Richard Anstey

ist Chief Technology Officer EMEA bei dem Cloud-Sicherheitsanbieter Intralinks

DSGVO: Wer ist für Encryption Keys verantwortlich?

Im Vorfeld einer neuen Datenschutzverordnung listet Richard Anstey, CTO bei Intralinks, im silicon.de-Blog neue Möglichkeiten wie Customer Managed Keys oder Information Rights Management auf.

Privatsphäre und Sicherheit von Unternehmen sind so bedroht wie nie zuvor. Und obwohl Unternehmen mit einer Vielzahl von Sicherheitsbedrohungen konfrontiert werden, müssen sie auf dem heutigen globalen Markt dazu in der Lage sein, ihre Inhalte mit ihren Mitarbeitern und Kunden effektiv über Kontinente hinweg zu teilen und auszutauschen. Mit der Europäischen Datenschutzgrundverordnung (DSGVO oder General Data Protection Regulation/GDPR), die im Mai 2018 in Kraft tritt, müssen Unternehmen jedoch einen robusteren Ansatz für die Privatsphäre in Betracht ziehen oder das Risiko potenziell verheerender Geldbußen in Kauf nehmen.

Daten unter Kontrolle halten

Im traditionellen Sinne meint die Datenkontrolle eine “Beschränkung des physischen Speicherorts”, um eine ungewollte Verbreitung der Daten zu verhindern. Dieser Ansatz ist in unserer heutigen vernetzten Welt jedoch kaum praktikabel. Die Lösung liegt in der Verschlüsselung der Daten selbst. Damit Geschäftsprozesse durch die Datenkontrolle nicht benachteiligt werden, müssen Unternehmen vermehrt mit neuen Verschlüsselungstechnologien arbeiten. Diese konzentrieren sich nicht mehr auf den physischen Standort der Daten, sondern verlagern die Aufmerksamkeit auf den Standort des Verschlüsselungs-Kontrollpunkts, auch „logischer“ Standort genannt. Damit wird also der Speicherort der Daten zunehmend irrelevant, stattdessen zählt der Zugriff.

PartnerZone

Effektive Meeting-und Kollaboration-Lösungen

Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.

Die Macht der Verschlüsselung – den “logischen” Standort kontrollieren

Diejenigen, die diesen Ansatz verfolgen, können die Kontrolle über wertvolle Inhalte behalten – auch wenn sie über die Grenzen der Organisation hinaus geteilt werden. Sie verlagern ihren Fokus auf die Verwaltung und Steuerung der Encryption Keys, die ihren Inhalt schützen, wo immer er ist. Folgende zwei Schlüsselverwaltungspraktiken kommen dabei zum Einsatz:

  1. Mit Customer Managed Keys (CMK) behalten Unternehmen die Kontrolle über ihre Encryption Keys – unabhängig vom physischen Standort. Sobald der Eigentümer den Zugriff auf die Schlüssel deaktiviert, sind Zwischendienstanbieter nicht mehr befugt, die Daten zu entschlüsseln.
  2. Information Rights Management (IRM) verschlüsselt eine Datei und setzt vom Autor des Dokumentes definierte Rechte durch. Beim Öffnen des Dokumentes wird eine Anfrage an den Urheber des Dokumentes gerichtet, der dann eine Berechtigung erteilen kann. Die Berechtigung kann nach Belieben mit zeitlicher Begrenzung erteilt und wieder aufgehoben werden.

Wer übernimmt die Verantwortung für die Verschlüsselung?

Bei der Verwendung eines IRM-Tools liegt die Verantwortung ganz klar beim Urheber einer Datei. Wie sieht es allerdings in Unternehmen aus, die eine CMK-Technologie einsetzen? Hier gibt es mehrere Möglichkeiten, wer im Unternehmen die Verantwortung für die Datensicherheit tragen kann:

Chief Privacy Officer: Sobald die GDPR in Kraft getreten ist, wird die Anzahl der Stellenanzeigen für CPOs vermutlich drastisch ansteigen. Wie die Berufsbezeichnung schon sagt, ist der CPO prädestiniert dafür, die Verantwortung für CMKs zu übernehmen. Alles, was mit dem Thema Daten und Privatsphäre zu tun hat, fällt in den Aufgabenbereich des CPO. Durch diese neue Rolle können sie Inhaber aller Key-Managementprozesse und Kontrollpunkte werden. Damit wird Compliance im Unternehmen vorangetrieben.

IT-Abteilung: Sollte die Rolle des CPO im Unternehmen noch nicht geschaffen sein, kann der Security-Beauftragte der IT-Abteilung die Verantwortung übernehmen. Egal ob zentral oder ausgelagert – die IT-Abteilung kann in jedem Fall die Heimat des Key Managements werden. Bei einer Cloud-Service-Nutzung bietet CMK die Möglichkeit, dass die IT-Abteilung auch dann unentbehrlich bleibt, wenn die Kerndienstleistungen ausgelagert wurden.

Rechtsabteilung: Unternehmen können ihre eigene Rechtsabteilung mit der Schlüsselverwaltung betrauen oder sie an eine Anwaltskanzlei auslagern, welche somit die Rolle eines Datenschutzberaters übernimmt.

Eine allgemeingültige Regel zur Verwaltung der Verschlüsselung in einem Unternehmen gibt es nicht. Viele Faktoren wie Branche, Größe und Umfang der Organisation beeinflussen die Wahl des richtigen Modells. Ein Ansatz könnte sein, dass jeder, der Verantwortung für eine Datei hat, auch die Kontrolle über den Schlüssel übernimmt. Anstatt sich zu sehr auf die Lagerung der Daten zu konzentrieren, sollte der Fokus eher auf der Festlegung der Verantwortlichkeit für die Daten und deren Schlüssel liegen. Sowohl CMK als auch IRM sind leistungsstarke Technologien, die den Verantwortlichen der Unternehmensdaten die bestmögliche Kontrolle bieten.