- silicon.de - http://www.silicon.de -

Compliance mit der EU-DSGVO: Der Schlüssel zum Datenschutz

Datenschutz und IT-Sicherheit haben eine Deadline: Am 25. April 2018 werden die EU-DSGVO und damit neue Kriterien an den Datenschutz für alle Unternehmen verbindlich. Sichere Datenverschlüsselung ist mehr denn je gefordert, um auch im Fall eines unberechtigten Zugriffs Informationen unlesbar zu machen und Datenschutz-Compliance zu sichern.

[caption id="attachment_41653363" align="alignright" width="250"]Elmar Eperiesi-Beck, Gründer und Geschäftsführer der eperi GmbH (Bild: eperi ) [1] Elmar Eperiesi-Beck, der Autor dieses Gastbeitrags für silicon.de, ist Gründer und Geschäftsführer der eperi GmbH, Anbieter eines Verschlüsselungs-Gatways für Cloud-Anwendungen, Datenbanken und Dateien (Bild: eperi)[/caption]

Künftig drohen empfindliche Strafen für alle Unternehmen, die ihre Daten unzureichend schützen: Zahlungen von 20 Millionen Euro oder 4 Prozent des Jahresumsatzes – je nachdem, welcher Wert der höhere ist – bedrohen die Existenz von Unternehmen. Der Katalog an IT-Sicherheitslösungen ist zwar groß, aber viele Lösungen sind sehr kompliziert. Die Implementierung, gerade bei größeren Unternehmen, dauert durchschnittlich zwei Jahre, häufig länger. Viele Technologien schützen zudem nur gegen einzelne Angriffsmethoden.

Um sich umfassend zu schützen, bedarf es daher einer Lösung, die an der Wurzel ansetzt: Datenverschlüsselung. Diese minimiert das Risiko bei der Datenverarbeitung entscheidend, denn kryptografisch bearbeitete Informationen sind für jeden, der die entsprechenden kryptografischen Schlüssel nicht kennt, nicht lesbar und wertlos.

EU-DSGVO-Compliance

Verschlüsselungslösungen gewinnen vor diesem Hintergrund sehr an Attraktivität: Artikel 32 der EU-DSGVO [2] führt die Kryptographie explizit als eine geeignete Technologie für Datenschutz auf. Datenverschlüsselung gewährleistet, dass alle sensitiven Informationen nur verschlüsselt das sichere Unternehmensnetz verlassen. Eine durchgehende Verschlüsselung von Daten in Transit, at Rest und in Use kann zudem die gestellten Anforderungen (Vorwort 28 der DSGVO) erfüllen und reduziert das Missbrauchsrisiko.

[highlightbox id="41634272"]

Die dadurch geleistete Verschlüsselung personenbeziehbarer Daten kann sogar Meldepflichten bei Sicherheitsvorfällen minimieren: Informationen, die verschlüsselt sind, können durch Unberechtigte nicht gelesen und keiner Person mehr zugeordnet werden.

Cloud-Datenschutz

Wollen Unternehmen die Vorteile von Automation, Kollaboration sowie Auslagerung von IT und Wartungskosten durch den Gang in die Cloud [3] nutzen, ergeben sich neue Herausforderungen für den Datenschutz [4]. Werden Daten außerhalb eines Unternehmens verarbeitet, muss die Datenhoheit trotzdem sichergestellt werden.

Verschlüsselung [5] zieht auch hier eine zusätzliche Abwehrlinie: Bleiben die kryptografischen Schlüssel immer in der Hand des Unternehmens, dann ist der Zugriff auf Klartextdaten nur für interne, berechtigte Mitarbeiter möglich. Externe Administratoren können die Informationen nicht lesen, aber weiterhin ihre Verwaltungsaufgaben erledigen.

Gewaltenteilung sorgt für Sicherheit in der Cloud

Zentral ist – gleich, ob bei Installationen on Premise oder in der Cloud – die Aufteilung der Aufgaben bei der Schlüsselverwaltung (Separation of Duties). Wirkliche Sicherheit bieten nur Verschlüsselungslösungen, bei denen ausschließlich der Sicherheitsadministrator im Unternehmen die kryptografischen Schlüssel generiert und Zugriff darauf hat. Wenn Anbieter der Lösung oder der Cloud-Anwendung potentiell Zugriff auf die Schlüssel haben, besteht eine mögliche Hintertür für den Datenzugriff durch Dritte. Ein Sicherheitsadministrator kann die eingesetzten kryptografischen Algorithmen wählen oder auch eigene Algorithmen nutzen.

[highlightbox id="41634275"]

Es gibt eine Reihe weiterer technischer Kriterien für sichere Kryptografie. Open-Source-Sicherheitslösungen sind vollständig transparent und jederzeit auf Schwachstellen prüfbar. Generell empfehlen sich vollständig und unverändert implementierte Standard-Verschlüsselungsalgorithmen wie AES-256 oder RSA-2048. Denn nur diese sind – im Gegensatz zu vielen proprietären Lösungen – praxiserprobt und damit hinreichend sicher.

[caption id="attachment_41653367" align="aligncenter" width="684"]Tokenisieren von Daten am Beispiel von Salesforce (Screenshot: eperi) [6] Tokenisieren von Daten in der Cloud am Beispiel von Salesforce (Screenshot: eperi)[/caption]

Wichtig ist für Anwender auch die Freiheit, die verwendeten Algorithmen flexibel austauschen zu können, wenn sich Anforderungen ändern. Zu guter Letzt sollte eine gute Verschlüsselungslösung dem Unternehmen die Wahl lassen, welche Daten verschlüsselt oder tokenisiert werden sollen. So können Workflows erhalten und die Lösung nahtlos integriert werden.

Sicherheit ist kein Hemmschuh

Viele IT-Verantwortliche fürchten Performance-Probleme, wenn Daten zusätzlich verschlüsselt werden. Doch nur ein Bruchteil der Informationen eines Unternehmens sind tatsächlich sensibel. Moderne Verschlüsselungslösungen bieten deshalb eine feldbasierte Verschlüsselung und volle Freiheit beim Konfigurieren, welche Daten wie geschützt werden. Bei Patientendaten genügt es etwa, 5 bis 10 Prozent der Daten, die personenbeziehbaren Daten, zu verschlüsseln. Die anderen Feldeinträge können im Klartext belassen werden, weil sie keiner Person mehr zugeordnet werden können.

Cloud Security (Grafik: Shutterstock) [7]

Das Tokenisieren von Daten ermöglicht, dass unlesbar gemachte Daten in den Anwendungen problemlos verarbeitet werden können. Dabei generiert etwa ein Gateway für jeden Datensatz Werte, die das gleiche Format, aber einen anderen Inhalt haben, also typkonform sind. Anwendungen können diese verschlüsselten und gegebenenfalls zusätzlich tokenisierten Werte weiterverarbeiten wie gewöhnliche Eingaben. So wird gewährleistet, dass technische Workflows weiter funktionieren, ohne dass Klartextdaten preisgegeben werden.

Auch Bedenken zu Komplexität und Aufwand bei der Implementierung sind überholt. Bei Gateway-basierten Lösungen, die als Proxy fungieren und damit vergleichbar mit einem Router vor die eigentliche Infrastruktur geschaltet sind, dauern technische Implementierungen oft nur ein bis zwei Tage. Alle Datenanfragen laufen dann über das Gateway und werden transparent verschlüsselt und tokenisiert. Dieses emuliert alle Funktionalitäten einer Anwendung, sodass die berechtigen Anwender arbeiten können, als ob die Daten für die Fachanwendung im Klartext verfügbar sind. Applikationen, Workflows und die bestehende IT-Architektur bleiben so unverändert.

Mit dem Stichtag 25. Mai 2018 ist Datenschutz für Unternehmen kein Luxus mehr, sondern muss zur absoluten Grundausstattung gehören. Der Countdown läuft: Alle Unternehmen, die bei ihrer Sicherheit noch nachrüsten müssen, sollten Verschlüsselung ganz oben auf ihrer Agenda haben – als Technologie, die Risiken schnell an der Wurzel packt und unkompliziert EU-DSGVO-konforme Informationssicherheit schafft.

Über den Autor

eperi (Grafik: eperi GmbH) [8]

Elmar Eperiesi-Beck ist Gründer und Geschäftsführer der eperi GmbH [9]. Das Unternehmen mit Sitz in Darmstadt ist Anbieter von Cloud-Data-Protection-Lösungen (CDP). Es bietet Lösungen für Datensicherheit, Compliance, Datenkontroll-Use-Cases für kundenspezifische Anwendungen sowie viel genutzte SaaS-Anwendungen wie Office 365, Salesforce und ServiceNow. Die Lösungen von eperi können als On-Premise-Gateway unter der vollen Kontrolle des Anwenderunternehmens oder durch einen Managed Service Security Partner wie IBM, T-Systems und andere betrieben werden.