IT-Sicherheit und Datenschutz

Security und Privacy by Design und Default

| Autor / Redakteur: Sergej Schlotthauer / Peter Schmitz

Überlegungen zu Datenschutz und Datensicherheit spielen bei der Entwicklung neuer IT-Produkte eine immer größere Rolle.
Überlegungen zu Datenschutz und Datensicherheit spielen bei der Entwicklung neuer IT-Produkte eine immer größere Rolle. (© yavyav - stock.adobe.com)

Lange waren Sicherheitsaspekte nur für IT-Security-Tools, -Programme und -Dienstleis­tungen von größerer Bedeutung. Mittlerweile hat sich Sicherheit jedoch als zentraler Baustein einer guten IT-Produktentwicklung etabliert. Auch der Datenschutz spielt bei der Software-Entwicklung eine immer wichtigere Rolle, Konzepte wie Privacy by Design und Privacy by Default sind inzwischen Teil der DSGVO.

In regelmäßigen Abständen geraten IT-Produkte in den Fokus der Öffentlichkeit, weil Sicherheitslücken rechtzeitig aufgespürt oder von Cyberkriminellen missbraucht werden. Eigentlich hätten die Hersteller diese Lücken bereits in der Entwicklungsphase erkennen und beheben müssen. Doch ist Sicherheit in der IT-Produktentwicklung lange Zeit, wenn auch nicht als vernachlässig-, so doch durchaus als aufschiebbar betrachtet worden. Um ein Produkt möglichst schnell auf den Markt zu bringen, entscheiden Hersteller sich häufig dafür, Sicherheitslücken erst im Nachhinein zu schließen. Nicht selten ist der Schadensfall dann bereits eingetreten. Für den Endverbraucher ist dies ein echtes Problem, denn er verlässt sich auf den Anbieter, geht davon aus, dass seine Sicherheit für diesen oberste Priorität hat. Höchste Zeit also, dass bei den IT-Produktentwicklern ein Umdenken stattfindet.

Sicherheit als als Einkaufsbedingung

Security-Ratings

Sicherheit als als Einkaufsbedingung

01.11.17 - Sicherheitskriterien spielen bei der Auswahl von IT-Lösungen eine große Rolle. Doch wie kann man die IT-Sicherheit bei einem Angebot bewerten? Professionelle und transparente Security-Ratings mit ihren Kennzahlen können bei der Lösungssuche und Anbieterauswahl helfen. So können Unternehmen schon vor der Angebotsphase die für sie optimal passende Shortlist erstellen. lesen

Sicherheit als Konzept

Im Konzept Security by Design wird Sicherheit ganz konkret und explizit als Anforderung in den gesamten Entwicklungsprozess, auch bezeichnet als Security Development Lifecycle, einbezogen. Von der Planung, über die Entwicklung, bis hin zu ersten Testläufen und der Fertigstellung wird stets auf die Berücksichtigung potentieller Sicherheitsrisiken Wert gelegt. Sicherheit wird so zu einem integralen Bestandteil des fertigen IT-Produkts.

Neben dem Prinzip Security by Design hat sich dabei mittlerweile auch das verwandte Konzept Security by Default etabliert. Dabei werden Sicherheitsbausteine bei der Entwicklung so in das IT-Produkt integriert, dass diese für den Nutzer unbemerkt im Hintergrund wirken, er sich nicht aktiv um Sicherheit kümmern muss und dennoch stets geschützt ist. Neben der IT-Sicherheit ist mittlerweile auch der Datenschutz in den Fokus dieser Überlegungen geraten. Privacy by Design und Privacy by Default heißen hier die Fachbegriffe. In ähnlicher Weise geht es hier darum, Einstellungen, die den Datenschutz betreffen, konkret in die gesamte Produktentwicklung mit einzubeziehen, sodass der Schutz personenbezogener Daten bereits technisch integriert ist. Die Privatsphäre ist also in den Grundeinstellungen geschützt, was gerade den weniger technikaffinen Nutzern zugutekommt. Mit der Installation ist die Sicherheit und auch der Datenschutz also bereits in den Voreinstellungen integriert und erst wenn diese Einstellung nicht mehr gelten soll, die Lösung also „unsicher“ gemacht werden soll, muss sie vom Anwender explizit geändert werden.

In der europäischen Datenschutz-Grundverordnung (EU-DSGVO) ist der Punkt „Datenschutz durch Technikgestaltung“ bereits verankert. Der Artikel 25 beschreibt, dass Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die Anforderungen der EU-DSGVO einzuhalten. Mit datenschutzrechtlichen Voreinstellungen soll die Verarbeitung personenbezogener Daten möglichst auf ein Minimum reduziert werden. Hersteller sind im selben Artikel dazu aufgefordert, bei der Entwicklung ihrer Produkte und Anwendungen und unter Berücksichtigung des Stands der Technik ihren Datenschutzpflichten nachzukommen. Auch bei öffentlichen Ausschreibungen sollen jene Produkte bevorzugt werden, die datenschutzfreundliche Voreinstellungen beinhalten sowie den Datenschutz-Grundsätzen durch Technik Genüge tun.

Privacy by Design für Security

Viren- und Datenschutz

Privacy by Design für Security

17.04.17 - Der Datenschutz beflügelt das Security-Geschäft. Doch der Schuss kann nach hinten losgehen, wenn die Security-Lösungen selbst gegen den Datenschutz verstoßen. lesen

Keine Unterbrechung im Arbeitsfluss

Wenn Security- und Datenschutz-Aspekte bereits zum Standard-Repertoire einer IT-Sicherheits-Lösung gehören, sind sie idealerweise so integriert, dass sie den Nutzer in seiner alltäglichen Arbeit nicht beeinträchtigen. Auf diese Weise ist er bestens geschützt. Bei einer verlässlichen Lösung laufen wichtige Security- und Datenschutz-Einstellungen im Hintergrund, ohne den Arbeitsfluss zu unterbrechen. Verlangsamt eine Sicherheitssoftware nämlich die Mitarbeiter nicht in ihren Arbeitsprozessen, wird sie von diesen auch angenommen und nicht etwa umgangen. Auf vielen Gebieten könnte Security by Default zudem die Mitarbeiter von Sicherheitsrisiken entbinden und so daran mitwirken, Unternehmen sicherer zu machen.

Ist es beispielsweise möglich, die Verschlüsselung gespeicherter Unternehmensdaten automatisch vornehmen zu lassen – während die Mitarbeiter vollen Zugriff auf die Daten haben, kann das wichtige Verschlüsseln von vertrauenswürdigen Inhalten nicht versäumt werden. Zu leicht könnte es sonst passieren, dass ein Mitarbeiter aus Zeitnot oder Vergesslichkeit keine Verschlüsselung seiner Daten vornimmt. Geraten diese dann in falsche Hände, können sie ungehindert eingesehen werden und großen Schaden anrichten.

IoT-Systeme von Anfang an gegen Angriffe absichern

Security by Design für das Internet der Dinge

IoT-Systeme von Anfang an gegen Angriffe absichern

09.01.18 - Heizungen, Türschlösser, Alarmanlagen, Fernseher, Rasenmäher oder Autos: Immer mehr Geräte und Anlagen sind mit dem Internet verbunden. Unternehmen, die Security-Anforderungen von IoT-Geräten bereits bei der Konzeption berücksichtigen, sparen teure Nachrüstungen und vermeiden Haftungsprobleme. lesen

Mit Hilfe eines Device-Managements lassen sich Zugriffsrechte der Mitarbeiter auf die an das Unternehmensnetzwerk angeschlossenen Endgeräte zuteilen und beschränken. Indem man den Mitarbeitern nur die Freigaben für die Tätigkeiten erteilt, die sie im Alltag benötigen (z. B. Freigabe für USB-Sticks oder Festplatten), bewahrt man sie zugleich davor, Fehler zu machen. Besitzt ein Nutzer die Berechtigung, USB-Sticks zu nutzen, kann externen Endgeräten der Zugriff mit dem Device-Management verwehrt werden. Kommt eine Datenschleuse zum Einsatz, kann diese den Datenträger zuerst auf seine Schadlosigkeit überprüfen. Die gespeicherten Inhalte werden erst dann freigegeben, wenn der Datenträger als „sauber“ gekennzeichnet wurde. Ungewollt herbeigeführte Sicherheitsrisiken der Mitarbeiter, wie etwa durch das Verwenden eines mit Malware kontaminierten privaten Datensticks, können so weiter reduziert werden.

Ein anderer Risikoherd verbirgt sich im meist viel zu freizügigen Umgang mit den Zugriffsrechten auf die Daten des Unternehmens. Hier kann ein Daten-Filter helfen. Über diesen kann festgelegt werden, welche Dateitypen von wem wo gespeichert werden dürfen, wer die Zugriffsrechte auf bestimmte Dateitypen besitzt. So kann zum Beispiel eingerichtet werden, dass ein Vertriebsmitarbeiter eine Excel-Preisleiste speichern und in den Außendienst mitnehmen kann, nicht aber Kundendateien des Unternehmens. Ähnliche Sicherheitsrisiken bestehen auch für die Arbeit in der Cloud. Häufig ist es Mitarbeitern nicht klar, in welchem Staat sich die Server ihrer Cloud befinden und dass gerade personenbezogene Daten extremen Risiken ausgesetzt sein können. Auch hier ist es mittlerweile möglich, einzuschränken, welche Mitarbeiter in welchen Clouds arbeiten dürfen. Außerdem lässt sich festlegen, welche Dateitypen in der Cloud gespeichert werden können. Mit Hilfe von DLP-Funktionen ist es außerdem möglich, Daten, die ein bestimmtes Muster aufweisen, wie z.B. Kreditkartennummern oder bestimmte Schlagwörter haben, zu erkennen, und so zu verhindern, dass sie versehentlich oder bewusst die Firma verlassen. Mitarbeiter können auf diese Weise davor bewahrt werden, dass sensible Daten an unsicheren Orten abgelegt werden, und wenn, dann nur, wenn sie mit einem firmeninternen Key verschlüsselt sind.

Auch wenn Unternehmen nicht drum herumkommen werden, ihre Mitarbeiter in Sachen Security und Datenschutz zu schulen, leisten Lösungen, die den Security- und Datenschutzaspekt bereits integriert haben, einen wichtigen Beitrag zu einer effektiven Sicherheitsarchitektur. Kommen Anwendungen zum Einsatz, deren Technik so gestaltet ist, dass sie von den Nutzern akzeptiert werden und sie alltägliche Vorgänge nicht erschweren, profitieren Unternehmen ungemein.

Über den Autor: Sergej Schlotthauer ist VP Security bei Matrix42 und Geschäftsführer von EgoSecure.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45733948 / Compliance und Datenschutz )