Compliance-Pflichten An konsequenter Verschlüsselung führt kein Weg vorbei

Autor / Redakteur: Marcel Mock* / Stephan Augsten

Es gibt zahlreiche Compliance-Regeln, die einen verbindlichen Rahmen für den Datenschutz in Unternehmen setzen. Einige davon, wie beispielsweise das Bundesdatenschutzgesetz, benennen die Verschlüsselung des Datenverkehrs explizit als probates Mittel, um Compliance-konform zu arbeiten.

Anbieter zum Thema

Eine durchgängige Verschlüsselung des Datenverkehrs sollte auch fernab der Compliance-Verpflichtungen umgesetzt werden.
Eine durchgängige Verschlüsselung des Datenverkehrs sollte auch fernab der Compliance-Verpflichtungen umgesetzt werden.
(Bild: Archiv)

Bei der Traffic-Verschlüsselung ist entscheidend, dass die Daten auf dem gesamten Weg vom Absender bis zum Empfänger verschlüsselt sind. Nur der berechtigte Adressat kann sie entschlüsseln. Dies gilt gleichermaßen für die E-Mail-Kommunikation und allen weiteren Datenverkehr.

Der Vorteil: Dies funktioniert unabhängig von Provider und Verbindungsart und sogar in ungesicherten Netzen. Wer auch immer Verbindungen anzapft und Daten abgreift, bekommt nur „Datenmüll“ zu sehen. Und zwar unabhängig davon, ob mit einem stationären oder einem mobilen Endgerät kommuniziert wird.

Dass diese Regeln nicht nur auf dem Papier existieren und Lippenbekenntnisse in Bezug auf Verschlüsselung nicht ausreichen, hat eine breit angelegte Überprüfung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) aus dem Jahr 2014 gezeigt.

Sicherheitsmängel können teuer werden

Trotz verpflichtender gesetzlicher Regularien fielen mehr als ein Drittel der über 2.300 kontrollierten Firmen bei diesem Sicherheitscheck durch. Der Grund: Die Mail-Infrastruktur ermöglichte keine sichere Kommunikation nach den Vorgaben des Bundesdatenschutzgesetzes.

Für Unternehmen, die der Aufforderung des BayLDA nach Auskunft nicht nachkommen, können solche Sicherheitslücken teuer werden. Es drohen Geldbußen von bis zu 50.000 Euro. Im Fokus der Überprüfung standen der Einsatz des Verschlüsselungsprotokolls SSL/TLS oder STARTTLS und Perfect Forward Secrecy (PFS) sowie die Sicherheitslücke Heartbleed.

STARTTLS-Verschlüsselung ist laut der Behörde ein „notwendiger Baustein zur Absicherung elektronischer Kommunikation“, kann aber Ende-zu-Ende Verschlüsselung keineswegs ersetzen. Diese sei aber zwingend notwendig, wenn personenbezogene Daten wie Gesundheitsdaten oder Personalakten elektronisch ausgetauscht werden.

(ID:43608841)