Maren Winter - stock.adobe.com
DSGVO-konformes Datenschutzniveau per Verschlüsselung
Eine Client-seitige Verschlüsselung kann Unternehmen dabei unterstützen, ihr Datenschutzniveau auch auf die Cloud auszudehnen und den Vorgaben gerecht zu werden.
Regularien wie die Europäische Datenschutz-Grundverordnung (DSGVO) verlangen von Unternehmen ein hohes Maß an Kontrolle über ihre Daten, um den sachgemäßen Umgang stets sicherzustellen. Eine Eigenschaft, die in Cloud-Umgebungen erschwert wird, weshalb viele Unternehmen dem Wechsel in die Cloud skeptisch gegenüberstehen. Client-seitige Verschlüsselung kann Anwender dabei unterstützen, die Umsetzung ihrer Datenschutzrichtlinien auch auf die Cloud auszuweiten und die Auflagen gemäß DSGVO zu erfüllen.
OneDrive, SharePoint oder AWS – die Cloud gilt aus betrieblicher Sicht für viele Unternehmen als attraktiv. Allerdings können Datensicherheitsbelange den Wechsel in die Cloud bremsen. Es bestehen Zweifel daran, ob die Daten dort ausreichend vor unbefugtem Zugriff gesichert werden und die Anforderungen an den Datenschutz eingehalten werden können.
Neben branchenspezifischen Vorgaben und dem Bundesdatenschutzgesetz ist insbesondere die DSGVO maßgeblich für das Schutzniveau von Daten in Unternehmen. Sie regelt den Umgang mit personenbezogenen Daten und somit der sensibelsten Datenkategorie. Um diese zu schützen, müssen Unternehmen geeignete technisch-organisatorische Maßnahmen ergreifen, die die folgenden Vorgaben erfüllen:
- Nachgewiesener Zugriff nur für berechtigte Personen (Art. 5, Ziffer 2, DSGVO): Prinzipiell muss der Kreis der Berechtigten, die auf personenbezogene Daten Zugriff bekommen, möglichst klein gehalten werden. Dies dient dem Schutz vor unrechtmäßiger und unbefugter Verarbeitung. Die Personen mit befugtem Zugriff müssen von den Unternehmen fortlaufend dokumentiert werden.
- Verzeichnispflicht über die Empfänger von Daten (Art. 30, Ziffer 1, DSGVO): Unternehmen müssen nachweisen, welchen Empfängern gegenüber personenbezogene Daten offengelegt wurden. Darunter fallen beispielsweise Behörden, Sozialversicherungen, Banken oder unternehmensinterne Stellen wie Betriebsärzte. Die Offenlegung personenbezogener Daten an weitere Empfänger ist fortlaufend zu dokumentieren.
Besondere Sorgfaltspflicht gilt bei der Nutzung von Cloud-Diensten. In ihrer Rolle als Auftragsdatenverarbeiter tragen Unternehmen ebenso wie der Cloud-Anbieter Verantwortung für die Sicherheit der Daten. Kommen sie dieser Verpflichtung nicht nach, können sie im Schadensfall zur Verantwortung gezogen werden.
Cloud Provider wie Microsoft implementieren starke Schutzmaßnahmen, um Kundendaten zu sichern. Dies beinhaltet auch den Schutz vor unerwünschtem Zugriff und nicht berechtigter Verwendung durch unbefugte Dritte. Paradoxerweise kann dennoch nicht ausgeschlossen werden, dass ebendies geschieht.
Microsoft fällt als Anbieter elektronischer Kommunikationsdienste mit Sitz in den USA unter die Bestimmungen des US-Cloud Act (Clarifying Lawful Overseas Use of Data, CLOUD). Cloud-Anbieter unterliegen damit der Pflicht, US-Sicherheitsbehörden auf Ersuchen hin Zugriff auf Kundendaten zu gewähren – selbst wenn die Daten sich in europäischen Rechenzentren befinden. Dies beschränkt sich nicht nur auf persönliche Daten von US-Bürgern sondern auch auf Personen ohne Wohnsitz in den USA, wie unter anderem EU-Bürger. Werden Daten von EU-Bürgern an US-Behörden übergeben, handelt es sich dabei um eine unrechtmäßige Übertragung von Daten in EU-Drittstaaten.
Außerdem ist es möglich, dass dies ohne Kenntnis der Cloud-nutzenden Unternehmen geschieht. Das heißt: Die betroffenen Unternehmen wissen womöglich nichts davon und können der Benachrichtigungspflicht gegenüber den Betroffenen nicht nachkommen. Zudem wären sie unter Umständen mit schuldig an diesem Vergehen, da man unterstellen könnte, dass sie die Herausgabe von Kundendaten bei der Entscheidung für einen US-Cloud-Anbieter sozusagen billigend in Kauf genommen haben.
Cloud-Nutzung gemäß DSGVO
Eine DSGVO-konforme Cloud-Nutzung ist für Unternehmen dennoch möglich, sofern sie ein angemessenes Schutzniveau auf dem Stand der Technik (Art. 32, Ziffer 1, DSGVO) herstellen können. In diesem Zusammenhang empfiehlt die DSGVO ausdrücklich die Anwendung von Datenverschlüsselungsverfahren. Sollte der Ernstfall eintreten und Unbefugte Zugriff auf personenbezogene Datensätze bekommen, sind diese auf Grund der Verschlüsselung für sie nicht einseh- oder verwertbar.
Für Unternehmen entfällt in diesem Fall die Benachrichtigungspflicht von Betroffenen (Art. 34, Ziffer 1a, DSGVO). Außerdem wirkt sich der Einsatz von Verschlüsselung bei der Bemessung von Strafzahlungen im Schadensfall strafmindernd aus.
Bei der Anwendung von Verschlüsselung in Cloud-Diensten ist es von entscheidender Bedeutung, die Verschlüsselungsschlüssel nicht aus der Hand zu geben. Werden Daten erst in der Cloud verschlüsselt, hat der Cloud-Anbieter Zugriff auf die Dateien im Klartext, was theoretisch auch eine Weitergabe an Dritte ermöglicht. Client-seitige Verschlüsselung eliminiert diese Möglichkeit, da die Dateien bereits vor der Übertragung in die Cloud verschlüsselt sind.
Zudem empfiehlt sich ein asymmetrisches Verschlüsselungsverfahren, das nur dem Kreis befugter Personen das Recht auf Entschlüsselung der Daten einräumt. Dabei erzeugen alle Nutzer in einem Unternehmen einen asymmetrischen Schlüssel und stellen den öffentlichen Teil des Schlüssels allen anderen Unternehmensnutzern zur Verfügung.
Möchte ein einzelner Nutzer eine Datei verschlüsseln, sammelt er zunächst die öffentlichen Schlüssel der zum Zugriff berechtigten Empfänger ein. Die Datei wird im ersten Schritt separat mit einem symmetrischen Schlüssel codiert und anschließend zusätzlich in Kopie für jeden Benutzer mit dessen öffentlichem Schlüssel verschlüsselt. Um die für ihn verschlüsselte Datei öffnen zu können, benötigt der Benutzer den nicht-öffentlichen Teil seines persönlichen, asymmetrischen Schlüssels.
„Bei der Anwendung von Verschlüsselung in Cloud-Diensten ist es von entscheidender Bedeutung, die Verschlüsselungsschlüssel nicht aus der Hand zu geben.“
Harald Schütz, Conpal
Die gesamte Ver- und Entschlüsselung erfolgt auf dem Endgerät, die Verschlüsselungsschlüssel bleiben lokal abgelegt und sind niemals zugänglich für den Cloud-Anbieter. Selbst bei einem Sicherheitsvorfall auf Seiten des Cloud-Anbieters bleiben die Daten geschützt. Durch das asymmetrische Verschlüsselungsverfahren, das die Entschlüsselung an die berechtigten Benutzer knüpft, besteht gegenüber einfacher, symmetrischer Verschlüsselung eine zusätzliche Sicherheitsebene.
Kontrolle über Daten
Client-seitige Verschlüsselung unterstützt Unternehmen darin, unabhängig vom Speicherort Daten kontinuierlich zu schützen. Die asymmetrische Verschlüsselung sorgt außerdem dafür, dass der Zugriff auf einen berechtigten Personenkreis beschränkt bleibt und die Richtlinien des unternehmenseigenen Datenschutzkonzepts durchgesetzt werden. Dieses Niveau an Kontrolle unterstützt Unternehmen dabei, ihre Daten im digitalen Umfeld bestmöglich zu schützen.
Über den Autor:
Harald Schütz ist Corporate Product Manager bei Conpal. Conpal ist ein Anbieter von IT-Security-Lösungen zum Schutz vertraulicher Daten durch Verschlüsselung und Authentisierung mit Sitz in Deutschland.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
