Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Verschlüsselung steht im Zentrum der EU-DSGVO-Forderung nach Datenschutz
Ab Mai 2018 muss jedes Unternehmen, das Bürgern der Europäischen Union (EU) Waren und Dienstleistungen anbietet, die Regeln der neuen EU-Datenschutz-Grundverordnung (DSGVO) einhalten.
Diese Regeln fordern ausdrücklich, dass Unternehmen sämtliche Maßnahmen ergreifen, die zum Schutz der Integrität der von ihnen verarbeiteten oder gespeicherten Verbraucherdaten notwendig sind.
Ein wesentlicher Grundsatz der DSGVO ist „Privacy by Default“ (Datenschutz durch datenschutzfreundliche Grundeinstellungen). Demnach müssen alle irgendwo vorhandenen digitalen Informationen, angefangen von Daten in E-Mails und mobilen Anwendungen bis hin zu Daten in Cloud-Speichersystemen und Machine-to-Machine (M2M)-Kommunikation, jederzeit sicher und geheim bleiben.
Studien zufolge haben sich US-Unternehmen ebenso zur Einhaltung der DSGVO verpflichtet wie die Unternehmen in der EU.
Eine der wirksamsten Schutzmaßnahmen, die ein Unternehmen ergreifen kann, ist die Verschlüsselung der Daten bei sämtlichen Verarbeitungsschritten: bei der Nutzung, beim Austausch sowie bei der Speicherung.
Eine bewährte Methode zur sicheren Übermittlung sensibler, persönlicher Daten über öffentliche Netzwerke ist die Verwendung von unternehmenstauglichen Virtual Private Networks (VPNs). VPNs stellen einen verschlüsselten Tunnel für die vertrauliche Kommunikation zwischen E-Mail- und Mobilfunkverbindungen sowie internen Datenbeständen und Cloud-basierten Speichern zur Verfügung.
Im Zentrum der DSGVO steht die Auffassung, dass das Recht auf Privatsphäre ein Menschenrecht ist.
Leider zeigen großangelegte Datenangriffe ganz deutlich, dass Unternehmen häufig Probleme haben, die ihnen vorliegenden personenbezogenen Daten adäquat zu schützen. Anscheinend verlieren viele Unternehmen die Übersicht über ihre Kundendaten, während diese über verschiedene Systeme verteilt und mit vielen unterschiedlichen Parteien ausgetauscht werden.
Durch systemimmanenten Datenschutz „by Design“ und „by Default“ zwingt die DSGVO Unternehmen, sich besser um den Datenschutz zu kümmern. Anderenfalls drohen ihnen Geldstrafen von bis zu 20 Millionen Euro beziehungsweise 4 % ihres gesamten Jahresumsatzes.
Zu Beginn dieses Jahres ging das europäische Parlament sogar noch weiter und veröffentlichte einen Berichtsentwurf, in dem es eine starke End-to-End-Datenverschlüsselung ausdrücklich befürwortet. Demnach sollten Technologieunternehmen sicherstellen, dass sie die Kommunikation der Kunden vor unbefugtem Zugriff oder unberechtigten Änderungen schützen. Außerdem sollte die Vertraulichkeit der Daten mittels der verwendeten Übertragungsart gewährleistet werden.
In nur wenigen Monaten tritt die DSGVO in Kraft. Viele Unternehmen scheinen jedoch dafür noch längst nicht gerüstet zu sein.
Laut einem Bericht der Anwaltskanzlei Blake Morgan haben neun von zehn Unternehmen in Großbritannien noch keine der dringend erforderlichen Updates an ihren Datenschutzrichtlinien vorgenommen.
Unterdessen ergab eine Studie des Unternehmens Citrix, dass knapp zwei Fünftel (38 Prozent) der Befragten nicht auf die DSGVO vorbereitet sind. Entweder sie geben zu, dass ihre Zugangskontrollrichtlinien unzureichend für die Einhaltung der Vorschriften sind, oder sie haben „keine Ahnung“, ob sie die Vorgaben der Verordnung erfüllen.
Im Gegensatz dazu befinden sich US-Unternehmen in besserer Verfassung. Von 200 im Rahmen einer Veritas-Studie befragten Unternehmen erfüllen 35 Prozent die Vorschriften. Auch planen amerikanische Unternehmen zur Erfüllung der Vorgaben 20 Prozent höhere Ausgaben als europäische Unternehmen.
An anderer Stelle ergab eine PwC-Umfrage unter 200 amerikanischen Unternehmen mit über 500 Mitarbeitern, dass 77 Prozent der befragten Unternehmen Ausgaben in Höhe von wenigstens 1 Million Dollar für DSGVO-Compliance vorsehen.
Die Cloud ist ein Bereich, der Unternehmen hinsichtlich der DSGVO Sorge bereitet.
Untersuchungen des Cloud-Data-Protection-Spezialisten Eperi zufolge geben über die Hälfte der Sicherheitsexperten zu, die kommenden Datenschutzanforderungen könnten sie zukünftig daran hindern, ihre sensiblen Daten in der Cloud zu speichern. Ein noch größerer Anteil (72 Prozent) sagte, sie müssten ihre Regelungen zur Cloud-Datensicherung aufgrund der neuen Vorschriften noch einmal überdenken.
Bei einigen steht im Zentrum der Debatte die Frage, ob es sicher ist, die Verschlüsselung sensibler Daten den Cloud-Dienstleistern zu überlassen. Andere hingegen diskutieren darüber, wo auf der Welt Cloud-Daten gespeichert werden sollten, sodass vollständiger Datenschutz garantiert werden kann.
Vollkommene Sicherheit impliziert eine starke Verschlüsselung sämtlicher personenbezogener Daten in Dateien, E-Mails, mobilen Anwendungen, in der Cloud und bei der M2M-Kommunikation.
Die einzigen in der DSGVO erwähnten Sicherheitstechnologien sind die Verschlüsselung und die Pseudonymisierung, bei der die Daten maskiert werden. Unternehmen, die diese Technologien nutzen, müssen einzelne Personen nicht benachrichtigen, falls deren persönliche Informationen infolge eines Datenangriffs kompromittiert werden.
Viele Unternehmen nutzen bereits VPNs zur Verschlüsselung und Geheimhaltung sensibler Kommunikation.
Sie gestatten Unternehmen den Aufbau sicherer Verbindungen, sodass sensible, personenbezogene Daten in E-Mails, mobilen Anwendungen, Cloud-Systemen und M2M-Kommunikation geheim bleiben. Die Verschlüsselung erfolgt automatisch, ohne dass Nutzer darüber nachdenken müssen.
Die besten VPNs unterstützen sowohl IPsec- als auch SSL-Verschlüsselung sowie nahtlose Konnektivität zwischen Datennetzwerken und WLAN. Darüber hinaus ist es wichtig, dass die IT-Support-Mitarbeiter des Unternehmens die VPN-Clients und Komponenten per Fernzugriff über eine zentrale Administrationskonsole managen können.
Alles in allem ist Verschlüsselung eine wirksame Datenschutzmaßnahme und wesentlich für die Einhaltung der EU-DSGVO-Anforderung nach „Privacy by Default“. Sie macht personenbezogene Daten unverständlich für unbefugte Dritte und sollte die meisten der in den Nachrichten berichteten Datenangriffe verhindern.
VPN-Technologie zusammen mit einer klaren Vorstellung über den Datenspeicherort und der Anerkenntnis der Unternehmensverantwortung für den Schutz personenbezogener Informationen – das sind die zentralen Säulen, auf denen DSGVO-Compliance beruht.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.