# 4.1 ## a) Der Paragraph 202c bezieht sich auf unter anderem auf 202a der besagt dass das beschaffen der Daten unbefugt sein muss dies ist bei einem Auftrag nicht der Fall (Wichtig ist diesen Auftrag schriftlich Festzuhalten). ## b) - Vage Formulierung: Gesetz kann legitime Sicherheitsforscher und IT-Experten bestrafen. (Fall CDU und CCC) - Einschränkung der Fähigkeiten von Sicherheitsexperten: Behinderung der Aufdeckung und Behebung von Schwachstellen. - Schwächung der IT-Sicherheit insgesamt: Gesetz behindert Entwicklung und Einsatz legitimer Sicherheitswerkzeuge. - Behinderung des Schutzes von Computersystemen und Netzwerken: Gesetz kann Anwendung sinnvoller Sicherheitsmaßnahmen erschweren. # 4.2 ## a) Edward Snowden und die Offenlegung von Informationen über Facebook und andere Branchenriesen: - Snowden ist ein ehemaliger Mitarbeiter der CIA und NSA, der geheime Informationen über die Überwachungspraktiken dieser Agenturen öffentlich gemacht hat. - Seine Enthüllungen haben eine globale Debatte über Datenschutz, Überwachung und die Rolle der Geheimdienste ausgelöst. - Bezüglich Facebook und anderen Technologieunternehmen hat Snowden die Verbindungen zwischen diesen Unternehmen und den Geheimdiensten offenbart. - Durch Programme wie PRISM hatte die NSA direkten Zugriff auf die Server dieser Unternehmen. - Persönliche Daten, die von diesen Unternehmen gesammelt wurden, wurden potenziell für Überwachungszwecke genutzt. ## b) Ungültigkeitserklärung des Safe Harbor-Abkommens: - Das Safe Harbor-Abkommen wurde vom Europäischen Gerichtshof für ungültig erklärt. - Der Hauptgrund war, dass es den Datenschutz der europäischen Bürger nicht ausreichend schützte. - Es gab Bedenken hinsichtlich der massiven Überwachung durch die US-Regierung und das Fehlen ausreichender Rechtsmittel für EU-Bürger gegen Missbrauch ihrer Daten. - Der Gerichtshof entschied, dass die allgemeine und undifferenzierte Sammlung von Daten nicht mit den Datenschutzgrundsätzen der EU vereinbar ist. ## c) Maximilian Schrems' Kritik am US-EU Privacy Shield: - Schrems hält das Abkommen für eine Neuauflage des alten Safe Harbor-Abkommens, das bereits für ungültig erklärt wurde. - Er kritisiert, dass das Privacy Shield nicht den gleichen Datenschutzstandard bietet wie das EU-Recht, insbesondere in Bezug auf das Prinzip der "wesentlichen Äquivalenz". - Er bemängelt das Fehlen wirksamer Rechtsmittel für EU-Bürger, die glauben, dass ihre Daten missbraucht wurden. - Schrems kritisiert auch, dass das Abkommen die Möglichkeit der massenhaften Überwachung durch die US-Regierung nicht ausschließt. # 4.3 ## a) Gestohlener USB-Stick mit verschlüsselten, personenbezogenen Daten - Ja, es ist eine Verletzung personenbezogener Daten gemäß Art. 4 Nr. 12 DSGVO, da die Daten entwendet wurden. - Die Informationspflicht kann abhängig von der Verschlüsselungsstärke und der Wahrscheinlichkeit eines unbefugten Zugriffs entfallen. - Meldepflichtig gemäß Art. 33 DSGVO: Ja, innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung. ## b) Mehrminütiger Stromausfall, dadurch zwischenzeitlich kein Zugriff auf Daten möglich - Nein, da keine Verletzung personenbezogener Daten vorliegt. - Keine Informationspflicht. - Keine Meldepflicht. ## c) Cyber-Angriff auf Krankenhaus, dadurch für 30 Minuten kein Zugriff auf Patientendaten - Ja, wenn die Integrität oder Verfügbarkeit der Daten beeinträchtigt wurde. - Informationspflicht gemäß Art. 34 Abs. 1 DSGVO: Ja, wenn die Verletzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. - Meldepflichtig gemäß Art. 33 DSGVO: Ja, innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung. ## d) Ransomware-Angriff, der Kundendaten verschlüsselt - Ja, da die Verfügbarkeit der Daten beeinträchtigt ist. - Informationspflicht gemäß Art. 34 Abs. 1 DSGVO: Ja, wenn die Verletzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. - Meldepflichtig gemäß Art. 33 DSGVO: Ja, innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung. ## e) Kontoauszug per Briefpost an falschen Kunden verschickt - Ja, da es zu einer unbefugten Offenlegung personenbezogener Daten gekommen ist. - Informationspflicht gemäß Art. 34 Abs. 1 DSGVO: Ja, wenn die Verletzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. - Meldepflichtig gemäß Art. 33 DSGVO: Ja, innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung. ## f) Werbe-E-Mail mit offenem Mailverteiler (CC statt BCC) - Ja, da es zu einer unbefugten Offenlegung personenbezogener Daten gekommen ist. - Informationspflicht gemäß Art. 34 Abs. 1 DSGVO: Ja, wenn die Verletzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. - Meldepflichtig gemäß Art. 33 DSGVO: Ja, innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung. # 4.4 a) Bedrohungen und mögliche Konsequenzen ohne Firewall: Eine Firewall ist ein wesentliches Sicherheitselement, das ein Netzwerk vor unerwünschten Zugriffen und Angriffen schützt. Ohne eine Firewall wäre ein Netzwerk (LAN) offen für verschiedene Bedrohungen, darunter: - Unautorisierte Zugriffe: Ohne eine Firewall könnten Hacker oder andere böswillige Akteure leicht auf das Netzwerk zugreifen und vertrauliche Informationen stehlen oder Schaden anrichten. - Malware-Infektionen: Ohne eine Firewall könnten Malware, Viren, Würmer und andere schädliche Software leicht in das Netzwerk eindringen und Daten beschädigen oder stehlen. - Denial-of-Service-Angriffe: Hacker könnten das Netzwerk mit übermäßigem Datenverkehr überfluten, was zu einem Ausfall des Netzwerks führen könnte. - Datenlecks: Ohne eine Firewall könnten vertrauliche Daten leicht aus dem Netzwerk herausfließen. (i) Assets: Die Assets, die durch den Kauf einer Firewall geschützt werden könnten, umfassen: - Vertrauliche Daten: Dies können Kundendaten, Finanzinformationen, geistiges Eigentum, Mitarbeiterdaten usw. sein. Diese Daten sind wertvoll, weil ihr Verlust oder ihre Kompromittierung zu finanziellen Verlusten, Rechtsstreitigkeiten und Reputationsschäden führen kann. - Netzwerkinfrastruktur: Die Hardware und Software, die das Netzwerk bilden, sind ebenfalls wertvolle Assets. Ein Angriff könnte diese Infrastruktur beschädigen und zu teuren Ausfallzeiten und Reparaturen führen. - Betriebszeit: Ein gut funktionierendes Netzwerk ist für die meisten Unternehmen von entscheidender Bedeutung. Ausfallzeiten können zu Produktivitätsverlusten und entgangenen Geschäftsmöglichkeiten führen. (ii) Adverse Actions: Die Assets könnten auf verschiedene Weisen kompromittiert werden, darunter: - Datendiebstahl: Hacker könnten versuchen, auf das Netzwerk zuzugreifen und vertrauliche Daten zu stehlen. - Datenbeschädigung: Schädliche Software oder böswillige Akteure könnten Daten beschädigen oder zerstören. - Dienstunterbrechung: Durch einen Denial-of-Service-Angriff könnte das Netzwerk lahmgelegt werden. (iii) Threat Agents: Die Threat Agents könnten umfassen: - Hacker: Personen mit technischen Fähigkeiten, die versuchen, auf das Netzwerk zuzugreifen, um Daten zu stehlen oder Schaden anzurichten. - Malware: Schädliche Software, die entwickelt wurde, um Daten zu stehlen oder zu beschädigen. - Insider: Mitarbeiter oder andere Personen mit Zugang zum Netzwerk könnten absichtlich oder unbeabsichtigt Schaden anrichten. b) Organisatorische Sicherheitsrichtlinien: Die organisatorischen Sicherheitsrichtlinien könnten umfassen: - Zugriffsrichtlinien: Regeln darüber, wer Zugang zum Netzwerk hat und welche Art von Zugang sie haben. - Passwortrichtlinien: Anforderungen an die Stärke und Häufigkeit der Passwortänderungen. - Richtlinien zur Incident Response: Verfahren für den Umgang mit Sicherheitsvorfällen, einschließlich der Identifizierung, Untersuchung und Behebung von Sicherheitsverletzungen. - Richtlinien zur Datensicherung: Anforderungen an die Häufigkeit und Methoden der Datensicherung. - Richtlinien zur Netzwerküberwachung: Anforderungen an die Überwachung des Netzwerkverkehrs und die Erkennung von Anomalien. c) Notwendige Annahmen: - Die Firewall wird korrekt konfiguriert und regelmäßig aktualisiert, um neue Bedrohungen abzuwehren. - Die Benutzer des Netzwerks befolgen die Sicherheitsrichtlinien und -verfahren. - Die Bedrohungsakteure haben die Fähigkeit und die Absicht, das Netzwerk anzugreifen. - Es gibt eine ständige und wachsende Bedrohung durch Cyber-Angriffe. - Die Assets, die durch die Firewall geschützt werden, sind wertvoll und würden bei einem Angriff Schaden nehmen. # 4.5 Aufgabe 4.5 K20 Die Common Criteria für Informationstechnologiesicherheitsevaluierung (CC) definiert EAL4 (Evaluation Assurance Level 4) als das Level, bei dem Methoden gegen gezielte Angriffe auf das Produkt bewertet werden. Das Angreifermodell, das bei der Prüfung des TOE (Target of Evaluation) verwendet werden muss, basiert auf dem Konzept der "moderately sophisticated" Angreifer. Dies sind Angreifer, die über ein hohes Maß an Motivation und Ressourcen verfügen und Zugang zu detaillierten Informationen über das TOE haben. Heartbleed ist eine schwerwiegende Sicherheitslücke in der OpenSSL-Kryptographiebibliothek, die eine zu große Ausgabe von Speicher ermöglicht. Diese kann genutzt werden, um vertrauliche Informationen, einschließlich SSL-Schlüssel, Benutzernamen und Passwörtern, abzurufen. Quantitative Bewertung: Auf einer Skala von 1 bis 10 hat das National Vulnerability Database Heartbleed eine 5.0 für die Ausnutzbarkeit und eine 10.0 für die Auswirkungen bewertet, was auf ein hohes Angriffspotenzial hinweist. Qualitative Bewertung: - Ausstattung: Da Heartbleed nur Software-Werkzeuge erfordert, ist die benötigte Ausrüstung minimal und leicht zugänglich. - Zeitaufwand: Die Ausnutzung von Heartbleed kann in relativ kurzer Zeit erfolgen, abhängig von der Fähigkeit des Angreifers und der Anfälligkeit des Zielsystems. - Fachkenntnisse: Ein Angreifer muss Kenntnisse über die Funktionsweise von OpenSSL und die spezifischen Details von Heartbleed haben. - Window of Opportunity: Angesichts der weit verbreiteten Verwendung von OpenSSL vor der Entdeckung von Heartbleed war das Window of Opportunity beträchtlich. - Zugang: Der Angriff kann remote durchgeführt werden, was die Zugangsbarriere verringert.