Illustration: Absmeier, JanBaby
Die bevorstehende Ausführung der Datenschutzgrundverordnung (DSGVO) ist für die Mehrheit der europäischen Unternehmen derzeit wohl die dringendste Deadline. Gleichzeitig markiert diese auch einen kulturellen Wandel: Mit der DSGVO erhält der Schutz persönlicher Daten die dem digitalen Zeitalter angemessene Bedeutung. Für Unternehmen ändert sich damit allerdings grundlegend der Schwerpunkt ihrer IT-Sicherheitsstrategie – und zwingt sie damit zu einem Umdenken. Diese Veränderung wird besonders deutlich bei der Cloudnutzung spürbar.
Zum gegenwärtigen Zeitpunkt haben Unternehmen es vermutlich gerade hinter sich. Oder stecken womöglich noch mittendrin: Sie ermitteln, welche Datenarten in ihrer Organisation verarbeitet werden und untersuchen, wo diese Daten sich befinden, um künftig ihrer Auskunftspflicht gegenüber Privatpersonen im Rahmen der DSGVO nachkommen zu können. In vielen Unternehmen bedeutet dies: Eine IT-Landschaft, die aus der digitalen Abwicklung von Geschäftsprozessen entstanden ist, muss nun der DSGVO-Vorgabe »Privacy by Design« – also dem Schutz der Privatsphäre der von Personen verarbeiteten Daten – untergeordnet werden. Im Zuge dessen müssen Unternehmen in der Lage sein, Auskunft über die erhobenen Daten und deren Verarbeitung geben zu können. Kommt es zu einer Sicherheitslücke, von der personenbezogene Daten betroffen sein könnten, besteht eine Informationspflicht gegenüber den Geschädigten sowie den Aufsichtsbehörden: Erfolgt die Benachrichtigung nicht binnen 72 Stunden nach Bekanntwerden und in ungenügender Weise, können gemäß Artikel 83, Abs. 4 der DSGVO bis zu vier Prozent des weltweiten Vorjahresumsatzes bis zu einem Maximalbetrag von 20 Millionen Euro als Geldstrafe verhängt werden. Inwieweit diese Strafen in der Praxis tatsächlich Anwendung finden werden, bleibt gegenwärtig noch abzuwarten.
Besondere Verantwortung bei der Cloudnutzung
Auf dem Weg zu »Privacy by Design« steht also unweigerlich die Überprüfung und Evaluation sämtlicher Datenverarbeitungsprozesse. Was je nach Unternehmensgröße und Kundenstamm schon bei den Speicherorten innerhalb des eigenen Netzwerks eine weit reichende Aufgabe darstellt, wird bei der Nutzung von Cloudanwendungen zur Herausforderung. Dabei stellt die Ermittlung der in der Cloud verarbeiteten und gespeicherten Daten nur eine Seite der Medaille dar. Ebenso bedeutend ist die Frage nach der Sicherheit der Daten in der Cloud, beziehungsweise, wie diese sichergestellt werden kann.
Sich in puncto Datensicherheit auf den Cloud-Provider zu verlassen, ist für Unternehmen mit Inkrafttreten der DSGVO nicht mehr möglich. Entsprechend ihrem Status als Auftragsdatenverarbeiter tragen sie eine erhebliche Sorgfaltspflicht für die Sicherheit der Daten in der Cloud: Kommt es zu einem Datenleck seitens des Cloud-Providers, werden die betroffenen Unternehmen gegebenenfalls auch zur Verantwortung gezogen. Cloud-nutzende Unternehmen sind daher dazu verpflichtet, sich zu vergewissern, dass der Cloud-Provider das in der DSGVO geforderte Datenschutzniveau einhält.
Dazu gehört es beispielsweise, zu überprüfen, ob die Cloud-Dienste belastbar genug sind, um die Sicherheit und Vertraulichkeit im Umgang mit personenbezogenen Daten zu gewährleisten und die Verfügbarkeit derselben auch nach einem technischen Zwischenfall wiederherzustellen. Insbesondere angesichts der immer raffinierteren Cyberangriffe, die sich zunehmend auch auf Cloudanwendungen richten, sollte diesem Punkt eine besondere Aufmerksamkeit gewidmet werden und in regelmäßigen Abständen im Rahmen von IT-Audits eine Evaluation stattfinden. Damit kommen Unternehmen ihrer Sorgfaltspflicht als Auftragsdatenverarbeiter zwar ausreichend nach, eine absolute Gewissheit, ob im Falle eines Falles Daten tatsächlich in die Hände Unbefugter gelangt sind, gibt es allerdings nicht.
Verschlüsselung als Bestandteil einer Zero-trust-Unternehmensstrategie
Falls Unternehmen jedoch die Datensicherheit keine Vertrauenssache sein lassen und bestmöglich für einen Datendiebstahl aus der Cloud gerüstet sein wollen, ist der Einsatz von Verschlüsselungstechnologie ratsam. Damit ist sichergestellt, dass im Ernstfall die betroffenen Daten für Unbefugte nutzlos sind. Im Zuge dessen sollte bei der Auswahl einer geeigneten Lösung darauf geachtet werden, dass sie dem höchsten Standard entspricht. Gegenwärtig ist dies der Advanced Encryption Standard mit 256-Bit-Verschlüsselung (AES-256). Ein Initialisierungsvektor sorgt dafür, dass stets ein neuer, zufälliger Schlüssel generiert wird. Eine dauerhaft ausreichende Zufälligkeit und damit das beste Sicherheitsniveau ist gegeben, wenn auch der Initialisierungsvektor – ebenfalls wie der Schlüssel – eine Länge von 256 Bit umfasst. Die Lösung sollte den Nutzern zudem das Generieren und Verwalten von Schlüsseln bieten, damit alle Informationen zu den Schlüsseln ausschließlich auf Unternehmensseite liegen. In Verbindung mit einem strengen Zugriffsmanagement, das nur einem engen Personenkreis Zugang zu den Schlüsseln gewährt, lässt sich ein Höchstmaß an Datensicherheit im Umgang mit Cloudanwendungen erzielen.
Datensicherheit im Sinne der DSGVO
Die Anwendung von Verschlüsselungstechnologie bietet Unternehmen nicht nur das größtmögliche Maß an Datensicherheit, sondern auch im Sinne der DSGVO einen Vorteil, sollte es zu einer Verletzung der Datensicherheit kommen, wie in Artikel 34, Absatz 3 a) der DSGVO dargelegt: »Die Benachrichtigung der betroffenen Person (…) ist nicht erforderlich, wenn (…) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,« (…). Sofern also durch eine Verschlüsselungslösung sichergestellt ist, dass im Falle eines Sicherheitslecks keinerlei Kundendaten von Cloud-nutzenden Unternehmen in die Hände Unbefugter geraten sind, entfällt die Informationspflicht gegenüber Kunden. Die Gefahr eines Imageschadens in Verbindung mit potenziellen Umsatzeinbußen ist damit also gebannt. Auch weiterer bürokratischer Aufwand entfällt damit, da durch Verschlüsselung gemäß Artikel 33, Absatz eins der DSGVO sichergestellt ist, dass »(…) die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.« Im konkreten Fall bedeutet dies: Sollte auf Seiten des Cloud-Providers eine Sicherheitslücke auftreten und dieser den Cloud-Nutzer darüber unterrichten, entbindet die DSGVO den Cloud-Nutzer von seiner Meldungspflicht an die Aufsichtsbehörden.
Für Unternehmen, die sich gegenwärtig noch mit der Evaluation des Datenschutzniveaus ihrer Cloud-Anbieter befassen, kann der Einsatz von Verschlüsselungstechnologie angesichts der herannahenden DSGVO-Deadline zumindest dafür sorgen, dass empfindliche Kundendaten vor dem potenziellen Zugriff Unbefugter geschützt sind.
Damit wäre vor allem Unternehmen, die unter Zeitdruck stehen, eine gewisse Last bei der Umstellung auf »Privacy by Design« genommen. Langfristig allerdings ist davon auszugehen, dass Verschlüsselungstechnologie keineswegs nur eine Notfallmaßnahme für die DSGVO-Compliance ist, sondern künftig einen wesentlichen Bestandteil einer datenzentrierten IT-Sicherheitsstrategie darstellen wird.
Michael Scheffler, Regional Director DACH, Bitglass
Hemmnissen beim Einsatz elektronischer Verschlüsselung durch Vorgaben entgegenwirken
Zypries: Neuer Kompass zur IT-Verschlüsselung sorgt für mehr Sicherheit für Unternehmen
Warum Datenschutz und Verschlüsselung ein Thema für die Vorstandsetage ist
Verschlüsselung oder Tokenisierung: Nur noch 11 Monate bis zur EU-DSGVO
Umfrage zeigt: Noch langer Weg bis zum Verschlüsselungsstandort Nr. 1