# 4.1 ## a) Der Paragraph 202c bezieht sich auf unter anderem auf 202a der besagt dass das beschaffen der Daten unbefugt sein muss dies ist bei einem Auftrag nicht der Fall (Wichtig ist diesen Auftrag schriftlich Festzuhalten). ## b) - Vage Formulierung: Gesetz kann legitime Sicherheitsforscher und IT-Experten bestrafen. (Fall CDU und CCC) - Einschränkung der Fähigkeiten von Sicherheitsexperten: Behinderung der Aufdeckung und Behebung von Schwachstellen. - Schwächung der IT-Sicherheit insgesamt: Gesetz behindert Entwicklung und Einsatz legitimer Sicherheitswerkzeuge. - Behinderung des Schutzes von Computersystemen und Netzwerken: Gesetz kann Anwendung sinnvoller Sicherheitsmaßnahmen erschweren. # 4.2 ## a) Edward Snowden und die Offenlegung von Informationen über Facebook und andere Branchenriesen: - Snowden ist ein ehemaliger Mitarbeiter der CIA und NSA, der geheime Informationen über die Überwachungspraktiken dieser Agenturen öffentlich gemacht hat. - Seine Enthüllungen haben eine globale Debatte über Datenschutz, Überwachung und die Rolle der Geheimdienste ausgelöst. - Bezüglich Facebook und anderen Technologieunternehmen hat Snowden die Verbindungen zwischen diesen Unternehmen und den Geheimdiensten offenbart. - Durch Programme wie PRISM hatte die NSA direkten Zugriff auf die Server dieser Unternehmen. - Persönliche Daten, die von diesen Unternehmen gesammelt wurden, wurden potenziell für Überwachungszwecke genutzt. ## b) Ungültigkeitserklärung des Safe Harbor-Abkommens: - Das Safe Harbor-Abkommen wurde vom Europäischen Gerichtshof für ungültig erklärt. - Der Hauptgrund war, dass es den Datenschutz der europäischen Bürger nicht ausreichend schützte. - Es gab Bedenken hinsichtlich der massiven Überwachung durch die US-Regierung und das Fehlen ausreichender Rechtsmittel für EU-Bürger gegen Missbrauch ihrer Daten. - Der Gerichtshof entschied, dass die allgemeine und undifferenzierte Sammlung von Daten nicht mit den Datenschutzgrundsätzen der EU vereinbar ist. ## c) Maximilian Schrems' Kritik am US-EU Privacy Shield: - Schrems hält das Abkommen für eine Neuauflage des alten Safe Harbor-Abkommens, das bereits für ungültig erklärt wurde. - Er kritisiert, dass das Privacy Shield nicht den gleichen Datenschutzstandard bietet wie das EU-Recht, insbesondere in Bezug auf das Prinzip der "wesentlichen Äquivalenz". - Er bemängelt das Fehlen wirksamer Rechtsmittel für EU-Bürger, die glauben, dass ihre Daten missbraucht wurden. - Schrems kritisiert auch, dass das Abkommen die Möglichkeit der massenhaften Überwachung durch die US-Regierung nicht ausschließt. # 4.3 ## a) Gestohlener USB-Stick mit verschlüsselten, personenbezogenen Daten - Ja, es ist eine Verletzung personenbezogener Daten gemäß Art. 4 Nr. 12 DSGVO, da die Daten entwendet wurden. - Die Informationspflicht kann abhängig von der Verschlüsselungsstärke und der Wahrscheinlichkeit eines unbefugten Zugriffs entfallen. - Meldepflichtig gemäß Art. 33 DSGVO: Ja, innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung. ## b) Mehrminütiger Stromausfall, dadurch zwischenzeitlich kein Zugriff auf Daten möglich - Nein, da keine Verletzung personenbezogener Daten vorliegt. - Keine Informationspflicht. - Keine Meldepflicht. ## c) Cyber-Angriff auf Krankenhaus, dadurch für 30 Minuten kein Zugriff auf Patientendaten - Ja, wenn die Integrität oder Verfügbarkeit der Daten beeinträchtigt wurde. - Informationspflicht gemäß Art. 34 Abs. 1 DSGVO: Ja, wenn die Verletzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. - Meldepflichtig gemäß Art. 33 DSGVO: Ja, innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung. ## d) Ransomware-Angriff, der Kundendaten verschlüsselt - Ja, da die Verfügbarkeit der Daten beeinträchtigt ist. - Informationspflicht gemäß Art. 34 Abs. 1 DSGVO: Ja, wenn die Verletzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. - Meldepflichtig gemäß Art. 33 DSGVO: Ja, innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung. ## e) Kontoauszug per Briefpost an falschen Kunden verschickt - Ja, da es zu einer unbefugten Offenlegung personenbezogener Daten gekommen ist. - Informationspflicht gemäß Art. 34 Abs. 1 DSGVO: Ja, wenn die Verletzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. - Meldepflichtig gemäß Art. 33 DSGVO: Ja, innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung. ## f) Werbe-E-Mail mit offenem Mailverteiler (CC statt BCC) - Ja, da es zu einer unbefugten Offenlegung personenbezogener Daten gekommen ist. - Informationspflicht gemäß Art. 34 Abs. 1 DSGVO: Ja, wenn die Verletzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. - Meldepflichtig gemäß Art. 33 DSGVO: Ja, innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung. # 4.4 Die Beantwortung dieser Fragen erfordert Kenntnisse in Bezug auf Datenschutz und IT-Sicherheit. a) Ob es zu einer Verletzung personenbezogener Daten gemäß Art. 4 Nr. 12 DS-GVO gekommen ist, kann ohne Kenntnisse der spezifischen Situation nicht beurteilt werden. Eine Verletzung personenbezogener Daten tritt auf, wenn diese Daten ohne Zustimmung der betroffenen Person oder ohne rechtliche Grundlage freigegeben, verändert, gelöscht oder auf andere Weise missbraucht werden. b) Laut Art. 33 DS-GVO ist der Vorfall meldepflichtig, wenn es wahrscheinlich ist, dass die Datenverletzung ein Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen darstellt. Im Falle einer solchen Verletzung muss der Datenverantwortliche die zuständige Aufsichtsbehörde "unverzüglich und möglichst binnen 72 Stunden" nach Kenntnisnahme der Verletzung informieren. c) Nach Art. 34 Abs. 1 DS-GVO besteht eine Informationspflicht an Betroffene, wenn die Datenverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Benachrichtigung sollte "unverzüglich" erfolgen. Aufgabe 4.4 K25 a) (i) Bedrohungen: 1. Unberechtigter Zugriff auf das Netzwerk. 2. Malware-Infektionen. 3. Denial-of-Service-Angriffe. (ii) Assets: 1. Kundendaten: Sie könnten für einen Angreifer wertvoll sein, um Betrug zu begehen. 2. Betriebliche Informationen: Diese könnten für Wettbewerber oder böswillige Akteure wertvoll sein. 3. IT-Infrastruktur: Ohne eine Firewall könnten Angreifer die Infrastruktur beschädigen oder stören. (iii) Adverse actions: 1. Datendiebstahl. 2. Einführung von Malware. 3. Netzwerkstörungen. (iv) Threat agents: 1. Cyberkriminelle. 2. Wettbewerber. 3. Unzufriedene Mitarbeiter. b) Organisatorische Sicherheitsrichtlinien: 1. Richtlinien für Netzwerkzugriff: Wer darf auf das Netzwerk zugreifen und unter welchen Bedingungen. 2. Richtlinien für Software-Updates und Patches: Wie und wann sollten Software-Updates und Patches durchgeführt werden. c) Annahmen: 1. Die Benutzer des Netzwerks sind geschult und halten sich an die Sicherheitsrichtlinien. 2. Die Firewall ist korrekt konfiguriert und wird regelmäßig aktualisiert. # 4.5 Aufgabe 4.5 K20 Die Common Criteria für Informationstechnologiesicherheitsevaluierung (CC) definiert EAL4 (Evaluation Assurance Level 4) als das Level, bei dem Methoden gegen gezielte Angriffe auf das Produkt bewertet werden. Das Angreifermodell, das bei der Prüfung des TOE (Target of Evaluation) verwendet werden muss, basiert auf dem Konzept der "moderately sophisticated" Angreifer. Dies sind Angreifer, die über ein hohes Maß an Motivation und Ressourcen verfügen und Zugang zu detaillierten Informationen über das TOE haben. Heartbleed ist eine schwerwiegende Sicherheitslücke in der OpenSSL-Kryptographiebibliothek, die eine zu große Ausgabe von Speicher ermöglicht. Diese kann genutzt werden, um vertrauliche Informationen, einschließlich SSL-Schlüssel, Benutzernamen und Passwörtern, abzurufen. Quantitative Bewertung: Auf einer Skala von 1 bis 10 hat das National Vulnerability Database Heartbleed eine 5.0 für die Ausnutzbarkeit und eine 10.0 für die Auswirkungen bewertet, was auf ein hohes Angriffspotenzial hinweist. Qualitative Bewertung: - Ausstattung: Da Heartbleed nur Software-Werkzeuge erfordert, ist die benötigte Ausrüstung minimal und leicht zugänglich. - Zeitaufwand: Die Ausnutzung von Heartbleed kann in relativ kurzer Zeit erfolgen, abhängig von der Fähigkeit des Angreifers und der Anfälligkeit des Zielsystems. - Fachkenntnisse: Ein Angreifer muss Kenntnisse über die Funktionsweise von OpenSSL und die spezifischen Details von Heartbleed haben. - Window of Opportunity: Angesichts der weit verbreiteten Verwendung von OpenSSL vor der Entdeckung von Heartbleed war das Window of Opportunity beträchtlich. - Zugang: Der Angriff kann remote durchgeführt werden, was die Zugangsbarriere verringert.