4. Mai 2015 - Methoden für die Datenschutzkontrolle, Teil 3

Weitergabekontrolle: Fehlende und unsichere Verschlüsselung erkennen

Eine der zentralen Maßnahmen der Weitergabekontrolle im Datenschutz ist bekanntlich die Verschlüsselung. Ob sie aber sicher genug ist oder sogar komplett fehlt, sollten Sie bei einer Überprüfung klären. Spezielle Tools können Ihnen dabei helfen.

Weitergabekontrolle Zur Weitergabekontrolle gehört wesentlich die Verschlüsselung (Bild: Sergey Nivens / iStock / Thinkstock)

Die Meldungen zu Schwachstellen bei der Verschlüsselung haben es mehr als deutlich gemacht: Hinter das Thema kann man nicht einfach einen Haken machen. Es besteht immer wieder Prüfungsbedarf, gerade wenn es um die Weitergabekontrolle geht.

Die Verschlüsselung ist so wichtig und wird deshalb ausdrücklich im Bundesdatenschutzgesetz (BDSG) genannt, weil personenbezogene Daten immer häufiger übertragen werden: zu externen Partnern, auf mobile Endgeräte und in die Cloud, um nur einige Beispiele zu nennen.

Vollständigkeit ist nicht das einzige Ziel

Die Datenschützer haben mehrfach auf die Bedeutung einer Ende-zu-Ende-Verschlüsselung hingewiesen, um Lücken zwischen Sender und Empfänger zu vermeiden. Denn eine solche Maßnahme kann nur dann zuverlässig gegen unerlaubte Zugriffe helfen, wenn die Daten nicht zu bestimmten Zeiten oder an einzelnen Orten ungeschützt vorliegen.

Deshalb gehört zur Prüfung der Weitergabekontrolle die Vollständigkeit der erforderlichen Schutzmaßnahmen. Diese Prüfung ist bereits recht anspruchsvoll. Doch die aktuelle Checkliste hilft bei der notwendigen Übersicht. Aber nur die Tatsache, dass Daten an allen Stellen, an denen entsprechender Schutzbedarf besteht, codiert sind, reicht nicht.


Download:


Sicherheit ebenso prüfen

Wie zum Beispiel die Prüfungen des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) gezeigt haben, setzen viele Unternehmen noch Verschlüsselungsmethoden mit Schwachstellen ein, die bereits seit Längerem bekannt sind. Das aber bietet nur eine gefährliche Scheinsicherheit.

Ob eine Verschlüsselung sicher genug ist, kann man natürlich nicht so einfach beurteilen. Testwerkzeuge können hier aber helfen.

Beispiel: WLAN-Prüfung

Leider können auch die Testmethoden jeweils sehr unterschiedlich sein. Teilweise reichen aber schon eine professionelle Security-App und ein Test-Smartphone, das keine vertraulichen Daten vorhält, und schon können Sie die Datensicherheit bei WLAN überprüfen. Security-Apps für Smartphones prüfen je nach Anbieter auch die WLAN-Sicherheit und warnen vor unzureichender Verschlüsselung. Damit steht Ihnen eine praktische „Sonde“ zur Verfügung, um WLAN zu kontrollieren.

Beispiel: SSL-Prüfung

Ob die SSL-Verschlüsselung der eigenen Website des Unternehmens sicher genug ist oder wie häufig betrieblich genutzte Webseiten geschützt sind, können Sie mit passenden SSL-Prüfern kontrollieren. Sie müssen dort nur die zu prüfende Internetadresse eingeben und erhalten eine Auswertung. Angeboten wird dies zum Beispiel von https://www.ssllabs.com/ssltest/ oder https://globalsign.ssllabs.com. Achten Sie darauf, dass Sie die Resultate von der Veröffentlichung auf der Test-Webseite ausschließen, um nicht mögliche Schwachstellen transparent zu machen.

Berücksichtigen Sie solche Testwerkzeuge bei der Prüfung der Weitergabekontrolle und besprechen Sie die Ergebnisse mit der IT-Administration und der verantwortlichen Stelle.

Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist IT-Fachjournalist und IT-Analyst.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln