:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenschutz DSGVO-konforme Blockchains
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Mit seinen strengen Datenschutzvorgaben fordert der europäische Gesetzgeber von Blockchain-Softwareschmieden scheinbar die Quadratur des Kreises. Erfinder datenschutzkonformer Blockchains haben trotzdem bereits erste Lösungen parat.
Bereits mit dem regulatorischen Rahmenwerk des Rechts auf Vergessenwerden entstand für manche Blockchain-Entwicklungsschmiede ein nicht zu unterschätzender Bremsklotz. Die Unveränderlichkeit und damit auch die dezentrale Natur der Blockchain standen plötzlich dem Einsatz im Wege. Dann hat die DSGVO dem Gebot der Datensparsamkeit mit einer klaren Formulierung der Betroffenenrechte und hohen Strafen Nachdruck verliehen.
:quality(80)/images.vogel.de/vogelonline/bdb/1585900/1585966/original.jpg "„Datenschutz und Public Blockchain passen nur bedingt zusammen“, Markus König, Rechtsanwalt und zertifizierter Datenschutzbeauftragter. (geralt/pixabay)")
Blockchain und Datenschutz
Die DSGVO vergisst, die Blockchain nie!
Des einen Recht, des anderen Pflicht
Aus der EU-DSGVO leiten sich im Hinblick auf personenbezogene Daten bekannterweise das Recht auf Auskunft (Art. 15), das Recht auf Berichtigung (Art. 16), das Recht auf Vergessen/Löschen (Art. 17) und das Recht auf Datenübertragbarkeit (Art. 20). Nicht zuletzt gilt es auch, modernste Mechanismen zur Gewährleistung der Cybersicherheit und der Datenübertragbarkeit zu implementieren (Artikel 24 und 32).
Eine DSGVO-konforme Blockchain muss demnach über die Fähigkeit verfügen, personenbezogene Daten, sofern vorhanden, bei Bedarf zu vernichten und hierzu ggf. On-Chain-Protokolleinträge wieder rückgängig zu machen. Diese Fähigkeit muss mit den Prinzipien der Dezentralisierung und der Unveränderlichkeit des Transaktionsprotokolls Einklang finden. Wie bitte?
Darüber hinaus bleibt ja auch die Frage offen, wer die Rechtmäßigkeit der geforderten Modifikationen kontrollieren soll. Eine zentrale Regulierungsstelle für eine vermeintlich dezentrale Blockchain? Wären dann öffentliche Blockchains grundsätzlich unzulässig?
In Abhängigkeit von der technischen Ausgestaltung einer konkreten Blockchain-Lösung sind Unternehmen ggf. verpflichtet, eine Datenschutzfolgenabschätzung gem. Art. 36 DSGVO durchzuführen. Dies sei nur dann erforderlich, so der Europäische Datenschutzausschuss, wenn die neue Technologie – also beispielsweise die Blockchain – mit einem anderen Verarbeitungsfaktor kombiniert werde, welcher das Datenverarbeitungsrisiko auf ein hohes Niveau erhöhen würde. Wie Letzteres zu beurteilen sei, ist Ermessenssache. In der europäischen Blockchain-Szene herrscht eine hohe Rechtsunsicherheit.
In den Vereinigten Staaten rückt inzwischen in der Diskussion um die wünschenswerten Eigenschaften einer Blockchain das Anrecht auf die Nachprüfbarkeit von Daten in den Vordergrund. Mit einer Blockchain, die nichts vergisst, haben die Amerikaner keine Probleme. Diese Denkweise betrachtet die öffentliche Verfügbarkeit von Daten als grundsätzlich wünschenswert, außer wenn sie sektorspezifischen Datenschutzauflagen wie etwa im Falle der Finanzindustrie oder des Gesundheitswesens unterliegen. Der resultierende Flickenteppich aus branchenorientierten Vorschriften ist für den Otto-Normalverbraucher nicht nachvollziehbar.
Jede Blockchain-Lösung, die universell einsetzbar sein will, muss in der Praxis den strengeren europäischen Vorschriften der EU-DSGVO Folge leisten.
In der Studie „Blockchain and the General Data Protection Regulation“ ringt der wissenschaftliche Dienst des Europäischen Parlamentes (EPRS) mit der Frage, ob sich denn Blockchains mit der DSGVO überhaupt vereinbaren ließen.
Die Blockchain sei als eine „gemeinsam genutzte und synchronisierte digitale Datenbank“ zu verstehen, die von einem Konsensalgorithmus „verwaltet und verteilt auf mehreren Netzwerkknoten gespeichert“ werde. Die Artikel 24 und 32 der DSGVO fordern nun aber von den Datenverarbeitungsbeauftragten, dass sie ihre organisatorischen und technischen Kontrollen kontinuierlich verbessern, um die mit ihren Tätigkeiten verbundenen Risiken zu mindern. In einem Blockchain-System könne möglicherweise niemand im Alleingang als „Daten-Controller“ für den Datenschutz in die Pflicht genommen werden, argumentieren die Forscher. In der Regel seien viele Parteien an der Pflege einer Blockchain beteiligt, führt der Bericht weiter aus. Jeder Knoten würde eine integrale Kopie der gesamten Blockchain-Datenbank pflegen und könne diese unabhängig von den anderen Knoten aktualisieren.
Ob eine Blockchain DSGVO-konform sei oder nicht, ließe sich daher nicht pauschal beurteilen. Die Forscher des EPRS fordern daher klare regulatorische Leitlinien, Zertifikate und Verhaltensregeln, in anderen Worten: mehr Rechtssicherheit für Unternehmen der Blockchain-Szene und die Nutzer ihrer Plattformen.
:quality(80)/p7i.vogel.de/wcms/6b/66/6b6637fddd697cb04a95164c79dbe95a/0101746963.jpeg "Den Widerspruch zwischen „unveränderlicher Blockchain“ und dem „Recht auf Vergessenwerden“ der DSGVO müssen Datenschützer, Gerichte und Gesetzgeber erst noch auflösen. (©mixmagic - stock.adobe.com)")
Blockchain und Recht
Wie wird die Blockchain DSGVO-konform?
Aller guten Dinge sind zwei: das Regelwerk der ePVO
Dieses Jahr (also: in 2020) will die EU mit der ePrivacy-Verordnung (ePVO) vorhandene Regelungslücken des DSGVO-Rahmenwerks schließen und Zweifel an widersprüchlichen Formulierungen aufklären. Die ePVO bedarf keiner Umsetzung in nationales Recht; sie wird sofort nach ihrem Inkrafttreten in allen Mitgliedsstaaten wirksam. Sie soll damit die E-Privacy-Richtlinie ablösen, dessen Bestimmungen der deutsche Gesetzgeber in das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG) hatte einfließen lassen.
Über den Wortlaut der ePVO gibt es bisher keinen Konsensus.
Mit ihrem ersten Entwurf ist die EU-Kommission in Gesprächen mit den Mitgliedsstaaten gegen die Wand gelaufen, musste diesen Ende vergangenen Jahres verwerfen und will jetzt auf die ePVO einen neuen Anlauf nehmen. Beobachter erwarten einen Neuentwurf frühestens zu Beginn der deutschen Ratspräsidentschaft im Juni 2020. In der Zwischenzeit sitzen die Betroffenen in hoffnungsvoller Erwartungshaltung.
Beim deutschen Mittelstand herrscht im Zusammenhang mit der DSGVO ohnehin schon eine hohe Unsicherheit. Wenn schon Großunternehmen wie Facebook, IBM oder Google, die über vergleichsweise unlimitierte IT-Budgets verfügen, bei der korrekten Umsetzung der DSGVO sich schon mal um konkrete Maßnahmen drücken, was sollen da schon kleinere Unternehmen machen?
„Bei der DSGVO ist das Aufwand-Nutzen-Verhältnis vollkommen unausgewogen“, kommentiert Marco Zingler, Vizepräsident beim Bundesverband Digitale Wirtschaft BVDW. Während einerseits der Verbraucherdatenschutz nicht nennenswert gestärkt worden sei, werde andererseits eine rechtskonforme Datenverarbeitung aus Sicht der Wirtschaft immer komplexer. Dabei seien die Verfügbarkeit und Nutzbarkeit von Daten „zunehmend essenziell für den wirtschaftlichen Erfolg Europas“, glaubt er.
Das schwerwiegendste Problem mit der DSGVO seien aber nicht „zu strenge Datenschutzregelungen“, sondern vielmehr die Rechtsunsicherheit durch widersprüchliche und unklare Formulierungen der Verordnung, so Zingler. Dasselbe könnte der Wirtschaft mit der E-Privacy-Verordnung blühen.
BoneBits aus Dortmund
Wenn es nach der Dortmunder BoneBits GmbH u.a. gehen sollte, wäre eine Lösung gar nicht in weiter Ferne. Das Unternehmen hat ein DSGVO-konformes Verfahren zur dynamischen Verwaltung eines Blockchain-basierten, dezentralen Datenspeichers entwickelt.
Das Verfahren macht sich privilegierte Nodes zu Nutze, um Prozessen auf der Blockchain Finalität zu verleihen und Datenblöcke unter Bewahrung der Blockchain-Integrität in speziell dafür vorgesehenen Bereichen zu löschen. Hierzu setzt die BoneBits auf eine individualisierte Aufgabenzuteilung zu Netzwerkknoten und die Deklaration neuer Blocktypen. Die resultierende Architektur basiert auf Backbone-Chains und Limb-Chains.
Das Verfahren erweitert die bekannten Eigenschaften der Blockchain um die dynamischen Eigenschaften einer Datenbank. So gewinne die dezentrale Datenverwaltung durch neue Funktionalitäten „einen neuen Stellenwert“. Das Unternehmen sieht für die Lösung vielfältige Nutzungsszenarien u.a. auch im Zusammenhang mit der Sicherung und Aufbewahrung personenbezogener Daten, der Erfüllung von Dokumentationspflichten mit datenschutzrechtlichen Auflagen und die sichere Verwaltung gemeinsam genutzter Daten durch mehrere Akteure.
Das Zusammenspiel aus der Backbonechain und Limbchain ermöglicht weitere Besonderheiten wie den Einsatz einer Blackbox, eines forkresistenten Netzwerks mit dynamisch verteilter Rechenleistung. Ein angenehmer Nebeneffekt sei zudem die freie Wahl der Script- oder Programmiersprache. Nach der internationalen Patentanmeldung im Januar sucht das Unternehmen nach strategischen Partnern aus Wirtschaft und Forschung. BoneBits möchte den ersten Prototyp als Live-Test im Juli freischalten.
:quality(80)/p7i.vogel.de/wcms/b3/55/b355a0fa8ef7f937bf4c6594a2cfaa1d/82196577.jpeg "Die \"Blockchain 2.0\" ermöglicht das Verändern von Daten ohne Integritätsverlust. (Bild: BoneBits)")
BoneBits stellt Verfahren vor
Daten auf Blockchains jederzeit löschen und ändern
Erste Schritte zur Konformität
Im Auftrag des EU Blockchain Observatory and Forum (EUBOF), einer von der Europäischen Kommission gegründeten Denkfabrik, hat sich auch die ConsenSys AG mit der DSGVO-Konformität von Blockchains in einem detaillierten Bericht auseinandergesetzt.
Die Analysten empfehlen betroffenen Unternehmen, personenbezogene Daten nach Möglichkeit niemals in einer Blockchain zu speichern, sondern sie stattdessen zu verschleiern, zu verschlüsseln und zu aggregieren, um Anonymität zu gewährleisten. Unternehmen, die personenbezogene Daten erfassen, sollten diese vorzugsweise außerhalb der Blockchain sammeln. Weiter sei eine private berechtigungspflichtige Blockchain einer öffentlichen Blockchain vorzuziehen. Beim Verbinden ihrer privaten Blockchains mit einer öffentlichen Blockkette müssten Unternehmen besondere Vorsicht walten lassen, warnt die ConsenSys AG.
Fazit
Mit datenschutzrechtlichen Auflagen hat der EU-Gesetzgeber die dezentrale, selbstverwaltende Natur der Blockkette in Frage gestellt. Blockchain-Plattformen müssen zur Erfüllung der europäischen Datenschutzvorgaben ganz neue Seiten aufziehen.
Über die Autoren: Anna Kobylinska und Filipe Pereira Martins arbeiten für McKinley Denali Inc. (USA).
(ID:46459989)
:quality(80)/p7i.vogel.de/wcms/5b/95/5b9526bd26042825b41711ad19f7407e/0106904581.jpeg "Die EU will den Missbrauch von Kryptowerten durch Kriminelle verhindern. (Bild: RioPatuca Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/fb/07fb5d9ec947725296dd576bb08baf9f/0107000956.jpeg "Bei der Datensicherheit geht es nicht nur um die Sicherheit personenbezogener Daten, sondern um alle zu schützenden Daten. Auch für Daten ohne jeden Personenbezug müssen die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet sein. (Bild: mixmagic - stock.adobe.com)")