Datenschutz und IT-Sicherheit haben eine Deadline: Am 25. April 2018 werden die EU-DSGVO und damit neue Kriterien an den Datenschutz für alle Unternehmen verbindlich. Sichere Datenverschlüsselung ist mehr denn je gefordert, um auch im Fall eines unberechtigten Zugriffs Informationen unlesbar zu machen und Datenschutz-Compliance zu sichern.
Künftig drohen empfindliche Strafen für alle Unternehmen, die ihre Daten unzureichend schützen: Zahlungen von 20 Millionen Euro oder 4 Prozent des Jahresumsatzes – je nachdem, welcher Wert der höhere ist – bedrohen die Existenz von Unternehmen. Der Katalog an IT-Sicherheitslösungen ist zwar groß, aber viele Lösungen sind sehr kompliziert. Die Implementierung, gerade bei größeren Unternehmen, dauert durchschnittlich zwei Jahre, häufig länger. Viele Technologien schützen zudem nur gegen einzelne Angriffsmethoden.
Um sich umfassend zu schützen, bedarf es daher einer Lösung, die an der Wurzel ansetzt: Datenverschlüsselung. Diese minimiert das Risiko bei der Datenverarbeitung entscheidend, denn kryptografisch bearbeitete Informationen sind für jeden, der die entsprechenden kryptografischen Schlüssel nicht kennt, nicht lesbar und wertlos.
Verschlüsselungslösungen gewinnen vor diesem Hintergrund sehr an Attraktivität: Artikel 32 der EU-DSGVO führt die Kryptographie explizit als eine geeignete Technologie für Datenschutz auf. Datenverschlüsselung gewährleistet, dass alle sensitiven Informationen nur verschlüsselt das sichere Unternehmensnetz verlassen. Eine durchgehende Verschlüsselung von Daten in Transit, at Rest und in Use kann zudem die gestellten Anforderungen (Vorwort 28 der DSGVO) erfüllen und reduziert das Missbrauchsrisiko.
Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.
Die dadurch geleistete Verschlüsselung personenbeziehbarer Daten kann sogar Meldepflichten bei Sicherheitsvorfällen minimieren: Informationen, die verschlüsselt sind, können durch Unberechtigte nicht gelesen und keiner Person mehr zugeordnet werden.
Wollen Unternehmen die Vorteile von Automation, Kollaboration sowie Auslagerung von IT und Wartungskosten durch den Gang in die Cloud nutzen, ergeben sich neue Herausforderungen für den Datenschutz. Werden Daten außerhalb eines Unternehmens verarbeitet, muss die Datenhoheit trotzdem sichergestellt werden.
Verschlüsselung zieht auch hier eine zusätzliche Abwehrlinie: Bleiben die kryptografischen Schlüssel immer in der Hand des Unternehmens, dann ist der Zugriff auf Klartextdaten nur für interne, berechtigte Mitarbeiter möglich. Externe Administratoren können die Informationen nicht lesen, aber weiterhin ihre Verwaltungsaufgaben erledigen.
Zentral ist – gleich, ob bei Installationen on Premise oder in der Cloud – die Aufteilung der Aufgaben bei der Schlüsselverwaltung (Separation of Duties). Wirkliche Sicherheit bieten nur Verschlüsselungslösungen, bei denen ausschließlich der Sicherheitsadministrator im Unternehmen die kryptografischen Schlüssel generiert und Zugriff darauf hat. Wenn Anbieter der Lösung oder der Cloud-Anwendung potentiell Zugriff auf die Schlüssel haben, besteht eine mögliche Hintertür für den Datenzugriff durch Dritte. Ein Sicherheitsadministrator kann die eingesetzten kryptografischen Algorithmen wählen oder auch eigene Algorithmen nutzen.
Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.
Es gibt eine Reihe weiterer technischer Kriterien für sichere Kryptografie. Open-Source-Sicherheitslösungen sind vollständig transparent und jederzeit auf Schwachstellen prüfbar. Generell empfehlen sich vollständig und unverändert implementierte Standard-Verschlüsselungsalgorithmen wie AES-256 oder RSA-2048. Denn nur diese sind – im Gegensatz zu vielen proprietären Lösungen – praxiserprobt und damit hinreichend sicher.
Wichtig ist für Anwender auch die Freiheit, die verwendeten Algorithmen flexibel austauschen zu können, wenn sich Anforderungen ändern. Zu guter Letzt sollte eine gute Verschlüsselungslösung dem Unternehmen die Wahl lassen, welche Daten verschlüsselt oder tokenisiert werden sollen. So können Workflows erhalten und die Lösung nahtlos integriert werden.
Viele IT-Verantwortliche fürchten Performance-Probleme, wenn Daten zusätzlich verschlüsselt werden. Doch nur ein Bruchteil der Informationen eines Unternehmens sind tatsächlich sensibel. Moderne Verschlüsselungslösungen bieten deshalb eine feldbasierte Verschlüsselung und volle Freiheit beim Konfigurieren, welche Daten wie geschützt werden. Bei Patientendaten genügt es etwa, 5 bis 10 Prozent der Daten, die personenbeziehbaren Daten, zu verschlüsseln. Die anderen Feldeinträge können im Klartext belassen werden, weil sie keiner Person mehr zugeordnet werden können.
Das Tokenisieren von Daten ermöglicht, dass unlesbar gemachte Daten in den Anwendungen problemlos verarbeitet werden können. Dabei generiert etwa ein Gateway für jeden Datensatz Werte, die das gleiche Format, aber einen anderen Inhalt haben, also typkonform sind. Anwendungen können diese verschlüsselten und gegebenenfalls zusätzlich tokenisierten Werte weiterverarbeiten wie gewöhnliche Eingaben. So wird gewährleistet, dass technische Workflows weiter funktionieren, ohne dass Klartextdaten preisgegeben werden.
Auch Bedenken zu Komplexität und Aufwand bei der Implementierung sind überholt. Bei Gateway-basierten Lösungen, die als Proxy fungieren und damit vergleichbar mit einem Router vor die eigentliche Infrastruktur geschaltet sind, dauern technische Implementierungen oft nur ein bis zwei Tage. Alle Datenanfragen laufen dann über das Gateway und werden transparent verschlüsselt und tokenisiert. Dieses emuliert alle Funktionalitäten einer Anwendung, sodass die berechtigen Anwender arbeiten können, als ob die Daten für die Fachanwendung im Klartext verfügbar sind. Applikationen, Workflows und die bestehende IT-Architektur bleiben so unverändert.
Mit dem Stichtag 25. Mai 2018 ist Datenschutz für Unternehmen kein Luxus mehr, sondern muss zur absoluten Grundausstattung gehören. Der Countdown läuft: Alle Unternehmen, die bei ihrer Sicherheit noch nachrüsten müssen, sollten Verschlüsselung ganz oben auf ihrer Agenda haben – als Technologie, die Risiken schnell an der Wurzel packt und unkompliziert EU-DSGVO-konforme Informationssicherheit schafft.
Über den Autor
Elmar Eperiesi-Beck ist Gründer und Geschäftsführer der eperi GmbH. Das Unternehmen mit Sitz in Darmstadt ist Anbieter von Cloud-Data-Protection-Lösungen (CDP). Es bietet Lösungen für Datensicherheit, Compliance, Datenkontroll-Use-Cases für kundenspezifische Anwendungen sowie viel genutzte SaaS-Anwendungen wie Office 365, Salesforce und ServiceNow. Die Lösungen von eperi können als On-Premise-Gateway unter der vollen Kontrolle des Anwenderunternehmens oder durch einen Managed Service Security Partner wie IBM, T-Systems und andere betrieben werden.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.
Absicherung der IT-Infrastruktur erfolgt über die Zero Trust Exchange-Plattform von Zscaler.
Maschinen können mit neuen Verfahren lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen…
