COMPAREX AG
Dateiverschlüsselung im Rahmen der DSGVO

Dateiverschlüsselung im Rahmen der DSGVO

Die DSGVO (EU-Datenschutzgrundverordnung) muss bis zum 25. Mai 2018 umgesetzt sein. Sonst drohen Unternehmen, die mit personenbezogenen Daten von EU-Bürgern operieren, empfindliche Strafen. Ein wichtiger Aspekt der DSGVO ist das Thema Dateiverschlüsselung. Wir zeigen, warum Datenverschlüsselung unumgänglich wird und welche Lösungen es dafür gibt.

Ein Blogbeitrag von Dirk Frießnegg, Solution Advisor IT-Security

Die DSGVO und welche Folgen bei Nichteinhaltung drohen

Auf welchen Wochentag fällt eigentlich der 25. Mai 2018? Warum ich frage? Nun, dieser Tag sollte zumindest in den Kalendern in Büros von Unternehmen und Behörden unübersehbar markiert sein. So viel sei verraten: Es ist der Freitag nach Pfingsten. Da wird sicherlich so manch einer seinen Pfingsturlaub genießen. Aber in 2018 fällt diesem 25. Mai eine weitere Besonderheit zu: Denn für alle Unternehmen und Behörden, die mit personenbezogenen Daten von EU-Bürgern arbeiten, muss an diesem 25. Mai 2018 die EU-Datenschutzgrundverordnung (DSGVO) umgesetzt sein. Dabei ist es egal, ob sich der Firmensitz in der EU befindet oder nicht.

Bis zu jenem Freitag sollte man also gewappnet sein. Bei Nichteinhaltung drohen gemäß Artikel 79 EU-DSGVO empfindliche Geldstrafen von bis zu 20 Mio. € oder 4% des weltweiten Konzern-Jahresumsatzes. Das Bußgeld soll „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein. Je nachdem, welcher Betrag höher ist. Da mag der monetäre Wert im Falle des Familienbetriebs Max Muster & Sohn in der Höhe deutlich geringer sein als bei Großkonzernen – schmerzhaft wird es allemal, wenn nicht sogar gerade für kleinere Unternehmen existenzgefährdend.

Diese prominenten Datenpannen sorgten für Furore

Datenpannen, gleich welcher Ursache, Umfang oder Bedeutsamkeit, gerieten in der Vergangenheit immer häufiger in den Fokus der Tagespresse. Beispiele gefällig?

Ein Beispiel mit den wohl prominentesten Opfern wurde im Frühjahr 2015 bekannt: Die Einwanderungsbehörde in Australien hatte versehentlich persönliche Daten von 31 Staats- und Regierungschefs per E-Mail an einen Fußballveranstalter geschickt. (Quelle: tagesspiegel.de)

Eins der aktuellsten prominenten Beispiele lieferte der ohnehin umstrittene Fahrdienstleister Uber, dem Hacker persönliche Daten von ca. 57 Millionen (!) Kunden gestohlen hatten. Diese Panne war bereits Ende 2016 bekannt, wurde jedoch erst jetzt im November 2017 publik gemacht (Quelle: datenschutzticker.de).

Keine Sorge, derlei Datenpannen passierten auch bereits vor 2015. Und natürlich auch in der Zeitspanne zwischen den beiden genannten Beispielen. Zum Teil haben wir darüber Kenntnis, weil die Tagespresse darüber berichtet, zum Teil erfahren wir nur über einschlägige Fachmagazine davon, zum Teil erreichen uns diese Informationen erst sehr viel später.

Diese Ursachen sind oft ausschlaggebend für Datenverlust

Was indes ebenfalls zu erkennen ist: Die Ursachen für Datenverlust können vielfältig sein.

  • Diebstahl von Daten wahlweise als gezielter Angriff auf das eigene Rechenzentrum oder aus der Cloud
  • mobile Mitarbeiter mit mobilen Geräten, die im Taxi, am Flughafen oder in der Jackentasche vergessen werden
  • die über einen großen Verteiler verschickte Email mit unverschlüsseltem Dateianhang

Ich bin mir sicher, Ihnen fallen spontan Dutzende weitere Beispiele ein, von denen Sie unter Umständen sogar bereits einmal selbst betroffen waren – womöglich sogar als Verursacher.

Warum die Verschlüsselung im Zuge der DSGVO so wichtig ist

Dass eine Datenschutzgrundverordnung nicht per Knopfdruck alle solche Datenpannen verhindern kann, ist a.) logisch und b.) gar nicht ihr Ziel. Und es gibt auch nicht „die eine“ Lösung, um den Anforderungen der DSGVO gerecht zu werden. An dieser Stelle hervorheben möchte ich das Thema Verschlüsselung. Nein, nicht die unbeabsichtigte, böse Verschlüsselung (Ransomware!), die zuletzt immer häufiger und immer heftiger ihre Runden drehte (Blogtipp: Ransomware: So können sich Unternehmen schützen).

Ich meine die gute Verschlüsselung, die einen kontrollierten Datenzugriff ermöglicht. Ach ja, ich höre bereits die Stimmen, die da sagen: „Eine Verschlüsselung ist zu kompliziert, frisst zu viele Ressourcen und ist Gift für die Performance von Datenbanken und Anwendungen“. Fakt ist einerseits, dass immer wieder solche Gründe angebracht werden, um die Implementierung einer Verschlüsselungslösung auszusetzen oder erst gar nicht zu beabsichtigen. Schließlich verschlüsselt erst knapp ein Drittel aller Unternehmen die eigenen Geschäftsdokumente.

Andererseits wird im Rahmen der DSGVO auch explizit eine Verschlüsselung von Daten empfohlen. Dies entbindet die Unternehmen von der unmittelbaren Meldepflicht bei Datenverlust. Dazu Artikel 34 DSGVO:

"Art. 34 DSGVO Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
[…]
(3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,
[…]"

Gehen wir also einmal auf dieses Thema zu:

Wann ist eine Festplattenverschlüsselung sinnvoll?

Stellen Sie sich zunächst grundlegende Fragen: Was passiert, wenn ein Gerät verloren geht oder gestohlen wird? Durch den zunehmenden Einsatz mobiler Geräte im Unternehmensumfeld wird eine Festplattenverschlüsselung umso wichtiger. Die meisten Geräte haben bereits eine betriebssystemeigene Verschlüsselung, beispielsweise Microsoft BitLocker für Windows oder Apple FileVault 2 für macOS. Sie werden dies vermutlich in Ihrem Unternehmen selbst kennen: Kollege Meier nutzt nur Endgeräte mit Windows-Betriebssystem, während Kollege Lehmann auf Mac schwört. Und weil eben jener Kollege Lehmann auch iOS und Android für mobile Geräte und Tablets nutzt, wird es spannend. Denn jedes Gerät will ja auch irgendwie mit eingebunden und sinnvoll nutzbar sein. Umso wichtiger ist also eine plattformübergreifende Lösung, mit der Schlüssel und Wiederherstellungsfunktionen für verschiedene Plattformen zentral verwaltet werden können.

Klar ist indes auch, dass eine Festplattenverschlüsselung zwar wichtig ist, jedoch kein Allheilmittel.

  • Ja: Geräte, die durch Diebstahl oder Unachtsamkeit verloren gehen, sind geschützt.
  • Nein: Festplattenverschlüsselung schützt nicht die Geräte, die gerade benutzt werden, vor gezielten Angriffen, Hacking, Malware oder menschlichen Fehlern. Hierfür wichtig ist eine Dateiverschlüsselung

Dateiverschlüsselung: Welche Daten sollten verschlüsselt werden?

Man neigt ja oft dazu, Dinge unnötig zu verkomplizieren. Natürlich kann man im Rahmen einer „Verschlüsselungsstrategie“ zunächst einmal epische Kategorisierungen vornehmen:
Welcher Mitarbeiter darf gemäß Verantwortungsbereich wann wie oft auf welche Daten zugreifen? Welche Daten sind wichtig im Sinne einer Muss-Verschlüsselung? Welche kann man eventuell nur unter ganz bestimmten Voraussetzungen verschlüsseln? Wann legen wir diese Voraussetzungen fest? Von welchen Daten wissen wir heute noch gar nicht, ob sie verschlüsselungsrelevant sind? Was passiert, wenn die Regeln, nach denen Daten als verschlüsselungsrelevant eingestuft werden, versagen und genau diese wichtigen Daten verschwinden? … Viele wichtige Fragen.
 
Oder man macht es sich einfach und sagt: Wir verschlüsseln standardmäßig alles! Denn alle Daten sind gleich wichtig, gleich schützenswert!

In der weiteren Betrachtung geht es dann darum, dass die Verschlüsselungslösung transparent ist – sowohl bei der Ver- als auch bei der Entschlüsselung sowie beim Zugriff auf die Daten. Besser noch: Die Benutzer bemerken diese Verschlüsselung gar nicht.

Sophos SafeGuard: So verschlüsseln Sie Daten unkompliziert direkt nach der Erstellung

Lassen Sie mich an dieser Stelle als Beispiel die Sophos Lösung SafeGuard herauspicken. SafeGuard stammt ursprünglich aus dem Hause Utimaco, einem deutschen Hersteller von IT-Sicherheitslösungen. Mitte 2008 wurde Utimaco von Sophos übernommen, SafeGuard in das Portfolio aufgenommen.

Sophos SafeGuard verschlüsselt Inhalte direkt nach ihrer Erstellung. Die Verschlüsselung erfolgt unterbrechungsfrei und beeinträchtigt dadurch nicht die normalen Arbeitsabläufe. Ob die Datei auf Kollege Lehmanns Mac verschlüsselt und von Kollege Meier auf dessen Windows-Gerät entschlüsselt wird, ob der Datenaustausch intern oder mit Externen erfolgt – SafeGuard kommt handlich daher.

Lesetipps: Hier finden Sie weitere Informationen zu Verschlüsselungslösungen

Wer sich für eine Verschlüsselungslösung interessiert, dem lege ich folgende Lektüre ans Herz:

Sie möchten mehr zu Sophos SafeGuard erfahren?

In unserem Webinar "Datenschutzgrundverordnung und die Anforderungen an die IT-Security eines Unternehmens - Entschlüsselung und Verschlüsselung" am 21.03.2018 erhalten Sie alle wichtige Informationen.

Zur Webinar-Anmeldung

Diesen Artikel teilen

Artikel vom:
13.02.2018

geschrieben von:

TAGS:
DSGVO, Sophos, Verschlüsselung

Thema:

Kommentieren sie diesen Artikel...

© COMPAREX AG
Zurück nach oben