Datenverschlüsselung

„Die Schlüsselhoheit nie aus der Hand geben“

| Autor / Redakteur: Susanne Ehneß / Regina Willmeroth

Behörden müssen sicherstellen, dass ihre Daten außerhalb des sicheren Behördenumfeldes unlesbar bleiben
Behörden müssen sicherstellen, dass ihre Daten außerhalb des sicheren Behördenumfeldes unlesbar bleiben (© fotomek - stock.adobe.com)

Öffentliche Einrichtungen haben in puncto Datenschutz dem Bürger gegenüber eine besondere Sorgfaltspflicht. Elmar Eperiesi-Beck, Geschäftsführer der eperi GmbH, erläutert im Gespräch, weshalb sich Behörden nicht nur auf klassische IT-Security verlassen dürfen.

Was würden Sie öffentlichen Einrichtungen raten, um Datenschutz im Sinne der Bürger auszuüben?

Eperiesi-Beck: Öffentliche Einrichtungen verarbeiten viele personenbeziehbare Daten. Deshalb stehen sie besonders in der Pflicht, wenn es darum geht, die Kontrolle über diese sensiblen Informationen zu behalten. Datensicherheit ist für Behörden im Cloudzeitalter wichtiger als je zuvor. Hier darf es keine Abstriche geben. Behörden dürfen sich nicht mehr nur auf klassische IT-Sicherheitslösungen verlassen. Sie müssen sich auch für den Fall eines unberechtigten Datenzugriffs wappnen – dieser lässt sich nie völlig ausschließen, wie das bisherige Jahr immer wieder gezeigt hat.

Organisationen müssen ihre sensiblen Daten selbst schützen, nicht nur ihre IT-Infrastrukturen – am besten mit einer geprüften, transparenten Verschlüsselung. Im Fall eines unberechtigten Zugriffs sehen die Angreifer so nur die verschlüsselten Daten, was diese wertlos macht. Die verschlüsselte Speicherung von Informationen zu jeder Zeit und in allen Speicher­orten wahrt die Datenhoheit für Daten in Use, in Transit und at Rest – also während ihres gesamten ­Lebenszyklus.

Wie muss eine Lösung aussehen, die Daten von Bürgern absichert und gleichzeitig unkompliziert eingerichtet werden kann?

Eperiesi-Beck: Der einfache Lernsatz für Datensicherheit in der Cloud ist: Wer den kryptografischen Schlüssel hat, hat Zugriff auf die Daten. Nur in Kombination mit einem zeitgemäßen Schlüssel­management stellen Behörden sicher, dass ihre Daten außerhalb des sicheren Behördenumfeldes unlesbar bleiben. Die Schlüssel­informationen dürfen die Behörde niemals verlassen. Denn wer auch immer Zugriff auf die kryptographischen Schlüssel hat, hat Zugang zu den Klartextdaten.

Ein weitere zentraler Punkt: Die Verschlüsselung muss mathematisch korrekt durchgeführt werden, kein Schritt darf ausgelassen werden. Viele Verschlüsselungslösungen nehmen eine solche Abkürzung, um Funktionen wie Suchen oder Sortieren von Daten weiter anbieten zu können. Eine gute Verschlüsselungslösung erkennt man daran, dass sie diese Funktionen weiterhin zur Verfügung stellt, ­ohne dabei die Sicherheit zu kompromittieren.

Intern sollte eine konsequente Aufgabenteilung dafür sorgen, dass nur ein kleiner Kreis aus Sicherheitsadministratoren die kryptographischen Schlüssel verwaltet. Die Behörde darf die Schlüsselhoheit niemals aus der Hand geben – weder an Softwarehersteller, Kryptographie-Anbieter noch an Betreiber von Rechenzentren. Auch IT-Administratoren sollten Daten zwar verwalten, aber nicht im Klartext lesen können. Lösungen wie ein Verschlüsselungsgateway ermöglichen dies, ohne die Prozesse über den ganzen Lebenszyklus der Informationen hinweg zu beeinträchtigen – etwa Partitionierung, Backup, Massenupdate, ­Kopieren, Verschieben, Löschen und die Migration verschlüsselter ­Daten.

Der Endnutzer muss beim Schützen der Daten immer im Mittelpunkt stehen: Eine Lösung muss sich auch in bestehende Strukturen schnell und ohne große Änderungen implementieren lassen. Das Einführen einer Datenverschlüsselung ist dank Verschlüsselungsgateways heute so einfach wie noch nie: Als Proxy in ein Unternehmensnetz integriert, kontrollieren diese alle Anfragen und Ausgaben von Daten und funktionieren ohne großen Installations-, Konfigurations- und Wartungsaufwand. Bestehende IT-Infrastrukturen in der Behörde bleiben unverändert; bestehende Workflows werden nicht unterbunden.

Noch unmerklicher ist eine Gateway-Lösung, die zusätzlich Daten-Tokenisierung anbietet. Dabei ­generiert ein Gateway für jeden Datensatz Ersatzwerte, die das gleiche Format, aber einen anderen Inhalt haben, also typkonform sind. Anwendungen können diese Ersatzwerte weiterverarbeiten wie gewöhnliche Eingaben. So wird gewährleistet, dass technische Workflows von Software weiter funktionieren, aber nur der unlesbare Ersatzwert in der Cloud verarbeitet wird. Für Endnutzer arbeitet die Anwendung, als wäre nichts geändert worden.

Bitte lesen Sie auf der nächsten Seite weiter.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44940599 / Standards & Technologie)