Gratis
3. August 2018 - Tools zur Umsetzung der DSGVO

Datenschutz: Verschlüsselung und Tokenisierung für Testdaten

Drucken

Bevor sich Unternehmen für eine Cloud-Lösung entscheiden, wollen sie diese meist testen. Dabei nutzen sie häufig reale personenbezogene Daten als Testdaten. Für diese Daten gilt allerdings dann die Datenschutz-Grundverordnung (DSGVO). Hier helfen Tools zur Verschlüsselung und Tokenisierung in der Cloud.

Verschlüsselung und Tokenisierung für Testdaten Immer wieder bleiben personenbezogene Daten bei Cloud-Tests unverschlüsselt. (Bild: Rick_Jo / iStock / Getty Images)

Keine Datenschutz-Ausnahme für Cloud-Test

Grundsätzlich bleibt festzuhalten: Auch wenn es nur um den Test einer neuen Cloud-Lösung geht, muss der Datenschutz stimmen.

Greifen Unternehmen zu Testdaten, wollen sie möglichst reale Testfälle durchspielen. So gelangen personenbezogene Daten in einen Cloud-Test.

Viele Cloud-Dienste lassen sich einfach und bequem über den Browser am Arbeitsplatz testen. Ohne einen Vertrag nach Artikel 28 DSGVO geschlossen zu haben, sind personenbezogene Daten jedoch möglicherweise Cloud-Risiken ausgesetzt.

Der Datenschutz fordert aber nicht nur die Sicherheit der Daten im Produktiveinsatz, sondern auch für den Testfall.

Testdaten verschlüsseln, Tokens einsetzen

Es ist deshalb wichtig, nicht erst im Produktivfall eine Lösung zur Verschlüsselung von Cloud-Daten einzusetzen, sondern bereits für einen Cloud-Test. Vielfach werden Cloud-Daten nicht verschlüsselt, weil die genutzte oder zu testende Cloud-Lösung nicht mit den verschlüsselten Daten umgehen kann.

Deshalb sind Verschlüsselungs-Lösungen sinnvoll und hilfreich, die aus den Echtdaten sogenannte Tokens erzeugen. Bei der Tokenisierung werden die zu schützenden vertraulichen Daten durch Daten desselben Typs, also passender Art und Länge ersetzt.

Die neuen Werte (Tokens) weisen keinen echten Personenbezug mehr auf.

Cloud-Verschlüsselung ist nicht gleich Cloud-Verschlüsselung

Mitunter bietet die zu testende Cloud-Lösung selbst eine Cloud-Verschlüsselung. Für Unternehmen ist dabei wichtig, dass die Verschlüsselung der Cloud-Daten bestimmten Ansprüchen genügen muss:

  • Es ist nicht sinnvoll, eine Verschlüsselung von Testdaten zu nutzen, die der Cloud-Provider selbst kontrolliert. Schlimmstenfalls machen Mitarbeiter des Providers die Testdaten unerlaubt wieder zugänglich.
  • Die Cloud-Verschlüsselung liegt idealerweise immer in der Hoheit des Cloud-Nutzers, die Schlüssel werden also bei dem Anwender vorgehalten, auch bereits im Testfall. Denn für den Datenschutz ist der Testfall bereits der Ernstfall.

Bedenken Sie dies bei der Suche nach Cloud-Lösungen, aber auch bei der Suche nach Verschlüsselungs-Lösungen.

Datenschutz und Compliance von zentraler Bedeutung

Aktuelle Studien zeigen dabei, wie wichtig Datenschutz und Datensicherheit sind, wenn es um die Cloud geht.

Cloud-Dienste wie Microsoft Office 365 erfreuen sich steigender Beliebtheit. Gleichzeitig sind Datenschutz und Compliance für Cloud-Nutzer in Deutschland weiterhin ein großes Thema.

Der Cloud-Monitor 2018 von Bitkom ergab: Die Sorge um die Datensicherheit ist weiterhin ein Hauptgrund, weshalb ein Teil der Wirtschaft noch nicht auf die Public Cloud setzt.

  • Fast zwei Drittel der Nichtnutzer (63 Prozent) fürchten einen unberechtigten Zugriff auf sensible Unternehmensdaten.
  • Mehr als die Hälfte (56 Prozent) hat Sorge, dass Daten in der Cloud verloren gehen.
  • Jeder zweite Nichtnutzer (50 Prozent) vermutet eine unklare Rechtslage.

Datenschutz ist laut Bitkom das Top-Kriterium, wenn es um die Auswahl eines Cloud-Dienstleisters geht.

Praktisch alle Unternehmen (97 Prozent) geben an, dass für sie die Konformität mit der Datenschutz-Grundverordnung bei Cloud-Lösungen unverzichtbar ist.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.