DSGVO-Vorgaben unternehmensweit umsetzen

Einheitliche Datenverschlüsselung und effektives Schlüsselmanagement

Strenge Vorgaben, hohe Strafen: die DSGVO bereitet vielen Unternehmen grosses Kopfzerbrechen. Eine DSGVO-konforme Datenschutzstrategie, umfassende Verschlüsselung von sensiblen Daten und effektives Schlüsselmanagement im gesamten Unternehmen helfen dabei, die Vorgaben zu erfüllen. Klingt kompliziert? Das muss es nicht sein. Der Vormetric Data Security Manager macht all das einfach möglich.

Mit dem Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 begann ein neues Zeitalter des Datenschutzes. Das umfangreiche und weltweit strengste Paket an Massnahmen zum Schutz von personenbezogenen Daten gilt für alle Unternehmen (unabhängig ihres Firmensitzes), die personenbezogene Daten von EU-Bürgern verwalten. Als Pionierwerk wird die DSGVO wohl Auswirkungen und Vorbildwirkung für Datenschutzbestimmungen in anderen Regionen der Welt haben.

Ziel der Verordnung ist es, Benutzern wieder volle Kontrolle über ihre Daten (zurück) zu geben. Bei Nichteinhaltung der Bestimmungen (oder zu später Benachrichtigung im Falle von Datenverlusten) drohen Unternehmen drakonische Strafzahlungen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes, wobei der jeweils höhere Betrag fällig wird.

In diesem Beitrag wird aufgezeigt, welche essenziellen Bestimmungen die DSGVO umfasst, wie Unternehmen eine DSGVO-konforme Datenschutzstrategie entwickeln und warum Unternehmen mit dem Vormetric Data Security Manager bei der Umsetzung der DSGVO einen Schritt weiter sind.

Sicherung personenbezogener Daten

In Art. 4 DSGVO werden personenbezogene Daten definiert als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.

In Art. 32 der DSGVO werden Massnahmen beschrieben, die Organisationen zur Sicherung personenbezogener Daten durchführen müssen. Dabei sollen unter Berücksichtigung des Zwecks, des Umfangs und der Implementierungskosten, aber vor allem auch dem Risiko für die Rechte und Freiheiten betroffener Personen im Falle eines Datenverlusts, die erforderlichen technischen und organisatorischen Massnahmen zum Schutz solcher Daten gesetzt werden. Unter anderem wird die Pseudonymisierung und Verschlüsselung personenbezogener Daten, aber auch die Fähigkeit der Wiederherstellung des Zugriffs auf personenbezogene Daten im Falle einer Datenschutzverletzung thematisiert. Zudem wird ein laufender Prozess des Testens und Evaluierens der Wirksamkeit dieser Massnahmen vorgegeben.

Art. 34 der DSGVO beschreibt, wie und wann Benutzer im Falle einer Datenschutzverletzung zu informieren sind. Sofern die Datenschutzverletzung mit hohem Risiko für die betroffene Person verbunden ist, muss die Benachrichtigung unmittelbar und in einfachen, leicht verständlichen Worten erfolgen. Eine Benachrichtigung muss hingegen nicht erfolgen, wenn die erforderlichen technischen und organisatorischen Massnahmen, wie jene zur Unkenntlichmachung von Daten für Unberechtigte (z.B. Verschlüsselung) umgesetzt wurden. Selbes gilt, falls der Betreiber nachträglich Massnahmen zur Eliminierung des Risikos gesetzt hat oder eine Benachrichtigung nur mit unverhältnismässigem Aufwand möglich wäre. Dennoch kann auf Anweisung der Aufsichtsbehörde eine Benachrichtigung erfolgen müssen.

The Right to be Forgotten

Eine der folgenreichsten Bestimmungen der DSGVO ist in Abschnitt 3, Art. 17 verankert und wird als „The Right to be Forgotten“ tituliert. Organisationen müssen auf Anfrage der Person die Daten eines Individuums unverzüglich löschen, falls kein wichtiger Grund besteht, diese weiterhin zu speichern. Dies gilt sowohl für digitale als auch in Papierform existente Aufzeichnungen. Wurden Daten mit externen Organisationen geteilt, müssen auch diese zu deren Löschung angewiesen werden.

Die Löschung der Daten muss für den Fall möglicher Audits und Überprüfungen lückenlos dokumentiert und nachweisbar sein. Insgesamt stellen diese Bestimmungen zur Verarbeitung, Speicherung und Löschung von personenbezogenen Daten Unternehmen vor grosse Herausforderungen.

Nachfolgend wird besprochen, wie eine DSGVO-konforme Datenschutzstrategie aussieht und wie Thales e-Security mit dem Vormetric Data Security Manager bei deren effektiver Umsetzung unterstützen kann.

Entwicklung einer DSGVO-konformen Datenschutzstrategie

Insgesamt verlangt die DSGVO nach einer umfangreichen und tiefgreifenden Herangehensweise zum Schutz personenbezogener Daten, die mitunter

  • Zugang zu unverschlüsselten Daten beschränkt
  • personenbezogene, unverschlüsselte Daten verschlüsselt oder pseudonymisiert
  • Muster im Zugriffsverhalten von Nutzern überwacht und registriert

Ein erster Schritt ist es, den Zugriff auf unverschlüsselte Daten zu beschränken. Herkömmliche Sicherheitslösungen können bösartige Zugriffsversuche von Aussenstehenden verhindern, sind aber kaum bis nicht wirksam gegenüber privilegierten Nutzern mit entsprechenden Zugangsberechtigungen.

Zum Schutz von Data-at-Rest (DAR) bieten sich zwei Lösungen an: Datenverschlüsselung und Tokenisierung.

Wie eingangs erwähnt, erfordert die DSGVO eine Verschlüsselung oder Pseudonymisierung von personenbezogenen Daten. Gleichzeitig schützt diese Massnahme vor einer Benachrichtigungspflicht beim Verlust solcher Daten.

Durch Verschlüsselung werden Daten in ihrer Form so umgewandelt, dass nur Personen mit dem passenden, geheimen Schlüssel diese lesen können. Hacker können die Daten zwar stehlen, für diese sind die Daten aber unlesbar und somit wertlos.

Der gesamte Schutz hängt damit von der sicheren Verwahrung des privaten Schlüssels ab – auf Unternehmensebene braucht es daher ein geeignetes Schlüsselmanagement. Wie Forrester Research in einem Report von 2014 betont, ist dieser Prozess von Unternehmen zu Unternehmen anders geregelt.

Tokenisierung

Eine Alternative zur Verschlüsselung mit krpytographischen Schlüsseln ist die Tokenisierung. Hierbei wird eine nicht erkennbare tokenisierte Forme der Daten erzeugt, die das Format der Quelldaten beibehält. Zum Beispiel kann die Kreditkartennummer 1234-5678-1234-5678 in tokenisierter Form 2754-7529-6654-1987 lauten, der originalen Form ähnlichsehen aber risikofrei verwendet werden, ohne mit dem Besitzer in Verbindung gebracht werden zu können. Tokenisierung von Daten ist dort möglich, wo Grösse und Format der Daten beibehalten werden können. Bei Daten wie Textdateien, PDFs, MP3s ist dies hingegen nicht möglich, weshalb Verschlüsselung auf Ebene des Datei-Systems erforderlich ist.

Bisherige Herangehensweise zur Verschlüsselung und Schlüsselmanagement von Data-at-Rest

Historisch hat man zunächst die Strategie gewählt, starke Schutzmauern um Unternehmensdaten zu bauen, was durch ausgeklügelte Vorgehensweisen von Angreifern allerdings bald unzureichend wurde. Dann hat man versucht mehrere Schutzebenen durch einzelne Sicherheitslösungen für Datenbanken und Key-Management oder mehrere Verschlüsselungssysteme zu schaffen. Wächst ein Unternehmen, werden solche verstreuten, nicht zusammenhängenden Systeme allerdings bald herausfordernd zu bedienen und teuer in der Wartung. Es bedarf daher einer neuen, zentralen und einheitlichen Lösung zum Management von Verschlüsselungsmassnahmen.

Vormetric Data Security Platform – Vollumfänglicher Schutz für Data-at-Rest

Die Vormetric-Datensicherheitsprodukte von Thales e-Security bieten eine Lösung, die die DSGVO Konformitätsvorschriften erfüllt und gleichzeitig die Herausforderungen und Kosten des nicht zusammenhängenden Sicherheitsansatzes überwindet.

Die Vormetric Data Security Platform von Thales e-Security macht es effizient, die Datensicherheit im laufenden Betrieb in Ihrer gesamten Organisation zu verwalten. Die Software ermöglicht eine effiziente Verwaltung der Datensicherheit im gesamten Unternehmen. Sie kombiniert dank erweiterbarer Architektur einzeln einsetzbare Produkte mit zentraler Schlüsselverwaltung. Skalieren Sie Ihr Unternehmen effizient dank umfassender, einheitlicher Funktionen. Erfüllen Sie wachsende Sicherheits- und Compliance-Anforderungen und senken Sie gleichzeitig Ihre Gesamtbetriebskosten.

Die Vormetric Data Security Platform bietet Funktionen für transparente Verschlüsselung auf Dateiebene, Verschlüsselung auf Anwendungsebene, Tokenisierung, dynamisches Data Masking, Cloud-Verschlüsselungs-Gateway, integriertes Schlüsselmanagement, privilegierte Benutzerzugriffskontrolle und Sicherheitsinformationen. Mit der Lösung können Sie Sicherheitsrichtlinien und Compliance-Anforderungen in Datenbanken, Dateien und grossen Datenknoten berücksichtigen – unabhängig davon, ob sich die Anlagen in Cloud-, virtualisierten oder traditionellen Umgebungen befinden.

Zugriff auf unverschlüsselte Daten beschränken – Dank Vormetric Data Security Manager

Der Vormetric Data Security Manager (DSM) von Thales e-Security zentralisiert die Verwaltung von Verschlüsselungsschlüsseln und Richtlinien. Durch fein einstellbare Berechtigungen und Rollenmanagement kann etwa bestimmt werden, dass Schlüssel- und Richtlinienmanagement von mehr als einem Datenschutzadministrator verwaltet werden müssen. Ausserdem ist eine klare Abgrenzung bei Rollen und Berechtigungen von privilegierten Nutzern und Dateninhabern umsetzbar. So lassen sich Berechtigungen auf das erforderliche Mass beschränken und der Zugriff auf unverschlüsselte Daten limitieren.

Die Lösungen von Thales e-Security verschlüsseln Dateien und lassen deren Metadaten im Hintergrund. Auf diese Weise können IT-Administratoren wie Hypervisor-, Cloud-, Storage- und Systemadministratoren ihre Aufgaben der Systemadministration erfüllen, ohne Zugang zu den sensiblen Daten auf diesen Systemen zu erhalten. Da die Metadaten im Klartext bleiben, haben die Verschlüsselungslösungen von Thales e-Security keinen Einfluss auf Verwaltungsaktivitäten wie Replikation, Migration und Momentaufnahmen.

Verschlüsselung oder Pseudonymisierung von sensiblen Daten

Die Vormetric Transparent Encryption von Thales e-Security ermöglicht die Verschlüsselung von Data-at-Rest, die Zugriffskontrolle für privilegierte Benutzer und die Erfassung von Security Intelligence-Protokollen, ohne dass Anwendungen, Datenbanken oder Infrastrukturen neu entwickelt werden müssen. Die Bereitstellung der Vormetric Data-at-Rest Verschlüsselungssoftware ist einfach, skalierbar und schnell, die Vormetric Transparent Encryption Agents werden auf dem Dateisystem auf Servern oder virtuellen Maschinen installiert, um Datensicherheits- und Compliance-Richtlinien durchzusetzen. Wie bei allen Thales e-Security-Verschlüsselungsprodukten sind die laufenden Vorgänge zur Richtlinien- und Verschlüsselungsverwaltung mit dem Vormetric Data Security Manager zentralisiert und effizient.

Zusätzlich zum integrierten Enterprise Encryption Key Management für Vormetric Transparent Encryption und Vormetric Application Encryption zentralisiert die Vormetric Data Security Platform Verschlüsselungsschlüssel von Drittanbietern und speichert Zertifikate sicher ab. Die Vormetric Data Security Platform bietet hochverfügbares, standardbasiertes Enterprise Encryption Key Management für Transparent Data Encryption (TDE), KMIP-konforme Geräte und bietet Archivierung und Inventarisierung von Zertifikaten. Die Konsolidierung des Enterprise Encryption Key Management sorgt für eine konsistente Umsetzung von Richtlinien zwischen den Systemen und reduziert die Schulungs- und Wartungskosten.

Vormetric Vaultless Tokenization macht es einfach, die formaterhaltende Tokenisierung zum Schutz sensibler Felder in Datenbanken einzusetzen. Vormetric Vaultless Tokenization unterstützt sowohl die Erzeugung von Random-Token als auch von Crypto-Token. Die Lösung bietet eine virtuelle Appliance, die Datensätze tokenisiert und Richtlinien für den Zugriff auf Token und Klartextdaten verwaltet und REST-APIs für Tokenisierungsanforderungen verwendet.

Vormetric Vaultless Tokenization macht es schnell und einfach, Anwendungen mit richtlinienbasiertem dynamischem Data Masking zu versehen. Darüber hinaus macht die Vormetric-Lösung durch die Nutzung des neuesten standardbasierten Formats, das die Verschlüsselung (FPE) und die zufällige Tokenisierung bewahrt, die Verwendung eines Token-Vaults und einer zugehörigen Datenbank überflüssig. Dadurch reduziert die Lösung Kosten und Komplexität, erhöht die Leistung und erleichtert die globale Skalierbarkeit und Hochverfügbarkeit.

Mit dem Vormetric Cloud Encryption Gateway können Unternehmen Dateien in Cloud-Speicherumgebungen schützen, darunter Amazon Simple Storage Service (Amazon S3) und Caringo. Die Cloud Security Gateway-Lösung verschlüsselt sensible Daten, bevor sie in der Cloud-Speicherumgebung gespeichert werden. Wie andere Produkte von Vormetric nutzt auch diese Cloud-Storage-Gateway-Lösung den Vormetric Data Security Manager für die Verwaltung von Verschlüsselungsschlüsseln und Richtlinien. Infolgedessen müssen Kunden die kryptographischen Schlüssel nie an den Anbieter abgeben und Daten verlassen das Unternehmen niemals unverschlüsselt oder unerkannt.

Vormetric Security Intelligence

Die Vormetric Data Security Platform erstellt detaillierte Sicherheitsereignisprotokolle, die einfach in SIEM-Systeme integriert werden können, um Compliance- und Sicherheitsberichte zu erstellen. Diese Sicherheitsinformationsprotokolle erzeugen eine prüffähige Aufzeichnung der erlaubten und verweigerten Zugriffsversuche von Benutzern und Prozessen und liefern einen beispiellosen Einblick in die Aktivitäten des Dateizugriffs. Die Protokollierung erfolgt auf Dateisystemebene, wodurch die Möglichkeit des heimlichen Zugriffs auf sensible Daten entfällt. Diese Sicherheitsinformationsprotokolle können ungewöhnliche oder unsachgemässe Datenzugriffe melden und die Erkennung von Insider-Bedrohungen, Hackern und des Vorhandenseins von Advanced Persistent Threats (APT) innerhalb der Perimeter-Sicherheit beschleunigen.

Wie Sie sehen, kann Vormetric Unternehmen bei der Einhaltung der DSGVO-Vorgaben gleich in mehrerlei Hinsicht unterstützen:

  • Bei der effektiven Pseudonymisierung und/oder Verschlüsselung von personenbezogenen Daten (Art. 32) und somit Vermeidung von Benachrichtigungspflichten (Art. 34) mittels Vormetric Transparent Encryption und Vaultless Tokenization mit Dynamic Data Masking
  • Bei der regelmässigen Überprüfung und Evaluierung der Wirksamkeit von technischen und organisatorischen Massnahmen des Datenschutzes (Art. 39) sowie Einschätzung der Konformität der DSGVO (gemäss Art. 39) mit Vormetric Data Security Platform Sicherheitsereignisprotokolle

Fazit

Die DSGVO ist wohl die strengste Datenschutzverordnung, die Unternehmen je auferlegt wurde und könnte der Startpunkt für zukünftige Rechtsvorschriften in aller Welt sein. Mit ihrem Schwerpunkt auf dem Schutz der personenbezogenen Daten eines EU-Bürgers, unabhängig davon, wo der Kontrolleur oder Verarbeiter tätig ist, reichen die Auswirkungen der DSGVO weit über die Grenzen der EU hinaus. Darüber machen es Geldbussen, die Dutzende Millionen Euro hoch sein könnten, erforderlich, dass Unternehmen volle Verantwortung für den Datenschutz in ihrem Unternehmen tragen.

Thales e-Security bietet führende Lösungen für Datenverschlüsselung und Pseudonymisierung, Tokenisierung und Sicherheitsintelligenz. Diese helfen Kunden dabei, sensible Daten unabhängig davon, wo sie erstellt, geteilt oder gespeichert werden, zu schützen, um die Einhaltung der wichtigsten Elemente der DSGVO zu gewährleisten.

AKTUELL

8. Januar 2019
Wer Software vertreibt, schützt mit digitalen Zertifikaten seine Produkte, interne Strukturen und Kunden – und den Wert der eigenen Marke. Das stärkt nicht nur indirekt den Absatz: Kunden laden Software eher herunter und installieren sie, wenn ein vertrauenswürdiges Zertifikat angezeigt wird. Moderne Betriebssysteme (Windows und Mac) warnen zudem explizit vor der Installation von Software ohne oder mit nicht ausreichend verifizierten Zertifikaten. Auch oder gerade professionelle Entwickler legen Wert auf vertrauenswürdige Zertifikate, die die Authentizität von Anwendungen versprechen.
Mehr
11. Dezember 2018
Vormetric Illustration
Strenge Vorgaben, hohe Strafen: die DSGVO bereitet vielen Unternehmen grosses Kopfzerbrechen. Eine DSGVO-konforme Datenschutzstrategie, umfassende Verschlüsselung von sensiblen Daten und effektives Schlüsselmanagement im gesamten Unternehmen helfen dabei, die Vorgaben zu erfüllen. Klingt kompliziert? Das muss es nicht sein. Der Vormetric Data Security Manager macht all das einfach möglich.
Mehr
27. Juni 2017
ISSS Logo
Das Thema der diesjährigen ISSS Zürcher Tagung: "EU-Datenschutzgrundverordnung und neues CH-DSG - Herausforderungen an Informatiksicherheit und Compliance".
Mehr

Kontakt

info@ergonomics.ch | sales@ergonomics.ch 

 

+41 58 311 1000

 

 

Geschäftssitz Zürich

Ergonomics AG | Nordstrasse 15 | CH-8006 Zürich | Schweiz