Please activate JavaScript!
Please install Adobe Flash Player, click here for download

Bericht Datenschutz und Datensicherheit 2010

Telekom-CERT. Das Computer Emergency Response Team (CERT) der Deutschen Telekom betreibt ein international ausgerichtetes Management bei Sicherheitsvorfällen für alle Informations­ und Netzwerktechnologien des Konzerns Deutsche Telekom. Es bildet eine zentrale Anlaufstelle für die Meldung von Vorfällen und etabliert Mechanismen zur Früh­ erkennung von Angriffen auf intern und extern erreichbare Systeme. Die Hauptaufgaben des CERTs sind: – Schwachstellenmanagement (Vulnerability and Advisory Manage­ ment – VAM) – Koordination von Maßnahmen bei Vorfällen mit Sicherheitsrelevanz (Incident Management) oder mit Kundendatenbezug – interne Herausgabe und Bewertung von Warnhinweisen zu neu erkannten Schwachstellen – konzernweite Frühwarnung und ­erkennung von technischen Angriffen gegen die Netzinfrastruktur – Vertretung der Deutschen Telekom AG gegenüber nationalen und internationalen Gremien (z.B. dem weltweiten CERT­Dachverband FIRST, Forum of Incident Response Teams). Im Jahr 2010 hat das Team Hinweise zu 1135 Schwachstellen in Soft­ warekomponenten, die in der Deutschen Telekom verwendet werden, erstellt und intern darüber informiert. Die Schwachstellen reichen von Sicherheitslücken in Webservertechnologien bis zu Schwachstellen in Betriebssystemen. Soweit zum Zeitpunkt des Bekanntwerdens schon eine Lösungsmöglichkeit gefunden wurde, kommuniziert das Telekom­CERT diese ebenfalls. Das Telekom­CERT sieht weiterhin eine starke Gefährdung durch so genannte Driveby Exploits , bei denen der Computer des Benutzers durch das alleinige Betrachten einer Webseite infiziert wird. Hierbei werden Verwundbarkeiten in Webbrowsern (speziell ältere Versionen des Microsoft­Internet­Explorers) und Browsererweiterungen ausgenutzt. Privacy and Security Assessment (PSA). Das Privacy und Security Assessment (PSA) Verfahren wurde 2010 bei der Deutschen Telekom in Deutschland eingeführt. Damit wurden die bis­ herigen Freigabe­Verfahren für Datenschutz und technische Sicherheit ersetzt und in ein gemeinsames Verfahren integriert. Für diesen Schritt hatte das Unternehmen auf Erfahrungen aus einzelnen Bereichen zurück­ gegriffen, die die Methode schon zuvor angewandt hatten. Die Deutsche Telekom praktiziert die Verzahnung von Datenschutz und technischer Sicherheit als eines von wenigen Unternehmen weltweit. Das PSA­Verfahren schafft einen transparenten und dokumentierten Prozess, der in effizienter Weise ein hohes Maß an Sicherheit und Daten­ schutz für komplexe und kritische Produkte und Dienstleistungen ermög­ licht. Dies findet bereits in der Entwicklungsphase und nicht erst kurz vor oder nach der Einführung neuer Produkte und Dienstleistungen statt. Anhand eines Fragebogens wird zu Prozessbeginn die Datenschutz­ und Sicherheitsrelevanz eines Projekts nach der Kategorisierung A, B und C festgelegt. Danach richtet sich die Betreuungstiefe. Je kritischer ein Projekt, desto umfassender ist der Beratungs­ und Betreuungsansatz seitens der Bereiche Datenschutz und Datensicherheit (A­Projekte). Je unkritischer ein Projekt ist, desto mehr werden Standardanforderungen genutzt (B­Pro­ jekte). Sicherheits­ und Datenschutzanforderungen lassen sich durch das PSA­Verfahren schnell und effizient umsetzen. Letztendlich kann mit diesen Standards auch abgeklärt werden, dass für ein Projekt keine Daten­ schutz­/Sicherheitsrelevanz besteht (C­Projekte). Auf diese Weise wird ein optimaler Ressourceneinsatz bei allen Beteiligten sichergestellt. Ein solches Vorgehen ist in der Telekommunikationsbranche bislang ein­ malig. Bei Regulierungsbehörden oder Standardisierungsgremien genießt es Vorbildcharakter. Im Jahr 2010 wurden mit diesem Verfahren rund 1.200 Projekte nach den drei Kategorien A, B und C betrachtet. Fast 960 Projekte entfielen dabei auf die Kategorien A und B und wurden damit im PSA­Verfahren PSA-Projektkategorien. 35% Kategorie B: 415 19% Kategorie C: 219 46% Kategorie A: 545 33Entwicklung in einzelnen Bereichen