Verschlüsselung

Die blinden Flecken des Datenschutzes

EU Datenschutz
Ein zentrales Problem ist: Wer unterhält das Gateway und verfügt über die Schlüssel zu Kryptografie und Anonymisierung? Idealerweise sollte es sich hierbei um europäische Einrichtungen handeln, die länderübergreifend für den Schutz sensibler Daten sorgen können und sich möglichst nicht durch Wirtschaftsinteressen unter Druck setzen lassen.
© mixmagic-123rf

Zwar hat die Einführung der EU-DSGVO für ein deutlich gesteigertes Problembewusstsein gesorgt. Wenn es aber an die Umsetzung geht, werden die Themen Verschlüsselung und Anonymisierung oft stiefmütterlich behandelt. Dabei gibt es probate technische Mittel gegen Cyberkriminelle und Behördenwillkür.

Datenschutz scheint ein zwiespältiges Thema zu sein. Einerseits beteuert die Mehrheit der Deutschen regelmäßig, Datenschutz sei ihr wichtig. Andererseits geben sehr viele Menschen Teile ihrer Privatsphäre relativ bedenkenlos preis, wenn ihnen Rabatte winken oder wenn sie in sozialen Netzwerken unterwegs sind. In Unternehmen und bei Behörden sieht es oft nicht anders aus. Zwar hat die Einführung der EU-DSGVO für ein deutlich gesteigertes Problembewusstsein gesorgt. Wenn es aber an die Umsetzung geht, scheuen nach dem Stand der Dinge viele den Einsatz entsprechender technischer Mittel. Manager sind sich zudem häufig nicht bewusst, dass sie bei Verstößen gegen die EU-DSGVO persönlich haftbar sind. Dabei gibt es passende technische Mittel, den Datenschutzbestimmungen zu genügen und die sensiblen Daten einer Organisation zu schützen. Hierbei ist vor allem an Datenverschlüsselung und Anonymisierung zu denken. Das gilt für Daten im eigenen Rechenzentrum und erst recht für Daten in der Cloud.

Verschlüsselung – warum?
Aus den verschiedenen Technologien zum Schutz von Daten vor Diebstahl und Missbrauch ragt die Kryptografie deutlich heraus. Sie ist die einzige Methode, welche die Daten auch im Falle eines Datenlecks oder -diebstahls schützt. Verschlüsselte Daten lassen sich von Cyberkriminellen weder direkt missbrauchen noch an Dritte verkaufen. Diese Tatsache ist besonders relevant, weil unter Cyber-Security-Experten die Ansicht vorherrscht, dass sich das Risiko eines Datendiebstahls zwar minimieren, aber durch kein technisches Mittel völlig ausschließen lässt. Datenverschlüsselung ist somit das einzige technische Mittel, das einen wirksamen Schutz gegen Datenmissbrauch und Cyberkriminelle bietet. Diese Stärke macht sie zu einer Allzweckwaffe, die Unternehmen Sicherheit in vielen Einsatzszenarien bieten kann und darüber hinaus in vielen Kontexten relevant ist, die allgemein
gesellschaftliche Themen betreffen.

Verschlüsselung – warum nicht?
Warum also ist Kryptografie nicht allgegenwärtig? Hierfür gibt es drei wesentliche Gründe.

  • Der erste ist finanzieller Natur: Verschlüsselungstechnologie stellt für die Unternehmensführung eine weitere Investition dar, nachdem diese wahrscheinlich bereits in Firewalls, E-Mail-Security, Intrusion-Detection-Systeme und Ähnliches investiert hat.
  • Der zweite Grund ist technisch-administrativer Natur: Für die IT-Abteilung bedeutet der Einsatz von Kryptografie ein weiteres System, das es zu integrieren und zu verwalten gilt.
  • Der dritte Grund, der Unternehmen davon abhält, Kryptografie zu nutzen, ist technisch-funktionaler Art: Verschlüsselte Daten lassen sich nicht uneingeschränkt verarbeiten und häufig fordern Sicherheitssysteme die Änderung in Arbeitsabläufen beim Benutzer.

Kostbare Daten
Um mit dem ersten Grund zu beginnen: Zweifelsohne erfordert der Einsatz von Verschlüsselungstechnologien ein entsprechendes Budget. Dieses ist allerdings nicht besonders groß, besonders wenn man berücksichtigt, wie umfassend der Schaden an Finanzen und Image sein kann, wenn ein Unternehmen Daten verliert. IT-Abteilung und Beschaffer sollten die Angebote am Markt ausführlich testen. Die Kostenunterschiede können beträchtlich sein.

Um den zweiten oben genannten Grund zu adressieren, kommt die IT-Abteilung auch hier nicht um ausführliche Vergleiche herum. So existieren nicht nur erhebliche Preisunterschiede zwischen Anbietern und Produkten. Auch der Administrationsaufwand unterscheidet sich unter Umständen erheblich von Lösung zu Lösung. Und natürlich muss die Kryptografielösung zur allgemeinen Strategie und den bestehenden IT-Systemen des Unternehmens passen. Neben der grundsätzlichen Entscheidung zwischen dem Betrieb der IT-Sicherheitslösung im eigenen Rechenzentrum und der Cloud ist beim Einsatz „on premises“ beispielsweise zu klären, ob die ins Auge gefasste Lösung geeignet ist für den Betrieb in virtuellen Maschinen, in Containern, auf einer Java-Plattform oder, ob diese auch als Hardware Appliance verfügbar ist. Für den Cloud-Einsatz ist zu klären, ob die Lösung dort überhaupt läuft und ob sie vielleicht sogar als Platform as a Service (PaaS) nutzbar ist. Und schließlich kann sich eine IT-Abteilung auch entschließen, die Verschlüsselung ihrem Cloud-Anbieter zu überlassen – zumal wenn gewichtige Gründe gegen diese Wahl sprechen. Da sich die Vorlieben der IT-Abteilung für bestimmte Technologien (VM, Container, Appliances etc.) dynamisch ändern und auch mit den Anforderungen des Unternehmens entwickeln, ist eine Lösung ideal, die möglichst viele der genannten Einsatzoptionen bietet und unproblematisch mit IT-Lösungen zusammenarbeiten kann, die bereits im Unternehmen eingesetzt werden (beispielsweise IAM-Systeme).

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass

  1. Die blinden Flecken des Datenschutzes
  2. Verschlüsselte Daten verarbeiten
  3. Vorteil im Wettbewerb

Das könnte Sie auch interessieren

Verwandte Artikel

funkschau

Anbieterkompass