Häufig wird uns die Frage gestellt: „Welche Daten muss ich als Unternehmen eigentlich verschlüsseln?“ Diese Frage zu beantworten ist gar nicht so schwer, wie viele vermuten. In der Europäischen Datenschutzgrundverordnung (EU-DSGVO) ist vor allem die Rede von personenbezogenen Daten. Aber ist das schon alles? Unternehmen sollten sich vor allem eine Frage stellen: Wenn ich die fraglichen Informationen nur in Papierform hätte, müsste ich sie bei der Entsorgung schreddern oder wäre es ein Nachteil, wenn die Informationen in fremde Hände fallen? Das können dann nicht nur personenbezogene Daten sein, sondern beispielsweise auch geheime Unternehmensdaten. Und da jedes Unternehmen auch einen Wettbewerbsvorteil gegenüber Mitbewerbern hat, gibt es auch schützenswerte Informationen.

Personenbezogene Daten:

Laut Bundesdatenschutzgesetz sind personenbezogene Daten Informationen über persönliche oder sachliche Verhältnisse einer bestimmbaren, lebenden Person. Was heißt das genau? Personenbezogene Daten sind solche Informationen, mit denen eine Person eindeutig identifiziert werden kann. Zu diesen Informationen zählen beispielsweise

• Name, Alter, Geburtsdatum, Familienstand
• Anschrift, Telefonnummer, E-Mail-Adresse
• Konto- oder Kreditkarteninformationen
• Personalausweis- oder Sozialversicherungsnummer
• KfZ-Kennzeichen
• Vorstrafen
• Krankenakten und genetische Daten
• Zeugnisse

Aus all diesen Angaben lässt sich die Identität der betroffenen Person unmittelbar herleiten.  Das kann übrigens nicht nur mit gespeicherten Daten passieren, sondern außerdem mit Fotos, Videos, Röntgenaufnahmen oder Tonbandmitschnitten. Ausschlaggebend für die Aussagekraft einer Information ist der Verwendungszusammenhang. Ein Beispiel: Ist Ihr Name beim Gesundheitsamt gespeichert, waren oder sind Sie möglicherweise an einer meldepflichtigen Krankheit erkrankt. In diesem Zusammenhang wird die Angabe Ihres Namens zu einer Information.

Personenbezogene Daten sind bei Angreifern besonders beliebt. Sie können mit solchen Informationen beispielsweise Identitätsdiebstahl betreiben, um andere Verbrechen zu begehen.

Kundendaten:

Die Finanz- und Gesundheitsbranche unterliegen als sogenannte Berufsgeheimnisträger speziellen Vorschriften, was den Schutz der Kunden- und Patientendaten angeht. Diese sind gesetzlich klar geregelt, und das nicht nur mit der EU-DSGVO. Doch auch wenn diese Sonderregelungen nicht zwingend für alle Branchen gelten, sollten Unternehmen sorgsam mit den Kundendaten umgehen. Die Datenverstöße der letzten Monate haben gezeigt: Gehen sensible Kundendaten verloren, dann hat das vor allem nachhaltige Auswirkungen auf das Image. Und davon erholen sich Unternehmen nur sehr langsam.

Geistiges Eigentum:

Forschungs- und Entwicklungsdaten sowie Informationen zu aktuellen Produkten und geplanten Produkteinführungen sind für Unternehmen immer heikle Informationen. Was, wenn die Daten der Konkurrenz in die Hände fallen? Im Zweifel wird dann der jahrelange Aufwand und die finanziellen Aufwendungen mit einem Datendiebstahl vernichtet.

Finanz-, Transaktions- und Gehaltsdaten: 

Zugriff auf die Finanzdaten haben in den meisten Unternehmen nur wenige Mitarbeiter. Dies ist nicht verwunderlich, sind hier doch besonders sensible Daten einsehbar. Deswegen sollten sie auf jeden Fall auch gegen den Zugriff von Fremden geschützt werden.

Fazit: Tatsächlich ist nur ein kleiner Teil aller Unternehmensdaten wirklich kritisch. Oben sehen sie eine Beispielhafte Analyse aus einem Kundenprojekt. Es genügt in vielen Fällen schon, zwischen einem und zehn Prozent der Daten zu verschlüsseln. So wird auch die Performance nicht beeinflusst und der Kunde merkt nicht mal, dass ein Verschlüsselungsgateway wie das eperi Gateway im Einsatz ist.