Daten sicher verpackt

Die Verschlüsselung als Kernanforderung durch die DSGVO
0 Bewertungen
1
5
0
 
 
 
Bewerten
 
 
 
 
 
 
0 Kommentare  
2499 Aufrufe  

Die neue Datenschutzgrundverordnung (DSGVO) verschärft die Anforderungen an Unternehmen erheblich. Eine Kernforderung ist die Verschlüsselung. Doch nur mit der richtigen Software gelingt ein umfangreicher Schutz mit hoher Nutzerfreundlichkeit.

Von Bernd Müller, freier Journalist

1995. In der Zeitrechnung der Informationstechnologie ist das ungefähr kurz nach dem Bau der Pyramiden. Aus diesem Jahr stammt die derzeit gültige Datenschutzrichtlinie 95/46/EG. Seither sind nicht nur die digitalen Informationsmengen förmlich explodiert, sondern auch die Möglichkeiten, sie auszutauschen. In Zeiten von Online-Shopping und Sozialen Medien gibt der Mensch immer mehr über sich preis. Und Unternehmen sind in der Lage, Interessenprofile von Personen anzulegen. 

Vor diesem Hintergrund war die alte Datenschutzrichtlinie – und das Sammelsurium nationaler Gesetze in der Europäischen Union – nicht mehr überlebensfähig. Die EU hat gehandelt und diese Gesetze durch die neue Datenschutzgrundverordnung (DSGVO) ersetzt, die am 25. Mai 2018 in Kraft wirksam wird. Sie nimmt Unternehmen in die Pflicht, personenbezogene Daten angemessen zu schützen. Diese werden definiert als:

„… alle Informationen über eine bestimmte oder bestimmbare natürliche Person. Als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.“

Saftige Bußgelder

Neben diesem Grundprinzip enthält die DSGVO eine Fülle von Anforderungen und verschärfte Strafandrohungen, die ausdrücklich abschreckende Wirkung haben sollen. Umso unverständlicher ist, dass viele Unternehmen Maßnahmen zur Umsetzung des Gesetzes auf die lange Bank schieben. In einer Studie des IT-Verbands Bitkom vom September 2017 berichteten nur drei Prozent der 500 befragten Unternehmen, dass sie bereits mehr als die Hälfte der Aufgaben zur Umsetzung der DSGVO erledigt hätten. Jedes dritte Unternehmen habe sich noch gar nicht mit der Verordnung beschäftigt.

Wenn Angreifer alle Hürden wie Firewall oder den Angriffsschutz überspringen, ist eine gute Verschlüsselungslösung das letzte Bollwerk.

Das ist gefährlich, denn selbst bei einem kleineren Mittelständler dauert die Umsetzung rund ein Jahr. Wenn es zu einer Datenschutzpanne kommt, sind saftige Bußgelder fällig, die sogar die Existenz eines Unternehmens gefährden können. Dazu braucht es nicht viel: Ein nicht abgeschlossener Schrank mit Patientendaten im Treppenhaus einer Arztpraxis oder nicht für die spezifische Dienstleistung notwendige Fragen in einem Online-Anmeldeformular reichen dafür bereits aus.

Viele Unternehmen schieben die Umsetzung vermutlich deshalb vor sich her, weil sie denken, es reiche aus, irgendwo eine neue Software zu installieren. Stattdessen erfordert die Verordnung von Firmen und Behörden jeder Größe die Einführung neuer Prozesse und Strategien. Für einige bedeutet das, dass neue Abläufe definiert, Handbücher umgeschrieben, Mitarbeiter geschult und IT-Systeme aktualisiert werden müssen.

Die gute Nachricht ist, dass die DSGVO eine ganze Reihe von Maßnahmen empfiehlt, um solche Pannen zu vermeiden und vor Gericht ausreichende Vorkehrungen nachweisen zu können. Eine Maßnahme, die ausdrücklich in Artikel 32 zur Sicherheit der Verarbeitung personenbezogener Daten genannt wird, ist die Verschlüsselung. Sie wird als geeignete technische Maßnahme empfohlen und anerkannt. Ein verlorener oder gestohlener Laptop muss also nicht zwangsläufig ein hohes Bußgeld nach sich ziehen, sofern er sicher verschlüsselt ist.

5.000 Jahre Kryptographie

Der Wunsch, Informationen geheim zu halten, ist fast so alt wie die Menschheit. Die frühesten Belege für Kryptographie finden sich im Ägypten des alten Reiches im dritten Jahrtausend vor Christus. Seither wurden die Methoden immer raffinierter. Besonders bekannt ist die mechanische Verschlüsselung deutscher Funksprüche im zweiten Weltkrieg mit der Enigma-Maschine. Mit der Verbreitung von Computern und des Internets hat sich das Problem potenziert, denn Computer sind ein gutes Werkzeug, um Botschaften geheim zu übertragen – leider aber auch, um diese Botschaften unerlaubterweise zu dechiffrieren. 

Dennoch gibt es Verschlüsselungslösungen, die nach heutigem Ermessen ausreichend sicher sind. Wenn Angreifer alle Hürden wie Firewall oder den Angriffsschutz überspringen, ist eine gute Verschlüsselungslösung das letzte Bollwerk. Sind Cybergangster außerstande, aus dem Datensalat wertvolle Informationen zu ziehen, gelten die Informationen als nicht verloren und sind damit laut DSGVO datenschutzkonform. Mit verschlüsselten Datensätzen bleibt die Vertraulichkeit gewahrt – das gilt für Mitarbeiter im Außendienst, Partner und Lieferanten. In diesem Fall entfällt laut Artikel 34, Absatz 3a bei einer Datenpanne auch die Meldepflicht binnen 72 Stunden an Betroffene und die Aufsichtsbehörde. So werden Unternehmen den Anforderungen der neuen Vorgaben für den Datenschutz gerecht und können Compliance-Regeln in einem überschaubaren Rahmen halten.

Kommentar verfassen

LOGIN für heise Business Services

Sie haben noch keinen Account?
Hier registrieren und informieren.