Christian Linhart, Country Manager Österreich bei Gemalto, erklärt im COMPUTERWELT-Interview warum Verschlüsselung ein wichtiger Schritt in Richtung DSGVO ist und was Unternehmen beim Verschlüsseln beachten sollten. [...]
Für die ist es auch gut. Gemalto hat 1.000 Security-Verantwortliche in einer Studie unter anderem gefragt, ob sie überhaupt wissen, wo sich ihre sensitiven Daten befinden. Ergebnis: 55 Prozent haben keine Ahnung. Und das sind die Security-Verantwortlichen. Daten sind heute das wertvollste Gut eines Unternehmens. Gerade in Österreich gibt es viele hidden Champions aus der Industrie. Da geht es um Forschungs- und Entwicklungsdaten, um Patente. Das sind die sensibelsten Informationen dieser Unternehmen und genau diese Daten wollen Hacker stehlen. Da viele Unternehmen gar nicht wissen, wo sich diese Daten befinden und auch die Schutzmaßnahmen unzureichend sind, denke ich, dass die DSGVO auch gut für Unternehmen ist, weil diese dadurch wachgerüttelt werden.
Im ersten Schritt muss analysiert werden, welche Daten ich habe, welche die DSGVO betrifft und wo sich denn die sensiblen Daten befinden. Der nächste Schritt ist dann die Zahl der Speicherorte dieser Daten möglichst gering zu halten. Als dritten Schritt empfehlen wir diese Daten zu pseudonymisieren und zu verschlüsseln. Das muss nicht bei jedem Datensatz passieren, aber zumindest bei den Kronjuwelen. Und ganz wichtig beim Verschlüsseln: Man muss die Schlüssel auch getrennt von den Daten aufbewahren. Es hilft wenig, wenn ich meine Daten supertoll verschlüsselt habe, aber dann den Schlüssel herumliegen lasse. Wer Daten stehlen kann, der kann auch Schlüssel stehlen. Das ist wie wenn ich mein Auto absperre und dann den Schlüssel aufs Dach lege.
Leider ja. Oft liegt das Schlüsselmaterial direkt bei den Daten und es ist kein zentrales Schlüsselmanagement vorhanden. Das ist ein wichtiger Aspekt, den wir als Gemalto vorantreiben wollen. Unsere Kernphilosophie lautet: Verschlüssele deine Daten und pass gut auf deine Schlüssel auf. Key Lifecycle Management ist ein ganz wichtiges Thema.
Wenn ich einen zentralen Speicher für meine Schlüssel habe, dann kann ich kontrollieren, wer wann mit welchen Schlüsseln auf welche Daten zugegriffen hat, und kann das im Falle eines Audits auch über Logfiles belegen. Umgekehrt kann ich damit personenbezogene Datensätze, die mit einem bestimmten Schlüssel versehen wurden, unbrauchbar machen, indem ich über das zentrale Schlüsselmanagement den zugehörigen Schlüssel lösche. Damit ist dieser Datensatz nachweislich zerstört, da es heute nicht möglich ist, eine AES-256-Verschlüsselung zu knacken.
Sie müssen die Zugriffe regeln. Wenn ich das nicht tue, ist auch die Verschlüsselung nicht viel Wert. Ich muss wissen, wer auf welche Daten zugreifen darf, ich muss die Identitäten dieser Personen kennen und sie authentifizieren. Und zwar nicht nur mit Username und Passwort, sondern mit zwei-Faktor-Authentifizierung. Das kann ein Softwaretoken am Smartphone sein, eine Nachricht mit einem einmal gültigen Passwort oder ein Hardwaretoken. Bei Smartcards zum Beispiel sind wir als Gemalto Marktführer.
Bei den 1,4 Milliarden gestohlenen Datensätzen im Jahr 2016, die ich eingangs erwähnt habe, wurde bei weniger als fünf Prozent dieser Vorfälle Verschlüsselung eingesetzt. Viele Unternehmen glauben, dass sie mit Perimeter Security gut unterwegs sind. Aber das ist ein Trugschluss. Perimeter Security ist gut und wichtig, reicht aber nicht aus. Key Lifecycle Management ist da eigentlich schon der nächste Schritt. Verschlüsselung wäre mal der erste Schritt. Hacker wollen das Datengold von Unternehmen und dieses Gold liegt ungeschützt auf Fileservern oder in Datenbanken herum. Es sollte dringend das Bewusstsein entstehen, dass ich meine wichtigsten Daten verschlüsseln, auf die Schlüssel aufpassen und die Zugriffe regeln muss.
Das ist ja keine neue Technik. Wenn ich das nur wüsste. Vielleicht weil es nicht professionell gemacht wird. Denn wenn ich auf meine Schlüssel nicht aufpasse, dann habe ich wirklich ein Problem. Da wollen wir als Gemalto mit unseren Lösungen helfen, die das zentral regeln und ein auditfähiges, professionelles Schlüsselmanagement bieten. Das ist gerade mit Blick auf die DSGVO sehr hilfreich: Wenn verschlüsselte Daten gestohlen wurden und das Unternehmen nachweisen kann, dass die Daten verschlüsselt waren und der Schlüssel nicht bei den Daten lag, dann unterliegt das Unternehmen nicht der Meldepflicht. Denn die gestohlenen Daten sind dann für den Dieb unbrauchbar. Das kann für die Reputation eines Unternehmens einen enormen Unterschied machen.
Be the first to comment