2. August 2016 - Verschlüsselung an jedem Ort und zu jeder Zeit

Anforderungen an durchgängige Verschlüsselung

Die stärkste Verschlüsselung hilft wenig, wenn sie nicht überall dort greift, wo sie notwendig ist. In der Praxis haben viele Verschlüsselungs-Konzepte gefährliche Lücken. Neue Lösungen wollen gegensteuern.

Haben Sie schon alle Lücken in der Verschlüsselung gefunden? Lücken vermeiden: Verschlüsselte Daten an jedem Ort und zu jeder Zeit (Bild: Wavebreakmedia Ltd / Wavebreak Media / Thinkstock)

DSGVO betont Bedeutung von Verschlüsselung

Stellen Sie sich vor, ein mobiles Speichermedium, auf dem personenbezogene Daten gespeichert waren, geht verloren. Waren die Daten verschlüsselt, gibt es gute Aussichten, dass der Dieb oder unehrliche Finder die Daten nicht missbrauchen kann.

Aus diesem Grund besagt zum Beispiel die Datenschutz-Grundverordnung (DSGVO) der EU, dass die Benachrichtigung der von einer Datenschutz-Verletzung betroffenen Person entfallen kann, wenn „der Verantwortliche geeignete technische und organisatorische Sicherheits-Vorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung“.

Auch an anderen Stellen betont die DSGVO, wie wichtig die Verschlüsselung ist.

Ein genauer Blick lohnt

Allerdings müssen Sie genau hinschauen:

  • So entfällt bei Datenschutz-Verletzungen die Verpflichtung, die betroffene Person zu benachrichtigen, nur, wenn die Schutzmaßnahmen tatsächlich angewandt wurden.
  • Daher stellt sich die Frage, ob die Daten nicht nur im Firmennetzwerk verschlüsselt waren, sondern auch auf dem mobilen Speichermedium.
  • In der Praxis sieht es leider so aus, dass Daten, die an einer Stelle verschlüsselt vorliegen, an einer anderen Stelle unverschlüsselt zu finden sind.

Verschlüsselung muss lückenlos sein

Es gibt viele Gründe, warum ein Verschlüsselungs-Konzept nicht greift:

  • Die Verschlüsselungs-Lösungen sind zu kompliziert.
  • Die digitalen Schlüssel sind nicht richtig geschützt.
  • Die Verschlüsselung erfolgt nicht als Ende-zu-Ende-Verschlüsselung.
  • Die verschlüsselten Daten sind ungewollt an bestimmten Stellen und zu gewissen Zeiten unverschlüsselt.

Wenn Sie dafür sorgen wollen, dass ein Unternehmen sein Verschlüsselungs-Konzept optimiert  – und das ist bei vielen Unternehmen nötig –, denken Sie an die räumlichen und zeitlichen Lücken. Sind Dateien auf dem Desktop-PC verschlüsselt, muss das auf mobilen Endgeräten ebenso der Fall sein.

Stolpersteine

Doch die lückenlose Verschlüsselung ist nicht einfach. Denn viele Lösungen arbeiten nur auf einer bestimmten Plattform, zum Beispiel auf einem Windows-PC, auf einem Android-Smartphone oder in einer bestimmten Cloud.

Verschlüsselung lässt sich „synchronisieren“

Hilfreich sind übergreifende Verschlüsselungs-Lösungen oder Lösungen, die den Status der Verschlüsselung über Geräte- und Plattformgrenzen hinweg austauschen. Ist eine Datei auf dem Desktop-PC kodiert, wird sie das auch auf dem Smartphone, so die Idee. Dazu gibt es bereits Lösungen auf dem Markt.

Ein Beispiel: Sophos SafeGuard Encryption 8 hat eine sogenannte Always-on-Dateiverschlüsselung. Es handelt sich um eine synchronisierte Lösung. Die Always-on- Dateiverschlüsselung übernimmt Daten von mobilen Geräten, Laptops, Desktop-PCs, lokalen Netzwerken und Cloud-basierten File-Sharing-Anwendungen. Sie unterstützt Windows-, Mac-, iOS- und Android-Systeme.

Hilfe bei der Lückensuche

Machen Sie sich als Datenschutzbeauftragte oder Datenschutzbeauftragter zusammen mit der IT-Leitung auf die Lückensuche. Hinterfragen Sie ganz im Sinne der Weitergabekontrolle, ob die Verschlüsselung tatsächlich an jedem Ort und zu jeder Zeit greift, wenn die Daten „wandern“.

Wandern die Daten, muss die Verschlüsselung mitwandern. Die Checkliste hilft Ihnen bei dieser Kontrolle.


Download: Checkliste zur durchgehenden Verschlüsselung


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.

Anzeige

Die Fachzeitschrift Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um die Datenschutz PRAXIS zu testen!

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln