☞ UPLOAD Magazin 113 „Newsletter“ Ansehen …

Tipps und Tools für den technischen Datenschutz

Das Thema Datenschutz ist für Unternehmerinnen und Unternehmer in der digitalen Welt von großer Bedeutung. Durch die neue Gesetzgebung ist es weiter in den Vordergrund gerückt. Kurz gesagt: Wer technische Dienstleistungen anbietet oder Kundendaten verarbeitet, ist in der Verantwortung, diese bestmöglich zu schützen. Damit dies gelingen kann, bedarf es auch immer der richtigen Technologie und passender Vorschriften.

Symbol Datenschutz
(Illustration: © maxkabakov, depositphotos)

Einführung

Beim sogenannten technischen Datenschutz (mitunter ist auch von „digitaler Selbstverteidigung“ die Rede) geht es um technische Maßnahmen, die sensible Daten vor Zerstörung, Verlust und der Handhabung durch unbefugte Dritte bewahren sollen. Als „Datenschutz-Schutzziele“ nennt Tamara Flemisch von der TU Dresden:

  • Transparenz: Personenbezogene Verfahren sollen mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden können.
  • Nichtverkettbarkeit: Personenbezogene Verfahren müssen so eingerichtet sein, dass deren Daten nicht oder nur mit unverhältnismäßig hohem Aufwand für einen anderen als den ausgewiesenen Zweck erhoben, verarbeitet und genutzt werden können.
  • Intervenierbarkeit: Personenbezogene Verfahren benötigen Maßnahmen, dass sie dem Betroffenen die Ausübung der ihm zustehenden Rechte wirksam ermöglichen.

Glücklicherweise hat der Datenschutz in den letzten Jahren im öffentlichen Bewusstsein an Bedeutung gewonnen. Das hatte unter anderem zur Folge, dass bei der Entwicklung von Programmen und Apps mehr als zuvor darauf geachtet wurde, den technischen Datenschutz zu berücksichtigen. Nicht nur die Verhinderung (oder schnellstmögliche Behebung) von Software-Sicherheitslücken steht mittlerweile für viele Software-Entwickler weit oben auf der Prioritäten-Liste. Auch Möglichkeiten zur Verschlüsselung finden sich mittlerweile in weitaus mehr Programmen und Apps, als es noch vor fünf Jahren der Fall war. Das erleichtert einen effektiven Datenschutz auch für kleinere Unternehmen mit entsprechend schmalerem IT-Budget.

Dennoch liegt es natürlich in der Verantwortung des Unternehmers beziehungsweise des von ihm beauftragten IT-Experten, diese Möglichkeiten sinnvoll zu nutzen und ein effektives Sicherheitskonzept zu entwerfen und umzusetzen. In der Folge sollen hier einige Punkte aufgeführt werden, auf die es zu achten gilt.

A N Z E I G E

neuroflash

 

Gesetzliche Grundlagen: DSGVO & Co

Artikel 32 der DSGVO schreibt vor, wie die „Sicherheit der Verarbeitung“ gewährleistet werden soll. Demnach geht es um „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Dabei sei zudem der Stand der Technik zu berücksichtigen.

Es werden auch beispielhafte Maßnahmen aufgelistet:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Interessant ist hier ergänzend die Anlage zu Paragraph 9, Satz 1 des alten Bundesdatenschutzgesetzes. Dort heißt es:

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Sichere Datenspeicherung: Speicherort sorgfältig wählen

Geht es um die sichere Speicherung von Daten, gilt es zunächst einmal, zu entscheiden, wo die Daten überhaupt abgelegt werden. Nach Möglichkeit sollte einer eigenen Infrastruktur der Vorzug gegeben werden – seien es einzelne Server oder ein vom Unternehmen selbst betreutes Cloud-Setup. So behält man die maximale Kontrolle über die Daten und kann den Kunden so garantieren, dass diese nicht in die Hände von Dritten gelangen. 

Der Digitalcourage e.V. empfiehlt für den Datenaustausch bspw. „ownCloud/nextCloud , für gemeinsames Arbeiten Etherpad (Lite) oder Open-Xchange“.

Soll doch, beispielsweise aus Gründen der Wirtschaftlichkeit, auf externe Cloud-Anbieter zurückgegriffen werden, gilt es, den Anbieter sorgfältig auszuwählen. Zu vermeiden sind in jedem Fall Anbieter mit Geschäftssitz in den USA (wozu auch die Branchen-Giganten Google und Amazon zählen). Diese nämlich unterliegen, unabhängig vom eigentlichen Standort der Server, der US-Gesetzgebung. Das bedeutet, dass die US-Behörden unter Umständen Zugriff auf dort gespeicherte Daten haben. Da in den USA der Datenschutz einen deutlich geringeren Stellenwert genießt als in der EU, kann so kein angemessener Datenschutz-Standard gewährleistet werden. Deutsche Anbieter wie etwa die Leitz Cloud oder das Strato HiDrive sind hier die bessere Wahl. Für sie gelten die vergleichsweise strengen deutschen und europäischen Datenschutz-Gesetze.

Sensible Daten vor unbefugten Zugriffen schützen

Nicht nur durch die Auswahl eines geeigneten Speicherortes müssen sensible Daten vor unbefugten Zugriffen geschützt werden. Wichtig ist auch, den Zugriff auf diese Daten durch geeignete Sicherheitsmaßnahmen zu beschränken. Das kann zum einen geschehen, indem der Zugang zu Serverräumen und ähnlichen Einrichtungen beispielsweise durch geeignete Schlösser, durch die Prüfung des Werksausweises oder ähnliche Maßnahmen vor dem Betreten durch Unbefugte geschützt wird. Zum anderen ist es wichtig, den Zugang zu sensiblen Daten durch die Abfrage geeigneter Sicherheits-Informationen beim Einloggen zu beschränken. Hier sind in den letzten Jahren biometrische Methoden – etwa das Scannen eines Fingerabdrucks – auf dem Vormarsch.

Die am häufigsten verwendete Methode ist aber nach wie vor, schon aufgrund der geringen Kosten, die Nutzung von Passwörtern. Damit diese einen angemessenen Sicherheitsstandard gewährt, sind aber einige Regeln zu beachten. Diese sollten den betroffenen Mitarbeitern, etwa durch angemessene Schulungen, mitgeteilt und erklärt werden. Es ist zudem sinnvoll, durch technische Maßnahmen die Nutzung unsicherer Passwörter zu verhindern.

Sichere Passwörter

Ein geeignetes Passwort muss auf jeden Fall eine angemessene Länge aufweisen. Ist es zu kurz, kann es durch simplen „Bruteforce“ geknackt werden, also das Durchprobieren aller in Frage kommenden Möglichkeiten. In Zeiten von Cloud Computing und Berechnung per Grafikkarte ist eine Mindestlänge von acht Zeichen als ausreichend anzusehen. Besser sind allerdings längere Passwörter.

Um Passwörter in dieser Länge zu erstellen, die trotzdem gut im Gedächtnis behalten werden, empfehlen Experten Techniken wie Anagramme und Merksätze. Vermieden werden sollten häufige Wörter, Zahlenkombinationen wie 12345678 sowie Buchstabenkombinationen, die ein Muster auf der Tastatur ergeben. Diese werden sehr häufig als Passwörter verwendet und daher von Angreifern meist als Erstes durchprobiert. Einen ersten Eindruck über die Sicherheit bestimmter Arten von Passwörtern können entsprechende Websites vermitteln – wobei dort natürlich nie echte Passwörter eingegeben werden sollten.

Sensible Daten: Auch im Netz gefährdet

Nicht nur, wenn die Daten sich auf der Festplatte oder einem anderen Speichermedium befinden, sind sie durch Angreifer oder technische Probleme gefährdet. Auch und gerade bei der Übertragung von Daten per Internet drohen Gefahren. Werden sensible Daten übertragen, gilt es daher, diese angemessen zu schützen.

Sinnvoll ist insbesondere eine Verschlüsselung der Daten. Dabei werden die Informationen mit Hilfe mathematischer Verfahren so umgewandelt, dass sie ohne den zugehörigen Schlüssel nicht gelesen werden können. Für fast alle gängigen Kommunikationsmittel gibt es mittlerweile Möglichkeiten zur Verschlüsselung.

Ein VPN-Tunnel schützt

Werden häufig sensible Daten per Netzwerk übertragen, beispielsweise, weil Mitarbeiterinnen und Mitarbeiter im Außendienst tätig sind, kann die Einrichtung eines sogenannten „Virtuellen Privaten Netzwerks“ (VPN) sinnvoll sein. Bei dieser Technologie werden Daten durch einen verschlüsselten „Tunnel“ übertragen, der alle Informationen gegen Zugriffe von außen schützt. Ist der Server einmal eingerichtet, müssen sich die Nutzer nur noch mit Hilfe einer entsprechenden Client-Software mit diesem Netzwerk verbinden und können Daten sicher übertragen.

Lesen Sie dazu auch: „WLAN zu Hause, im Büro und unterwegs: Drahtlos, aber sicher!“

E-Mail: So kann das Traditions-Medium sicher genutzt werden

Die gute alte E-Mail spielt nach wie vor eine bedeutende Rolle in der geschäftlichen Kommunikation. Hier gilt es allerdings, den Bereitsteller des Mailservers, den sogenannten E-Mail-Provider, sorgfältig auszuwählen. Wie bei der Datenspeicherung ist es stets die beste Lösung, die entsprechende Infrastruktur selbst bereitzustellen und so die maximale Kontrolle zu behalten. Ist das nicht möglich oder wünschenswert, sollte der Provider sorgfältig ausgewählt werden. Populäre Anbieter wie GMail und GMX speichern eine Vielzahl personenbezogener Daten und gewähren dem Kunden keinerlei Einblick in die technischen Abläufe (bei Googles GMail kommt erschwerend der Geschäftssitz in den USA hinzu). Zu bevorzugen sind kleinere europäische Anbieter wie mailbox.org oder Posteo, die sich den Datenschutz auf die Fahnen geschrieben haben.

Da eine E-Mail normalerweise in etwa so sicher ist wie eine Postkarte, sollten die Nachrichten zudem verschlüsselt werden. Bewährt hat sich hier der sogenannte „OpenPGP“-Standard. Umsetzung dieses Standards gibt es mittlerweile für alle gängigen Mail-Clients, Webmail und sogar für das Smartphone unter Android und iOS.

Instant Messenger: Vielseitig und zunehmend sicherer

Viele Unternehmen setzen mittlerweile auf Messaging-Dienste und deren Möglichkeiten, nicht nur zu chatten, sondern auch Sprachnachrichten zu verschicken und teilweise sogar Video-Anrufe zu tätigen. In Bezug auf die Sicherheit hat sich in den letzten Jahren viel getan. Fast alle gängigen Messenger (unter anderem WhatsApp, Telegram und seit Kurzem auch Skype) verschlüsseln mittlerweile die Chats.

Allerdings werden diese Messenger oftmals von großen und intransparenten Unternehmen betrieben und lassen wenig Einblick in die technische Infrastruktur zu. Eine Alternative, bei der die Verschlüsselung von Experten eingehend geprüft wurde, ist der Messenger Signal. Dessen Entwickler stelle Datensicherheit und Datenschutz in den Vordergrund. Signal ist mittlerweile für Android, iOS und auch für alle gängigen Desktop-Betriebssysteme verfügbar.

Lesen Sie dazu auch: „So funktioniert’s: Verschlüsselte Kommunikation mit E-Mail und Messengern“

Bring your own Device: Eine Herausforderung für den Datenschutz

Abschließend sei noch kurz das Thema „Bring Your Own Device“ (BYOD) erwähnt. Gerade für kleinere Unternehmen ist es attraktiv, Mitarbeiterinnen und Mitarbeiter ihre eigenen Laptops und Mobilgeräte mit zur Arbeit bringen zu lassen. Organisatorisch hat das einige Vorteile: Die Kolleginnen und Kollegen, für die die Nutzung von Computer und Mobilgeräten in der Freizeit mittlerweile meist selbstverständlich ist, müssen sich nicht zwischen verschiedenen Geräten und womöglich verschiedenen Betriebssystemen umstellen. Das macht sie zufriedener und unter Umständen produktiver. Die Chefetage spart sich derweil den Aufwand, entsprechende Geräte anzuschaffen. Auch Kosten für teure Hardware fallen weg.

Aus Datenschutz-Sicht ist BYOD allerdings höchst problematisch. Aufgrund der äußerst heterogenen Infrastruktur ist es deutlich schwieriger, einen einheitlichen Sicherheitsstandard zu gewährleisten. Auch kann nie garantiert werden, dass nicht ein Gerät, das bereits kompromittiert wurde (etwa mit einem Virus oder Trojaner) seinen Weg zum Arbeitsplatz findet. Wer sein Gerät täglich mit zur Arbeit bringt und wieder mit nach Hause nimmt, erliegt zudem weitaus leichter der Versuchung, auch sensible Daten dabei zu haben. Das kann zum Problem werden, wenn das Gerät beispielsweise unterwegs gestohlen oder schlichtweg liegen gelassen wird.

Soll trotzdem auf eine solche Lösung gesetzt werden, müssen klare Verhaltensregeln aufgestellt und die Mitarbeiter in deren Umsetzung geschult werden. So sollte auf den für die Arbeit verwendeten Geräten eine Verschlüsselung des Benutzer-Verzeichnisses verwendet werden. Sensible Daten sollten nicht mit nach Hause genommen werden. Da Updates, anders als bei einer einheitlichen IT-Infrastruktur, nicht zentral durchgeführt werden können, muss unbedingt vermittelt werden, wie wichtig es ist, die Software der Geräte auf dem neuesten Stand zu halten. Geräte, auf denen aktuelle Updates nicht installiert sind, weisen (vermeidbare und bekannte) Sicherheitslücken auf und sind somit deutlich anfälliger für Angriffe aller Art.

Gefällt dir dieser Artikel?

Dann trage dich jetzt ein ins „Update am Montag“ und bleibe über neue Inhalte auf dem Laufenden. Kein Spam! Bereits über 1.900 Leser:innen sind dabei.

Jetzt eintragen …

Schlusswort: Die Herausforderung meistern

Für Unternehmerinnen und Unternehmer gibt es einiges zu beachten, wenn sie dem Datenschutz angemessen Rechnung tragen wollen. Glücklicherweise gibt es mittlerweile aber eine Vielzahl gut dokumentierter Software-Lösungen, die diese schwierige und verantwortungsvolle Aufgabe erleichtern. So ist es mit etwas Einsatz durchaus möglich, seiner Verantwortung gegenüber Geschäftspartnerinnen, Geschäftspartnern, Kundinnen und Kunden gerecht zu werden und die sensiblen Daten aller Beteiligten angemessen zu schützen.


Dieser Artikel gehört zu: UPLOAD Magazin 64

Die Datenschutz-Grundverordnung DSGVO hat in diesem Jahr für viel Wirbel gesorgt. Mit einigen Monaten Abstand haben wir nun einen umfassenden Schwerpunkt für Sie rund um das wichtige Thema Datenschutz zusammengestellt. Wir ziehen darin Bilanz zur DSGVO, haben einen Praxisleitfaden mit acht Punkten für Ihre Compliance, haben Fachleute nach Ihrer Meinung zu DSGVO und e-Privacy-Verordnung befragt, beschäftigen uns mit dem Thema Cookies und haben Tipps zum technischen Datenschutz für Sie. Plus: Wie Sie den richtigen Influencer für eine Kampagne auswählen

Schon gewusst? Mit einem Zugang zu UPLOAD Magazin Plus oder zur Content Academy lädst du Ausgaben als PDF und E-Book herunter und hast viele weitere Vorteile!