Daten sicher verpackt

Die Verschlüsselung als Kernanforderung durch die DSGVO
0 Bewertungen
1
5
0
 
 
 
Bewerten
 
 
 
 
 
 
0 Kommentare  
987 Aufrufe  

Die neue Datenschutzgrundverordnung (DSGVO) verschärft die Anforderungen an Unternehmen erheblich. Eine Kernforderung ist die Verschlüsselung. Doch nur mit der richtigen Software gelingt ein umfangreicher Schutz mit hoher Nutzerfreundlichkeit.

Von Bernd Müller, freier Journalist

1995. In der Zeitrechnung der Informationstechnologie ist das ungefähr kurz nach dem Bau der Pyramiden. Aus diesem Jahr stammt die derzeit gültige Datenschutzrichtlinie 95/46/EG. Seither sind nicht nur die digitalen Informationsmengen förmlich explodiert, sondern auch die Möglichkeiten, sie auszutauschen. In Zeiten von Online-Shopping und Sozialen Medien gibt der Mensch immer mehr über sich preis. Und Unternehmen sind in der Lage, Interessenprofile von Personen anzulegen. 

Vor diesem Hintergrund war die alte Datenschutzrichtlinie – und das Sammelsurium nationaler Gesetze in der Europäischen Union – nicht mehr überlebensfähig. Die EU hat gehandelt und diese Gesetze durch die neue Datenschutzgrundverordnung (DSGVO) ersetzt, die am 25. Mai 2018 in Kraft wirksam wird. Sie nimmt Unternehmen in die Pflicht, personenbezogene Daten angemessen zu schützen. Diese werden definiert als:

„… alle Informationen über eine bestimmte oder bestimmbare natürliche Person. Als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.“

Saftige Bußgelder

Neben diesem Grundprinzip enthält die DSGVO eine Fülle von Anforderungen und verschärfte Strafandrohungen, die ausdrücklich abschreckende Wirkung haben sollen. Umso unverständlicher ist, dass viele Unternehmen Maßnahmen zur Umsetzung des Gesetzes auf die lange Bank schieben. In einer Studie des IT-Verbands Bitkom vom September 2017 berichteten nur drei Prozent der 500 befragten Unternehmen, dass sie bereits mehr als die Hälfte der Aufgaben zur Umsetzung der DSGVO erledigt hätten. Jedes dritte Unternehmen habe sich noch gar nicht mit der Verordnung beschäftigt.

Wenn Angreifer alle Hürden wie Firewall oder den Angriffsschutz überspringen, ist eine gute Verschlüsselungslösung das letzte Bollwerk.

Das ist gefährlich, denn selbst bei einem kleineren Mittelständler dauert die Umsetzung rund ein Jahr. Wenn es zu einer Datenschutzpanne kommt, sind saftige Bußgelder fällig, die sogar die Existenz eines Unternehmens gefährden können. Dazu braucht es nicht viel: Ein nicht abgeschlossener Schrank mit Patientendaten im Treppenhaus einer Arztpraxis oder nicht für die spezifische Dienstleistung notwendige Fragen in einem Online-Anmeldeformular reichen dafür bereits aus.

Viele Unternehmen schieben die Umsetzung vermutlich deshalb vor sich her, weil sie denken, es reiche aus, irgendwo eine neue Software zu installieren. Stattdessen erfordert die Verordnung von Firmen und Behörden jeder Größe die Einführung neuer Prozesse und Strategien. Für einige bedeutet das, dass neue Abläufe definiert, Handbücher umgeschrieben, Mitarbeiter geschult und IT-Systeme aktualisiert werden müssen.

Die gute Nachricht ist, dass die DSGVO eine ganze Reihe von Maßnahmen empfiehlt, um solche Pannen zu vermeiden und vor Gericht ausreichende Vorkehrungen nachweisen zu können. Eine Maßnahme, die ausdrücklich in Artikel 32 zur Sicherheit der Verarbeitung personenbezogener Daten genannt wird, ist die Verschlüsselung. Sie wird als geeignete technische Maßnahme empfohlen und anerkannt. Ein verlorener oder gestohlener Laptop muss also nicht zwangsläufig ein hohes Bußgeld nach sich ziehen, sofern er sicher verschlüsselt ist.

5.000 Jahre Kryptographie

Der Wunsch, Informationen geheim zu halten, ist fast so alt wie die Menschheit. Die frühesten Belege für Kryptographie finden sich im Ägypten des alten Reiches im dritten Jahrtausend vor Christus. Seither wurden die Methoden immer raffinierter. Besonders bekannt ist die mechanische Verschlüsselung deutscher Funksprüche im zweiten Weltkrieg mit der Enigma-Maschine. Mit der Verbreitung von Computern und des Internets hat sich das Problem potenziert, denn Computer sind ein gutes Werkzeug, um Botschaften geheim zu übertragen – leider aber auch, um diese Botschaften unerlaubterweise zu dechiffrieren. 

Dennoch gibt es Verschlüsselungslösungen, die nach heutigem Ermessen ausreichend sicher sind. Wenn Angreifer alle Hürden wie Firewall oder den Angriffsschutz überspringen, ist eine gute Verschlüsselungslösung das letzte Bollwerk. Sind Cybergangster außerstande, aus dem Datensalat wertvolle Informationen zu ziehen, gelten die Informationen als nicht verloren und sind damit laut DSGVO datenschutzkonform. Mit verschlüsselten Datensätzen bleibt die Vertraulichkeit gewahrt – das gilt für Mitarbeiter im Außendienst, Partner und Lieferanten. In diesem Fall entfällt laut Artikel 34, Absatz 3a bei einer Datenpanne auch die Meldepflicht binnen 72 Stunden an Betroffene und die Aufsichtsbehörde. So werden Unternehmen den Anforderungen der neuen Vorgaben für den Datenschutz gerecht und können Compliance-Regeln in einem überschaubaren Rahmen halten.

Verschlüsselung sollte im Hintergrund wirken

Eine aktuelle Bitkom-Studie belegt, dass mehr als die Hälfte von 1.000 befragten Betrieben mit mehr als 20 Mitarbeitern in den letzten zwei Jahren von Datenklau und Spionage vertraulicher Kunden-, Fabrik- und Produktionsdaten betroffen waren. Offenbar werden Verschlüsselungsverfahren viel zu selten eingesetzt, möglicherweise weil sie zu kompliziert sind für die Nutzer und die Administratoren. Und nicht alle Produkte auf dem Markt beherrschen alle erforderlichen Funktionen.

Verschlüsselungs-Check

Sichern Sie besonders bedrohte Systeme: Systeme, die sich räumlich außerhalb des Unternehmens befinden, stehen besonders im Fokus von Kriminellen. Sie können leicht bestohlen, kompromittiert oder einfach physisch "vergessen" werden. Eine gute Verschlüsselung in Kombination mit Funktionen wie einer sicheren Datenlöschung verringert Risiken.

Speichern Sie Schlüssel oder Passwörter sicher: Wichtige Daten sollten nur in den eigenen Händen und Schlüssel auf dem eigenen Enterprise Server liegen. Eine datenschutzgerechte Absicherung lässt sich nur mit einem intern geregelten Schlüssel-Management realisieren. Bei vielen Anbietern lässt sich in der Cloud kaum nachvollziehen, wo einzelne Assets wie Schlüssel gespeichert werden, welchem nationalen Recht sie unterliegen und inwiefern sie Dritten zugänglich gemacht werden (müssen). Mögliche Fehler beim Schlüssel-Management können zu Sicherheitslücken und Datenlecks führen.

Optimieren Sie den Umgang Ihrer Mitarbeiter mit Passwörtern: 63 Prozent aller Datenverluste gehen auf verlorengegangene oder geknackte Passwörter zurück. Der Faktor Mensch lässt sich auch bei Verschlüsselung nicht ausklammern. Eine sichere Pre-Boot-Authentifizierung sollte immer nutzerbezogen sein. Bitlocker und andere Lösungen bieten lediglich eine Passwortabfrage pro Gerät, gute Verschlüsselungslösungen bieten pro Gerät Passwortabfragen für bis zu 125 User.

IT-Verantwortliche müssen hier Fingerspitzengefühl beweisen: Verschlüsselung sorgt nur für zusätzlichen Schutz, wenn sie auch genutzt wird. Und das wird sie nur, wenn die Bedienung die Mitarbeiter weder von der täglichen Arbeit abhält noch IT-Sicherheit komplizierter macht. Die Krypto-Strategie eines Unternehmens sollte sich folglich nahtlos in das IT-Security-Konzept einfügen und die Compliance nicht unnötig aufblähen. Greifen Endpoint-Security, Zwei-Faktor-Authentifizierung und Verschlüsselung ineinander, entsteht eine ganzheitliche Sicherheitsstrategie, die Malware-Angriffe und Ausspähaktionen verhindert und vertrauliche Firmendaten schützt.

Bei der Einführung oder Implementierung von Verschlüsselung ist es ratsam, externe Profis ins Boot zu holen – einerseits zur Entlastung der wenigen internen Ressourcen, andererseits lässt sich Verschlüsselung mit professioneller Expertise nutzerfreundlich und datenschutzkonform umsetzen. Als IT-Verantwortlicher und Datenschutzberater empfiehlt es sich, eine Verschlüsselungslösung zu wählen, die der Hersteller nach dem Prinzip "Security by Design" konzipiert hat.

Sicher mit RSA-Algorithmus

Ein solches Produkt ist „Endpoint Encryption“ von Eset. Unternehmen können damit ihre sämtlichen Geräte und Daten zuverlässig verschlüsseln. Das gilt für alle Windows-Plattformen von XP bis Windows 10. Die Software basiert auf einem FIPS 140-2-validierten kryptografischen Subsystem (Level 1), das Schlüssel-Verwaltungssystem sowie der Management-Server sind international patentiert. Nutzerdaten sind mit 1.024-Bit verschlüsselt nach dem RSA-Verfahren, das mit zwei Schlüsseln arbeitet, einem privaten und einem öffentlichen. RSA gilt als eines der sichersten Verschlüsselungsverfahren und ist bei so langen Schlüsseln nicht zu knacken.

Eset Endpoint Encryption verschlüsselt Festplatten, Wechselmedien, Dateien und Ordner, E-Mails sowie Texte und sorgt für eine sichere Datenvernichtung im Papierkorb nach Militärstandard. Es lässt sich in zehn Minuten auf dem Server installieren ohne Interaktion mit den Nutzern. Es lässt sich zentral verwalten und zwar nicht nur über das interne Netz, sondern von überall auf der Welt – dank raffinierter Verschlüsselungstechnik ohne Schlüsselverwaltung in der Cloud sogar über offene WLAN.

Dazu nutzt Eset Endpoint Encryption eine einzigartige und patentierte Technologie. Dabei verwendet Eset gar keine offenen Verbindungen, sondern verschiebt das Problem in die Cloud, wo ein Proxy-Server die Verbindung über SSL-Zertifikate Ende zu Ende verschlüsselt. Informationen und Schlüssel werden nicht auf dem Proxy gespeichert. Mit diesem Kunstgriff ist wirklich jede Internetverbindung des Nutzers sicher – im Home-Office wie im Hotel.

Auf diese Weise schaltet Eset Endpoint Encryption das höchste Sicherheitsrisiko aus: den Menschen. Denn 35 Prozent aller Datenverluste werden durch fahrlässige Mitarbeiter verursacht, 29 Prozent durch IT- und Prozessfehler. Der Rest sei mutwillig, so eine Studie des Ponemon Institute. Die illegale Weitergabe durch böswilliges Verhalten lässt sich nie ganz verhindern – aber doch minimieren, weil die Technik von Eset Endpoint Encryption den Faktor Mensch aus dem Verschlüsselungsprozess herausnimmt. Das steigert die Sicherheit und gleichzeitig die Usability und damit die Akzeptanz bei den Anwendern.

Wichtige Inhalte der DSGVO im Kurzüberblick

  • Unternehmen und Organisationen müssen den nationalen Aufsichtsbehörden alle Datenschutzverstöße melden, durch die ein Risiko für Betroffene entstanden ist. Zudem muss die betroffene Person so rasch wie möglich über alle mit hohem Risiko behafteten Verstöße informiert werden, damit sie entsprechend reagieren kann.
  • Bei Datenschutzverletzungen müssen Organisationen die nationalen Behörden unverzüglich informieren (binnen 72 Stunden).
  • Datenschutzbehörden können nun Geldstrafen gegen Unternehmen verhängen, die gegen EU-Vorschriften verstoßen. Diese Geldstrafen können bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens oder bis zu 20 Mio. Euro ausmachen – je nachdem, welcher der Beträge höher ist. Bußgelder sind nicht zwingend und müssen einzelfallangemessen sowie verhältnismäßig sein. Allerdings sollen sie ausdrücklich auch abschreckend wirken.
  • Ein Kontinent, ein Recht: Das einheitliche europäische Datenschutzrecht ersetzt die verschiedenen Gesetze der Mitgliedstaaten. Unternehmen müssen sich nur noch mit einem einzigen und nicht mit 28 verschiedenen Gesetzen auseinandersetzen. Damit lassen sich jährlich schätzungsweise 2,3 Mrd. Euro einsparen.
  • Die Regelungen der DSGVO gelten auch für Unternehmen, die keine Niederlassung in der EU haben, aber EU-Bürgern Waren- und Dienstleistungen (auch kostenfreie) anbieten oder deren Verhalten überwachen.
  • Datenschutz nach "Stand der Technik" und datenschutzfreundliche Voreinstellungen sind nunmehr wesentliche Elemente der EU-Datenschutzvorschriften. Datenschutzgarantien werden bereits frühzeitig in die Entwicklung von Erzeugnissen und Dienstleistungen integriert, datenschutzfreundliche Voreinstellungen werden beispielsweise in sozialen Netzwerken oder mobilen Apps zur Norm.

Kommentar verfassen

LOGIN für heise Business Services

Sie haben noch keinen Account?
Hier registrieren und informieren.