DSGVO/GDPR und Verschlüsselung

Mit SSL die Umsetzung der DSGVO-Compliance unterstützen

, München/Wien/Zürich, Palo ALto Networks | Autor: Herbert Wieler

Mit SSL die Umsetzung der DSGVO-Compliance unterstützen

Palo Alto Networks verweist auf Potential von SSL/TLS-Verschlüsselung

Verantwortungsbewusste Unternehmen wollen überall ihre Netzwerke und die personenbezogenen Daten, die ihnen ihre Nutzer anvertrauen, schützen. Da sich die Technologie weiterentwickelt und sich Vorschriften ändern, benötigen sie Einblick in ihre IT-Umgebung, um Sicherheitsmaßnahmen effektiv umzusetzen und gleichzeitig die Compliance zu wahren. Die SSL/TLS-Entschlüsselung, die Sicherheitsbedrohungen sichtbar macht, die in verschlüsseltem Datenverkehr verborgen bleiben können, hat sich nach Meinung von Palo Alto Networks zum Schutz vor modernen Cyberbedrohungen als hilfreich erwiesen.

SSL-Verschlüsselung kann ein wertvolles Instrument für den Datenschutz in Einklang mit der Allgemeinen Datenschutzverordnung (DSGVO) sein, wenn sie gemäß bewährter Verfahren angewendet wird

In einigen Unternehmen herrscht jedoch die Ansicht vor, aufgrund der DSGVO keine SSL-Entschlüsselung verwenden zu dürfen. Im Gegenteil, die DSGVO empfiehlt Unternehmen ausdrücklich, organisatorische und technische Sicherheitsmaßnahmen zu ergreifen, um die Verarbeitung personenbezogener Daten zu schützen. Aus diesem Grund ist es nicht richtig, zu sagen: „Wir können die SSL-Entschlüsselung wegen der DSGVO nicht durchführen.“ Tatsächlich ist die Sachlage nach Auskunft von Palo Alto Networks so: „Die DSGVO verlangt von uns, dass wir SSL-Entschlüsselung nutzen.“

Verschlüsselung und versteckte Bedrohungen

Die Verschlüsselung wird zunehmend eingesetzt, um nicht nur sensible oder private Informationen, sondern praktisch den gesamten Datenverkehr in Unternehmensnetzwerken zu schützen. Laut einer diesjährigen Untersuchung von Google zu verschlüsseltem Datenverkehr werden 87 Prozent der Zeit der Internetnutzer auf Seiten verwendet, die HTTPS verwenden, und 70 Prozent der Seiten werden auf HTTPS geladen.

Der Nachteil ist, dass Unternehmen im Wesentlichen blind für Sicherheitsbedrohungen bleiben, die im verschlüsselten Datenverkehr enthalten sind. Angreifer nutzen diese mangelnde Transparenz und Identifikation, um sich innerhalb des verschlüsselten Datenverkehrs zu verstecken und Malware zu verbreiten. Die Verfügbarkeit von günstigen oder kostenlosen Zertifikaten von Websites wie Let´s Encrypt hat es für die Angreifer viel zu einfach gemacht, die Verschlüsselung mit ihren automatisierten Malware- und Phishing-Kampagnen zu nutzen. Selbst legitime Websites, die SSL verwenden, können mit Malware infiziert sein. Gegner innerhalb eines Netzwerks können auch Verschlüsselung verwenden, um zu verbergen, dass Daten exfiltriert werden.

Wenn Unternehmen nicht sehen können, was in ihr Netzwerk kommt, können sie es nicht schützen, besonders bei heutigen Umgebungen. Mehr denn je benötigen Unternehmen die Fähigkeit, SSL-verschlüsselten Datenverkehr zu entschlüsseln, transparent zu machen, zu klassifizieren, zu kontrollieren und zu scannen.

Ein Plan für die SSL-Verschlüsselung und DSGVO-Konformität

Um SSL-Entschlüsselung zu implementieren, ist nach Erfahrung von Palo Alto Networks eine Aufklärungskampagne innerhalb des Unternehmens erforderlich. Ein Teil davon besteht darin, den Interessengruppen zu versichern, dass es einen Implementierungsplan gibt, der für Compliance-Überlegungen sensibel bleibt. Der erste Schritt sollte darin bestehen, klar zu formulieren, welche Daten betroffen sind und welche nicht. Den Vorstand, das Management und die Rechtsabteilung gilt es darüber zu informieren, dass bestimmte Kategorien von sensiblen Daten, wie z.B. Daten aus den Bereichen Gesundheitswesen, Banken und Behörden, nicht entschlüsselt sollen werden.

Eine weitere Möglichkeit ist, nicht gleich am ersten Tag mit der SSL-Entschlüsselung aller Daten loszulegen. Stattdessen lassen sich bestimmte Hochrisikokategorien festlegen, auf man sich konzentrieren will, wie beispielsweise kürzlich registrierte Domains sowie kürzlich infizierte oder nicht kategorisierte Websites. Andere gute Web-Hygiene-Optionen beinhalten, dass Benutzer keine Verbindung zu Websites mit abgelaufenen Zertifikaten, nicht vertrauenswürdigen Zertifikaten oder selbstsignierten Zertifikaten herstellen dürfen. Diese letzteren Optionen sind auch ohne tatsächliche Entschlüsselung des Datenverkehrs umsetzbar, bieten aber dennoch effektiven Schutz für die Benutzer. Schließlich gilt es sicherzustellen, dass die technische Umsetzung den gesetzten Erwartungen entspricht. Eine Next-Generation-Firewall macht es einfach, eine optimale Sicherheitsrichtlinie unter Beachtung vertraulicher Verkehrsparameter umzusetzen, wie Palo Alto Networks erklärt.

Um Unternehmen heute wirksam zu schützen, ist es empfehlenswert, SSL-Entschlüsselung zu implementieren. Hilfreich ist ein Best-Practices-Leitfaden , wie von Palo Alto Networks zusammengestellt. Die Durchführung eines Best-Practice-Assessments ist ein guter Weg, um dieses Thema anzugehen und die Sicherheit stufenweise zu erhöhen.