Suchen

Viren- und Datenschutz Privacy by Design für Security

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Dr. Andreas Bergler

Der Datenschutz beflügelt das Security-Geschäft. Doch der Schuss kann nach hinten losgehen, wenn die Security-Lösungen selbst gegen den Datenschutz verstoßen.

Firmen zum Thema

„Privacy“ ist auch ein „Security“-Thema.
„Privacy“ ist auch ein „Security“-Thema.
(Bild: © Jakub Jirsk - Fotolia.com)

Der strenge Datenschutz in Deutschland und in der EU ist ein zentrales Thema der IT-Sicherheit in 2017. Wer IT-Sicherheitslösungen verkauft, implementiert oder ­betreibt, kann den Datenschutz als Verkaufsargument nutzen. Es ist aber wichtig, dass die angebotenen Security-Lösungen selbst datenschutzgerecht sind. Automatisch gegeben ist dies nicht.

„Datenschutz oder Virenschutz?“ Eine scheinbar absurde Frage, die das Testinstitut AV-Test in einer Meldung stellte, nachdem die Tester die Datenschutzer­klärungen von 26 Anti-Viren-Lösungen untersucht hatten. Erwarten würde man etwas wie „Kein Datenschutz ohne Virenschutz“, denn der moderne Datenschutz ist ohne die Maßnahmen der IT-Sicherheit nicht durchführbar. Marktforscher erwarten nicht ohne Grund steigende Security-Investitionen in den kommenden Jahren, denn mit der Datenschutz-Grundverordnung (DSGVO) der EU und dem entsprechenden deutschen Ausführungsgesetz (ABDSG, Allgemeines Bundesdatenschutzgesetz) steigen die Anforderungen an die Datensicherheit.

Ergänzendes zum Thema
Von Beginn an datenschutzgerecht

Die Datenschutzforderungen an IT-Sicherheitslösungen beschränken sich nicht nur auf Datenschutzerklärungen, besondere Zweckbindung und rechtlich einwandfreie Datenübermittlungen: Seit langem fordern Datenschützer von IT-Lösungen und damit auch von IT-Sicherheitslösungen, dass der Datenschutz bereits während der Entwicklung Beachtung findet („Privacy by Design“) und die Voreinstellungen datenschutzfreundlich sind („Privacy by Default“).

Durch die Datenschutz-Grundverordnung (DSGVO), die ab Mai 2018 anzuwenden ist, aber schon heute der Vorbereitung bedarf, sind die Forderungen nach Privacy by Design und by Default rechtlich vorgeschrieben (Artikel 25 DSGVO Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen). IT-Sicherheitslösungen sind heute aber oft nicht ohne weiteres datenschutzfreundlich eingestellt oder entsprechend entwickelt. Hier sind durchaus stärkere Bemühungen in der Security-Branche gefragt.

Security-Lösungen müssen datenschutzfreundlich mit Nutzerdaten umgehen, unter anderem durch Pseudonymisieren / Anonymisieren der personenbezogenen Daten und, wo die Daten vollständig vorliegen müssen, durch Verschlüsselung und fristgerechtes Löschen.

Tatsächlich aber musste AV-Test feststellen, dass die rechtlich geforderten Datenschutz­erklärungen bei Anti-Viren-Lösungen keine Selbstverständlichkeit sind, sondern mitunter komplett fehlen oder aber unvollständig sind. Zudem ergab der Test, dass es so manche AV-Schutzlösung nicht so genau mit Datenschutz-Prinzipien wie Datenminimierung (bisher Datensparsamkeit genannt) und Zweckbindung nimmt. Unter den untersuchten Anti-Malware-­Lösungen gab es sehr neugierige, die Daten der Nutzer wissen und verarbeiten wollten, die mit dem eigentlichen Schutzzweck kaum oder gar nichts zu tun haben. So wichtig IT-Sicherheit auch für den Datenschutz ist, eine Freistellung hat die IT-­Sicherheit deshalb noch lange nicht. ­Bereits das bestehende Bundesdatenschutzgesetz (BDSG) verlangt von der IT-Sicherheit die sogenannte Besondere Zweckbindung (§ 31 BDSG): „Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden.“

Somit dürfen Nutzerdaten, die im Zuge des Anti-Viren-Schutzes erhoben, gespeichert und verarbeitet werden, nicht ­einfach zu Werbezwecken verwendet ­werden. Eignen würden sich die den IT-Sicherheitslösungen bekannt werdenden Daten unter Umständen schon dafür, wenn man zum Beispiel an die Liste der besuchten Webseiten denkt, die die Vorlieben des Nutzers erkennen lassen. Erlaubt ist die Verwendung solcher Daten zu Werbezwecken dagegen nicht, wenn der Nutzer dem nicht auf Basis einer ausführlichen Information zustimmt (sogenannte informierte Einwilligung).

Verschiedene Security-Anbieter haben sich den Datenschutz explizit auf die Fahnen geschrieben und Funktionen oder Lösungen eingeführt, die den EU-Datenschutz besonders hervorheben. Zwei Beispiele sollen dies illustrieren: Palo Alto Networks betreibt eine europäische Cloud für WildFire in den Niederlanden. „Durch die Inbetriebnahme unserer WildFire EU Cloud stellen wir sicher, dass unsere Kunden auch von den hervorragenden Bedrohungsanalyse-Fähigkeiten profitieren können, während die Dateien innerhalb der EU verbleiben. So können wir ­Bedenken, Daten zu übertragen, aus dem Weg räumen“, so Lee Klarich, Networks Executive Vice President, Product Management, Palo Alto Networks.

Barracuda Networks hat die Verfügbarkeit einer Next-Generation Firewall für Microsoft Azure Deutschland ankündigt. Mit Azure Deutschland gibt Microsoft seinen Kunden eine Option, die Datenspeicherung auf deutsche Rechenzentren zu begrenzen, und erlaubt damit die zusätzliche Wahl, wie und wo ihre Daten ­liegen sollen. Wer sich bewusst für eine Cloud-Lösung unter deutschem Recht entscheidet, sollte sie nicht dadurch aushebeln, dass Teile der Firewall im Ausland liegen, so ein Statement zu der Ankündigung von Barracuda.

(ID:44603573)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research