====== Datensicherheit und Datenschutz ====== ===== Einführung ===== Aufgrund der aktuellen Enthüllungen (Snowden) scheint es angemessen, das Thema Datenschutz/Datensicherheit anzugehen. Ziel ist, für verschiedene Gruppen Hilfestellung bei typischen Problemen zu geben. * Fachschaften * Was ist bei eigenen Services zu beachten * Studis mit Ahnung * HowTo * Studis ohne Plan * Warum sollte ich meine Daten (oder die Daten anderer) schützen? Erhoffte Ergebnisse der Teilnehmer * Wie anonym im Internet bewegen? * TOR * Onion-Routing zur Verschleierung des Ursprungs * Problem: Zweifelhaft ob Nicht-Verfolgbarkeit noch gewährleistet ist, Tatsache der Verbindung ist feststellbar, Traffic am Exit-Node ist überwachbar * Nutzung: natürlich auch gerne/viel für illegale Inhalte * Wie umgehen mit Servern, die nicht verschlüsslt weitervermitteln? * Was beachten beim Betrieb eigener Dienste? ==== Protokolle ==== * [[arbeitskreise:datensicherheit:protokoll_mannheim_2022|Protokoll 91. BuFaTa in Mannheim 2022]] * [[arbeitskreise:datensicherheit:protokoll_Berlin_2013|Protokoll 74. BuFaTa in Dortmund 2014]] * [[formulare:template_arbeitskreis_protokoll|Protokollvorlage]] ==== HowTo Datensicherheit==== Prioritätenliste: - Rechtslage von crypto in ländern, Verpflichtungen der Fachschaften bzgl Datenschutz:\\Handbuch/ Checkliste erstellen. - Sammlung existierender Anleitungen für Fachschaftsbezogene Anwendungen Themen die in den Howtos angeschnitten werden sollten. * auswahlkriterien für Software und dienstleister * Verschlüsselte eMails * GPG * S/MIME * Zertifikate * cacert * Zerftifikatsverwaltung ( programme die eigene mitbringen) * Festplatten verschlüsselung (einzelne Daten, Komplett) * Windows, Mac, Linux: [[http://www.truecrypt.org/downloads]] * Instant Messenger ( siehe sammlung von anleitungen) * Textsecure / whisper [[https://whispersystems.org/]] * Best Practices * crypto 101 für eigene datenkritische Anwendungen * Prism Break * Guardian Project Handbuch * Zertifikats HOWTO * Smartphone Absicherung ==== Fachschaften ==== * Best Practises für Dienstanbieter * Usability = Security ^-1 * Rechtliche Anforderungen beim Betrieb von Diensten/Netzen * Daten Vernichten * Festplatten/USB Sticks physikalisch zerstoeren [[https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/RichtigLoeschen/richtigloeschen_node.html;jsessionid=1771774419BCFBAB660F01D6E4CB2595.2_cid369]] (Vorsicht, Link fuehrt zum BSI) * Wenn das Speichermedium weitergegeben wird sollten die Daten geloescht und ueberschrieben werden * Daten trennen, zB Name und Matrikelnummer und Passwort getrennt voneinander speichern. * Daten, die im Besitz der Fachschaften sein können: * Hohe Prioritaet, niedrige Benutzungsfrequenz: * Kontodaten, Vetraege von Angestellten * Hohe Prioritaet, hohe Nutzungsfrequenz: * Name, Adressen, EMailadressen * Niedrige Prioritaet: * Altklausuren, Uebungsblaetter Fazit : **So wenig wie moeglich Daten erheben und speichern!!** ==== Ideen für BuFaTa ==== * IT-Infrastruktur in Semesterbericht aufnehmen? ==== Datenschutz ==== In D ist der Datenschutz teilweise durch Gesetze geregelt. Dazu gibt es eine/n bundesweite/n Datenschutzbeauftragte/n. Das Datenschutzgesetz kann unter [[http://www.bfdi.bund.de/]] eingesehen werden. Zudem gibt es länderweite Datenschutzbeauftragte und -dienste, zum Beispiel das ZENDAS für Baden-Württemberg. ** Jede Hochschule hat eine/n Datenschutzbeauftragten, an den/die man sich im Zweifelsfall oder bei datenschutzrechtlichen Problemen wenden kann.** === Haftung und Kosequenzen von Datenverlust === ToDo === Datenschutz in Fachschaften === == Verpflichtungen == * Zugangsbeschränkung: die Daten sollen nur von Personen eingesehen werden können, für die es unbedingt notwendig ist. Somit ist der Zugriff auf die Daten auf einen Personenkreis beschränkt. * Datentrennung: Name und Matrikelnummer müssen getrennt gespeichert werden. Zur Erhebung muss jede Person einen eigenen Bogen erhalten. Das bedeutet: keine Listen mit Namen und Matrikelnummer! * Je schützenswerter die Daten sind, umso höher sollte der Aufwand zum Schutz dieser sein. * ToDo: Beispiele einfügen * Die Daten dürfen ohne explizite Einwilligung **nicht** an Dritte weitergegeben werden. Zuwiderhandlung ist strafbar. * Daten sollten so früh wie möglich vernichtet werden, d.h. nachdem der Zweck, zu welchem sie erhoben wurden, erfüllt ist. * Pseudonymisierung: ToDo == Ab wann dürfen Daten erfasst werden? == ToDo == soziale Netzwerke == * Studierende sollen nicht dazu gezwungen werden, sich in einem sozialen Netzwerk anzumelden, um Informationen über Fachschaftsarbeit, Termine, Altklausuren o.ä. zu erhalten. * Dazu sollte die eigene Fachschafts-/Iniseite verwendet und auch promoted werden. === Datenschutz für AnwenderInnen === == Rechte == * Einspruchsrecht: * Einsichtsrecht: was wird warum wofür gespeichert? * Widerrufsrecht: Der AK ist nicht fertig / sollte auf weiteren Tagungen besprochen werden