Neue EU-Normen Führt Verschlüsselung zu besserem Datenschutz?

Autor / Redakteur: Dietmar Schnabel / Stephan Augsten

Im Vergleich zum IT-Sicherheitsgesetz ist es um die General Data Protection Regulation (GDPR) eher still. Sollte die EU-Datenschutz-Grundverordnung kommen, wird die Mehrheit aller europäischen Organisationen betroffen sein. Die Bemühungen, sich darauf vorzubereiten, scheinen aber eher gering.

Firmen zum Thema

Wer gleich mehrere Standards erfüllt, der muss später keine großen Investitionen in Compliance-Anpassungen tätigen.
Wer gleich mehrere Standards erfüllt, der muss später keine großen Investitionen in Compliance-Anpassungen tätigen.
(Bild: Archiv)

Die endgültige Entscheidung über die http://eur-lex.europa.eu/legal-content/DE-EN/TXT/?uri=CELEX:52012PC0010&from=en General Data Protection Regulation wird noch vor Jahresende erwartet, in Panik verfällt aber niemand. Dennoch sollte das neue Gesetz nicht unterschätzt werden. Teile des EU-Vorschlags haben bereits ihren Weg in die deutsche Gesetzgebung gefunden.

So ist es beispielsweise die Pflicht, Cyber-Angriffe bei der zuständigen Bundesbehörde zu melden. In Deutschland wäre dies das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Behörde arbeitet nicht nur an Gesetzen selbst mit, sondern wird auch die Aufsichtsbehörde zur Bearbeitung der Ereignismeldungen sein.

Die Anforderungen an die IT-Sicherheit werden sich ändern; und nachdem immer mehr Cyber-Angriffe landesweite Medienaufmerksamkeit erlangten, schenken jetzt auch Kunden und die Öffentlichkeit diesem Thema mehr Aufmerksamkeit.

Einbindung der Verschlüsselung in die mobile Sicherheit

Unternehmen müssen dem BSI Cyber-Ereignisse nicht nur (anonym) melden, sondern auch über die betroffenen Einzelpersonen informieren, falls deren Daten verloren gingen und nicht geschützt waren. § 29 des EU-Vorschlags argumentiert allerdings dagegen.

Die Einzelperson müsse im Falle eines Ereignisses nicht informiert werden, falls „der Controller zur Zufriedenheit der Aufsichtsbehörde nachweist, dass er angemessene technische Schutzmaßnahmen getroffen hat, und dass diese Maßnahmen auf die persönlichen Daten, die von dem Datenschutzverstoß betroffen sind, angewandt wurden.“

Diese technischen Schutzmaßnahmen sollen die Daten für andere Personen, die keine Zugriffsbefugnis haben, unleserlich machen. Das bedeutet, dass Unternehmen zusätzliche Möglichkeiten zur Verfügung stehen, persönliche Daten zu schützen; wenn diese nicht genutzt werden, muss jede Verletzung bekannt gemacht werden.

Persönliche Daten müssen sicher gespeichert werden, und dieser Schutz muss auch im Falle eines Ereignisses gewährleistet sein. Im Paragraph § 27 des Drafts werden Mechanismen empfohlen, wie die Kontrolle des Zugangs zu Anlagen, Datenmedien, Speichern und Daten aussehen kann. Erforderliche Schutzmechanismen sind sichere Authentifizierungsmethoden und Ende-zu-Ende-Verschlüsselung.

Daten, die auf Mobilgeräten gespeichert sind, können besonders leicht verloren gehen. Durch den Trend in Richtung BYOD und Internet der Dinge (IoT) wird der Schutz zu einer immer anspruchsvolleren Aufgabe. Der Zugang zu Informationen ist in der Regel durch Fernzugriff möglich, zum Beispiel durch die Extraktion von Daten durch bösartige Anwendungen, aber auch direkt, wenn das Gerät selbst in falsche Hände gerät.

Compliance zu möglichst vielen Standards schaffen

Gartner untersucht seit 15 Jahren den Schutz mobiler Daten und veröffentlichte kürzlich seinen jährlichen Magic Quadrant Report für Mobile Data Protection (MDP) Solutions. Darin wird argumentiert, dass Käufer ihre Endpunktsicherheit und MDP normalerweise vom gleichen Anbieter beziehen möchten. Es handelt sich also nicht um einen eigenständigen Markt, sondern um einen Teil der Mobile Security.

Diese Integration ist sinnvoll, denn die mobile Welt ist heterogen und kompliziert. Verschiedene Betriebssysteme und Plattformen stehen im Mittelpunkt und verlangen nach einem mehrschichtigen Ansatz. Wenn es um die Compliance mit Verordnungen wie der GDPR geht, sollten die Anforderungen verschiedener Zertifizierungen erfüllt werden.

Durch mehrschichtige Lösungen kann die Einhaltung internationaler Sicherheitsnormen, wie FIPS-140-2, Common Criteria oder ISO-27001 gewährleistet werden. Auf diese Weise sind Netzwerke und Daten gesichert.

Auch wenn rechtliche Normen zu erfüllen sind, müssen Unternehmen Vorsorge treffen: Mobile Geräte benötigen das gleiche Niveau an Sicherheit wie fest installierte Geräte im internen Netzwerk. Eine Lösung zur Abwehr mobiler Gefahren mit vollständiger Verschlüsselung des gesamten Traffic (IPsec VPN) sollte auch ein Intrusion Prevention System (IPS), Anwendungskontrolle, URL-Filterung, Bot-Erkennung, Anti-Virus und Gefahrenemulation (Sandboxing) umfassen.

Zusammenfassung

Die Best-Practice-Lösung ist die Kombination mehrerer Tools von einem Anbieter. Unternehmen sollten sich auf einen ganzheitlichen Ansatz konzentrieren, der es ihren IT-Abteilungen ermöglicht, die wichtigsten Fragen in den Mittelpunkt zu stellen, und der alle Mitarbeiter in die Lage versetzt, unter bestmöglichen Bedingungen zu arbeiten. Es gibt neue Cyber-Bedrohungen, und es wird weiterhin erfolgreiche Angriffe geben, aber die Freiheit der Nutzer sollte durch die Sicherheit nicht eingeschränkt werden.

Unternehmen sollten beginnen, ihre Sicherheitskonzepte rechtzeitig zu planen, und intelligente Investitionen tätigen, die die Sicherheit verbessern und ihnen helfen, die neuen Standards zu erfüllen. Die EU-Vorschläge befinden sich derzeit auf der Zielgraden und die Länder in der EU werden einige Zeit brauchen, die Norm umzusetzen.

Dietmar Schnabel
Dietmar Schnabel
(Bild: Check Point Software)

Dennoch kam das IT-Sicherheitsgesetz in Deutschland schneller als erwartet, bevor die endgültige Entscheidung auf EU-Ebene fiel. Zweifellos weisen die Inhalte Ähnlichkeiten auf. Unternehmen können die Vorschläge als erste Orientierung nutzen und sich vorbereiten.

* Über den Autor

Dietmar Schnabel ist Regional Director DACH bei Check Point Software Technologies.

(ID:43708225)