Nachdem in den letzten Blogbeiträgen die vielfältigen Risiken, denen Unternehmen in Bezug auf die Aufrechterhaltung ihrer Geschäftstätigkeit ausgesetzt sind thematisiert wurden, erscheint es jetzt im zweiten Schritt angebracht, einmal genauer die Bedeutung der Daten beziehungsweise Informationen – und dabei insbesondere deren Absicherung – zu beleuchten.
Hier eine geeignete Vorgehensweise zu finden ist aus zwei Perspektiven relevant, sowohl unter dem Aspekt des Datenschutzes als auch der Informationssicherheit. Im Interview fokussiert Patrizio Ziino auf den Datenschutz und erläutert, wie dieser mittels Techniken aus der IT-Sicherheit gewährleistet werden kann.
Frage: Aufgrund der vielen Datenschutzvorfälle in den letzten Monaten wird offensichtlich, dass für einen vollständigen Datenschutz auch der Einsatz von Technik erforderlich ist. Zum besseren Verständnis dieses Aspektes ist es jedoch wahrscheinlich sinnvoll, erst einmal die Begriffe Datenschutz und Informationssicherheit vorab zu definieren. Beginnen wir mit letzterem – was ist Informationssicherheit?
PZ: Informationssicherheit hat zum Ziel Informationen von Institutionen oder Unternehmen – und hier insbesondere die wertvollen unternehmenskritischen – zu schützen. Im Rahmen eines entsprechenden Konzepts sollte berücksichtigt werden, dass diese Informationen nicht nur digital auf IT-Systemen vorliegen, sondern ebenso analog, also zum Beispiel auch auf Papier abgeheftet in Ordnern oder abgespeichert in den Köpfen der Mitarbeiter.
Das bedeutet die Grundwerte der Informationssicherheit bezüglich der Gewährleistung der Vertraulichkeit, Authentifikation, Authentizität, Integrität, Verbindlichkeit, Verfügbarkeit und Anonymisierung/Pseudonymisierung müssen sowohl digital als auch analog Anwendung finden und sind gleichwertig mit entsprechenden IT-Sicherheitsmaßnahmen zu hinterlegen. Da Informationssicherheit und IT-Sicherheit teilweise synonym verwendet wird, möchte ich an dieser Stelle auch noch kurz den Begriff der IT-Sicherheit erläutern. IT-Sicherheit ist ein Teilbereich der Informationssicherheit, hier geht es allgemein um den Schutz von IT-Systemen vor Bedrohungen – im Einzelnen beinhaltet dies auch die Aspekte der Software-Sicherheit und Zuverlässigkeit von IT-Systemen.
Frage: Wie verhält sich der Datenschutz zur Informationssicherheit?
PZ: Im Sinne des Datenschutzes sind lediglich die Daten relevant, die personenbezogen sind. Denn zuletzt mit der – seit Mai 2018 gültigen – europäischen Datenschutz-Grundverordnung (DS-GVO) wurde festgelegt, dass der Schutz natürlicher Personen bei der Sammlung und Verarbeitung personenbezogener Daten ein Grundrecht der EU-Bürger ist.
Um es ganz deutlich zu sagen – jede Person kann verlangen, dass alle sie betreffenden personenbezogenen Daten im vorgegebenen Maße geschützt werden. Dieses Recht soll unter anderem durch die definierten Grundsätze der Verarbeitung – die ich gerne in einem separaten Blogbeitrag detaillierter darlegen möchte – garantiert werden.
Für die Unternehmen gilt dabei einiges zu beachten, etwa dass die Umsetzung der juristischen Vorgaben, die sich aus der DS-GVO ergeben, insbesondere personelle und organisatorische Maßnahmen – wie zum Beispiel die Erstellung von Registern – erfordern.
Daneben wird in der DS-GVO jedoch auch bereits bestimmt, dass entsprechende technische IT-Sicherheitsmaßnahmen gemäß „Stand der Technik“ umzusetzen sind.
Frage: Sie haben im Zusammenhang mit der DS-GVO den „Stand der Technik“ erwähnt – was bedeutet dieser Begriff?
PZ: Der „Stand der Technik“ bezeichnet – wie in der Handreichung vom Bundesverband IT-Sicherheit e.V. TeleTrusT definiert – die am Markt verfügbare Bestleistung einer IT-Sicherheitsmaßnahme, um ein gesetzliches IT-Sicherheitsziel zu erreichen. Dieser Technologiestand steht in Abgrenzung zu „allgemein anerkannte Regeln der Technik“ und „Stand der Wissenschaft und Forschung“.
Im Prinzip kann „Stand der Technik“ als Phase der Transition zwischen den beiden definiert werden. Die Bedeutung dieses Technologiestandes lässt sich folgendermaßen erklären: Die „allgemein anerkannte Regeln der Technik“ hinken vielfach der technischen Entwicklung bereits hinterher und bieten somit gegen professionelle Angreifer kein angemessenes Schutzniveau. Im Gegensatz dazu ist „Stand der Wissenschaft“ aufgrund fehlender Marktreife nicht flächendeckend einsatzfähig.
In Bezug auf die Vorgaben aus der DS-GVO wäre denkbar, dass sich der Einsatz von IT-Sicherheitsmaßnahmen gemäß „Stand der Technik“ bei der Bewertung eines Sicherheitsvorfalls positiv auswirken müsste, da die bestmögliche Technik zur Abwehr eingesetzt wurde – denn aufgrund dessen, dass er zum Beispiel gemäß IT-Sicherheitsgesetz und DS-GVO gefordert wird fällt dem „Stand der Technik“ eine hohe Bedeutung zu.
Frage: Mit welcher Technik aus der IT-Sicherheit lässt sich dementsprechend der Datenschutz gewähren?
PZ: Natürlich kann ich hier keinen erschöpfenden Überblick über die Technik aus der IT-Sicherheit geben, von daher beschränke ich mich auf die beiden IT-Sicherheitsmechanismen, die in Bezug auf den Datenschutz die höchste Relevanz haben – Verschlüsselung und Authentifikation.
Mit Hilfe der Verschlüsselung wird dafür gesorgt, dass keine unberechtigte Person in der Lage ist, Daten im Klartext zu lesen. Aus diesem Grund sollten die Absicherung persönlicher Daten während Übertragung und Speicherung mit sicheren Verschlüsselungsverfahren, qualitativ hochwertigen Schlüsseln, sicheren Key-Management-Systemen und angemessenen Schlüssellängen umgesetzt werden. Detaillierte Informationen dazu, was hier „Stand der Technik“ ist finden Sie zum Beispiel in der Technischen Richtlinie des BSI „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“.
Ein weiterer wichtiger IT-Sicherheitsmechanismus ist die Authentifikation, denn dadurch lässt sich gewährleisten, dass nur berechtigte Personen auf die Anwendungen zugreifen dürfen. Dabei ist „Stand der Technik“ aktuell, dies unter Einsatz einer Multifaktor-Authentifikation umzusetzen.
Für die Verifikation einer Person auf der Basis eines Nachweises stehen verschiedene Faktoren zur Verfügung – zum einen geschieht dies mittels Abfragen von Wissen etwa eines Passworts oder einer PIN sowie die Überprüfung von Besitz etwa mittels Token, beispielsweise eine Smartcard oder ein USB-Stick mit integriertem Sicherheitsmodul – die Absicherung basiert hier darauf, dass in diesen geheime Schlüssel gespeichert sind, die durch Kryptografieprotokolle den Besitz verifizieren.
Ein weiterer Nachweis wird über das „Sein“ umgesetzt, also die Überprüfung von biometrischen Merkmalen wie Fingerabdruck, Gesichtserkennung oder Iris. Bei der Bewertung von Nachweisen müssen verschiedene Aspekte bedacht werden – sind Merkmale des „Sein“ erforderlich ist es nicht möglich, dass eine andere Person die Authentifikation durchführt, Nachweise wie Passwörter oder ein Token können hingegen – auch an unberechtigte Personen – weitergegeben werden. Somit haben alle Nachweise Vor- und Nachteile – von daher kann eine Entscheidung immer nur unter Berücksichtigung aller unternehmensspezifischen Kriterien getroffen werden.
Eine Anmerkung noch zum Schluss: Die Herausforderungen bezüglich des Datenschutzes werden im Jahr 2022 noch zunehmen. Nicht zuletzt, da Unternehmen immer mehr persönliche Daten sammeln und diese sowohl in lokalen Systemen, in der Cloud als auch in Netzen von Drittanbietern speichern. Von daher ist es notwendig die Datenlandschaft im Griff zu behalten und alle Maßnahmen zu ergreifen, um diese sensiblen Daten bestmöglich zu schützen, da ansonsten sehr hohe Strafen drohen.
