Rawpixel.com - stock.adobe.com
Was bringt Security by Design für den Datenschutz?
IT-Sicherheitsbehörden fordern mehr Security by Design. Der Datenschutz muss jedoch immer mitgedacht werden, auch für die Security. IT-Sicherheit und Datenschutz gehören zusammen.
Qualitätsmängel in Soft- und Hardware-Produkten erhöhen die Angriffsfläche für Cyberkriminelle und gefährden damit ganze IT-Infrastrukturen, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die IT-Sicherheitsbehörde appelliert entsprechend an die Hersteller von IT-Produkten, Sicherheitsaspekte bereits bei der Entwicklung stärker zu berücksichtigen und die Geräte in einer sicheren Konfiguration auszuliefern.
Mit dieser Forderung ist das BSI nicht allein. Gemeinsam mit Partnerbehörden in den USA (CISA), Kanada (CCCS), Großbritannien (NCSC UK), den Niederlanden (NCSC NL), Australien (ACSC) und Neuseeland (CERT-NZ) hat das BSI Empfehlungen an IT-Hersteller veröffentlicht (PDF), die Grundsätze „Security by Design“ und „Security by Default“ stärker in ihre Produktentwicklung zu implementieren.
Dr. Gerhard Schabhüser, Vizepräsident des BSI, erklärte dazu: „Sichere Soft- und Hardware bilden die Grundlage für den sicheren Einsatz von IT-Produkten in Staat, Wirtschaft und Gesellschaft.“ Dies erinnert an die Forderungen, die die Datenschutzaufsichtsbehörden zu Privacy by Design gemacht haben, aus gutem Grund.
Privacy by Design bedeutet, dass der Datenschutz sozusagen in die Datenverarbeitungssysteme eingebaut werden soll, so zum Beispiel die Datenschutzaufsicht von Rheinland-Pfalz. Dieses Datenschutzprinzip beruht auf dem Gedanken, dass Datenschutzverstöße, die technisch nicht möglich sind, auch nicht passieren.
Security by Design und Privacy by Design
Artikel 25 DSGVO regelt den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Doch nicht nur die Datenschutz-Grundverordnung (DSGVO) nennt Privacy by Design explizit. Eine Datenschutzaufsichtsbehörde informierte im Februar 2023 zum Beispiel über die ISO 31700 zu Privacy-By-Design.
Der Bundesdatenschutzbeauftragte hat zudem auf den Unterschied zwischen Privacy by Design und Data Protection by Design hingewiesen: Während „Privacy by Design“ vor allem den Schutz der Privatsphäre meine und damit vor allem darauf ziele, dass bestimmte Datenverarbeitungen überhaupt nicht stattfinden, umfasse „Data Protection by Design“ auch solche Datenverarbeitungen, die tatsächlich stattfinden und auch legitim sind. Auch diese Verarbeitungen müssten so gestaltet werden, dass die Anforderungen an den Schutz der verarbeiteten personenbezogenen Daten erfüllt sind.
Da stellt sich die Frage, wie sich Security by Design im Verhältnis zu Privacy by Design und Data Protection by Design aufstellt. Diese Frage ist nicht etwa rein theoretischer Natur.
Es ist für Unternehmen wie auch Privatpersonen entscheidend zu wissen, ob sichere IT-Produkte, die Security by Design befolgen, auch datenschutzfreundlich sind.
Sichere IT geht nicht ohne Privacy by Design
Nun sind die IT-Sicherheitsbehörden nicht für den Datenschutz zuständig. Zudem kann man kaum erwarten, dass eine internationale Empfehlung für Security by Design auch die Vorgaben des EU-Datenschutzes nach DSGVO umfasst.
Dennoch sollten IT-Lösungen, die als sicher gekennzeichnet werden, auch die Daten schützen, darin besteht kein Zweifel. Immerhin kann mangelhafter Datenschutz zu einem Sicherheitsrisiko werden. Werden zum Beispiel personenbezogene Daten nicht ausreichend geschützt, wird dies Cyberattacken deutlich erleichtern, wenn man beispielsweise an Social Engineering denkt, eine Angriffsform, die besonders erfolgreich ist, wenn man viel über das gewünschte Opfer in Erfahrung gebracht hat.
Umgekehrt sind erfolgreiche Cyberattacke aber sehr häufig auch mit einer Verletzung des Datenschutzes verknüpft und führen zu Meldepflichten nach DSGVO. So macht der Europäische Datenschutzausschuss (EDSA) in seinen Hinweisen (PDF) zu Data Protection by Design deutlich: Informationssicherheit ist immer eine Vorgabe für alle Systeme, Übertragungen, Lösungen und Optionen, wenn Verarbeitung personenbezogener Daten stattfindet.
Es sollte deshalb auf der Hand liegen, dass datenschutzkonforme IT sicher sein muss, aber auch sichere IT den Datenschutz beachten und umsetzen muss.
Dies bedeutet: Allein Security by Design sorgt nicht für den notwendigen Datenschutz, umgekehrt auch Privacy by Design nicht für die vollständige IT-Sicherheit. Beide Vorgaben und Prinzipien müssen erfüllt sein, sie gehören aber letztlich eng zusammen.