Datenverschlüsselung

„Die Schlüsselhoheit nie aus der Hand geben“

| Autor / Redakteur: Susanne Ehneß / Regina Willmeroth

Elmar Eperiesi-Beck
Elmar Eperiesi-Beck (© Eperi)

Stichwort Impact: Muss man alles verschlüsseln?

Eperiesi-Beck: Gute Lösungen ­ermöglichen eine gezielte Verschlüsselung von Informationen und lassen den Nutzer über eine einfache Bedienoberfläche selbst entscheiden, welche Elemente ­eines personenbezogenen Datensatzes er verschlüsseln will. Eine solche gezielte, rechenressourcen-schonende Vorgehensweise vermeidet nennenswerte Performance-Verluste, ohne dass Ab­striche bei der Sicherheit gemacht werden müssen. So kann es etwa genügen, den Namen einer Person zu verschlüsseln, da so alle weiteren Daten, die sich auf diese beziehen, nicht mehr mit der tatsächlichen Person verknüpft werden können. Nur ein kleiner Prozentsatz der Daten muss tatsächlich verschlüsselt werden.

Die Befugnis, festzulegen, was zu verschlüsseln ist, sollte dabei aber immer beim Kunden bleiben. Behörden sollten natürlich nur wenig Mut zur Lücke beweisen.

Welche Compliance-Kriterien muss eine Lösung erfüllen?

Eperiesi-Beck: Die Vorgaben des BSI sind klar und ergeben sich aus zahlreichen Veröffentlichungen der Behörde, wie dem IT-Grundschutz. Verschlüsselungslösungen helfen Behörden dabei, diesen Anforderungen effektiv und mit geringem Aufwand nachzukommen. Zentral für eine sichere Verschlüsselung ist die bereits erwähnte Aufgabenteilung (Separation of Duties). Ein weiteres Kriterium ist eine sichere Schlüsselverwaltung: Kryptografische Schlüssel dürfen nur beim Anwender liegen.

Für die Compliance sind außerdem prüfbare, bewährte Standard- ­Verschlüsselungsverfahren wie AES-256 oder RSA-2048 vorgesehen, die vollständig und unverändert implementiert werden müssen. Der Pflichtenkatalog fordert zudem die Verschlüsselung von Daten im Zustand der Speicherung (at Rest), Benutzung (in Use) und Übertragung (in Transit) ein.

Zudem besteht eine Fülle von Rechtsvorschriften, die allgemein Verschlüsselungsverfahren ein­fordern. Laut des am 1. August 2015 in Kraft getretenen IT-Sicherheitsgesetzes ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens nötig, um die Anforderungen nach §13 Abs. 7 Satz 1 zu erfüllen. Und auch die ab 25. April 2018 all­gemein verbindliche EU-Datenschutzgrundverordnung (EU-­DSGVO) fordert strikte Datenverschlüsselung nach dem Stand der Technik. Was darunter genau zu verstehen ist, hat beispielsweise der IT-Sicherheitsverband TeleTrust aufgearbeitet und veröffentlicht.

Eine Behörde fragt Sie, ob sie es verantworten kann, mit den Daten der Bürger in die Cloud zu gehen – was würden Sie sagen?

Eperiesi-Beck: Niemand kann ­absolut verhindern, dass digitale Daten gestohlen werden oder ­Unberechtigte Zugriff auf diese erhalten. Es lässt sich aber verhindern, dass Daten außerhalb des Anwenderkreises gelesen werden können – indem die kryptographischen Schlüssel nur von einem ausgewählten, internen Personenkreis verwaltet werden. Mit Verschlüsselungsgateways ist das heute auch für Daten in der Cloud möglich. Sind Daten durch eine solche Verschlüsselung so stark geschützt, dass Unberechtigte sie zu keinem Zeitpunkt lesen können, spielt der Speicherort keine so große Rolle mehr.

Auswirkungen der EU-DSGVO auf die Sicherheitsarchitektur

Meldepflicht

Auswirkungen der EU-DSGVO auf die Sicherheitsarchitektur

11.10.17 - Sie wirft ihre Schatten voraus, die EU-Datenschutzgrundverordnung, deren Anforderungen Behörden, öffentliche Stellen und Unternehmen bis zum 25. Mai 2018 erfüllen müssen. lesen

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44940599 / Standards & Technologie)