Implement GDPR Requirements Across The Enterprise

Standardized Data Encryption and Efficent Key Management

Article currently in German only

Strict specifications, high penalties: The EU’s GDPR causes headaches in many companies. A GDPR-compliant data protection strategy, comprehensive encryption of sensitive data and effective key management throughout the organization help to meet the requirements. Sounds complicated? It does not have to be that way. The Vormetric Data Security Manager makes it all easy.

Mit dem Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 begann ein neues Zeitalter des Datenschutzes. Das umfangreiche und weltweit strengste Paket an Massnahmen zum Schutz von personenbezogenen Daten gilt für alle Unternehmen (unabhängig ihres Firmensitzes), die personenbezogene Daten von EU-Bürgern verwalten. Als Pionierwerk wird die DSGVO wohl Auswirkungen und Vorbildwirkung für Datenschutzbestimmungen in anderen Regionen der Welt haben.

Ziel der Verordnung ist es, Benutzern wieder volle Kontrolle über ihre Daten (zurück) zu geben. Bei Nichteinhaltung der Bestimmungen (oder zu später Benachrichtigung im Falle von Datenverlusten) drohen Unternehmen drakonische Strafzahlungen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes, wobei der jeweils höhere Betrag fällig wird.

In diesem Beitrag wird aufgezeigt, welche essenziellen Bestimmungen die DSGVO umfasst, wie Unternehmen eine DSGVO-konforme Datenschutzstrategie entwickeln und warum Unternehmen mit dem Vormetric Data Security Manager bei der Umsetzung der DSGVO einen Schritt weiter sind.

Sicherung personenbezogener Daten

In Art. 4 DSGVO werden personenbezogene Daten definiert als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.

In Art. 32 der DSGVO werden Massnahmen beschrieben, die Organisationen zur Sicherung personenbezogener Daten durchführen müssen. Dabei sollen unter Berücksichtigung des Zwecks, des Umfangs und der Implementierungskosten, aber vor allem auch dem Risiko für die Rechte und Freiheiten betroffener Personen im Falle eines Datenverlusts, die erforderlichen technischen und organisatorischen Massnahmen zum Schutz solcher Daten gesetzt werden. Unter anderem wird die Pseudonymisierung und Verschlüsselung personenbezogener Daten, aber auch die Fähigkeit der Wiederherstellung des Zugriffs auf personenbezogene Daten im Falle einer Datenschutzverletzung thematisiert. Zudem wird ein laufender Prozess des Testens und Evaluierens der Wirksamkeit dieser Massnahmen vorgegeben.

Art. 34 der DSGVO beschreibt, wie und wann Benutzer im Falle einer Datenschutzverletzung zu informieren sind. Sofern die Datenschutzverletzung mit hohem Risiko für die betroffene Person verbunden ist, muss die Benachrichtigung unmittelbar und in einfachen, leicht verständlichen Worten erfolgen. Eine Benachrichtigung muss hingegen nicht erfolgen, wenn die erforderlichen technischen und organisatorischen Massnahmen, wie jene zur Unkenntlichmachung von Daten für Unberechtigte (z.B. Verschlüsselung) umgesetzt wurden. Selbes gilt, falls der Betreiber nachträglich Massnahmen zur Eliminierung des Risikos gesetzt hat oder eine Benachrichtigung nur mit unverhältnismässigem Aufwand möglich wäre. Dennoch kann auf Anweisung der Aufsichtsbehörde eine Benachrichtigung erfolgen müssen.

The Right to be Forgotten

Eine der folgenreichsten Bestimmungen der DSGVO ist in Abschnitt 3, Art. 17 verankert und wird als „The Right to be Forgotten“ tituliert. Organisationen müssen auf Anfrage der Person die Daten eines Individuums unverzüglich löschen, falls kein wichtiger Grund besteht, diese weiterhin zu speichern. Dies gilt sowohl für digitale als auch in Papierform existente Aufzeichnungen. Wurden Daten mit externen Organisationen geteilt, müssen auch diese zu deren Löschung angewiesen werden.

Die Löschung der Daten muss für den Fall möglicher Audits und Überprüfungen lückenlos dokumentiert und nachweisbar sein. Insgesamt stellen diese Bestimmungen zur Verarbeitung, Speicherung und Löschung von personenbezogenen Daten Unternehmen vor grosse Herausforderungen.

Nachfolgend wird besprochen, wie eine DSGVO-konforme Datenschutzstrategie aussieht und wie Thales e-Security mit dem Vormetric Data Security Manager bei deren effektiver Umsetzung unterstützen kann.

Entwicklung einer DSGVO-konformen Datenschutzstrategie

Insgesamt verlangt die DSGVO nach einer umfangreichen und tiefgreifenden Herangehensweise zum Schutz personenbezogener Daten, die mitunter

  • Zugang zu unverschlüsselten Daten beschränkt
  • personenbezogene, unverschlüsselte Daten verschlüsselt oder pseudonymisiert
  • Muster im Zugriffsverhalten von Nutzern überwacht und registriert

Ein erster Schritt ist es, den Zugriff auf unverschlüsselte Daten zu beschränken. Herkömmliche Sicherheitslösungen können bösartige Zugriffsversuche von Aussenstehenden verhindern, sind aber kaum bis nicht wirksam gegenüber privilegierten Nutzern mit entsprechenden Zugangsberechtigungen.

Zum Schutz von Data-at-Rest (DAR) bieten sich zwei Lösungen an: Datenverschlüsselung und Tokenisierung.

Wie eingangs erwähnt, erfordert die DSGVO eine Verschlüsselung oder Pseudonymisierung von personenbezogenen Daten. Gleichzeitig schützt diese Massnahme vor einer Benachrichtigungspflicht beim Verlust solcher Daten.

Durch Verschlüsselung werden Daten in ihrer Form so umgewandelt, dass nur Personen mit dem passenden, geheimen Schlüssel diese lesen können. Hacker können die Daten zwar stehlen, für diese sind die Daten aber unlesbar und somit wertlos.

Der gesamte Schutz hängt damit von der sicheren Verwahrung des privaten Schlüssels ab – auf Unternehmensebene braucht es daher ein geeignetes Schlüsselmanagement. Wie Forrester Research in einem Report von 2014 betont, ist dieser Prozess von Unternehmen zu Unternehmen anders geregelt.

Tokenisierung

Eine Alternative zur Verschlüsselung mit krpytographischen Schlüsseln ist die Tokenisierung. Hierbei wird eine nicht erkennbare tokenisierte Forme der Daten erzeugt, die das Format der Quelldaten beibehält. Zum Beispiel kann die Kreditkartennummer 1234-5678-1234-5678 in tokenisierter Form 2754-7529-6654-1987 lauten, der originalen Form ähnlichsehen aber risikofrei verwendet werden, ohne mit dem Besitzer in Verbindung gebracht werden zu können. Tokenisierung von Daten ist dort möglich, wo Grösse und Format der Daten beibehalten werden können. Bei Daten wie Textdateien, PDFs, MP3s ist dies hingegen nicht möglich, weshalb Verschlüsselung auf Ebene des Datei-Systems erforderlich ist.

Bisherige Herangehensweise zur Verschlüsselung und Schlüsselmanagement von Data-at-Rest

Historisch hat man zunächst die Strategie gewählt, starke Schutzmauern um Unternehmensdaten zu bauen, was durch ausgeklügelte Vorgehensweisen von Angreifern allerdings bald unzureichend wurde. Dann hat man versucht mehrere Schutzebenen durch einzelne Sicherheitslösungen für Datenbanken und Key-Management oder mehrere Verschlüsselungssysteme zu schaffen. Wächst ein Unternehmen, werden solche verstreuten, nicht zusammenhängenden Systeme allerdings bald herausfordernd zu bedienen und teuer in der Wartung. Es bedarf daher einer neuen, zentralen und einheitlichen Lösung zum Management von Verschlüsselungsmassnahmen.

Vormetric Data Security Platform – Vollumfänglicher Schutz für Data-at-Rest

Die Vormetric-Datensicherheitsprodukte von Thales e-Security bieten eine Lösung, die die DSGVO Konformitätsvorschriften erfüllt und gleichzeitig die Herausforderungen und Kosten des nicht zusammenhängenden Sicherheitsansatzes überwindet.

Die Vormetric Data Security Platform von Thales e-Security macht es effizient, die Datensicherheit im laufenden Betrieb in Ihrer gesamten Organisation zu verwalten. Die Software ermöglicht eine effiziente Verwaltung der Datensicherheit im gesamten Unternehmen. Sie kombiniert dank erweiterbarer Architektur einzeln einsetzbare Produkte mit zentraler Schlüsselverwaltung. Skalieren Sie Ihr Unternehmen effizient dank umfassender, einheitlicher Funktionen. Erfüllen Sie wachsende Sicherheits- und Compliance-Anforderungen und senken Sie gleichzeitig Ihre Gesamtbetriebskosten.

Die Vormetric Data Security Platform bietet Funktionen für transparente Verschlüsselung auf Dateiebene, Verschlüsselung auf Anwendungsebene, Tokenisierung, dynamisches Data Masking, Cloud-Verschlüsselungs-Gateway, integriertes Schlüsselmanagement, privilegierte Benutzerzugriffskontrolle und Sicherheitsinformationen. Mit der Lösung können Sie Sicherheitsrichtlinien und Compliance-Anforderungen in Datenbanken, Dateien und grossen Datenknoten berücksichtigen – unabhängig davon, ob sich die Anlagen in Cloud-, virtualisierten oder traditionellen Umgebungen befinden.

Zugriff auf unverschlüsselte Daten beschränken – Dank Vormetric Data Security Manager

Der Vormetric Data Security Manager (DSM) von Thales e-Security zentralisiert die Verwaltung von Verschlüsselungsschlüsseln und Richtlinien. Durch fein einstellbare Berechtigungen und Rollenmanagement kann etwa bestimmt werden, dass Schlüssel- und Richtlinienmanagement von mehr als einem Datenschutzadministrator verwaltet werden müssen. Ausserdem ist eine klare Abgrenzung bei Rollen und Berechtigungen von privilegierten Nutzern und Dateninhabern umsetzbar. So lassen sich Berechtigungen auf das erforderliche Mass beschränken und der Zugriff auf unverschlüsselte Daten limitieren.

Die Lösungen von Thales e-Security verschlüsseln Dateien und lassen deren Metadaten im Hintergrund. Auf diese Weise können IT-Administratoren wie Hypervisor-, Cloud-, Storage- und Systemadministratoren ihre Aufgaben der Systemadministration erfüllen, ohne Zugang zu den sensiblen Daten auf diesen Systemen zu erhalten. Da die Metadaten im Klartext bleiben, haben die Verschlüsselungslösungen von Thales e-Security keinen Einfluss auf Verwaltungsaktivitäten wie Replikation, Migration und Momentaufnahmen.

Verschlüsselung oder Pseudonymisierung von sensiblen Daten

Die Vormetric Transparent Encryption von Thales e-Security ermöglicht die Verschlüsselung von Data-at-Rest, die Zugriffskontrolle für privilegierte Benutzer und die Erfassung von Security Intelligence-Protokollen, ohne dass Anwendungen, Datenbanken oder Infrastrukturen neu entwickelt werden müssen. Die Bereitstellung der Vormetric Data-at-Rest Verschlüsselungssoftware ist einfach, skalierbar und schnell, die Vormetric Transparent Encryption Agents werden auf dem Dateisystem auf Servern oder virtuellen Maschinen installiert, um Datensicherheits- und Compliance-Richtlinien durchzusetzen. Wie bei allen Thales e-Security-Verschlüsselungsprodukten sind die laufenden Vorgänge zur Richtlinien- und Verschlüsselungsverwaltung mit dem Vormetric Data Security Manager zentralisiert und effizient.

Zusätzlich zum integrierten Enterprise Encryption Key Management für Vormetric Transparent Encryption und Vormetric Application Encryption zentralisiert die Vormetric Data Security Platform Verschlüsselungsschlüssel von Drittanbietern und speichert Zertifikate sicher ab. Die Vormetric Data Security Platform bietet hochverfügbares, standardbasiertes Enterprise Encryption Key Management für Transparent Data Encryption (TDE), KMIP-konforme Geräte und bietet Archivierung und Inventarisierung von Zertifikaten. Die Konsolidierung des Enterprise Encryption Key Management sorgt für eine konsistente Umsetzung von Richtlinien zwischen den Systemen und reduziert die Schulungs- und Wartungskosten.

Vormetric Vaultless Tokenization macht es einfach, die formaterhaltende Tokenisierung zum Schutz sensibler Felder in Datenbanken einzusetzen. Vormetric Vaultless Tokenization unterstützt sowohl die Erzeugung von Random-Token als auch von Crypto-Token. Die Lösung bietet eine virtuelle Appliance, die Datensätze tokenisiert und Richtlinien für den Zugriff auf Token und Klartextdaten verwaltet und REST-APIs für Tokenisierungsanforderungen verwendet.

Vormetric Vaultless Tokenization macht es schnell und einfach, Anwendungen mit richtlinienbasiertem dynamischem Data Masking zu versehen. Darüber hinaus macht die Vormetric-Lösung durch die Nutzung des neuesten standardbasierten Formats, das die Verschlüsselung (FPE) und die zufällige Tokenisierung bewahrt, die Verwendung eines Token-Vaults und einer zugehörigen Datenbank überflüssig. Dadurch reduziert die Lösung Kosten und Komplexität, erhöht die Leistung und erleichtert die globale Skalierbarkeit und Hochverfügbarkeit.

Mit dem Vormetric Cloud Encryption Gateway können Unternehmen Dateien in Cloud-Speicherumgebungen schützen, darunter Amazon Simple Storage Service (Amazon S3) und Caringo. Die Cloud Security Gateway-Lösung verschlüsselt sensible Daten, bevor sie in der Cloud-Speicherumgebung gespeichert werden. Wie andere Produkte von Vormetric nutzt auch diese Cloud-Storage-Gateway-Lösung den Vormetric Data Security Manager für die Verwaltung von Verschlüsselungsschlüsseln und Richtlinien. Infolgedessen müssen Kunden die kryptographischen Schlüssel nie an den Anbieter abgeben und Daten verlassen das Unternehmen niemals unverschlüsselt oder unerkannt.

Vormetric Security Intelligence

Die Vormetric Data Security Platform erstellt detaillierte Sicherheitsereignisprotokolle, die einfach in SIEM-Systeme integriert werden können, um Compliance- und Sicherheitsberichte zu erstellen. Diese Sicherheitsinformationsprotokolle erzeugen eine prüffähige Aufzeichnung der erlaubten und verweigerten Zugriffsversuche von Benutzern und Prozessen und liefern einen beispiellosen Einblick in die Aktivitäten des Dateizugriffs. Die Protokollierung erfolgt auf Dateisystemebene, wodurch die Möglichkeit des heimlichen Zugriffs auf sensible Daten entfällt. Diese Sicherheitsinformationsprotokolle können ungewöhnliche oder unsachgemässe Datenzugriffe melden und die Erkennung von Insider-Bedrohungen, Hackern und des Vorhandenseins von Advanced Persistent Threats (APT) innerhalb der Perimeter-Sicherheit beschleunigen.

Wie Sie sehen, kann Vormetric Unternehmen bei der Einhaltung der DSGVO-Vorgaben gleich in mehrerlei Hinsicht unterstützen:

  • Bei der effektiven Pseudonymisierung und/oder Verschlüsselung von personenbezogenen Daten (Art. 32) und somit Vermeidung von Benachrichtigungspflichten (Art. 34) mittels Vormetric Transparent Encryption und Vaultless Tokenization mit Dynamic Data Masking
  • Bei der regelmässigen Überprüfung und Evaluierung der Wirksamkeit von technischen und organisatorischen Massnahmen des Datenschutzes (Art. 39) sowie Einschätzung der Konformität der DSGVO (gemäss Art. 39) mit Vormetric Data Security Platform Sicherheitsereignisprotokolle

Fazit

Die DSGVO ist wohl die strengste Datenschutzverordnung, die Unternehmen je auferlegt wurde und könnte der Startpunkt für zukünftige Rechtsvorschriften in aller Welt sein. Mit ihrem Schwerpunkt auf dem Schutz der personenbezogenen Daten eines EU-Bürgers, unabhängig davon, wo der Kontrolleur oder Verarbeiter tätig ist, reichen die Auswirkungen der DSGVO weit über die Grenzen der EU hinaus. Darüber machen es Geldbussen, die Dutzende Millionen Euro hoch sein könnten, erforderlich, dass Unternehmen volle Verantwortung für den Datenschutz in ihrem Unternehmen tragen.

Thales e-Security bietet führende Lösungen für Datenverschlüsselung und Pseudonymisierung, Tokenisierung und Sicherheitsintelligenz. Diese helfen Kunden dabei, sensible Daten unabhängig davon, wo sie erstellt, geteilt oder gespeichert werden, zu schützen, um die Einhaltung der wichtigsten Elemente der DSGVO zu gewährleisten.


More current topics

CURRENT TOPICS

January 28, 2019
At the two-day event, which focuses on the topics of football, eSports, sports mix, media, Venue & Events and sports tech & digital, we will be presenting our solutions in the area of wallet, digitalisation and cash register systems (POS) together with Lufthansa Industry Solutions.
Read more
January 17, 2019
Our latest cooperation with the BehavioSec’s Behavioral Biometrics Platform enhances security by invisibly authenticating individuals according to unique online behaviors nearly impossible to impersonate with malicious code, like how a mobile device is held in the hand, touchscreen inputs, cursor and mouse movements and physical time and location data. Integrating with risk scoring systems, BehavioSec’s real-time analysis of these and other metrics power a new line of defense blocking suspicious activities or triggering additional monitoring - without impacting productivity and the user experience.
Read more
January 8, 2019
Anyone selling software protects their products, internal designs and customers with digital certificates - as well as the value of their own brand. Indirectly, this also boost sales: Customers tend to download and install software more frequently, when a trusted manufacturer certificate is displayed. Modern operating systems (Windows and Mac) also explicitly warn against the installation of software without or with insufficiently verified certificates. End users and professional developers appreciate trusted certificates that promise the authenticity of applications.
Read more

Contact

info@ergonomics.ch | sales@ergonomics.ch 

 

+41 58 311 1000

 

 

Headquarters Zürich

Ergonomics AG | Nordstrasse 15 | CH-8006 Zürich | Switzerland