:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
LegalThings Lösungsansatz: Blockchain und DSGVO-Konformität
Die EU-Datenschutzgrundverordnung (DSGVO) ist am 25. Mai 2018 in Kraft getreten und sorgt in den Medien und vielen Unternehmen für Unruhe. Unter anderem steht die These im Raum, dass die Blockchain-Technologie mit der DSGVO unvereinbar sei. Das niederländische Unternehmen LegalThings One hat jedoch einen Weg gefunden, um dieses Problem zu lösen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Die DSGVO zielt darauf ab, den Datenschutz aller Personen im EU- und EWR-Raum zu verbessern. Unternehmen, die sich nicht daran halten, müssen im Worst Case mit Geldbußen von bis zu 20 Millionen Euro oder vier Prozent ihres weltweiten Jahresumsatzes rechnen. Kein Wunder, dass die Einhaltung der DSGVO für viele Unternehmen (auch im Blockchain-Bereich) ganz oben auf der Agenda steht. Ohne zu sehr ins juristische Detail zu gehen, sind die drei wichtigsten Aspekte der DSGVO:
- das Recht auf Zugang, das den Bürgern das Möglichkeit eröffnet, auf ihre Daten zuzugreifen und zu erfahren, wie diese gespeichert oder verarbeitet werden (Datenhandling);
- das Recht auf Berichtigung, wonach die Bürger ihre personenbezogenen Daten ändern und berichtigen können;
- das Recht auf Löschung - auch bekannt als das Recht, im Internet vergessen zu werden. Die Betroffenen können die Löschung ihrer personenbezogenen Daten beantragen.
Im Zusammenhang mit der Blockkette stellt die DSGVO wegen der inhärenten Eigenschaften der Technologie eine noch größere Herausforderung dar, die sogar dazu führt, dass einige Projekte stillgelegt und eingestellt werden.
LegalThings One hat nun eine Lösung entwickelt, die nicht nur mit DSGVO kompatibel, sondern auch im Sinne von Datenschutz und Privatsphäre wünschenswert ist.
Datenspeicherung auf Blockkette
Die Blockchain-Technologie bringt zahlreiche Vorteile, wenn es um Sicherheit und Vertrauen geht. Das Attribut Irreversibilität macht die Blockkette zum perfekten Werkzeug, um Transparenz zu schaffen und (rechts-)Streitigkeiten beizulegen. Auf den ersten Blick macht diese Funktion jede Blockkette - ob öffentlich oder privat - unvereinbar mit der DSGVO: Schließlich kann man Daten nicht einfach löschen oder ändern, wenn sie einmal in der Kette sind.
Eine der vorgeschlagenen Lösungen ist die Speicherung verschlüsselter Daten auf der Blockkette. Wird der Schlüssel zerstört, werden die Daten unzugänglich. Leider erfordert das Recht auf Vergessen, dass die Daten gelöscht und nicht nur unzugänglich gemacht werden.
Hashing
Hashing ist ein Prozess, der Daten durch eine mathematische Formel in eine sehr lange Zahl umwandelt. Im Gegensatz zur Verschlüsselung ist es unmöglich, die Originaldaten aus dem Hash zu extrahieren. Identische Daten ergeben immer den gleichen Hash; leicht veränderte Daten aber ergeben immer einen anderen Hash. Ein solcher Hash kann verwendet werden, um sicherzustellen, dass die Daten nicht verändert wurden.
Ein Hash auf die Blockkette zu setzen, könnte noch immer Probleme machen. Denn solche Hash-Werte gelten als personenbezogene Daten, wenn sie mit einer Person verknüpft werden können. Angenommen, die Daten enthalten einen Namen und eine Telefonnummer. Sind jemandem Namen und Telefonnummer bekannt, kann er den zugehörigen Hash generieren und nach dem Vorkommen des Hash-Werts in der Blockkette suchen.
LegalThings One verhindert nun, dass der Hash für etwas anderes als für die Überprüfung der empfangenen Daten verwendet wird, indem man ihn zusammen mit einem Zeitstempel und einigen Zufallsdaten in einen Umschlag (Envelope) steckt. Der Hash, der von der Hüllkurve erzeugt wird, tritt nie öfter als einmal auf der Blockkette auf. Zusätzlich wird der komplette Umschlag benötigt, nicht aber aber die persönlichen Daten, um den Hash zu erstellen.
Speicherung von Daten auf LegalThings One
Bei einem zentralen System werden personenbezogene Daten zur weiteren Verarbeitung in das System einer Organisation (dem Controller) hochgeladen. Dies ist zwar nach den Regeln der DSGVO möglich, stellt aber eine große Belastung für die Organisation dar. Denn diese muss dafür sorgen, dass die Daten sicher gespeichert werden und auf keine andere Weise als in der betreffenden Vereinbarung zur Auftragsdatenverarbeitung beschrieben verwendet werden.
Die Funktion Live Contracts auf LegalThings One hilft dabei. Ein Live-Vertrag ist ein digitalisiertes Verfahren, bei dem alle möglichen Aktionen für jeden Teilnehmer vordefiniert sind. Die Daten werden nur im Rahmen der jeweiligen Prozedur zur Verfügung gestellt und können nur für bestimmte Aktionen innerhalb der Prozedur verwendet werden. Jeder Live-Vertrag erstellt eine neue private Miniatur-Blockkette. Damit sind bereits die Grundregeln für die Auftragsdatenvereinbarung fixiert.
Allerdings hat ein verteiltes System wie LegalThings One einen weiteren Pluspunkt. Jeder Teilnehmer verbindet sich mit der privaten Blockkette über einen Knoten seiner Wahl. Jeder Knoten hat einen privaten Speicherdienst, in dem die Benutzer Daten speichern können. Die Benutzer haben die volle Kontrolle über die dort gespeicherten Daten, ähnlich wie bei einem Clouddienst (z.B. DropBox). Man kann seine persönlichen Daten jederzeit löschen. Eine Weitergabe oder eine Verarbeitung der Daten erfolgt nicht ohne gültige Vereinbarung zur Datenverarbeitung sowie der ausdrücklichen Zustimmung des Nutzers.
Bei LegalThings One ist der Knoten des Benutzers der Controller, der Benutzer nur ein Prozessor.
Die private Miniatur-Blockkette von LegalThings One
Während diese Methode des Hashings und der Speicherung zur Datenminimierung nützlich ist, kann der öffentliche Schlüssel dennoch verwendet werden, um die Aktionen einer Identität auf einer Blockkette zu verfolgen. Jeder Knoten der Blockkette ist somit ein Datenprozessor und benötigt eine Vereinbarung zur Datenverarbeitung. Eine öffentliche Kette hat per Definition eine große Anzahl von anonymen Knoten. Diese Anonymität macht die konsequente Nutzung von solchen Vereinbarungen unmöglich. Eine private Blockkette hingegen erfordert, dass sich jeder Knoten selbst identifiziert.
Mit einer einzigen privaten Blockkette ist es schwierig, das Recht auf Vergessen zu ermöglichen. Wenn eine Person dieses Recht ausüben möchte, müsste die gesamte Blockkette gelöscht oder neu geschrieben werden. Obwohl das technisch möglich ist, würde dies die Integrität der Blockkette stark beeinträchtigen.
LegalThings One erstellt für jeden Prozess eine private Miniaturkette. Nur die von den beteiligten Parteien ausgewählten Knoten haben diese Kette - ähnlich wie andere verteilte Systeme. Um die Integrität dieser Miniaturketten zu gewährleisten, ist jedes Ereignis in der öffentlichen Blockkette von Waves verankert. Bei Bedarf können Knoten bestimmte Prozesse löschen. Da die DSGVO vorgibt, dass Daten nicht unbegrenzt gespeichert werden dürfen, geschieht dies automatisch nach einer festgelegten Aufbewahrungsfrist. Sollte die Speicherung von Daten gesetzliche für einen längeren Zeitraum vorgeschrieben sein, können sie vor dem Löschen der Kette extrahiert werden.
Ein praktisches Beispiel
Ein privater Verkauf wird als Live-Vertrag digitalisiert. Während des Verkaufs muss die Organisation KYC (know your customer) durchführen, indem sie den Kunden identifiziert und eine Risikobewertung vornimmt. Um dieser Pflicht nachzukommen, muss der Kunde eine staatliche Ausgabe-ID sowie andere persönliche Daten angeben.
Im ersten Schritt des Verfahrens wird der Benutzer aufgefordert, persönliche Daten anzugeben und seine ID hochzuladen. Die Anwendung packt diese in einen Umschlag und erzeugt einen Hash. Der Umschlag mit den persönlichen Daten wird zur Speicherung an den Knoten geschickt. Der Kunde signalisiert, dass er die Aktion ausgeführt hat, indem er der Blockkette ein Ereignis hinzufügt. Der Hash wird ebenfalls dem Ereignis hinzugefügt.
Da alle möglichen Zustände und Aktionen bekannt sind, kann der Kunde vorab die genaue Situation und den Zweck genehmigen, den die Organisation benötigt, um Zugriff auf die Daten zu erhalten. Er kann diese Einwilligung jederzeit widerrufen oder die Daten löschen.
Im weiteren Verlauf des Verfahrens wird ein Zustand erreicht, in dem KYC fortgesetzt werden muss. Die Organisation gibt an, dass sie diese Aktion durchführen möchte. Dazu werden die vom Kunden im ersten Schritt eingegebenen Daten benötigt. Der Knoten der Organisation generiert eine Datenanfrage, die den Grund für den Datenbedarf, die Identität des Prozessors, die Zeit für die Verarbeitung usw. enthält. Die Annahme dieser Anfrage bildet automatisch einen gültigen Datenverarbeitungsvertrag.
Entspricht der Antrag einer zuvor genehmigten Bedingung, erhält die Organisation eine Kopie des Umschlags mit den persönlichen Daten. Sobald die KYC-Aktion ausgeführt wird, fügt sie ein Ereignis zur Blockkette hinzu, das anzeigt, dass der Kunde genehmigt wurde. Danach löscht der Organisationsknoten automatisch alle Spuren der persönlichen Daten.
Falls die Erlaubnis zurückgezogen wurde oder die Daten vor der KYC entfernt wurden, erhält die Organisation keine Kopie der Daten. Das schadet nicht der Integrität der Blockkette. Die Organisation kann die Teilnahme des Kunden einfach verweigern und den Prozess beenden. Beim Replay der Blockkette ist es nicht notwendig, eine Kopie der persönlichen Daten zu besitzen. Die Organisation kann bestätigen, dass sie KYC wegen des Genehmigungsereignisses auf der Blockkette mit ihrer Unterschrift durchgeführt hat.
Dieser Artikel stammt von unserem Partnerportal Industry of Things.
(ID:45332072)
:quality(80)/p7i.vogel.de/wcms/09/69/096912525804a323c7e1fc4756217f6e/0112717196.jpeg "Blockchain soll das Web3 und das Metaverse sicherer und vertrauenswürdiger machen. (Bild: wacomka - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/c5/c5c566c8efe35186e5781c5c77f3f713/0104107125.jpeg "Die Blockchain ist das fehlende Bindeglied zwischen IoT und Datenschutz sowie Cybersicherheit. (Bild: Siarhei - stock.adobe.com)")