mixmagic - stock.adobe.com
EU-DSGVO: Die Folgen für Unternehmen bei der Verschlüsselung
Obwohl in der DSGVO nicht zwingend vorgeschrieben, wird die Verschlüsselung kritischer Daten aus strategischer Sicht meist empfohlen. Darauf müssen Unternehmen sich einstellen.
Mit der Anwendung der Datenschutz-Grundverordnung (DSGVO/GDPR) wird der Verschlüsselung von gespeicherten und verarbeiteten personenbezogenen Daten und den maschinellen Identitäten von virtuellen Maschinen bis hin zu Containern in Unternehmen eine erhöhte Aufmerksamkeit zukommen. Je mehr die Sicherheitsverantwortlichen über die Verschlüsselung von Daten, aber auch Verschlüsselung als Sicherheitsmaßnahme gegen Angriffe von Cyberkriminellen zur Vermeidung von Datenlecks, nachdenken, umso besser.
Nachfolgend zunächst ein Überblick über die Anforderungen der DSGVO bezüglich der Verschlüsselung von personenbezogenen Daten.
Grundlagen der DSGVO in Bezug auf personenbezogene Daten
Die Verordnung, die als EU-weit einheitliches Regelwerk konzipiert wurde, definiert genauer, was personenbezogene Daten sind (beispielsweise. IP-Adresse, Cookie-Daten, aber natürlich auch Passwort, Benutzername, E-Mail-Adressen etc.) und teilt die Datennutzung nach „Datenverantwortlichen“ und „Datenverarbeitern“ auf. Sie ist im Vergleich zum BDSG (Bundesdatenschutzgesetz) viel genauer in Bezug darauf, wie Inhalte für die Datenverarbeitung aussehen. Nach der neuen Verordnung müssen Unternehmen, die von einem Verstoß betroffen sind, bei dem personenbezogene Daten möglicherweise gefährdet sind, dies ihrer lokalen Datenschutzbehörde innerhalb eines Zeitraums von 72 Stunden melden.
Dieser letzte Punkt ist kritisch, weil die meisten Angriffe einerseits monatelang unentdeckt bleiben, und die Datenschutz-Grundverordnung andererseits den Regulierungsbehörden weitaus größere Befugnisse bei der Verhängung von Geldbußen für einen Datenverstoß oder die Nichteinhaltung der DSGVO-Grundsätze bietet. Beispielsweise könnten die Bußgelder für Datenschutzverletzungen bis zu vier Prozent des weltweiten Umsatzes (oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist) betragen, obwohl man davon ausgeht, dass nur sehr wenige Fälle so hoch ausfallen werden.
Kein Wunder also, dass sich diese Veränderungen auf alle Unternehmen, ob klein oder groß, und auch auf alle Abteilungen auswirken werden – von der IT über Marketing und Sicherheit bis hin zum Vertrieb. Dennoch gibt es viele Mythen und Missverständnisse rund um die DSGVO, einschließlich der Frage nach dem Umfang der Verschlüsselungstechnologien, die erforderlich sein werden.
Verschlüsselung und DSGVO
Die Verschlüsselung ist lose definiert als der kryptografische Prozess der Verschlüsselung einer Nachricht oder Information, so dass ausschließlich berechtigte Personen darauf zugreifen können.
Verschlüsselung ist allgegenwärtig, von den E-Mails, die Unternehmen tagtäglich versenden, über die Software, die dafür verwendet wird, bis hin zu den Dokumenten, die von Unternehmen bearbeitet werden, und den Webseiten, die dafür durchsucht werden. Durch eine Vielzahl von Protokollen wie SSL, HTTPS und TLS bindet sie alles, einschließlich der Authentifizierung und Schutz von Websites, Sicherung von Dateien, Transaktionen und täglicher Kommunikation. Diese Absicherung erfolgt in der Regel sowohl „im Ruhezustand“ als auch „in Bewegung“.
Die Verschlüsselung, insbesondere die Ende-zu-Ende-Verschlüsselung, ist seit einiger Zeit ein Diskussionspunkt, vor allem aufgrund des Drucks von Regierungen, „Hintertüren“ in Software zu integrieren. Sie versprechen sich dadurch, dass Strafverfolgungsbehörden Kriminelle und Terroristen besser bei deren Arbeit stören können.
Obwohl in der DSGVO nicht zwingend vorgeschrieben, wird die Verschlüsselung aus strategischer Sicht dringend empfohlen. Allerdings sind in der Datenschutz-Grundverordnung keine technischen Vorgaben, wie eine Verschlüsselung umzusetzen ist, vorgegeben. In der Tat sagen DSGVO-Experten, dass die Verwendung von Verschlüsselung von den Regulierungsbehörden positiv bewertet werden wird, auch wenn ein gehacktes Unternehmen tatsächlich persönliche Daten verloren hat.
Stand der Technik und Verschlüsselung
Dieser Fokus kommt im Dokument selbst deutlich zum Ausdruck, wenn es unter Artikel 32 heißt: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“
Um die Sicherheit zu gewährleisten und eine Verarbeitung zu verhindern, die gegen diese Verordnung verstößt, sollte das Unternehmen die mit der Verarbeitung verbundenen Risiken bewerten und Maßnahmen zur Minderung dieser Risiken ergreifen, wie beispielsweise die Verschlüsselung.
Der Einsatz von Verschlüsselungstechnologien sollte also dazu beitragen, dass die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sowie die Möglichkeit, rechtzeitig darauf zuzugreifen, gewährleistet werden. Während dies bereits heute für viele Organisationen ein Thema ist, wird es immer wichtiger, da die Anforderungen an den Zugang zum Thema und das „Recht auf Vergessen werden“ immer mehr an Bedeutung gewinnen.
Beispielsweise wird angenommen, dass im Falle einer Verletzung, bei der kompromittierte Daten verschlüsselt werden, keine gesetzliche Verpflichtung besteht, die betroffene Person zu informieren (obwohl dies aus Image-Gründen empfohlen werden kann). Darüber hinaus wird davon ausgegangen, dass etwaige Bußgelder vermieden werden können.
Um Cyberkriminellen und unberechtigten Dritten den Zugriff auf personenbezogenen Daten zu erschweren und für eine sichere Verschlüsselung zu sorgen, lohnt es sich, maschinelle Identitäten besser zu schützen. Vom Browser bis hin zur Entscheidung, die eine KI trifft, jede Maschine (Software, Cloud, virtuelle Maschine, Hardware) hat eine Identität. Gerade sie rücken als Einfallstore immer mehr in das Sichtfeld der Angreifer. Sie suchen nach Schwachstellen, um Unternehmen und dadurch letztlich auch Systeme auf denen verschlüsselte, personenbezogene Daten gespeichert wurden, zu kompromittieren.
Was sind Maschinenidentitäten?
Maschinelle Identitäten sind wie beim Menschen bestimmte Merkmale, die sie voneinander unterscheiden und unterscheidbar machen. Eine Maschine benötigt eine Identität, um ihr relativ schnell und unbürokratisch Zugriff auf bestimmte Systeme, Daten, Verzeichnisse etc. zu geben. Jeder Internetnutzer nutzt täglich maschinelle Identitäten, wenn er eine Webseite im Browser aufruft und das kleine Schloss dort grün leuchtet. Hierbei gilt jedoch der Grundsatz so viel Zugriff wie nötig und so wenig Zugriff wie möglich.
Diese Steuerung des Zugriffs wird über die Identität einer Maschine bestimmt. Informationen, die in einer maschinellen Identität gespeichert und von einer anderen Maschine erkannt werden, sind beispielsweise, was dieses Gerät macht, wo es sich IP-technisch befindet und ob ihr vertraut wird, also der Zugriff erlaubt werden kann oder nicht. Die Basis der maschinellen Identitäten sind dann auch digitale Zertifikate und kryptografische Schlüssel, in denen diese Informationen gespeichert werden und die sich gegenseitig dadurch erkennen und das Vertrauen aufbauen, das für eine fehlerfreie Kommunikation und den Zugang zu wichtigen Informationen wichtig ist. Maschinelle Identitäten sind digitale Zertifikate und kryptographische Schlüssel wie TLS-Schlüssel und -Zertifikate, SSH-Schlüssel, Code-Signing-Schlüssel und -Zertifikate.
Fazit
Die DSGVO bringt große Veränderungen in der Art und Weise der Datenspeicherung und -verwaltung mit sich (relevant vor allem für Daten, die in der Cloud gespeichert werden). Gerade deshalb wird die Verschlüsselung eine große Rolle zu spielen haben und in den zukünftigen Richtlinien berücksichtigt werden müssen. Die Verwaltung höherer Verschlüsselungsebenen kann eine Herausforderung sein, vor allem für Unternehmen, die nicht auf einen raschen Anstieg von verschlüsselten Daten und Systemen infolge von DSGVO Bemühungen vorbereitet sind.
„Wenn die Verantwortlichen im Unternehmen nicht wissen, wo und wie welche maschinellen Identitäten eingesetzt werden, ist das, als wenn die Unternehmen komplett auf eine sichere Verschlüsselung verzichten würden.“
Kevin Bocek, Venafi
„Effektive Schutzmaßnahmen“ für verschlüsselte personenbezogene Daten heißt, dass auch die Systeme, auf denen die Daten gespeichert sind, regelmäßig einer Überprüfung unterzogen werden. Wichtig ist die Kontrolle der Maschinenidentitäten, die zwar nicht unter die DSGVO fallen, jedoch als Gatekeeper zu den Systemen fungieren, die personenbezogene Daten speichern. Einfach nur auf vertrauenswürdige Zertifikate zu setzen, ist nicht genug und auch eine gute Geschäftsbeziehung zu einer Zertifizierungsstelle nützt nichts. Deshalb sind eine vollständige Sichtbarkeit und eine kontinuierliche Beobachtung aller Maschinenidentitäten über das gesamte Unternehmen hinweg nötig.
Wenn die Verantwortlichen im Unternehmen nicht wissen, wo und wie welche maschinellen Identitäten eingesetzt werden, ist das, als wenn die Unternehmen komplett auf eine sichere Verschlüsselung verzichten würden. Nur eine umfassende und zentral gesteuerte Intelligenz kann die automatisierten und koordinierten Aktivitäten, die notwendig sind, um die Schwachstellen der Maschinenidentität proaktiv zu beseitigen, vorantreiben. Bis mehr Unternehmen über diese Kompetenz verfügen, werden wir immer wieder massive Angriffe erleben. Wenn große Organisationen betroffen sind, werden auch unzählige personenbezogene Daten gefährdet. Die einzige Lösung für Unternehmen, dem steigenden Datenverlust entgegenzuwirken, ist die Automatisierung des Schutzes von Maschinenidentitäten, besonders um verschlüsselte, personenbezogene Daten zu schützen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!