Personenbezogene Daten verschlüsseln
12. Dezember 2017In naher Zukunft müssen die Unternehmen bei Datenverlust richtig „tief in die Tasche greifen“. Denn bis zu vier Prozent des Jahresgesamtumsatzes können als Strafe verhängt werden, wenn die Firmen personenbezogene daten nicht sauber verarbeiten, und es aufgrund von Sicherheitslücken zu einem ungewollten Datenverlust (Hacker, Spionage, Erpressung) kommen sollte. Aber auch kleinere Firmen, bei denen vier Prozent Umsatz nicht nach viel klingt können kräftig zur Kasse gebeten werden, denn bei den „nicht-umsatzgezogenen“ Sanktionen sieht die EU-DSGVO bis zu 20 Millionen Euro an Strafe vor.
Aber nicht nur das Finanzielle kann dabei zum Problem werden, die Verantwortlichen haften auch persönlich. Somit müssten die Verantwortlichen bei gravierenden Verstößen durchaus auch mit Gefängnisstrafen rechnen. Um nun nicht in die „Bredouille“ zu kommen, sollten die IT-Verantwortlichen vor allem auf eine zuverlässige Verschlüsselung setzen. Dies gilt es vor allem bei Mobilgeräten zu beachten. Denn Smartphones, Tablets und Notebooks können aus Versehen von den Mitarbeitern verloren gehen, etwa wenn das Gerät im Flugzeug, Zug oder Taxi „liegenbleibt“. Befinden sich in so einem Fall unverschlüsselte Arbeitsdaten des Mitarbeiters auf dem Gerät, ist laut DSGVO der „Datenverlust“ bereits eingetreten, muss entsprechend gemeldet werden, und es kommt zu Sanktionen.
Wurden die Dateien allerdings mit einer ausreichenden Verschlüsselung vor dem Zugriff unberechtigter geschützt, „zählt“ dies nicht als Datenverlust. Dabei sollten sich die Systembetreuer die Frage stellen, welche Verschlüsselungstechnologie von den Aufsichtsbehörden als ausreichend erachtet wird. Diese Frage ist nicht leicht zu beantworten. In der Gesetzesvorlage spielt dabei der Begriff „Stand der Technik“ eine wesentliche Rolle.
Stand der Technik
Diese Definition wird nicht nur bei der einzusetzenden Verschlüsselung verwendet, sondern auch bei den jeweiligen Hard- und Softwarekomponenten. Beispielsweise den Desktop-Systemen, Endpoint-Protection-Software oder beim Dokumentenmanagement. Doch dieser Begriff „Stand der Technik“ kann auf unterschiedliche Weise interpretiert werden, dabei ist auch der jeweilige Kontext zu beachten. Während beim selbstständigen „Schreinermeister Eder“ (mit einem Angestellten) ein älteres Desktop-System mit Windows XP, Word 2003 und einem angeschlossenen S/W-Laserdrucker durchaus „Stand der Technik“ sein könnte, wird dies beim multinationalen Cloud-Provider sicherlich nicht „durchgehen“.
Analog dazu müssen sich die Verantwortlichen Gedanken machen, was denn für ihr Unternehmen als ausreichend erachtet wird. Am besten wird es sein, nochmals eine „Schippe“ draufzulegen, Sprich lieber das aktuellste Betriebssystem auf modernerer Hardware einzusetzen, und dabei auf ein mehrstufiges Schutz- und Backupsystem zu vertrauen. Auch beim Thema „Verschlüsselung“ greift diese Analogie. Bei Windows-Mobilgeräten sollten die Systembetreuer beispielsweise mindestens eine Laufwerksverschlüsselung einsetzen. Bei den meisten Windows-Clients (beispielsweise Windows 8.1 Pro oder Windows 10 Pro), die sich im Unternehmenseinsatz befinden, ist mit „Bitlocker“ solch ein System vorhanden. Auf diese Weise lassen sich die Daten leicht und effizient absichern. Allerdings lässt sich Bitlocker auch umgehen. Kommen Dritte an das Windows-Benutzerkennwort, lassen sich die Daten schnell auslesen. Bestimmte Startmedien (Konboot beispielsweise) erlauben es auch, das Windows-Passwort beim Starten zu umgehen. Daher muss die Boot-Reihenfolge „festgelegt“ werden, und der Zugriff auf BIOS/EFI/UEFI ebenfalls mit einem starken Kennwort geschützt werden.