Compliance-Pflichten

An konsequenter Verschlüsselung führt kein Weg vorbei

| Autor / Redakteur: Marcel Mock* / Stephan Augsten

Eine durchgängige Verschlüsselung des Datenverkehrs sollte auch fernab der Compliance-Verpflichtungen umgesetzt werden.
Eine durchgängige Verschlüsselung des Datenverkehrs sollte auch fernab der Compliance-Verpflichtungen umgesetzt werden. (Bild: Archiv)

Es gibt zahlreiche Compliance-Regeln, die einen verbindlichen Rahmen für den Datenschutz in Unternehmen setzen. Einige davon, wie beispielsweise das Bundesdatenschutzgesetz, benennen die Verschlüsselung des Datenverkehrs explizit als probates Mittel, um Compliance-konform zu arbeiten.

Bei der Traffic-Verschlüsselung ist entscheidend, dass die Daten auf dem gesamten Weg vom Absender bis zum Empfänger verschlüsselt sind. Nur der berechtigte Adressat kann sie entschlüsseln. Dies gilt gleichermaßen für die E-Mail-Kommunikation und allen weiteren Datenverkehr.

Der Vorteil: Dies funktioniert unabhängig von Provider und Verbindungsart und sogar in ungesicherten Netzen. Wer auch immer Verbindungen anzapft und Daten abgreift, bekommt nur „Datenmüll“ zu sehen. Und zwar unabhängig davon, ob mit einem stationären oder einem mobilen Endgerät kommuniziert wird.

Dass diese Regeln nicht nur auf dem Papier existieren und Lippenbekenntnisse in Bezug auf Verschlüsselung nicht ausreichen, hat eine breit angelegte Überprüfung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) aus dem Jahr 2014 gezeigt.

Sicherheitsmängel können teuer werden

Trotz verpflichtender gesetzlicher Regularien fielen mehr als ein Drittel der über 2.300 kontrollierten Firmen bei diesem Sicherheitscheck durch. Der Grund: Die Mail-Infrastruktur ermöglichte keine sichere Kommunikation nach den Vorgaben des Bundesdatenschutzgesetzes.

Für Unternehmen, die der Aufforderung des BayLDA nach Auskunft nicht nachkommen, können solche Sicherheitslücken teuer werden. Es drohen Geldbußen von bis zu 50.000 Euro. Im Fokus der Überprüfung standen der Einsatz des Verschlüsselungsprotokolls SSL/TLS oder STARTTLS und Perfect Forward Secrecy (PFS) sowie die Sicherheitslücke Heartbleed.

STARTTLS-Verschlüsselung ist laut der Behörde ein „notwendiger Baustein zur Absicherung elektronischer Kommunikation“, kann aber Ende-zu-Ende Verschlüsselung keineswegs ersetzen. Diese sei aber zwingend notwendig, wenn personenbezogene Daten wie Gesundheitsdaten oder Personalakten elektronisch ausgetauscht werden.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43608841 / Compliance und Datenschutz )