Auf der Datenautobahn herrscht Verkehrschaos. Wie lassen sich Datenverkehr und Datenablage sicher und DSGVO-konform gestalten?
Foto: Pixabay

IT-Sicherheit

Wie geht DSGVO-konformer Datenverkehr?

Auf der Datenautobahn herrscht Verkehrschaos. Wie lassen sich Datenverkehr und Datenablage sicher und DSGVO-konform gestalten?

Die Frage nach DSGVO-konformen Datenverkehr wird immer drängender. Im Jahr 2019 bewegten sich täglich 293,6 Milliarden E-Mails weltweit über das Internet. Das hat das Marktforschungsunternehmen Radicati Group in einer Studie ermittelt und prognostiziert: Tendenz weiter steigend.

Egal ob Unternehmen oder Privatperson, Empfänger oder Absender, alle Seiten wünschen dabei Sicherheit und Schutz ihrer Informationen vor unbefugtem Zugriff. Doch wer ist zuständig dafür, dass dieser Datenverkehr sicher und DSGVO-konform abläuft?

Wer ist überhaupt für scheren Datenverkehr zuständig?

Die Zuständigkeiten bei der Sicherheit im Datenverkehr unterscheiden sich je nachdem, welche Kanäle genutzt werden. So sind im E-Mail-Verkehr bei einer End-zu-End-Verschlüsselung sowohl der Absender als auch der Empfänger dafür verantwortlich, Sicherheitsschlüssel zu generieren und Authentifizierungsmethoden, sogenannte Public Keys, auf Servern abzulegen, damit E-Mails verschlüsselt werden können. Operativ sind zur E-Mail-Verschlüsselung und -Signierung beispielsweise S/MIME oder PGP einsetzbar.

Anders sieht das bei Datenverkehr zwischen Webseiten und Computern aus. Hier steht der Webseitenbetreiber in der Verantwortung, für die Sicherheit der übermittelten Informationen zu sorgen. Dies ermöglichen SSL-Zertifikate, die Webseiten sind dann an der URL „https“ zu erkennen. Diese Zertifikate werden von unabhängigen Dritten geprüft und ausgestellt.

Da sie stetig weiterentwickelt werden, um auch neueste Hackermethoden abzuwehren, sollten Betreiber immer die aktuellste Protokoll-Version einsetzen. Derzeit ist das TLS 1.3. Ältere Versionen sind angreifbar und schützen aus diesem Grund nicht umfassend. Ähnlich sieht es bei Webservern und Cloudszenarien aus. Auch hier ist immer der Betreiber für die Sicherheit der Daten verantwortlich.

Der Datentransport zwischen Servern, Clients und Desktoprechnern wird dagegen über VPN (Virtual Private Network) in einer Art verschlüsseltem Tunnel durch das Netzwerk geschickt, sodass die Daten auf dem Weg nicht von Dritten einsehbar sind. VPNs werden von IT-Administratoren und IT-Serviceprovidern aufgebaut und gepflegt. Jeder Anwender kann nur mit den richtigen Zugangsdaten auf Rechner und Daten innerhalb eines VPN zugreifen.

Sicher ist nicht gleich DSGVO-konform

Nun wird schnell angenommen, dass die sichere Datenübertragung automatisch bedeutet, dass die Daten DSGVO-konform behandelt werden. Dem ist jedoch nicht automatisch so. Nur weil der Datentransfer über eine Verbindung verschlüsselt wird, ist der weitere Umgang mit den Daten nicht zwangsläufig DSGVO-konform.

Die DSGVO besagt, dass Unternehmen, die mit personenbezogenen Daten arbeiten, sicherstellen müssen, dass diese Daten von Dritten nicht eingesehen werden können. Das bedeutet, dass nicht nur die Übertragung verschlüsselt erfolgen muss, sondern auch die weitere Speicherung, Archivierung und Verwaltung. Oft unterschätzt oder gar nicht beachtet wird hier der Datentransfer über Filesharing-Plattformen. Dabei stellen sie ein erhebliches Problem dar, denn es ist oft nicht eindeutig klar, wo die Daten physisch liegen.

Hier besteht zwar kein Sicherheitsproblem, allerdings ein erhebliches Compliance-Problem in Bezug auf DSGVO-konformes Datenmanagement, denn die DSGVO fordert bei der Übertragung und Archivierung von Daten eine eindeutige Dokumentation über Art der Daten, Ablageort und Aufbewahrungsdauer. DSGVO-konformes Datenmanagement bedeutet auch Wiederauffindbarkeit der Daten. Hierzu gehören sinnvoll strukturierte Bezeichnungen mit Metadaten sowie ein übersichtlich organisiertes Ablagesystem.

Ebenso muss innerhalb des Unternehmens eine Einstufung der Zugriffsberechtigungen erfolgen, um Daten DSGVO-konform zu verwalten. Hier schützen Zugangs- und Berechtigungskontrollen sowohl physisch als auch digital vor unbefugtem Zugriff auf Daten und Informationen. Um auch bei der Dauer der gespeicherten Daten konform zu arbeiten, lassen sich im Datenmanagement automatisierte Aufbewahrungszeiträume nach Art der Daten einrichten, denn so gilt für die Speicherung von handels- und steuerrechtlichen Informationen eine Frist von 10 Jahren, für medizinrechtliche Dokumente sind es dagegen bis zu 30 Jahre.

Auch bei der Webserverkonfiguration muss auf DSGVO-Konformität geachtet werden: So konfiguriert Plutex die Webserver beispielsweise so, dass IP-Adressen ausschließlich anonymisiert und maximal für drei Tage gespeichert werden. Eine längere Speicherdauer ist jedoch möglich, sollte das vom Kunden für Analysezwecke gewünscht werden. Außerdem erfolgt die Konfiguration immer auf HTTPS und auf Grundlage des aktuellsten TLS-Protokolls.

Einmal sicher, immer sicher? Mit Expertenhilfe schon

Um Datenverkehr und -verwaltung fortlaufend sicher zu organisieren, gilt es diese immer auf den aktuellen Standards zu halten. Ungepflegte und veraltete Server oder Betriebssysteme sowie fehlende Updates führen zu Sicherheitsrisiken, wenn beispielsweise keine aktualisierten Sicherheitspatches eingespielt werden, die vor neuartigen Viren, Trojanern, oder anderen Hackermethoden schützen.

Doch wann sind Updates nötig und in welcher Größenordnung? Das ist für IT-ferne Personen oft schwer einzuschätzen und noch schwerer umzusetzen. Hier helfen Serviceprovider und übernehmen Einrichtung, Konfiguration und Pflege all dieser Techniken. Individuelle Serverkonfiguration je nach Größe des Unternehmens, Systemaufbau nach Anforderung an Datenverkehr und Verfügbarkeit realisieren die Experten unter Berücksichtigung der DSGVO-Vorgaben.

Außerdem setzen sie PGP für den sicheren E-Mail-Verkehr ein sowie VPN für sichere Kommunikation in Netzwerken und HTTPS für die Webserver. Um im Datenverkehr von Anfang bis Ende hohe Sicherheit vor Datenklau zu ermöglichen, kombinieren sie alle drei Techniken.

Der Vorteil dieser externen Helfer? Sie sind rund um die Uhr im Einsatz und können zu jeder Tages- und Nachtzeit bei Problemen oder Vorfällen helfen, sei es ein Hackerangriff oder ein Systemausfall. Sie beherrschen ihr Handwerk, können die wichtigen Informationen verständlich vermitteln und unterstützen dabei, dass Datenverkehr und Datenablage sicher und DSGVO-konform ablaufen.

Torben Belz, Geschäftsführer der Plutex GmbH aus Bremen

Foto: Gerd Altmann/Pixelio

Retarus

Archivierung der E-Mail-Korrespondenz

Mit Enterprise E-Mail Archive bietet Retarus Unternehmen einen Managed Service zur Compliance-konformen Archivierung ihrer E-Mail-Korrespondenz. Die Datenverarbeitung findet nach den strengen europäischen Datenschutzbestimmungen ausschließlich in Deutschland stationierten Retarus-eigenen Rechenzentren statt.

Foto: Thorben Wengert/Pixelio

Teletrust

Passwort-Hack: Das Problem sind die Webseiten

Zu den Berichten über den Diebstahl von 1,2 Milliarden Benutzernamen und zugehöriger Passwörter sowie mehr als 500 Millionen E-Mail-Adressen ist festzuhalten, dass die Daten nach aktuellem Kenntnisstand nicht von den privaten Rechnern der Nutzer, sondern offenbar von den Webseiten mehrerer Online-Anbieter stammen.

Foto: Office Depot

Europäische Datenschutz-Grundverordnung

Die DSGVO gilt auch für Daten in Papierform

Am 25. Mai 2018 tritt die Europäische Datenschutzgrundverordnung praktisch in Kraft. Viele Unternehmen konzentrieren sich bei der Umsetzung auf ihre digitalen Daten, vergessen jedoch, dass die DSGVO genauso für Daten und Akten in Papierform gilt. Doch wie gehen Unternehmen richtig mit ihren analogen Daten um?

Foto: Körtner & Muth

Schließanlagendaten in der E-Mail

Unterschätztes Risiko

Was den Austausch von Schießanlagendaten per E-Mail angeht, legen viele Hersteller von Schließanlagen ein unerwartet sorgloses Verhalten an den Tag. Der Versand von unverschlüsselten Schließanlagendaten per E-Mail stellt dabei ein völlig unterschätztes Risiko dar.