Christian Linhart, Country Manager Österreich bei Gemalto, erklärt im COMPUTERWELT-Interview warum Verschlüsselung ein wichtiger Schritt in Richtung DSGVO ist und was Unternehmen beim Verschlüsseln beachten sollten. [...]
Ist die DSGVO eine Chance für Unternehmen oder einfach nur eine lästige Vorschrift?
Gemalto bringt jährlich einen Breach Level Index heraus, für den wir Daten über Data Breaches aus der ganzen Welt sammeln. Im Jahr 2016 sind etwa 1,4 Milliarden Datensätze gestohlen worden. Das ist nicht nur eine sehr hohe Zahl, sondern auch eine Steigerung gegenüber dem Vorjahr um 80 Prozent. Und das sind nur Data Breaches, die auch gemeldet wurden. Die Dunkelziffer liegt noch viel höher. Vor allem in Europa. Das soll sich mit der DSGVO ändern und insofern ist es vor allem für Bürger gut, wenn persönliche Daten mehr Schutz erfahren.
Und für Unternehmen?
Für die ist es auch gut. Gemalto hat 1.000 Security-Verantwortliche in einer Studie unter anderem gefragt, ob sie überhaupt wissen, wo sich ihre sensitiven Daten befinden. Ergebnis: 55 Prozent haben keine Ahnung. Und das sind die Security-Verantwortlichen. Daten sind heute das wertvollste Gut eines Unternehmens. Gerade in Österreich gibt es viele hidden Champions aus der Industrie. Da geht es um Forschungs- und Entwicklungsdaten, um Patente. Das sind die sensibelsten Informationen dieser Unternehmen und genau diese Daten wollen Hacker stehlen. Da viele Unternehmen gar nicht wissen, wo sich diese Daten befinden und auch die Schutzmaßnahmen unzureichend sind, denke ich, dass die DSGVO auch gut für Unternehmen ist, weil diese dadurch wachgerüttelt werden.
Für die ist es auch gut. Gemalto hat 1.000 Security-Verantwortliche in einer Studie unter anderem gefragt, ob sie überhaupt wissen, wo sich ihre sensitiven Daten befinden. Ergebnis: 55 Prozent haben keine Ahnung. Und das sind die Security-Verantwortlichen. Daten sind heute das wertvollste Gut eines Unternehmens. Gerade in Österreich gibt es viele hidden Champions aus der Industrie. Da geht es um Forschungs- und Entwicklungsdaten, um Patente. Das sind die sensibelsten Informationen dieser Unternehmen und genau diese Daten wollen Hacker stehlen. Da viele Unternehmen gar nicht wissen, wo sich diese Daten befinden und auch die Schutzmaßnahmen unzureichend sind, denke ich, dass die DSGVO auch gut für Unternehmen ist, weil diese dadurch wachgerüttelt werden.
Was empfehlen Sie Unternehmen um DSGVO-compliant zu werden und ihre Daten bestmöglich zu schützen?
Im ersten Schritt muss analysiert werden, welche Daten ich habe, welche die DSGVO betrifft und wo sich denn die sensiblen Daten befinden. Der nächste Schritt ist dann die Zahl der Speicherorte dieser Daten möglichst gering zu halten. Als dritten Schritt empfehlen wir diese Daten zu pseudonymisieren und zu verschlüsseln. Das muss nicht bei jedem Datensatz passieren, aber zumindest bei den Kronjuwelen. Und ganz wichtig beim Verschlüsseln: Man muss die Schlüssel auch getrennt von den Daten aufbewahren. Es hilft wenig, wenn ich meine Daten supertoll verschlüsselt habe, aber dann den Schlüssel herumliegen lasse. Wer Daten stehlen kann, der kann auch Schlüssel stehlen. Das ist wie wenn ich mein Auto absperre und dann den Schlüssel aufs Dach lege.
Im ersten Schritt muss analysiert werden, welche Daten ich habe, welche die DSGVO betrifft und wo sich denn die sensiblen Daten befinden. Der nächste Schritt ist dann die Zahl der Speicherorte dieser Daten möglichst gering zu halten. Als dritten Schritt empfehlen wir diese Daten zu pseudonymisieren und zu verschlüsseln. Das muss nicht bei jedem Datensatz passieren, aber zumindest bei den Kronjuwelen. Und ganz wichtig beim Verschlüsseln: Man muss die Schlüssel auch getrennt von den Daten aufbewahren. Es hilft wenig, wenn ich meine Daten supertoll verschlüsselt habe, aber dann den Schlüssel herumliegen lasse. Wer Daten stehlen kann, der kann auch Schlüssel stehlen. Das ist wie wenn ich mein Auto absperre und dann den Schlüssel aufs Dach lege.
Kommt das in der Praxis oft vor?
Leider ja. Oft liegt das Schlüsselmaterial direkt bei den Daten und es ist kein zentrales Schlüsselmanagement vorhanden. Das ist ein wichtiger Aspekt, den wir als Gemalto vorantreiben wollen. Unsere Kernphilosophie lautet: Verschlüssele deine Daten und pass gut auf deine Schlüssel auf. Key Lifecycle Management ist ein ganz wichtiges Thema.
Leider ja. Oft liegt das Schlüsselmaterial direkt bei den Daten und es ist kein zentrales Schlüsselmanagement vorhanden. Das ist ein wichtiger Aspekt, den wir als Gemalto vorantreiben wollen. Unsere Kernphilosophie lautet: Verschlüssele deine Daten und pass gut auf deine Schlüssel auf. Key Lifecycle Management ist ein ganz wichtiges Thema.
Warum? Was sind die Vorteile dabei?
Wenn ich einen zentralen Speicher für meine Schlüssel habe, dann kann ich kontrollieren, wer wann mit welchen Schlüsseln auf welche Daten zugegriffen hat, und kann das im Falle eines Audits auch über Logfiles belegen. Umgekehrt kann ich damit personenbezogene Datensätze, die mit einem bestimmten Schlüssel versehen wurden, unbrauchbar machen, indem ich über das zentrale Schlüsselmanagement den zugehörigen Schlüssel lösche. Damit ist dieser Datensatz nachweislich zerstört, da es heute nicht möglich ist, eine AES-256-Verschlüsselung zu knacken.
Wenn ich einen zentralen Speicher für meine Schlüssel habe, dann kann ich kontrollieren, wer wann mit welchen Schlüsseln auf welche Daten zugegriffen hat, und kann das im Falle eines Audits auch über Logfiles belegen. Umgekehrt kann ich damit personenbezogene Datensätze, die mit einem bestimmten Schlüssel versehen wurden, unbrauchbar machen, indem ich über das zentrale Schlüsselmanagement den zugehörigen Schlüssel lösche. Damit ist dieser Datensatz nachweislich zerstört, da es heute nicht möglich ist, eine AES-256-Verschlüsselung zu knacken.
Was können Unternehmen außer Verschlüsselung und Key Lifecycle Management noch tun, um sich zu schützen?
Sie müssen die Zugriffe regeln. Wenn ich das nicht tue, ist auch die Verschlüsselung nicht viel Wert. Ich muss wissen, wer auf welche Daten zugreifen darf, ich muss die Identitäten dieser Personen kennen und sie authentifizieren. Und zwar nicht nur mit Username und Passwort, sondern mit zwei-Faktor-Authentifizierung. Das kann ein Softwaretoken am Smartphone sein, eine Nachricht mit einem einmal gültigen Passwort oder ein Hardwaretoken. Bei Smartcards zum Beispiel sind wir als Gemalto Marktführer.
Sie müssen die Zugriffe regeln. Wenn ich das nicht tue, ist auch die Verschlüsselung nicht viel Wert. Ich muss wissen, wer auf welche Daten zugreifen darf, ich muss die Identitäten dieser Personen kennen und sie authentifizieren. Und zwar nicht nur mit Username und Passwort, sondern mit zwei-Faktor-Authentifizierung. Das kann ein Softwaretoken am Smartphone sein, eine Nachricht mit einem einmal gültigen Passwort oder ein Hardwaretoken. Bei Smartcards zum Beispiel sind wir als Gemalto Marktführer.
Da sehen wir gerade im Bereich Mitarbeiterausweis ein Aufleben. In der Industrie gibt es ja ohnehin schon Karten für die Kantine, für die Zeiterfassung, für den Zutritt etc. Jetzt kommt noch ein Chip auf die Karte und schon habe ich zwei-Faktor-Authentifizierung. Für Mitarbeiter ist es eine große Erleichterung, wenn sie so eine Karte haben und sich keine komplizierten Passwörter merken müssen. Zudem ist es hochsicher und man kann einfach nachvollziehen, wer wann auf was zugegriffen hat.
Wie weit ist denn Verschlüsselung verbreitet? Verschlüsseln Unternehmen heute ihre wichtigsten Daten?
Bei den 1,4 Milliarden gestohlenen Datensätzen im Jahr 2016, die ich eingangs erwähnt habe, wurde bei weniger als fünf Prozent dieser Vorfälle Verschlüsselung eingesetzt. Viele Unternehmen glauben, dass sie mit Perimeter Security gut unterwegs sind. Aber das ist ein Trugschluss. Perimeter Security ist gut und wichtig, reicht aber nicht aus. Key Lifecycle Management ist da eigentlich schon der nächste Schritt. Verschlüsselung wäre mal der erste Schritt. Hacker wollen das Datengold von Unternehmen und dieses Gold liegt ungeschützt auf Fileservern oder in Datenbanken herum. Es sollte dringend das Bewusstsein entstehen, dass ich meine wichtigsten Daten verschlüsseln, auf die Schlüssel aufpassen und die Zugriffe regeln muss.
Bei den 1,4 Milliarden gestohlenen Datensätzen im Jahr 2016, die ich eingangs erwähnt habe, wurde bei weniger als fünf Prozent dieser Vorfälle Verschlüsselung eingesetzt. Viele Unternehmen glauben, dass sie mit Perimeter Security gut unterwegs sind. Aber das ist ein Trugschluss. Perimeter Security ist gut und wichtig, reicht aber nicht aus. Key Lifecycle Management ist da eigentlich schon der nächste Schritt. Verschlüsselung wäre mal der erste Schritt. Hacker wollen das Datengold von Unternehmen und dieses Gold liegt ungeschützt auf Fileservern oder in Datenbanken herum. Es sollte dringend das Bewusstsein entstehen, dass ich meine wichtigsten Daten verschlüsseln, auf die Schlüssel aufpassen und die Zugriffe regeln muss.
Warum verschlüsseln denn so wenige Unternehmen?
Das ist ja keine neue Technik. Wenn ich das nur wüsste. Vielleicht weil es nicht professionell gemacht wird. Denn wenn ich auf meine Schlüssel nicht aufpasse, dann habe ich wirklich ein Problem. Da wollen wir als Gemalto mit unseren Lösungen helfen, die das zentral regeln und ein auditfähiges, professionelles Schlüsselmanagement bieten. Das ist gerade mit Blick auf die DSGVO sehr hilfreich: Wenn verschlüsselte Daten gestohlen wurden und das Unternehmen nachweisen kann, dass die Daten verschlüsselt waren und der Schlüssel nicht bei den Daten lag, dann unterliegt das Unternehmen nicht der Meldepflicht. Denn die gestohlenen Daten sind dann für den Dieb unbrauchbar. Das kann für die Reputation eines Unternehmens einen enormen Unterschied machen.
Das ist ja keine neue Technik. Wenn ich das nur wüsste. Vielleicht weil es nicht professionell gemacht wird. Denn wenn ich auf meine Schlüssel nicht aufpasse, dann habe ich wirklich ein Problem. Da wollen wir als Gemalto mit unseren Lösungen helfen, die das zentral regeln und ein auditfähiges, professionelles Schlüsselmanagement bieten. Das ist gerade mit Blick auf die DSGVO sehr hilfreich: Wenn verschlüsselte Daten gestohlen wurden und das Unternehmen nachweisen kann, dass die Daten verschlüsselt waren und der Schlüssel nicht bei den Daten lag, dann unterliegt das Unternehmen nicht der Meldepflicht. Denn die gestohlenen Daten sind dann für den Dieb unbrauchbar. Das kann für die Reputation eines Unternehmens einen enormen Unterschied machen.
Be the first to comment