identitätsmanagement: egovernment mit sicherheit · 02.10.2015 selbsterklärende, parallele...
TRANSCRIPT
Identitätsmanagement: eGovernment mit Sicherheit
Julia Stoll
Referatsleiterin Informatik
Der Hessische Datenschutzbeauftragte
Gustav-Stresemann-Ring 1, 65189 Wiesbaden
Telefon 0611 / 14 08 - 150
E-Mail: [email protected]
2
Übersicht: das Zusammenspiel
eGovernment: IT-gestützte Verwaltungsprozesse
ITIL-basiertes Prozessmanagement
Digitale Identitäten
für Gewährleistungsziele und
BSI IT-Grundschutzkatalog oder ISO2700x
Identitätsmanagement mit System: IdM-System
Realisierung von Zugang und Zugriff
02.10.2015 Julia Stoll
eGovernment (1): www.bmi.bund.de
eGovernment
zeit- und ortsunabhängige Verwaltungsdienste
E-Government-Gesetz: 01.08.2013
Regelungen
Verpflichtung der Verwaltung zur Eröffnung eines elektronischen Kanals,
wie der Bundesverwaltung zur Eröffnung eines De-Mail-Zugangs
Grundsätze der elektronischen Aktenführung und des ersetzenden Scannens
3 02.10.2015 Julia Stoll
eGovernment (2): www.bmi.bund.de
Regelungen – Fortsetzung
Erleichterung bei der Erbringung von elektronischen Nachweisen und der elektronischen Bezahlung in Verwaltungsverfahren
Erfüllung von Publikationspflichten durch elektronische Amts- und Verkündungsblätter
Verpflichtung zur Dokumentation und Analyse von Prozessen
Regelung zur Bereitstellung von maschinenlesbaren Datenbeständen durch die Verwaltung (“open data”)
4 02.10.2015 Julia Stoll
Gewährleistungsziele (Technischer Datenschutz: Schutzziele – privacy by design)
Schwerpunktmäßig IT-Sicherheit (vgl. BSI)
Verfügbarkeit
Vertraulichkeit
(Daten-)Integrität
Datenschutz-Perspektive
Datensparsamkeit, besser: Datenvermeidung
Transparenz
Zweckgebundenheit [Nichverkettbarkeit]
Intervenierbarkeit
>> Standard-Datenschutzmodell (SDM)
6 02.10.2015 Julia Stoll
Eine digitale Identität: (Kunden-)Sicht
Kennung TU-ID
Account
Passwort
Personenbezogene Daten
Digitale Identität
Eindeutiger Bezeichner: TU-ID
Account: TU-ID + Passwort
Digitale Identität: Account +
personenbezogene Daten
Account • Zur Identifikation • Zur Authentifizierung Digitale Identität • für Autorisierung(en) • mit einer Auswahl personenbezogener
Daten (Stichwort: Teilidentitäten, „Schlüsselloch-Perspektive“)
02.10.2015 7
Resultierende Ziele im IdM mit dazugehörigem System
Infrastruktur-Maßnahme Identitätsmanagement und Identitätsmanagement-System
Identitätsmanagement: Prozesse zur Unterstützung
Tätigkeiten der Studierenden, Forschenden und Beschäftigten
in einer heterogenen IT-Infrastruktur,
die vor TU-Mitgliedern und TU-Angehörigen zu verbergen ist
Identitätsmanagement-System Abbildung in technisches bzw. IT-System mit Zugang und Zugriff
über „Benutzeraccount“ >> besser: digitale Identitäten (Aggregat)
diverse vom HRZ bereitgestellte Dienste
02.10.2015 8
Geschlossener Prozess (Beispiel, 1): Passwort-Verwaltung (Querschnitt, ITIL)
Zugang / Authentifizierung auf angeschlossene Anwendungen
über IdM-System
Benutzerportal mit Login für alle TU-Mitglieder und TU-Angehörigen, Zugang Passwort neu setzen
Notfall-Kontakt ändern
Eingliederung anderer Authentifizierungsverfahren
Passwort-Wiederherstellung (ohne Login) über Notfall-Kontakt
Systeminterface (beim Helpdesk) mittels Notfall-Kontakt neu setzen (auch mit externer Re-Identifikation)
02.10.2015 9
Geschlossener Prozess (Beispiel, 2): Passwort-Verwaltung (Querschnitt, ITIL)
Prüfung der Passwort-Richtlinie
(im Hintergrund)
Härtung der Passworte (Prüfung gegen Kriterien im Benutzerportal)
„Geschwätzigkeit“ durch Java-Prüfungen (kein Java-Script)
(gesetzte) Markierung eines zusätzlichen Datums
IDM-Engine: Passwort-Synchronisation an angeschlossene Anwendungen
10 02.10.2015
Selbsterklärende, parallele Dokumentation (1)
Nachvollziehbarkeit, Nachhaltigkeit und gesamte Darstellung des jeweiligen Ablaufs
Anwendung von Gewährleistungszielen
Weg über digitale (Teil-)Identitäten zu
einem Benutzer/innen- und/oder
einem Software-Entwickler/innen-Handbuch
mit ständiger Revision durch Datenschutz-Beauftragte
02.10.2015 11 Julia Stoll
Selbsterklärende, parallele Dokumentation (2)
Gliederung der Dokumentation in vier Teile
für alle TU-Mitglieder und TU-Angehörige (Spezifikation): Transparenz von Ziel und Ablauf
für u.a auch HRZ Service (Design): Navigationsdiagramm zur Darstellung des Ablaufs in der jeweiligen Web-basierten Komponente
für SW-Entwickler/innen (Realisierung (und automatisierte Tests)): Besonderheiten Web-basierter Komponenten im Unterschied zum [Projekt-]Coderahmen
für Perspektive Datenschutz: Transparenz der Teilidentitäten
12 02.10.2015 Julia Stoll
Zugriff: RBAC (role based access control) – oder was ist das?
Grenzen
Kommerzielle Systeme: strenge Hierarchie – nicht an Universitäten, pluralisitische (Organisations-)Gebilde
Hinterlegte Tabellen: spezielle Berechtigungen und besondere, automatisierte Protokollierungen
Digitale Identitäten und Zugriff
Erinnerung – Zugang: Struktur über Attributen im/in Verzeichnisdiensten
Zugriff: Interpretationsmechanismen von Attributwerten im Kontext – der angeschlossenen und zu erwartenden, aufzurufenden Anwendungen – d.h. jeweiligen Teilidentitäten
13 02.10.2015 Julia Stoll
Digitale Identitäten und Zugriff: Abbildung eines Tripels und Interpretation
Interpretationsmechanismen
1. Schritt: Zugehörigkeiten TU-Mitglied: Beschäftigte und/oder Studierdende
TU-Angehörige: [zunächst] “alle anderen”
2. Schritt: Zugehörigkeiten und Organisationseinheit Führende Organisationseinheit
Führende Organisationseinheit und weitere Organisationseinheiten; dann “fertig” für vereinheitlichte Interpretationsmechanismus
3. Schritt – Tripel Zugehörigkeit (aus Schritt 1)
[Liste von] Organisationseinheit[en] (aus Schritt 2)
[Kopie einer] erweiterbaren Liste von Positionen; erforderlich für Delegation
>> Prozessgetriebener Ansatz: TUM und TU Graz (seit 2013)
14 02.10.2015 Julia Stoll
Web-basierte Komponenten: Benutzerportal (Auswahl, 1)
Benutzerportal
http://www.idm.tu-darmstadt.de/idmPortal
Aufruf einzelner Web-basierter Komponenten, doch integrierte Portal-Lösung
Geschlossener Passwort-Prozess
Immer in Absprache mit Datenschutz-Beauftragten und Personalrat
Ohne Login
Aktivierung (seit Feb. 2014): http://www.idm.tu-darmstadt.de/activation
Passwort-Wiederherstellung: http://www.idm.tu-darmstadt.de/passwordRecovery
15 02.10.2015 Julia Stoll
Web-basierte Komponenten: Benutzerportal (Auswahl, 2)
Mit Login für alle TU-Angehörigen
Zweckgebundener Datenbrief (Selbstauskunft): http://www.idm.tu-darmstadt.de/selfReport (mehrfach mit Auszeichnungen versehen)
Passwort selbständig neu setzen: http://www.idm.tu-darmstadt.de/changePassword
Notfall-Kontakt ändern: http://www.idm.tu-darmstadt.de/emergencyContact
Mit Login für Beschäftigte der TU Darmstadt
(vereinfachtes) Adressbuch: http://www.idm.tu-darmstadt.de/addressbook
WLAN-Besucheraccounts: http://www.idm.tu-darmstadt.de/wlanVistor
Systemadministrative Aufgaben beim HRZ-Service
Auskunftsfunktion über digitale Identitäten und Nutzung der Teilidentitäten: http://www.idm.tu-darmstadt.de/siCheckDigitalIdentity
16 02.10.2015 Julia Stoll
Zusammenfassung
Angebotene Modelle und ihre Ziele
“Anleitung und Brücke”: Gewährleistungsziele
Zuspitzung auf Anforderungen, Machbarkeit und Realisierungen
Demonstration eines lauffähigen IdM und Systemen und angeschlossenen Anwendungen bereitgestellt durch das HRZ der TU Darmstadt
17 02.10.2015 Julia Stoll
23
Aktivierungsprozess: Integration beliebiger Schritte
In Analogie zur Benutzerordnung:
Passwort-Richtlinie zustimmen
eigenes Passwort setzen
Notfall-Kontakt hinterlegen
Diverse Zustimmungen (Beispiele (!))
TU-Mitglieder:
Mail-Richtlinie und Mail-Adresse, …
Beschäftigte:
Nutzung der Universitätsbibliothek mit ULB Benutzerordnung und Vergabe einer Kennung
Abschluss: Freigabe [und Bestätigung] der eigenen, digitalen Identität
Julia Stoll
„Security by Design / Privacy by Design“
Vertraulichkeit
Vertrauliche Informationen müssen vor unbefugter Preisgabe
geschützt werden.
Verfügbarkeit
Dem Benutzer und der Benutzerin stehen Dienstleistungen,
Funktionen eines IT-Systems oder auch Informationen zum
geforderten Zeitpunkt zur Verfügung.
Integrität
Die Daten sind vollständig und unverändert.
25
Gewährleistungsziel: Transparenz
Transparenz (im allgemeinen Sinn (!)) Dem Benutzer oder der Benutzerin sind die [technischen, J.S.] Verfahren bzw. [organisatorischen, J.S.] Verwaltungsprozesse offenzulegen, so dass er oder sie in einer zumutbaren Zeit diese nachvollziehen, prüfen und bewerten kann, wie die eigenen personenbezogenen Daten erhoben und verarbeitet werden.
Kommentar
Dieses Gewährleistungsziel geht über die mehrheitlich aus technischer Perspektive beschriebene Prüfbarkeit aktiv genutzter Datenbestände und Dienste hinaus, wie sie bisher im Gewährleistungsziel Verfügbarkeit hinterlegt ist.
26 02.10.2015
Weitere Gewährleistungsziele: Nichtverkettbarkeit und Intervenierbarkeit
Nichtverkettbarkeit [oder Zweckgebundenheit]
Der Benutzer oder die Benutzerin sollen sicher gehen können, dass Verfahren nur zweckgebunden eingesetzt werden und eine klare Zwecktrennung zwischen verwandten Verfahren besteht.
Intervenierbarkeit
Dem Benutzer oder der Benutzerin sind ein Zugriff auf die Verfahren und Daten bzgl. der eigenen personenbezogenen Daten zu ermöglichen.
27 02.10.2015 Julia Stoll
28
BDSG Anlage (zu § 9 Satz 1)
[Vgl. HDSG §10 (2) 1.-3. ]
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle)
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle)
02.10.2015
29
BDSG Anlage zu § 9
[Vgl. HDSG §10 (2) 4., 6. ]
4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle [Datenverarbeitungskontrolle])
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle)
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle [identisch])
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können
Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.
02.10.2015
Vgl. HDSG §10 (2) 5., 7., 8.
5. es ist möglich, festzustellen, wer welche personenbezogenen Daten zu welcher Zeit verarbeitet hat und wohin sie übermittelt werden sollen oder übermittelt worden sind (Verantwortlichkeitskontrolle)
7. [zu gewährleisten ist, dass; J.S.] durch die Dokumentation aller wesentlichen Verarbeitungsschritte die Überprüfbarkeit der Datenverarbeitungsanlage und des -verfahrens möglich ist (Dokumentationskontrolle)
8. [zu gewährleisten ist, dass; J.S.] die innerbehördliche oder innerbetriebliche Organisation den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle)
30 02.10.2015