Niemand kann verhindern, dass Daten gestohlen werden, aber durch Verschlüsselung kann man zumindest verhindern, dass die Angreifer was mit den Daten anfangen können. Was so einfach klingt, ist in der Praxis noch längst nicht angekommen. Und weil die zahlreichen Warnungen der Datenschützer bisher nichts geholfen haben, müssen Unternehmen nun offenbar gezwungen werden. Mit entsprechenden Gesetzen und EU-Verordnungen sollen Unternehmen dazu gezwungen werden, ihre sensiblen Daten zu verschlüsseln. Derzeit sollen ein halbes Dutzend gesetzlicher Vorhaben in der Pipeline sein. Wann sie umgesetzt und welche technischen Verfahren vorgeschrieben werden, ist noch Zukunftsmusik. Eines ist aber schon jetzt sicher: Wer sich nicht daran hält, dem drohen nicht nur hohe Geldstrafen, sondern sogar Gefängnis.
Von diesem Vorhaben wird so gut wie jedes Unternehmen, jede Behörde oder Organisation betroffen sein. Laut iX-Magazin soll Whistleblower Edward Snowden mit Schuld daran sein, dass die Verschlüsselungsgesetze nun auf den Weg gebracht werden. Er hatte damals als NSA-Mitarbeiter Zugriff auf sensible Daten, die er dann ja auch – sehr zum Leidwesen der NSA - verraten hat. Die Sicherheitsmaßnahmen der NSA zielten damals nur darauf ab, Angreifer von außen abzuwehren. Da Snowden allerdings Administrator war, konnte er diese Barrieren leicht überwinden. Unternehmen und Organisationen unterschätzen oft die Gefahren von innen. Wären die Daten allerdings mit intelligenten Lösungen verschlüsselt, hätten sogar Administratoren keinen Zugriff auf die sensiblen Daten.
Eigentlich ist eine konsistente Verschlüsselung kein Problem: Immerhin gibt es ja schon eine Verschlüsselungspflicht für Berufsgeheimnisträger wie Steuerberater, Anwälte, Notare und Wirtschaftsprüfer, die in § 203 StGB klar geregelt ist. Demnach dürfen diese Berufsgruppen ihre Daten zwar in die Cloud auslagern, müssen aber beweisen, dass sie diese ausreichend geschützt haben. Und das funktioniert nur mit sicherer Verschlüsselung – auch wenn dies so nicht explizit im Gesetz steht. Ähnlich wie für die oben genannten Berufsgruppen verhält es sich auch mit Medizinern und Apothekern, die unter das eHealth-Gesetz fallen, oder öffentliche Einrichtungen, deren IT durch das E-Government-Gesetz geregelt ist. Ihre sensiblen Daten besonders sichern müssen auch die Branchen, für die das IT-Sicherheitsgesetz gilt – die sogenannten kritischen Infrastrukturen. Das sind zum Beispiel die Informationstechnik, Telekommunikation, Energieversorgung und der Lebensmittelbereich. Für alle Branchen gilt: Verschlüsselung wird in keinem dieser Gesetze explizit erwähnt. Trotzdem wird es sich in Zukunft nicht mehr vermeiden lassen. Ganz besonders nicht mit den geplanten gesetzlichen Auflagen. Und dann wird nur eine Transportverschlüsselung oder eine halbherzige E-Mail-Verschlüsselung nicht mehr ausreichen.
In der DSGVO ausdrücklich empfohlen wird die Pseudonymisierung. Das bedeutet, dass die Daten durch entsprechende Ersatzwerte unkenntlich gemacht werden, beispielsweise durch Tokenisierung. Unternehmen sind natürlich bestens damit beraten, eine Lösung zu wählen, die sowohl verschlüsseln als auch pseudonymisieren kann. Denn so erreichen sie auf jeden Fall DSGVO-Compliance. Ist diese Lösung dann außerdem noch einfach zu installieren und erfordert keine Änderungen an Client- oder Server-Systemen, ist das umso besser.
iX meint, ein großflächiger Einsatz von Verschlüsselung wird erst dann gelingen, wenn die Anwendungen benutzerfreundlicher geworden sind. Es gibt zahlreiche Verschlüsselungslösungen, die zwar die Daten in der Cloud sicher verschlüsseln, die aber dann die Suche oder das Sortieren unmöglich machen. Denn in der Cloud liegen ja nur unkenntlich gemachte Daten, wonach soll die Anwendung suchen? Auch andere wichtige Funktionen werden ganz einfach nicht mehr unterstützt. Da haben dann die Kunden die Qual der Wahl zwischen Pest und Cholera: Entweder ich lagere unverschlüsselte Daten in der Cloud und gehe das Risiko eines Datendiebstahls und damit eine hohe Strafe ein oder ich speichere verschlüsselte Daten in der Cloud, kann dann aber die wichtigsten Funktionen nicht mehr nutzen… Eine schwierige Entscheidung, für die es eine einfache Lösung gibt: Eine Verschlüsselungslösung wie das eperi Gateway, die so clever ist, dass sie sowohl die wichtigen Funktionalitäten unterstützt als auch die Verschlüsselung konsequent einhält – und zwar at Rest, in Transit und in Use.
Benutzerfreundlichkeit ist ein wichtiges Kriterium, doch kann es angesichts der zahlreichen Datenverstöße der letzten Wochen, Monate und Jahre das einzige Kriterium für oder gegen Verschlüsselung sein? Jetzt sind die Unternehmen und Behörden gefragt: Müssen wirklich erst Gesetze her, damit sie Datenschutz zum Unternehmensziel machen? Über kurz oder lang werden sie an der Verschlüsselung der sensiblen Daten sowieso nicht vorbeikommen.
Auch interessant:
