:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenschutzgrundverordnung und neue Technologien Welche Bedeutung die DSGVO für Blockchain hat
Mit einem Marktkapital von mehr als 40 Milliarden US-Dollar im Juli 2017 hat das Potenzial von Bitcoin und anderer Blockchain-Technologien die Finanzindustrie und andere große Player in ihren Bann gezogen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Das Hyperledger-Projekt zum Beispiel – ein Open Source Projekt zur Weiterentwicklung branchenübergreifender Blockchain-Technologien – startete Anfang 2016 mit der Unterstützung von Firmen wie IBM und JP Morgan und umfasst mittlerweile über 100 Firmen- und Start-Up-Mitglieder.
Blockchain-Technologien sind weltweit öffentlich zugänglich und unveränderbar. Doch welche Verpflichtungen haben Unternehmen im Rahmen der Datenschutzgrundverordnung (DSGVO) bei Blockchain-fähigen Transaktionen oder bei der Entwicklung Blockchain-basierter Technologien?
Wird beispielsweise eine Bitcoin-Bezahl-Adresse als eine Identitäts-Pseudonomysierung einer natürlichen Person verstanden?
Die DSGVO erklärt die Beziehung von pseudonymisierten Daten zu personenbezogenen Daten: Personenbezogene Daten, die pseudonymisiert wurden und die durch zusätzliche Informationen einer natürlichen Person zugeordnet werden können, sind demnach als Information über eine identifizierbare natürliche Person zu werten.
Können Bitcoin-Inhaber also als „Datenverarbeiter“ personenbezogener Daten von EU-Bürgern verstanden werden? Wenn ja, werden „personenbezogene Daten“, die in öffentlichen Blockchains gespeichert sind, also dem Recht auf Löschung unterliegen?
Die Beteiligung von Unternehmen in Blockchain-Transaktionen kann DSGVO-Kontrollen auf dreierlei Weise hervorrufen:
- 1. Annahme von Kryptowährungen, wie z. B. Bitcoin, als Zahlung für Waren und Dienstleistungen,
- 2. Speicherung personenbezogener Daten bei Nichtzahlung in einer öffentlichen Blockchain
- 3. Speicherung personenbezogener Daten bei Nichtzahlung in einer privaten Blockchain.
Annahme von Kryptowährungen
Genau wie eine Kontonummer, kann auch eine Bitcoin-Adresse als eine pseudonymisierte persönliche Information verstanden werden. Die Zusatzinformation, die benötigt wird, um die zugehörige Identität wiederherzustellen, befindet sich jedoch außerhalb der Blockchain.
Obwohl Bitcoin-Inhaber technisch gesehen als Datenverarbeiter von pseudonymisierten Zahlungsadressen angesehen werden könnten, ist es unwahrscheinlich, dass sie direkt für die Einhaltung der DSGVO-Beschränkungen verantwortlich gemacht werden: Sie besitzen keine der zusätzlichen Informationen, die eine Identität mit ihren finanziellen Transaktionen verknüpfen könnten.
Während traditionelle Zahlungsinformationen lokal in einem Unternehmen bleiben, sind die pseudonymisierten Transaktionsinformationen in der Blockchain zwangsläufig weltweit öffentlich zugänglich. Daher ist davon auszugehen, dass Firmen, die Bitcoin als Zahlungsmittel akzeptieren, eine höhere Verantwortung tragen müssen, um die Identität ihrer Kunden zu schützen.
Allerdings könnte es möglich sein, Nutzer auch ohne die geschützten Informationen zu identifizieren. De Montjoye et al. (2015) analysierten in einer Studie des Wissenschaftsmagazins „Science“ die Kreditkartentransaktionen von 1,1 Millionen Kunden in OECD-Ländern. Selbst wenn Namen, Adressen und andere Informationen, die direkt mit den Karteninhabern in Verbindung standen, entfernt wurden, identifizierten die Forscher 90% der Käufer, wenn sie das Datum und den Ort von nur vier ihrer Kreditkartentransaktionen kannten.
Speicherung personenbezogener Daten bei Nichtzahlung in einer öffentlichen Blockchain
Während Bitcoin seine Verwendung als Währungs- und Zahlungssystem bewiesen hat, kann die Blockchain zur Lösung einer Vielzahl von Problemen eingesetzt werden:
Neue Unternehmensprojekte nutzen bereits Bitcoins offizielle Blockchain und ihre eigenen, dezentralisierten, vertrauenswürdigen Geschäftsbücher, um alle möglichen Informationen zu speichern, von Landtiteln bis hin zu autonomen IoT-Ressourcenverhandlungen.
Da ein Unternehmen jede gewünschte Information in Blockchains speichern kann - die dann im Rahmen des Erfassungsprozesses veröffentlicht wird - muss die DSGVO für jede Geschäftsanwendung betrachtet werden, die Blockchain-Technologien zur Verarbeitung personenbezogener Daten von EU-Bürgern einsetzt.
Eine Schlüsselfrage ist, ob eine der primären Eigenschaften von Blockchain – die Unveränderlichkeit vergangener Transaktionen – mit dem „Recht auf Löschung“ der DSGVO kollidiert.
Sobald eine Transaktion Teil der Blockchain-Historie geworden ist, gibt es keinen praktikablen, technischen Weg, die DSGVO-Richtlinien zur Löschung zu erfüllen. Die Daten können weder vom Unternehmen noch von den dezentralisierten, globalen Prüfern, die die Daten verarbeiten, gelöscht werden. Es scheint, als sei die DSGVO nicht kompatibel mit dieser Art der Blockchain-basierten Anwendung, wenn persönliche Daten in der Blockchain gespeichert werden. Unternehmen müssen daher genau überlegen, welche Daten sie in ihren öffentlichen Blockchain-Aufzeichnungen enthüllen.
Speicherung personenbezogener Daten bei Nichtzahlung in einer privaten Blockchain
Eine private Blockchain, die vollständig innerhalb eines Unternehmens verifiziert ist, hat zumindest das Potenzial, die oben genannten Probleme zu vermeiden – ist dabei aber höchst unpraktisch. Das grundlegende Design der Blockchain macht die Löschung noch immer sehr schwierig, aber da alle Prüfer und Verarbeiter der gleichen Autorität unterstellt sind, ist es zumindest möglich. Wenn es die gesamte Infrastruktur kontrolliert, könnte ein Unternehmen völlig neue interne Blockchains erzeugen, indem es die vorherigen Transaktionen erneut abspielt, aber diejenigen weglässt, die gelöscht werden müssen. Eine solche Rekonstitution würde jedoch jeden Wert, der durch den Einsatz der Blockchain-Technologie zur Sicherstellung der Transaktionsintegrität entsteht, fast vollständig untergraben.
Fazit
Die einfachste Lösung ist es, alle personenbezogenen Daten von öffentlichen oder privaten Blockchain-Transaktionsaufzeichnungen auszuschließen und diese Daten an anderer Stelle in einer veränderlicheren Form zu speichern. Die meisten Unternehmen benötigen keine Blockchain, um die Datenintegrität zu gewährleisten. Im Rahmen der DSGVO ist es daher sinnvoll noch einmal zu überlegen, ob es sich um die richtige Technologie für ihre Bedürfnisse handelt. Wenn dies der Fall ist, müssen sie sicherstellen, dass sie keine personenbezogenen Daten von EU-Bürgern in dieser unveränderlichen Form speichern.
Über den Autor
Jesse Mundis ist CISSP und Softwareingenieur bei Voltage von Micro Focus. Er hat mehr als 25 Jahre Erfahrung im Bereich Softwareentwicklung und der Internetindustrie und war an der Entwicklung eines der ersten Web Browser vor Netscape Anfang der Neunzigerjahre beteiligt. Er ist besonders interessiert an Kryptographie, E-Commerce und Security und hat vor kurzem ein Kryptowährungs-basiertes Patent angemeldet.
(ID:45064801)
:quality(80)/images.vogel.de/vogelonline/bdb/1915600/1915690/original.jpg "Blockchain-Anwendungen bergen zwar Datenschutz-Herausforderungen, die lassen sich aber mit etwas Planung durchaus lösen. (leowolfert - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1942400/1942462/original.jpg "Kommt es beim Einlesen der Gesundheitskarte und der damit verbundenen Überprüfung der Sichheitszertifikate zu Fehlern, speichern die Konnektoren von Secunet die Seriennummer des jeweiligen eGK-Zertifikats (contrastwerkstatt – stock.adobe.com)")