Compliance-Pflichten

An konsequenter Verschlüsselung führt kein Weg vorbei

| Autor / Redakteur: Marcel Mock* / Stephan Augsten

Mangel an verbindlichen Standards

Aus welchen Gründen verzichten Verantwortliche also immer noch auf Verschlüsselung? Ein Manko ist das Fehlen verbindlicher Standards. Die meisten Compliance-Regeln schreiben bisher lediglich pauschal eine „Verschlüsselung“ vor. Ob es sich dabei, wie beim Beispiel E-Mail, um eine Transport- oder Inhaltsverschlüsselung handeln muss, ist jedoch meist nicht weiter spezifiziert.

Genau das wäre jedoch entscheidend. Denn je nach Anwendungsszenario schützt eine Transportverschlüsselung E-Mail-Inhalte eben doch nicht umfassend, sprich Ende-zu-Ende und entspricht damit nicht dem durch das BayLDA geforderten, „zwingend notwendigen“ Schutz für personenbezogene Daten. Dies thematisiert sogar der neue Richtlinien-Entwurf „Sicherer E-Mail-Transport“ des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Datenschützer sind oft verunsichert

Es verwundert demnach nicht, dass Datenschutz-Verantwortliche sich oft allein gelassen fühlen, wenn es um die konkrete Umsetzung von Verschlüsselung geht. Dass je nach Art der Datenübertragung unterschiedliche Standards nebeneinander existieren, sorgt dabei für zusätzliche Verunsicherung.

Bei der sicheren Datenübertragung gehören HTTPs, FTPS sowie SFTP und SCP zu den wichtigsten Verfahren. Für welches sich ein Unternehmen entscheidet, hängt von der vorhandenen IT-Infrastruktur sowie den begleitenden Komponenten ab.

Bei der E-Mail-Verschlüsselung gibt es mit S/MIME und PGP zwei weltweit stark etablierte Verfahren – die allerdings nicht miteinander kompatibel sind. Da die gängigen kommerziellen E-Mail-Clients den Standard S/MIME ohnehin unterstützen, zeichnet sich im geschäftlichen Umfeld ein Trend dazu ab.

In Unternehmen, die S/MIME zusammen mit einer eigenen Schlüsselverwaltung (PKI) betreiben, entsteht ein zusätzlicher Nutzen: Sie haben damit gleichzeitig auch eine Lösung für Digitale Signaturen. Diese ist anerkannt und auch nach dem deutschen Signaturgesetz gültig.

Privatpersonen hingegen nutzen eher PGP. Was durch die jüngste Ankündigung von Web.de und GMX, ihren 30 Millionen Nutzern PGP-Verschlüsselung zu bieten, noch verstärkt wird. Auch langfristig ist daher nicht abzusehen, dass sich einer der beiden Standards bald durchsetzt.

Auf der sicheren Seite

Auch ohne flächendeckenden Standard ist die sichere, verschlüsselte Übertragung von E-Mails und Dateien auch heute schon einfach zu realisieren. Aufgrund der Komplexität des Themas empfiehlt es sich, beim Auswahlprozess mit Spezialisten zusammenzuarbeiten. Diese können bei der Bedarfsermittlung und Realisierung einer passenden Lösung, die alle gängigen Standards abdeckt, helfen.

Dadurch werden sogar Kommunikationspartner erreicht, die selbst nicht über die technologischen Voraussetzungen zur Verschlüsselung verfügen. Nur durch ein breites Einsatzfeld und die problemlose Kommunikation mit allen Partnern und Kunden wird die „konsequente“ Verschlüsselung erreicht, die aufgrund von Compliance-Regeln und wirtschaftlichen Überlegungen für Unternehmen heute unabdingbar ist.

* Marcel Mock ist CTO und Mitbegründer des Schweizer Sicherheitsexperten totemo.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43608841 / Compliance und Datenschutz )