AP1/06/02) Schutzbedarfsanalyse im eigenen Arbeitsbereich durchführen für
  • Anwendungen
  • IT-Systeme
  • Räume
  • Kommunikationsverbindungen
• (AP1/06/03) Modellierung eines arbeitsplatzbezogenen Sicheheitskonzeptes nach BSI-Grundschutz
  • Bausteine aus dem Grundschutzkatalog
  • Schutzbedarfskategorien
  • IT-Sicheheitsmanagementsystem implementieren
  • Betrieblicher IT-Sicherheitsbeauftragter
• (AP1/06/04) Umsetzung des arbeitsplatzbezogenen Sicherheitskonzeptes unterstützen können
  • Schaffung eines Sicherheitsbewusstseins bei den Mitarbeitern
  • Security by Design & Security by Default
  • Backup, Sicherung der Verfügbarkeit
  • Zugangs- und Zugriffskontrolle
  • Verschlüsselungstechniken (symmetrisch, asymmetrisch, Zertifikate, CA
• (AP2AE1/04/01)
• (AP2AE1/04/02)
• (AP2AE1/04/03)
• (AP2AE1/04/04)
• (AP2AE1/04/05)
• (AP2AE1/04/06)
• (AP2AE2/01/03 -> LF9) Netzwerkkonzepte (-topologien, -infrastrukturen) benennen und charakterisieren
  • VLAN
  • Sicherheit in Drahtlosnetzen
  • Sicherheitskonzepte und -risiken
• (AP2AE2/01/06 -> LF9) Standortübergreifende und -unabhängige Kommunikation situationsgerecht auswählen und einrichten können
  • VPN-Modelle
  • Tunneling
  • IPsec
• (AP2AE2/01/09) Risiken identifizieen, Maßnahmen planen und Ausfallwahrscheinlichkeiten berücksichtigen
  • PDCA-Zyklus
  • MTBF/AFR
  • Notfallkonzept (Disaster Recovery)
• (AP2AE2/01/10 -> LF9) Maßnahmen zur Sicherstellung des Betriebes beurteilen können
  • USV, Raid
  • Backups
• (AP2AE2/01/11 -> LF12) Monitoringsysteme anwenden und Ergibnisse interpretieren können
  • Festlegen der Monitoringdaten
  • SNMP, S.M.A.R.T
  • Systemlastanalyse
  • Predictive Maintainance
  • Ressourcenengpässe
  • Festlegen von Schwellwerten
• (AP2AE2/01/12 -> LF12) Monitoringergebnisse analysieren und korrektive Maßnahmen bestimmen können
  • SOP
  • SLA, Service Level 1-3
  • Incident Management (Ticketsystem)
  • Eskalationsstufen
• (AP2AE2/02/01) TOM
  • Berechtigungskonzepte, Organisationsstrukturen (Zugang, Zutritt, Zugriff)
• (AP2AE2/02/02) Möglichkeiten der physischen/hardwareteschnischen Absicherung benennen
  • Zugangskontrollen
  • Elementarrisiken
• (AP2AE2/02/03) Möglichkeiten der softwaretechnischen Absicherung implementieren können
  • User-

Plan

40UE -> 1 doppelte + 3 einfache Noten

Zeitplan

gantt
 title LF4 November 2025 (3 Tage)
 dateFormat YYYY-MM-DD
 axisFormat %d.%m.
 section Mo 27.10.
  Einführung                      :2025-10-27, 1h
  Datenschutz und Datensicherheit :2025-10-27, 2h
 section Mo 03.11.
  besondere Datenkategorien, Meldepflichten, Verantwortlichkeiten  :2025-11-03, 2h
 section Mi 05.11.
  Datensparsamkeit, Sicherheitsgrundlagen, IS(M), Gefährdungen   :2025-11-05, 3h
 section Do 06.11.
  BSI-Grundschutz, Schutzbedarfsanalyse  :2025-11-06, 3h
 section Fr 07.11.
  TOM, Endgerätesicherheit, Redundanz  :2025-11-07, 6h
  SOL Praxisbeispiele             :crit, milestone, 2025-11-07, 2h

gantt
 title LF4 Dezember 2025 (2 Tage)
 dateFormat YYYY-MM-DD
 axisFormat %d.%m.
 section Mi 03.12.
  Kryptographie                   :2025-12-03, 3h
 section Do 04.12.
  Authentifizierung               :2025-12-04, 3h

gantt
 title LF4 Januar 2026 (4 Tage)
 dateFormat YYYY-MM-DD
 axisFormat %d.%m.
 section Do 22.01.
  TLS, Mail, WLAN                 :2025-01-22, 3h
 section Fr 23.01.
  VPN, Prüfen                     :2025-01-23, 4h
  SOL Schutzbedarfsanalyse        :crit, milestone, 2025-01-23, 2h
 section Mi 28.01.
  Q&A, Wiederholung               :2025-01-28, 3h
 section Do 29.01.
  Klassenarbeit                   :crit, milestone, 2025-01-29, 2h
  Vorstellung Praxisprojekte      :crit, 2025-01-29, 1h

gantt
 title LF4 März 2026 (3 Tage)
 dateFormat YYYY-MM-DD
 axisFormat %d.%m.
 section Do 12.03.
  Praxis                            :2025-02-12, 3h
 section Fr 13.03.
  Praxis                            :2025-02-13, 4h
  SOL Projektabschluss              :crit, milestone, 2025-02-13, 2h
 section Mi 18.03.
  Projektpräsentation               :crit, milestone, 2025-02-18, 3h

Leistungsnachweise

• Klassenarbeit (doppelte Wertung, 90min, handschriftlich)

  • erlaubte Hilfsmittel: Fact sheet (1 A4-Blatt, einseitig beschrieben)

  • Themen: Alles was im Unterricht bis dahin behandelt wurde…

  • Schwerpunkte (bisher vermittelter Inhalte — wird schrittweise ergänzt):

    • Datenschutz & Datensicherheit: Begriffsunterscheidung
    • Datenschutz: relevante Gesetze
    • Prinzipien: Verbot mit Erlaubnisvorbehalt, Grundsätze für die Verarbeitung, Betroffenenrechte, besonderer Kategorien personenbezogener Daten, Melde-/Benachrichtigungspflichte
    • Datenverarbeitungsprozesse: Menschen- und Maschinenlesbaren Datenformate
    • EMail: TO/CC/BCC, Mailinglisten, FROM, Verschlüsselung

• Schutzbedarfs- und Risikoanalyse (einfache Wertung)

• Projektpräsentation

  • fachliche Leistung (einfache Wertung)
  • Mitarbeit (einfache Wertung)

Datenschutz & Datensicherheit (DuD)

❓❗ Wie unterscheiden sich Datenschutz und Datensicherheit?

Datenschutz

(Schutz der Privatsphäre)

=> Schutz vor missbräuchlicher Verwendung personenbezogener Daten

=> Schutz des Grundrechts auf Privatsphäre und informationelle Selbstbestimmung

=> Schutz natürliche Personen gegenüber staatlichen Überwachungsmaßnahmen sowie Datenmonopolen und Missbrauch durch Privatunternehmen

Datensicherheit

(Informationssicherheit)

=> Vertraulichkeit, Verfügbarkeit, Integrität, …

=> von Daten und Datenverarbeitenden Systemen

=> Schutz vor vielseitigen Gefahren (Bedrohungen) mit Ziel der Vermeidung (Minimierung) von Risiken und Schäden

💡 Erklärung der Begriffe Datenschutz und Datensicherheit durch Prof. Andreas Pfitzmann

Datenschutz

• Geschichte
• Gesetzliche Bestimmungen
  • Datenschutz-Grundverordnung (DSGVO)
  • Bundesdatenschutzgesetz (BDSG)
  • weitere Gesetze
    • Landesdatenschutzgesetze
    • IT-Sicherheitsgesetz (IT-SIG)
    • BSI-Gesetz (BSIG)
    • Telekommunikationsgesetz (TKG)
    • Digitale-Dienste-Gesetz (DDG)
    • Cyber Resilience Act (CRA)
• Umsetzung

Geschichte

💬 Warum ist Datenschutz für Individuen und Gemeinwohl wichtig?

Hippokratischer Eid (Antike):

„Was ich bei der Behandlung sehe oder höre oder auch außerhalb der Behandlung im Leben der Menschen, werde ich, soweit man es nicht ausplaudern darf, verschweigen und solches als ein Geheimnis betrachten.“

• 1949 Grundgesetz
  • Artikel 1 (1) „Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.“
  • Artikel 2 (1) „Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.“
  • Artikel 10 (1) „Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich.“

• 1950 Europäische Menschenrechtskonvention
  • Artikel 8 (1) „Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.“

• 1970 weltweit erstes Datenschutzgesetz (in Hessen)
• 1977 Bundesdatenschutzgesetz

• 1983 Volkszählungsurteil => „Recht auf informationelle Selbstbestimmung“
  • „Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. […] Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist. Hieraus folgt: Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus.“

• 2008 Bundesverfassungsgerichtsurteil zur Online-Durchsuchung (Bundestrojaner) => „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ (Grundrecht auf digitale Intimsphäre)

• 2009 Charta der Grundrechte der Europäischen Union
  • Artikel 8 (1) „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“
  • Artikel 8 (2) „Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.“

• 2018 Datenschutz-Grundverordnung

💡 Podcast Datenschutzgeschichte

• 2024 Cyber Resilience Act (CRA)

  • gilt ab dem 11.12.2027

Gesetzliche Bestimmungen

❓❗ Welche Datenschutzgesetze gelten in Deutschland?

Datenschutz-Grundverordnung (DSGVO)

=> hat Anwendungsvorrang vor dem BDSG

=> gilt im Europäischen Wirtschaftsraum

Bundesdatenschutzgesetz (BDSG)

=> ergänzt und präzisiert die DSGVO

weitere Gesetze

Landesdatenschutzgesetze

IT-Sicherheitsgesetz (IT-SIG)

BSI-Gesetz (BSIG)

Telekommunikationsgesetz (TKG)

Digitale-Dienste-Gesetz (DDG)

=> ersetzt das Telemediengesetz (TMG)

Cyber Resilience Act (CRA)

Umsetzung

flowchart TB
Datenschutz --> rds[Rechtlicher Datenschutz]
Datenschutz --> tds[Technischer Datenschutz] --> mls[Multilaterale Sicherheit]

Prinzipien

💡 Grundlagen des Datenschutzrechts

• Rechtmäßigkeit der Verarbeitung
  • Verbot mit Erlaubnisvorbehalt
• Grundsätze für die Verarbeitung personenbezogener Daten
  • a) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • b) Zweckbindung
  • c) Datenminimierung
  • d) Richtigkeit
  • e) Speicherbegrenzung
  • f) Integrität und Vertraulichkeit
• Betroffenenrechte
  • Recht auf Information
  • Recht auf Auskunft
    • Recht auf Datenübertragbarkeit
  • Recht auf Berichtigung
  • Recht auf Löschung / "Recht auf Vergessenwerden"
    • Recht auf Widerspruch
    • Recht auf Einschränkung der Verarbeitung
• Verarbeitung besonderer Kategorien personenbezogener Daten
• Melde-/Benachrichtigungspflichten

Rechtmäßigkeit der Verarbeitung

(Art. 6 DSGVO)

❓❗ Unter welchen Bedingungen ist eine Speicherung oder Verarbeitung von personenbezogenen Daten erlaubt?

Verbot mit Erlaubnisvorbehalt

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Grundsätze für die Verarbeitung personenbezogener Daten

(Art. 5 DSGVO)

❓❗ Was muss bei der Speicherung oder Verarbeitung von personenbezogenen Daten berücksichtigt werden?

a) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

=> siehe Art. 6 DSGVO (Verbot mit Erlaubnisvorbehalt)

=> Es muss Betroffenen möglich sein, den Prozess der Verarbeitung und Zusammenhänge zu überblicken und verstehen (Wann wurden durch wen welche Daten warum verarbeitet?)

b) Zweckbindung

=> Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke

c) Datenminimierung

=> „dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“

d) Richtigkeit

=> „es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“

e) Speicherbegrenzung

=> Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“

f) Integrität und Vertraulichkeit

=> „angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“

Betroffenenrechte

(Art. 12 bis 23 DSGVO)

❓❗ Welche Rechte haben von Datenverarbeitung betroffene Personen gemäß DSGVO?

💬 Welche Konsequenzen ergeben sich für Diensteanbieter aus den Betroffenenrechten?

📝❗ FiSi AP2 Konzeption Sommer 2022 Aufgabe 3bc

Recht auf Information

(Art. 13 DSGVO)

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln […]

Recht auf Auskunft

(Art. 15 DSGVO)

=> betroffene Person dürfen von dem für die Datenverarbeitung Verantwortlichen Auskunft darüber verlangen, welche Daten über Sie gespeichert werden

Recht auf Datenübertragbarkeit

(Art. 20 DSGVO)

(1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln […]

Recht auf Berichtigung

(Art. 16 DSGVO)

=> wenn gespeicherte Daten unrichtig sind, so können Sie deren unverzügliche Berichtigung verlangen

Recht auf Löschung / "Recht auf Vergessenwerden"

(Art. 17 DSGVO)

„(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:“

Gründe a) bis f)

Recht auf Widerspruch

(Art. 21 DSGVO)

(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen

Recht auf Einschränkung der Verarbeitung

(Art. 18 DSGVO)

=> Wenn die Berichtigung falscher Daten verlangt oder Widerspruch gegen die Verarbeitung eingelegt wurde, muss die Verarbeitung der Daten vom Verantwortlichen bis zum Abschluss seiner Prüfung eingeschränkt werden

💡 Hervorragende Beispielprojekte (Vorträge), wie erfolgreicher Lobbyismus für digitale Rechte durch Nutzung der Betroffenenrechte aussehen kann :)

Verarbeitung besonderer Kategorien personenbezogener Daten

(Art. 9 DSGVO)

❓❗ Welche Daten sind über das bisher gelernte hinaus besonders zu schüzten?

Folgende Kategorien von Daten, die ein besonders hohes Risiko für die Grundrechte und Freiheiten der betroffenen Personen darstellen, unterliegen einem besonders hohem Schutzbedarf:

• rassische und ethnische Herkunft
• politische Meinungen, Gewerkschaftszugehörigkeit
• religiöse oder weltanschauliche Überzeugungen
• Gesundheitsdaten, genetische Daten, biometrischen Daten
• Daten zum Sexualleben oder der sexuellen Orientierung

Melde-/Benachrichtigungspflichten

im Falle einer Verletzung des Schutzes personenbezogener Daten

❓❗ Welche Pflichten hat der für die Verarbeitung von Daten Verantwortliche, wenn bekannt wird, dass Daten unsachgemäß geschützt wurden?

(Art. 33 DSGVO)

• binnen 72 Stunden an zuständigen Aufsichtsbehörde
• unverzüglich an Verantwortlichen (bei Auftragsverarbeitung)
• unverzüglich an Betroffenen (falls hohes Risiko für die persönlichen Rechte und Freiheiten, siehe Art. 34 DSGVO)

❓ Wie gehe ich damit um, wenn mir Sicherheitslücken / Datenschutzvergehen in fremden Projekten auffallen?

💡 Empfehlungen:

• Responsible Disclosure
• disclosure@ccc.de

💡 Quiz Show zu Datenschutz

Verantwortlichkeiten

💡 Leitlinie des BfDI

• „Verantwortlicher“
• Auftragsverarbeiter
• Datenschutzbeauftragte
• Aufsichtsbehörden

„Verantwortlicher“

(Art. 4 Abs. 7 DSGVO)

„[…] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]“

=> Geschäftsführung (+ Mitarbeiter)

Muss:

• Datenschutzgrundsätze einhalten und Rechenschaft über deren Einhaltung ablegen
• Dokumentation der Verarbeitungstätigkeiten führen
  • bei hohem Risiko eine Datenschutz-Folgenabschätzung vornehmen
• Ausübung von Betroffenenrechten ermöglichen
  • Datenschutzverletzungen melden
• ggf. einen Datenschutzbeauftragten benennen

Kann:

• Auftragsverarbeiter beauftragen

Auftragsverarbeiter

Auftragsverarbeitung:

• erfordert Vertrag (Auftragsverarbeitungsvertrag (AVV) oder Datenschutz-Anhang (data protection addendum) an Hauptvertrag)
• Auftraggeber bleibt für die Verarbeitung der personenbezogenen Daten verantwortlich und haftbar

Der Auftragsverarbeiter ist verpflichtet:

• die von der verantwortlichen Stelle erteilten Aufträge genau befolgen
  • personenbezogene Daten nur zu den im Auftrag festgelegten Zwecken verarbeiten
• angemessene technische und organisatorische Maßnahmen zu ergreifen

Datenschutzbeauftragte

(Art. 37 DSGVO)

(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,

b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten […]

§ 38 BDSG erfordert zusätzlich die Benennung eines Datenschutzbeauftragten

[…] soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen […]

(5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

(6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

Aufgaben (Art. 39 DSGVO):

• unterrichtet und berät das Unternehmen
• überwacht die Einhaltung von Datenschutzvorschriften und die Strategie
• Anlaufstelle für Aufsichtsbehörden und Betroffene

Aufsichtsbehörden

• Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)
• Landesdatenschutzbeauftragte

Datenvermeidung und Datensparsamkeit

Die DSGVO schreibt Datenminimierung (dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt) und Speicherbegrenzung („in einer Form gespeichert, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“) vor.

💬❗ Wie können Datenminimierung und Speicherbegrenzung umgesetzt werden?

Privacy by Default

(Art. 25 DSGVO)

=> Datenschutzfreundliche Voreinstellungen

Opt-in statt Opt-out

=> ausdrückliches Zustimmung statt ablehnen müssen

Privacy by Design

=> Datenschutz durch Technikgestaltung

❓❗ Wie geht man vor, wenn man ein System datenschutzfreundlich implementieren will?

• nicht benötigte Funktionalität (Datenspeicherung und Verarbeitung) weglassen (KISS-Prinzip)
• Funktionstrennung, Anonymisierung
• datenschutzfreundliche Architekturen, Protokolle, Prozesse
  • Sicher nach „Stand der Technik“

💡 Anforderungen an datenschutzfreundliche Systeme

• Zweckbindung
• Datenminimierung
• Speicherbegrenzung

Beispielprojekte

Anonymität & Pseudonymität

Datensicherheit

(IT-Sicherheit / Cyber-Security)

• Safety vs. Security
• „Schutzziele“ / „Hauptziele“ / „Grundwerte“
• Relative Sicherheit
• „Stand der Technik“
• Compliance und Qualität
• Berechnung des Nutzens von Sicherheit

Safety vs. Security

flowchart TB
  subgraph Safety[Betriebssicherheit]
    **Safety**
  end
  subgraph Security[Angriffssicherheit]
    **Security**
  end
  Sicherheit --> Safety 
  Sicherheit --> Security

„Schutzziele“ / „Hauptziele“ / „Grundwerte“

flowchart TB
  subgraph Verfügbarkeit[Schutz vor Ausfall]
    **Verfügbarkeit**
  end
  subgraph Integrität[Schuzt vor Manipulation]
    **Integrität**
  end
  subgraph Vertraulichkeit[Schutz der Geheimhaltung]
    **Vertraulichkeit**
  end
  Sicherheit --> Verfügbarkeit -..-> r[(&nbsp;<br>Redundanz<br>&nbsp;)]
  Sicherheit --> Integrität -..-> s[(&nbsp;<br>Signaturen + Authentifizierung)]
  Sicherheit --> Vertraulichkeit -..-> v[(&nbsp;<br>Verschlüsselung<br>&nbsp;)]

Relative Sicherheit

„Sicherheit ist stets relativ – absolute Sicherheit gibt es ebenso wenig wie absolute Freiheit oder absolute Unabhängigkeit.

Unsicherheit hingegen kann sich viel stärker der Absolutheit nähern als Sicherheit.“

„Stand der Technik“

=> entwickelt sich mit der Fortschritt der Technologie weiter

=> Einsatz von modenen und effektiven Sicherheitsmaßnahmen nötig

=> kontinuierlicher Verbesserungsprozess (KVP)

=> plan–do–check–act (PDCA)

💡 aktuelle Empfehlungen des BSI:

BSI TR-02102 „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“

Compliance und Qualität

Sicherheit erfordert Compliance (einhalten von Regeln) und Qualität

flowchart TB
  subgraph Qualitätssicherung[proaktive Maßnahmen]
    **Qualitätssicherung**
  end
  subgraph Qualitätskontrolle[reaktive Überprüfung]
    **Qualitätskontrolle**
  end
  Qualität --> Qualitätssicherung
  Qualität --> Qualitätskontrolle

Berechnung des Nutzens von Sicherheit

Erwartetungswert_Schaden = ∑ Wahrscheinlichkeit_{Schadenseintritt} * Schadenshöhe_Schadensfall

IT-Sicherheitsmanagement (ISM)

=> fortlaufenden Prozess innerhalb einer Unternehmung oder Organisation zur Gewährleistung der IT-Sicherheit

=> für KRITIS verpflichtend

ISO 27001

(internationale Norm)

=> spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems

BSI IT-Grundschutz

=> vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte, frei verfügbare Vorgehensweise um ein Informationssicherheits-Managementsystem umzusetzen

Die IT-Grundschutz-Methodik (nach BSI-Standard 200-2) etabliert drei Vorgehensweisen um um ein ISMS umzusetzen:

Basis-Absicherung

=> vereinfachter Einstieg (grundlegende Erst-Absicherung)

Kern-Absicherung

=> Einstieg, der besonders gefährdete Geschäftsprozesse und Assets vorrangig absichert

Standard-Absicherung

=> kompletter Sicherheitsprozess, der als Grundlage für Zertifizierung nach ISO 27001 dienen kann

Informationssicherheitsbeauftragter (ISB)

(IT-Sicherheitsbeauftragter, IT-Security Officer)

=> Lehrgang gemäß ISO 27001 und BSI IT-Grundschutz

=> Prüfung u.A. durch TÜV und DEKRA

Aufgaben:

• Erstellung des Sicherheitskonzepts koordinieren
• sicherheitsrelevante Projekte koordinieren
• sicherheitsrelevante Vorfälle untersuchen
• Sensibilisierungen und Schulungen zur Informationssicherheit

Notfallmanagement

💡 IT-Notfallkarte "Verhalten bei IT-Notfällen"

💡 BSI: TOP 12 Maßnahmen bei Cyber-Angriffen

💡 BSI: Einstieg ins IT-Notfallmanagement für kleinere und mittelständische Unternehmen

💡 BSI-Standard 100-4 Notfallmanagement

Gefährdungen

(potentieller Schaden / Schadenspotenziale)

• Gefährdungen mit besonderer Relevanz für die IHK-Prüfung
  • Malware, Ransomware, Trojaner
  • Phishing
  • DoS, DDoS
• Ausblick: Supply Chain Vulnerabilities
  • Beispiel: Israel’s Pager Attacks
  • Beispiel: XZ Utils Backdoor
  • Beispiel: GlassWorm
  • Nötige Maßnahmen
• Links zum Thema

💡 In der IT-Grundschutz-Methodik werden 47 Elementare Gefährdungen behandelt

Gefährdungen mit besonderer Relevanz für die IHK-Prüfung

Malware, Ransomware, Trojaner

Phishing

DoS, DDoS

Ausblick: Supply Chain Vulnerabilities

Beispiel: Israel’s Pager Attacks

Beispiel: XZ Utils Backdoor

💡 weitere Beispiele (aus LF11b 2024)

Beispiel: GlassWorm

💡❗ „Told You So“:

• ReflectionsOnTrustingTrust (original paper 1984)
• Quines (executable example and explanation 2009)
• Diverse Double-Compiling (2009)
• ReflectionsOnTrustingTrust (lecture 2019)

Nötige Maßnahmen

=> (Software) Bill of Materials (SBOM)

=> Cyber Resilience Act (CRA)

Links zum Thema

💡 weitere Ursachen und Praxisbeispiele

Threat Models / Bedrohungsszenarien => Angreifermodelle

❓❗ Für mein Projekt (mein System, meine Software, meine Nutzer), von welchen Szenarien muss ich ausgehen?

Welche Angreifer mit welchen Fähigkeiten sind realistisch zu erwarten?

💡 Praxisbeispiele: Sequoia-PGP

KRITIS & Hybride Kriegsführung

💡 Reportage: „Die gefährlichsten Hacker der Welt“

(Главное разведывательное управление / GRU / Hauptverwaltung für Aufklärung)

💡 Hybride Kriegsführung gegen Deutschland?!

Werkzeuge zur Modellierung

💡 OWASP Threat Modeling Project

BSI-Grundschutz

* Sicherheitsprozess
* Kriterien Schutzbedarfsanalyse
* Schutzbedarfskategorien

Schutzbedarfsanalyse

TOM

* Verschrottung von Datenträgern
* Sandbox

* Endpoint-Security
* Betriebssystemhärtung
* Device Security Check
* Sicherer Start, Vertrauenswürdiger Start, Early Launch Antimalware, Kontrollierter Start

Endgerätesicherheit

Redundanz

Backups

Kryptographie

* Hash
  * SHA, MD5
* Salt

* Symmetrische, Asymmetrische, Hybride Verschlüsselung
  * AES, DES

* Signaturen
* Zertifikate
* PKI

Authentifizierung

* Authentifizierung / Authorizierung
* Zugangskontrolle / Zugriffskontrolle

* Komplexitätsanforderungen für Passwörter / Passwortrichtlinien
* Passwortmanager

* chmod

* MFA
* SSO

* OAuth2

Praxisbeispiele

SSL/TLS

E-Mail

* Protokolle -> TLS
* Voraussetzung für Prüfung auf unerwünschte Inhalte

* FROM (Authentizität, Integrität)
* Vertraulichkeit
* TO/CC/BCC, Mailinglisten

WLAN

* WPA, WPA2, WPA3
  * Personal / Enterprise
* Radius
* AES, TKIP, SAE
* Absicherung

VPN

* End-to-End, End-to-Site, Site-to-Site

selbst organisierten Lernen

💬 Was verstehen Sie unter gutem Unterricht?

❓❗ Was hilft Ihnen beim lernen und lehren?

• Erklärung
• Praxisbeispiel
• Aus Perspektive der Lehrkraft
  • CORE-Prinzip
• Was erwarte ich von Ihnen?

Erklärung

💡 Erklärung des Konzeptes „SOL“

Praxisbeispiel

Aus Perspektive der Lehrkraft

CORE-Prinzip

💡 Anregung: Studieren nach dem CORE-Prinzip

Was erwarte ich von Ihnen?

❗ Hinweise für SOL (insbesondere Hausaufgaben am Fr 7.+8. UE):

• Fristgemäße Abgabe der eigenen Ergebnisse
  • in ILIAS oder auf dort verlinkter Website (z.B. git-Repo)
• Vorbereitet sein, die Ergebnisse in der nächsten Unterrichtsstunde zu präsentieren
  • keine Präsentationsfolien nötig (!)
  • lieber das eigene Arbeitsmaterial (Notizen, Dokumentation, lauffähige Praxisprojekte, …) vorführen
• Eigenmotivation für die gewählte SOL-Umsetzung begründen können
• Den Mitschülern ermöglichen, viel voneinander zu lernen
  • dafür die eigene Arbeit so anfertigen, dass erklärt werden kann:
    • Was habe ich gelernt?
    • Wie kommt man zu dem Ergebnis?
    • Wo findet man hilfreiche Informationen zum Thema?

Gruppenarbeiten:

• Sind erlaubt und erwünscht
• Bitte in der Abgabe dokumentieren, wer welchen Anteil beigetragen hat
  • Jedes Teammitglied muss in der Lage sein, einen wesentlichen Teil der gemeinsamen Arbeit zu präsentieren

Open Educational Resources (OER)

• Werkzeuge
  • LiaScript
  • Meine Toolchain
  • Weitere (Empfehlungen aus LF3)
  • proprietäres Wissensmanagement
• Frei nutzbare Lernmaterialien
  • Für Fachinformatiker
    • Programmieren
    • Netzwerke
    • Systemintegration
  • Schulstick
  • LiaBooks

💡 Im folgenden Vortrag wurde das Konzept von Open Educational Resources (OER) sehr schön erklärt:

❓❗ Erklären Sie den Unterschied, zwischen Menschen- und Maschinenlesbaren Datenformaten. Nennen Sie jeweils Beispiele.

💡 Verbreitete Dateiformate, die mittels Pandoc ineinander convertiert werden können

❓💬 Welche Datenformate sind für Lerninhalte und zum organisieren von Projekten geeignet?

Begründen Sie ihre Aussagen.

Werkzeuge

LiaScript

Meine Toolchain

basiert auf:

• MDBook
• Nix Flakes
• .github/workflows CI/CD

Weitere (Empfehlungen aus LF3)

💡 HedgeDoc Instanz des C3D2

proprietäres Wissensmanagement

💡 Obsidian (basierend auf Markdown)

Frei nutzbare Lernmaterialien

Für Fachinformatiker

• Duale Ausbildung => LF1
• Datenschutz und Datensicherheit => LF4
  • Informatik und Gesellschaft, „Rolle im eigenen Betrieb“ => LF1, GK
• Linux-Praktikum => ZQL
• Git => LF5, LF7
• KI => LF1, LF2, LF4, LF5, LF7, …, GK, D/K, Eng

Programmieren

(LF5, LF7, LF8, AE)

• Python Tutorial => LF5

  • Professionelles Tooling => LF10a, LF11a, LF12

• Cyber-physische Systeme, IoT, Prozessorarchitektur (Computergrundlagen), KI => LF7

  • im Moment noch einschließlich LF8 Praxis (REST, SQL)

• Professionelles Javascript/Typescript tooling => faWeb, LF10a

• Rust als Erstsprache (git) => LF10a

• Prolog Tutorial — Einstieg in die Logikprogrammierung => LF11a

• Assembler Einführung => LF11a

Netzwerke

(LF3 + LF9)

• Kollaborative LF3 Planung + Dokumentation => LF3
• Netzwerk Themenabend (Grundlagen) => LF3
• Netzwerk Themenabend (Fortgeschritten) => LF9

Systemintegration

(LF10b, LF11b, LF12b)

• Verfügbarkeit und Skalierbarkeit von Diensten => LF10b

• Betrieb und Sicherheit vernetzter Systeme => LF11b

• zentralwerk.org — Lokales Infrastructure as code Beispiel => git repo

• Dresden Internet Exchange (DD-IX)

Schulstick

LiaBooks

Informatik und Gesellschaft (IuG)

💬 Mit welchen Themen beschäftigen Sie sich im Moment?

Was davon sollte für uns alle relevant sein?

💡 Interview über IuG und DuD mit Prof. Andreas Pfitzmann

💡 IuG-Lehrveranstaltung am DuD-Lehrstuhl der TU Dresden

Termine

💡💬 Welche Netzpolitischen Fragen werden gegenwärtig entschieden?

Welche Veranstaltungen zu relevanten Inhalten finden als nächstes in der Region statt?

• 13.11.2025 Themenabend SculptOS
• 06.12.2025 BSides Dresden — IT Security Conference
• 27.-30.12.2025 39th Chaos Communication Congress

• netzpolitik.org
• logbuch-netzpolitik.de
• media.ccc.de
• Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung
• Arbeitskreis für nachhaltige Digitialisierung Dresden
• dresden.network (Mastodon Instanz für alle aus Dresden und Umgebung)
• dresden.dein-input.de (kuratierte Veranstaltungsempfehlungen)
• dresden.wtf (Veranstaltungsaggregator / Crawler)

Beispielthemen

Chatkontrolle

aktuelle Vorträge über die Chatkontrolle

WikiLeaks

Fake News / Alternative Fakten, Abhängigkeit von globalen Lieferketten, KI, …

Datenschutzaspekte von IP

❓ Sind IP-Adressen „personenbezogene Daten“?

💬 Welche Datenschutzherausforderungen entstehen, wenn Sie Daten von einem Client über das Internet übertragen?

❓ Welche Datenschutzgesetze gelten für Serverbetreiber, wenn dieser Dienste für weltweite Nutzer anbietet?

❓ Wie kann ein Serverbetreiber ermitteln, aus welchem Land der Nutzer kommt?

❓ Was ist die IANA?

❓ Was ist das Whois-Protokoll?

Beschreiben Sie eine Datenschutzherausforderungen im Zusammenhang mit den Whois-Datenbanken.

💻 Probieren Sie die folgenden Befehle und erklären Sie, welche Unterschiede Sie in den Ergebnissen sehen.

whois google.de

whois google.com

💻 Welche öffentlichen IPv4 und IPv6 Adressen nutzt Ihr Gerät im Moment?

Welche Informationen sind über diese Adressen verfügbar?

💬 Welche Möglichkeiten kennen Sie, um möglichst privatsphärefreundlich im Internet zu surfen?

Prüfen / Testen

* Penatrationstests
* Honeypot