DSGVO/GDPR
Wie man bewegte personenbezogene Daten DSGVO-konform schützen kann
Datenklassifizierung, Verschlüsselung, Zugriffskontrolle und Pseudonymisierung
Die Frist für die Einhaltung der Datenschutzvorschriften (GDPR oder EU-DSGVO) im Mai 2018 nähert sich rasch und betrifft nicht nur Unternehmen in der Europäischen Union, sondern Organisationen in der ganzen Welt. Damit müssen Organisationen ihre Denkweise bzgl. ihrer Security-Konzepte und speziell den Umgang mit den personenbezogenen Daten, die sie sammeln, speichern und verarbeiten, grundlegend ändern.
Das Auffinden und Schützen von Daten in Ruhe ist relativ einfach, aber die Daten bleiben nicht lange in Ruhe. Sie bewegen sich über das Netzwerk, vom Versender zum Verarbeiter, zu Dritten und wieder zurück, und das ganze innerhalb und außerhalb des Landes und der EU. Digitale Daten können kopiert werden und diese Kopien können an unerwarteten Stellen wieder auftauchen. Die Einhaltung der GDPR erfordert also eine Strategie, die sich nicht nur um die gespeicherten Daten kümmert, sondern vor allem auch für die Daten, die immer in Bewegung sind.
Wenn sich Daten verschieben und das Format geändert wird, kann es schwierig werden, die personenbezogenen Daten herauszufinden, um entsprechende Schutzmaßnahmen anzuwenden. An dieser Stelle kommt ein gutes System zur Datenidentifikation und -klassifizierung ins Spiel. Die Details zur Implementierung der Datenklassifizierung gehen an dieser Stelle über den Rahmen dieses Artikels hinaus, bedenken Sie aber, dass Ihr Datenklassifizierungsschema die Grundlage für den Schutz personenbezogener Daten sein wird.
Verschlüsselung ist das Zauberwort
In Artikel 32, fordert die DSGVO, dass sowohl der für die Verarbeitung Verantwortliche als auch der Verarbeiter selbst, geeignete technische und organisatorische Maßnahmen ergreifen muss, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.
Die Verschlüsselung ist ein Schlüsselelement beim Schutz von ruhenden Daten als auch von Daten während der Übertragung. Es werden jedoch verschiedene Verschlüsselungstechnologien verwendet, und es ist wichtig zu wissen, dass nicht alle Verschlüsselungen gleich sind. Schwache kryptografische Algorithmen wie MD5 und SHA1 bieten nicht den geforderten Schutz für persönliche Daten. Einige VPN-Protokolle (Virtual Private Networking) sind sicherer als andere.
Wenn symmetrische kennwortbasierte Verschlüsselung verwendet wird, ist es wichtig, dass die Kennwörter stark sind: je länger, desto besser; Vermeiden Sie Wörterbucheinträge und Zahlen, die leicht erraten werden können; Verwenden Sie starke Passwortgeneratoren oder Zufallszahlengeneratoren.
Denken Sie auch daran, dass die Verschlüsselung selbst nur für Vertraulichkeit sorgt. Es garantiert keine Authentizität oder Integrität. Verschlüsselung muss mit starken Authentifizierungsmethoden kombiniert werden, um persönliche Daten effektiv zu schützen.
Verlassen Sie sich nicht darauf, dass Benutzer die Daten verschlüsseln. Nutzen Sie Lösungen, die standardmäßig eine Verschlüsselung anwenden und Ihre Verschlüsselungsrichtlinien für diese Daten entsprechend ihrer Klassifizierung durchsetzen. Wenn Sie persönliche Daten in der Cloud speichern oder verarbeiten, wählen Sie Ihren Cloud-Anbieter sorgfältig aus. Sie müssen wissen, welche Datensicherheitsmaßnahmen der Cloud-Anbieter standardmäßig implementiert hat und welche optionalen Sicherheitsmaßnahmen Sie aktivieren können. Microsoft Azure ermöglicht es Ihnen beispielsweise, die virtuellen Festplatten zu verschlüsseln, auf denen Ihre Windows- oder Linux-VMs (virtuelle Maschinen) ausgeführt werden.
Die Schlüsselverwaltung ist ein entscheidender Faktor für die Sicherheit von verschlüsselten Daten. Verwenden Sie starke Schlüsselverwaltungslösungen, um Verschlüsselungsschlüssel zu schützen. Hardware-Sicherheitsmodule bieten zusätzliche Sicherheit für persönliche Daten, wenn sie zum Speichern der kryptografischen Schlüssel verwendet werden, da sie separate Geräte sind, die als Schutzräume für Ihre Verschlüsselungsschlüssel fungieren, damit sie nicht denselben Risiken ausgesetzt sind wie bei der Speicherung in der Computersoftware.
Schutz personenbezogener Daten in Ruhe
Organisationen speichern viele verschiedene Arten von persönlichen Daten, die aus vielen verschiedenen Quellen stammen. Einzelhandelsunternehmen und Dienstleistungsunternehmen unterhalten Datenbanken mit Kontakt- und Zahlungsinformationen von Kunden. Einrichtungen des Gesundheitswesens führen detaillierte medizinische Aufzeichnungen über Patienten, die sich in ihrer Obhut befinden. Unternehmen jeder Art kaufen und speichern Listen potenzieller Kunden, die im Marketing und beim gezielten Verkauf eingesetzt werden und Personalabteilungen speichern persönliche Informationen über die Mitarbeiter.
Diese Daten können in einer Reihe von verschiedenen Formaten gespeichert werden – in Datenbanken, Tabellenkalkulationen, Textverarbeitungsdokumenten, PDFs, elektronischen Formularen, E-Mails, Sofortnachrichten und so weiter. Es kann an vielen verschiedenen Orten gespeichert werden, einschließlich Kopien der gleichen Daten in Sicherungsdateien und Archiven, oder in Zusammenfassungen oder Berichte übertragen oder auf tragbaren Wechseldatenträgern gespeichert oder auf optische Medien geschrieben werden. Persönliche Daten können manchmal auch in Protokolldateien, temporären Dateien und anderen unerwarteten Speicherorten gefunden werden.
Ruhende Daten werden im Allgemeinen über Zugriffskontrollen und Verschlüsselung geschützt. Auf der Festplatte gespeicherte Daten (einschließlich Wechseldatenträgern) können über Verschlüsselungstechnologien mit Vollvolumen oder Verschlüsselung auf Dateiebene verschlüsselt werden. Berechtigungen können auf Dateien basierend auf Zugriffssteuerungslisten festgelegt werden. Dokumente und Tabellenkalkulationen können mit einem Passwort geschützt werden. E-Mails können mit öffentlichen/privaten Schlüsseln oder mit einer Verschlüsselung auf der Basis von symmetrischen Schlüsseln oder Programmen verschlüsselt werden.
Es ist wichtig anzumerken, dass für die Zwecke der Datenschutz-Grundverordnung alle personenbezogenen Daten geschützt werden müssen, was sowohl unstrukturierte Daten als auch strukturierte Daten umfasst. Es ist möglich, dass sich persönliche Daten in Bildern oder sogar Videos befinden, und auch diese müssen geschützt werden. Strukturierte Daten wie in einer Datenbank können leichter geschützt werden, da alles an einem Ort ist. Unstrukturierte Daten können sich über mehrere Dateiserver verteilen, auf den Festplatten einzelner Benutzer gespeichert werden, auf USB-Sticks oder SD-Karten kopiert werden und so weiter.
Zum Schutz personenbezogener Daten im Allgemeinen, insbesondere aber im Hinblick auf unstrukturierte personenbezogene Daten, sind klare Richtlinien und eine angemessene Schulung der Benutzer beim Umgang mit personenbezogenen Daten von entscheidender Bedeutung.
Schutz personenbezogener Daten während des Transports
In der Theorie ist es auch ziemlich einfach, die Daten während der Übertragung zu schützen. Wie bei ruhenden Daten spielt die Verschlüsselung die Hauptrolle. Persönliche Daten sollten verschlüsselt werden, bevor sie über das Netzwerk gesendet werden, und verschlüsselte Verbindungen sollten verwendet werden, um den Inhalt der persönlichen Daten zu schützen, während sie übertragen werden.
Wie bei ruhenden Daten sind einige Verfahren zur Verschlüsselung von Daten während der Übertragung besser als andere. Beispielsweise wird SSL (Secure Socket Layer) nicht mehr als ausreichend sicher betrachtet. Es wurde durch TLS (Transport Layer Security) ersetzt.
Zusätzlich zur Verschlüsselung der Daten selbst, sollten Sie auch noch die Übertragung schützen, indem Sie entsprechende Netzwerksicherheitspraktiken implementieren. Das bedeutet gute Firewalls, starke (vorzugsweise Multi-Faktor-) Authentifizierung für den Zugriff auf das Netzwerk, Malware-Schutz und regelmäßige Systemaktualisierung, um zu verhindern, dass persönliche Daten durch bösartige Software und ausgenutzte Schwachstellen aufgedeckt werden.
Verwenden Sie möglichst automatisierte Verschlüsselungslösungen, wenn z. B. ein Benutzer eine Datendatei an eine E-Mail-Nachricht anhängt oder diese auf ein Wechselspeichergerät kopiert. Verwenden Sie eine Rechteverwaltung, um zu beschränken, was autorisierte Benutzer mit den persönlichen Datendateien machen können, mit denen sie arbeiten. Rechteverwaltung kann verhindern, dass E-Mail-Nachrichten weitergeleitet oder Word-Dokumente oder Excel-Tabellen kopiert oder gedruckt werden.
Wenn persönliche Daten an einen oder von einem entfernten Standort gesendet werden müssen, kann dieser durch ein VPN geschützt werden, um einen sicheren verschlüsselten Tunnel zu erstellen, durch den sich die Daten bewegen können. Die für die Erstellung des Tunnels verwendeten Protokolle sollten sorgfältig ausgewählt werden, um einen maximalen Schutz personenbezogener Daten zu gewährleisten. Zum Beispiel bietet PPTP nur eine einfache 128-Bit-Verschlüsselung und zahlreiche dokumentierte Schwachstellen, während L2TP / IPsec eine 256-Bit-Verschlüsselung bietet und Datenintegritätsprüfungen beinhaltet. OpenVPN verwendet einen SSL / TLS-Tunnel und kann verschiedene Algorithmen verwenden, um verschiedene Sicherheitsstufen anzubieten. Es wird als sehr sicher angesehen, wenn eine starke Verschlüsselung verwendet wird.
Pseudonymisierung – persönliche Daten maskieren
Neben der Spezifizierung der Verschlüsselung als Mittel zum Schutz personenbezogener Daten wird in der DSGVO auch der Prozess der Pseudonymisierung genannt, der sich auf den Prozess der Datenhaltung von persönlichen Identifikatoren bezieht, um das Risiko einer Verletzung der Privatsphäre einer Person zu verringern, wenn die Daten bereits ausgesetzt wurden. Wenn Daten pseudonymisiert wurden, können sie nicht unmittelbar mit einer bestimmten identifizierbaren Person verknüpft werden, ohne dass zusätzliche Informationen verwendet werden müssen, die an einem separaten Ort aufbewahrt werden.
Pseudonymisierte Daten werden nach wie vor als personenbezogene Daten im Rahmen der DSGVO angesehen und müssen noch geschützt werden. Die Verordnung bietet jedoch Anreize für die Verwendung von Pseudonymisierung und kann Organisationen dabei unterstützen, die DSGVO-Sicherheitsanforderungen zu erfüllen.
Zusammenfassung
Datenklassifizierung, automatisierte Verschlüsselungslösungen für die Daten selbst, für die Übertragungswege, für die Speicherorte, Zugriffsteuerungslisten kombiniert mit Multi-Faktor Authentifizierung für den Zugriff auf personenbezogene Daten und die Pseudonymisierung der persönlichen Daten, sind nur einige Schlagwörter für eine mögliche Umsetzung der DSGVO-Compliance.
Um Daten privat zu halten, sei es in Ruhe oder in Bewegung, ist es wichtig, dass Sie Ihre Optionen kennen und sorgfältig auswählen. Zudem sollten Sie eng mit Ihrem Cloud-Anbieter zusammenarbeiten, Benutzer schulen, und technologische Durchsetzungsmaßnahmen implementieren, um Ihre Compliance-Ziele auch wirklich zu erreichen.
GFI Software hat in einem kostenlosen White Paper dazu die wichtigsten Maßnahmen für eine regelkonforme Einhaltung der DSGVO-Compliance zusammengestellt.
