Suchen

Neue EU-Normen Führt Verschlüsselung zu besserem Datenschutz?

| Autor / Redakteur: Dietmar Schnabel / Stephan Augsten

Im Vergleich zum IT-Sicherheitsgesetz ist es um die General Data Protection Regulation (GDPR) eher still. Sollte die EU-Datenschutz-Grundverordnung kommen, wird die Mehrheit aller europäischen Organisationen betroffen sein. Die Bemühungen, sich darauf vorzubereiten, scheinen aber eher gering.

Firmen zum Thema

Wer gleich mehrere Standards erfüllt, der muss später keine großen Investitionen in Compliance-Anpassungen tätigen.
Wer gleich mehrere Standards erfüllt, der muss später keine großen Investitionen in Compliance-Anpassungen tätigen.
(Bild: Archiv)

Die endgültige Entscheidung über die http://eur-lex.europa.eu/legal-content/DE-EN/TXT/?uri=CELEX:52012PC0010&from=en General Data Protection Regulation wird noch vor Jahresende erwartet, in Panik verfällt aber niemand. Dennoch sollte das neue Gesetz nicht unterschätzt werden. Teile des EU-Vorschlags haben bereits ihren Weg in die deutsche Gesetzgebung gefunden.

So ist es beispielsweise die Pflicht, Cyber-Angriffe bei der zuständigen Bundesbehörde zu melden. In Deutschland wäre dies das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Behörde arbeitet nicht nur an Gesetzen selbst mit, sondern wird auch die Aufsichtsbehörde zur Bearbeitung der Ereignismeldungen sein.

Die Anforderungen an die IT-Sicherheit werden sich ändern; und nachdem immer mehr Cyber-Angriffe landesweite Medienaufmerksamkeit erlangten, schenken jetzt auch Kunden und die Öffentlichkeit diesem Thema mehr Aufmerksamkeit.

Einbindung der Verschlüsselung in die mobile Sicherheit

Unternehmen müssen dem BSI Cyber-Ereignisse nicht nur (anonym) melden, sondern auch über die betroffenen Einzelpersonen informieren, falls deren Daten verloren gingen und nicht geschützt waren. § 29 des EU-Vorschlags argumentiert allerdings dagegen.

Die Einzelperson müsse im Falle eines Ereignisses nicht informiert werden, falls „der Controller zur Zufriedenheit der Aufsichtsbehörde nachweist, dass er angemessene technische Schutzmaßnahmen getroffen hat, und dass diese Maßnahmen auf die persönlichen Daten, die von dem Datenschutzverstoß betroffen sind, angewandt wurden.“

Diese technischen Schutzmaßnahmen sollen die Daten für andere Personen, die keine Zugriffsbefugnis haben, unleserlich machen. Das bedeutet, dass Unternehmen zusätzliche Möglichkeiten zur Verfügung stehen, persönliche Daten zu schützen; wenn diese nicht genutzt werden, muss jede Verletzung bekannt gemacht werden.

Persönliche Daten müssen sicher gespeichert werden, und dieser Schutz muss auch im Falle eines Ereignisses gewährleistet sein. Im Paragraph § 27 des Drafts werden Mechanismen empfohlen, wie die Kontrolle des Zugangs zu Anlagen, Datenmedien, Speichern und Daten aussehen kann. Erforderliche Schutzmechanismen sind sichere Authentifizierungsmethoden und Ende-zu-Ende- Verschlüsselung.

Daten, die auf Mobilgeräten gespeichert sind, können besonders leicht verloren gehen. Durch den Trend in Richtung BYOD und Internet der Dinge (IoT) wird der Schutz zu einer immer anspruchsvolleren Aufgabe. Der Zugang zu Informationen ist in der Regel durch Fernzugriff möglich, zum Beispiel durch die Extraktion von Daten durch bösartige Anwendungen, aber auch direkt, wenn das Gerät selbst in falsche Hände gerät.

(ID:43708225)