Verschlüsselung
Die blinden Flecken des Datenschutzes
Fortsetzung des Artikels von Teil 1
Verschlüsselte Daten verarbeiten
Schließlich ist noch Grund Nummer drei zu behandeln: Tatsächlich lassen sich verschlüsselte Daten nicht ohne Weiteres verarbeiten. Das bedeutet beispielsweise, dass auch wichtige Daten im CRM- oder im ERP-System nicht mehr für Suchen zur Verfügung stehen, wenn die entsprechenden Daten verschlüsselt sind. Konkret: Wenn ein Unternehmen sich entschließt, dass die Postleitzahl eine sensible Information über ihre Kunden darstellt und diese deshalb verschlüsselt, lassen sich keine regional geordneten Kundenlisten mehr erstellen. Anhand dieser konkreten Problemstellung lässt sich gut beschreiben, wie ein Unternehmen seine Daten am besten verschlüsseln kann. Die beste Möglichkeit besteht im Einsatz eines Kryptografie-Gateways. Dieses Tool kann beispielsweise die Form einer Hardware Appliance haben beziehungsweise als zentrale Software-Lösung in einem Container oder in einer virtuellen Maschine betrieben werden. Daten werden vor der Weiterleitung an interne oder externe Systeme zunächst ans Gateway gesendet und dort verschlüsselt beziehungsweise pseudonymisiert. Dadurch sind sie während ihres gesamten Lebenszyklus‘ geschützt, nachdem sie das Gateway passiert haben. Ein Unternehmen könnte sich auch entschließen, derart geschützte Daten ohne weitere komplexe Sicherheitsmaßnahmen zum Beispiel in eine Cloud, an eine Filiale oder eine externe Recovery Site zuübertragen.
Genauso ist die Angst der Benutzer, dass sie ihre Arbeitsabläufe ändern müssen oder dass auf Benutzersystemen oder den zu schützenden Systemen Änderungen erfolgen müssen, beim Einsatz von IT-Sicherheitslösungen häufig unbegründet.
Anonymisierung und Pseudonymisierung
Nicht erst seit der Covid-19-Krise geht der Trend hin zut Arbeit im Homeoffice. Noch immer bremsen Sicherheitsbedenken, nicht ganz zu Unrecht, jedoch diese Entwicklung. Denn jeder Arbeitsplatz im Homeoffice ist letztlich ein potenzielles Einfallstor für Cyberkriminelle. Und so mussten sich viele Arbeitnehmer und Beamte, die mit hoch vertraulichen Daten umgehen, auch während der Krise ins Büro begeben, um zu arbeiten. Häufig setzen Organisationen zum Schutz ihrer Daten auf VPN-Technologie, die Daten bei der Kommunikation zwischen Heimarbeitsplatz und Unternehmen beziehungsweise zwischen Homeoffice und Cloud-Dienst absichert. Allerdings sind die Daten hierbei nur während der Übertragung geschützt und liegen auf beiden Seiten des VPN-Tunnels im Klartext vor. Und beide Enden des VPN-Tunnels stellen potenzielle Angriffsflächen für Cyberkriminelle dar. Setzt eine Organisation hingegen konsequent auf die Verschlüsselung der Daten, bevor diese das Unternehmen verlassen, sei es auf dem Weg in die Cloud oder auf dem Weg in das Homeoffice, so bleiben die sensiblen Daten jederzeit geschützt.
Verschlüsselung nicht immer ausreichend
Es bestehen gewisse Szenarien, in denen eine Verschlüsselung der Daten allein allerdings nicht ausreicht. Wenn es zum Beispiel zum Austausch von Daten zwischen Unternehmen oder zwischen Unternehmen und Behörden kommen soll, ist allein aus rechtlicher Sicht häufig eine Pseudonymisierung oder Anonymisierung der Informationen erforderlich. Technisch gesehen lässt sich diese genauso problemlos wie die Kryptografie, am besten über die Gateway-Technologie, realisieren. Entsprechende Komponenten unterstützen sowohl die Verschlüsselung als auch die Anonymisierung oder Pseudonymisierung von Daten.
Ein gutes Beispiel für einen Einsatzbereich der Anonymisierung ist die am 19. Februar dieses Jahres offiziell vorgestellte neue EU-Datenstrategie. Sie enthält eine Reihe wichtiger Vorhaben, um Europa im digitalen Zeitalter wettbewerbsfähig zu machen. Das Strategiepapier der EU-Kommission richtet viel Aufmerksamkeit auf die Infrastruktur, die benötigt wird, um große Mengen an Daten zu sammeln und organisationsübergreifend auszutauschen. Cloud-Computing spielt hierbei eine wichtige Rolle. Und das Strategiepapier betont zurecht, dass sich Europa nicht in Abhängigkeit einiger weniger, zumeist US-amerikanischer, Unternehmen begeben darf.
Es ist allerdings verwunderlich, dass im Strategiepapier seitenweise Informationen über Infrastrukturmaßnahmen enthalten sind, Verschlüsselung und Anonymisierung von Daten aber nur jeweils ein einziges Mal im Dokument auftauchen. Und das, obwohl medizinische Daten als ein zentrales Beispiel für das Teilen von Daten herangezogen wird. In erster Linie ist zu hoffen, dass die Europäische Kommission in der weiteren Entwicklung ihrer Datenstrategie für eine klare Definition dessen sorgt, was sensible Daten sind, die es zu schützen gilt, bevor sie mit anderen geteilt werden können. Ohnehin werden Unternehmen ihre Daten nicht untereinander teilen, solange eine sichere und zuverlässige Anonymisierung nicht gewährleistet ist. Erstens machten sie sich dann eventuell strafbar wegen eines Verstoßes gegen die europäischen Datenschutzrichtlinien (EU-DSGVO). Zweitens wird sich kein Unternehmen bereiterklären, seine internen Daten nicht-anonymisiert mit Konkurrenten oder auch Behörden zu teilen, weil die vollständigen, persönlichen Daten einen Wettbewerbsvorteil bieten. Datensicherheit und Datenschutz durch Anonymisierung sind daher Schlüsselelemente für eine erfolgreiche Datenstrategie.
- Die blinden Flecken des Datenschutzes
- Verschlüsselte Daten verarbeiten
- Vorteil im Wettbewerb
Lesen Sie mehr zum Thema
