Dateiverschlüsselung im Rahmen der DSGVO

Dateiverschlüsselung
Im Rahmen der DSGVO

Dateiverschlüsselung im Rahmen der DSGVO

Die DSGVO (EU-Datenschutzgrundverordnung) muss bis zum 25. Mai 2018 umgesetzt sein. Sonst drohen Unternehmen, die mit personenbezogenen Daten von EU-Bürgern operieren, empfindliche Strafen. Ein wichtiger Aspekt der DSGVO ist das Thema Dateiverschlüsselung. Wir zeigen, warum Datenverschlüsselung unumgänglich wird und welche Lösungen es dafür gibt.

Die DSGVO und welche Folgen bei Nichteinhaltung drohen

Auf welchen Wochentag fällt eigentlich der 25. Mai 2018? Warum ich frage? Nun, dieser Tag sollte zumindest in den Kalendern in Büros von Unternehmen und Behörden unübersehbar markiert sein. So viel sei verraten: Es ist der Freitag nach Pfingsten. Da wird sicherlich so manch einer seinen Pfingsturlaub genießen. Aber in 2018 fällt diesem 25. Mai eine weitere Besonderheit zu: Denn für alle Unternehmen und Behörden, die mit personenbezogenen Daten von EU-Bürgern arbeiten, muss an diesem 25. Mai 2018 die EU-Datenschutzgrundverordnung (DSGVO) umgesetzt sein. Dabei ist es egal, ob sich der Firmensitz in der EU befindet oder nicht.

Bis zu jenem Freitag sollte man also gewappnet sein. Bei Nichteinhaltung drohen gemäß Artikel 79 EU-DSGVO empfindliche Geldstrafen von bis zu 20 Mio. € oder 4% des weltweiten Konzern-Jahresumsatzes. Das Bußgeld soll „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein. Je nachdem, welcher Betrag höher ist. Da mag der monetäre Wert im Falle des Familienbetriebs Max Muster & Sohn in der Höhe deutlich geringer sein als bei Großkonzernen – schmerzhaft wird es allemal, wenn nicht sogar gerade für kleinere Unternehmen existenzgefährdend.

Diese prominenten Datenpannen sorgten für Furore

Datenpannen, gleich welcher Ursache, Umfang oder Bedeutsamkeit, gerieten in der Vergangenheit immer häufiger in den Fokus der Tagespresse. Beispiele gefällig?

Ein Beispiel mit den wohl prominentesten Opfern wurde im Frühjahr 2015 bekannt: Die Einwanderungsbehörde in Australien hatte versehentlich persönliche Daten von 31 Staats- und Regierungschefs per E-Mail an einen Fußballveranstalter geschickt. (Quelle: tagesspiegel.de)

Eins der aktuellsten prominenten Beispiele lieferte der ohnehin umstrittene Fahrdienstleister Uber, dem Hacker persönliche Daten von ca. 57 Millionen (!) Kunden gestohlen hatten. Diese Panne war bereits Ende 2016 bekannt, wurde jedoch erst jetzt im November 2017 publik gemacht (Quelle: datenschutzticker.de).

Keine Sorge, derlei Datenpannen passierten auch bereits vor 2015. Und natürlich auch in der Zeitspanne zwischen den beiden genannten Beispielen. Zum Teil haben wir darüber Kenntnis, weil die Tagespresse darüber berichtet, zum Teil erfahren wir nur über einschlägige Fachmagazine davon, zum Teil erreichen uns diese Informationen erst sehr viel später.

Diese Ursachen sind oft ausschlaggebend für Datenverlust

Was indes ebenfalls zu erkennen ist: Die Ursachen für Datenverlust können vielfältig sein.

  • Diebstahl von Daten wahlweise als gezielter Angriff auf das eigene Rechenzentrum oder aus der Cloud
  • mobile Mitarbeiter mit mobilen Geräten, die im Taxi, am Flughafen oder in der Jackentasche vergessen werden
  • die über einen großen Verteiler verschickte Email mit unverschlüsseltem Dateianhang

Ich bin mir sicher, Ihnen fallen spontan Dutzende weitere Beispiele ein, von denen Sie unter Umständen sogar bereits einmal selbst betroffen waren – womöglich sogar als Verursacher.

As we read in Article 34 GDPR:

"Art. 34 GDPR Communication of a personal data breach to the data subject […] (3) The communication to the data subject referred to in paragraph 1 shall not be required if any of the following conditions are met: a) the controller has implemented appropriate technical and organizational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorized to access it, such as encryption; […]"

Warum die Verschlüsselung im Zuge der DSGVO so wichtig ist

Dass eine Datenschutzgrundverordnung nicht per Knopfdruck alle solche Datenpannen verhindern kann, ist a.) logisch und b.) gar nicht ihr Ziel. Und es gibt auch nicht „die eine“ Lösung, um den Anforderungen der DSGVO gerecht zu werden. An dieser Stelle hervorheben möchte ich das Thema Verschlüsselung. Nein, nicht die unbeabsichtigte, böse Verschlüsselung (Ransomware!), die zuletzt immer häufiger und immer heftiger ihre Runden drehte.

Ich meine die gute Verschlüsselung, die einen kontrollierten Datenzugriff ermöglicht. Ach ja, ich höre bereits die Stimmen, die da sagen: „Eine Verschlüsselung ist zu kompliziert, frisst zu viele Ressourcen und ist Gift für die Performance von Datenbanken und Anwendungen“. Fakt ist einerseits, dass immer wieder solche Gründe angebracht werden, um die Implementierung einer Verschlüsselungslösung auszusetzen oder erst gar nicht zu beabsichtigen. Schließlich verschlüsselt erst knapp ein Drittel aller Unternehmen die eigenen Geschäftsdokumente.

Andererseits wird im Rahmen der DSGVO auch explizit eine Verschlüsselung von Daten empfohlen. Dies entbindet die Unternehmen von der unmittelbaren Meldepflicht bei Datenverlust. Dazu Artikel 34 DSGVO:

"Art. 34 DSGVO Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person 

[…]

(3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:

a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,
 […]"

Gehen wir also einmal auf dieses Thema zu:

Wann ist eine Festplattenverschlüsselung sinnvoll?

Stellen Sie sich zunächst grundlegende Fragen: Was passiert, wenn ein Gerät verloren geht oder gestohlen wird? Durch den zunehmenden Einsatz mobiler Geräte im Unternehmensumfeld wird eine Festplattenverschlüsselung umso wichtiger. Die meisten Geräte haben bereits eine betriebssystemeigene Verschlüsselung, beispielsweise Microsoft BitLocker für Windows oder Apple FileVault 2 für macOS. Sie werden dies vermutlich in Ihrem Unternehmen selbst kennen: Kollege Meier nutzt nur Endgeräte mit Windows-Betriebssystem, während Kollege Lehmann auf Mac schwört. Und weil eben jener Kollege Lehmann auch iOS und Android für mobile Geräte und Tablets nutzt, wird es spannend. Denn jedes Gerät will ja auch irgendwie mit eingebunden und sinnvoll nutzbar sein. Umso wichtiger ist also eine plattformübergreifende Lösung, mit der Schlüssel und Wiederherstellungsfunktionen für verschiedene Plattformen zentral verwaltet werden können.

Klar ist indes auch, dass eine Festplattenverschlüsselung zwar wichtig ist, jedoch kein Allheilmittel.

  • Ja: Geräte, die durch Diebstahl oder Unachtsamkeit verloren gehen, sind geschützt.
  • Nein: Festplattenverschlüsselung schützt nicht die Geräte, die gerade benutzt werden, vor gezielten Angriffen, Hacking, Malware oder menschlichen Fehlern. Hierfür wichtig ist eine Dateiverschlüsselung
  • Dienstag 20 März 2018

Kommentieren Sie diesen Artikel

Hinterlassen Sie einen Kommentar, um uns mitzuteilen, was Sie von diesem Thema halten!

Kommentar hinterlassen

Autor

Dirk Frießnegg Solution Advisor IT-Security

Endpoint security against modern threats such as Ransomware

Related Articles

  • 04 November 2019
  • Dan Ortman
  • Publisher Advisory, Managed Security
  • Exchange, Office 365

Wie Sie sich auf den End of Support von Exchange 2010 vorbereiten können

Das offizielle Supportende von Microsoft Exchange 2010 ist am 13. Oktober 2020. Erfahren Sie mehr über die Optionen für ein Upgrade in Ihrem Unternehmen.

  • 17 Oktober 2019
  • Thomas Wegener
  • Managed Security, Managed Backup
  • Data Backup, Office 365

Wer seine Office-365-Daten nicht sichert, riskiert viel

Die Sicherung der Office-365-Daten obliegt dem Kunden. Wir zeigen die Gefahren auf, wenn dies vernachlässigt wird und welche Lösung Sie bei der Datensicherung unterstützt.

  • 09 Oktober 2019
  • Dirk Frießnegg
  • Managed Security
  • IT-Security, Security

So lässt sich mangelhafter IT-Security entgegenwirken

In puncto IT-Security haben viele Firmen noch Defizite, wie unsere Fallbeispiele zeigen. Erfahren Sie, wie der 360°-IT-Security-Workshop Sie unterstützt.