Traditionell konzentrieren sich IT-Mitarbeiter hauptsächlich auf Sicherung und Schutz gespeicherter Daten. Jedoch gibt es eine Reihe sensibler Informationen, für die sich auch die ungeschützte interne oder externe Übertragung verbietet. Dazu gehören beispielsweise Personalakten sowie kommerzielle und geschäftliche Informationen, wie in diesem Beitrag dargestellt.
Foto: LeoWolfert - shutterstock.com
Auch die EU-Datenschutz-Grundverordnung (DSGVO/GDPR) führt das Verschlüsseln personenbezogener Daten explizit als geeignete technische Maßnahme zum Schutz auf (Art. 32). Die Verordnung stellt Organisationen, die sensible Daten verschlüsseln und pseudonymisieren, ab dem 25. Mai 2018 einen Vorteil in Aussicht: Für sie entfällt laut Artikel 34, Absatz 3a die Pflicht, die betroffene Person im Falle einer Datenschutzverletzung zu informieren.
In folgenden Fällen ist das Verschlüsseln sensibler Daten besonders angeraten:
Beispiel 1: Forschung und Entwicklung in Technologieunternehmen
Bei Forschung und Entwicklung (F&E) fallen in Technologieunternehmen meist große Datenmengen an. Dieses geistige Eigentum ist entscheidend für den Geschäftserfolg. Gelangen die Informationen in die falschen Hände, kann das die Existenz eines Unternehmens bedrohen.
Deshalb müssen F&E-Daten in der pharmazeutischen Industrie, der Automobilbranche und anderen Bereichen mit hochtechnologischen Fertigungen bei der Übertragung verschlüsselt werden. Dabei spielt es keine Rolle, ob der Transfer intern erfolgt oder an einen externen Dienstleister geht. Gefragt ist für beide Szenarien eine Verschlüsselungslösung, welche die sichere Übertragung großer Datenmengen gewährleistet.
Beispiel 2: Kunden-E-Mails bei Finanzdienstleistern
Finanzdienstleister wie Banken, Versicherer und Steuerberater nutzen und verarbeiten vertrauliche persönliche Informationen. Zum Kern ihrer geschäftlichen Tätigkeit gehört es, diese Informationen zu teilen und zu versenden. Das geschieht intern und im Austausch mit ihren Kunden.
Das notwendige Schützen der Daten mindert die Gefahr durch Insider-Bedrohungen. Hinzukommt ein wesentlicher Aspekt: Finanzdienstleister haben Privatpersonen als Kunden, mit denen sie kommunizieren. Ihnen übermitteln sie zum Beispiel Informationen über Investitionen oder zum Kontostand.
Mit S/MIME (Secure/Multipurpose Internet Mail Extensions) und PGP (Pretty Good Privacy) sind etablierte Verschlüsselungsstandards zwar vorhanden, ein einheitliches Verfahren gibt es jedoch nicht. Privatpersonen verfügen deshalb kaum über das Wissen und die Infrastruktur zur Verschlüsselung. Das kann einem möglichen Datenverlust Tür und Tor öffnen.
Deswegen ist es für Finanzdienstleister wichtig, für den Versand solcher Informationen alternative Verfahren anzubieten. Ihre Kunden müssen ohne Verschlüsselungstechnologie sicher auf sensible Inhalte zugreifen können. Besonders häufig kommt in diesem Fall die Pull-Methode zum Einsatz. Dabei holt der Empfänger die verschlüsselte Nachricht bei einem sicheren Web-Portal ab.
Beispiel 3: Patientendaten
Im Gesundheitswesen unterliegen alle Aktivitäten zur Sammlung und Analyse von Patientendaten höchsten Sicherheits- und Datenschutzanforderungen. Für Unternehmen in diesem Sektor sind diese Daten nicht nur ein Nebenprodukt ihrer geschäftlichen Aktivität, sondern stehen im Zentrum ihrer Wertschöpfung.
Zum Beispiel schicken Labore täglich Testresultate von Patienten an ihre Auftraggeber. Oder verschiedene Mitarbeiter sitzen an einem großen medizinischen Vergleichstest und tauschen Ergebnisse aus. Diese typischen Alltagssituationen unterstreichen, wie unerlässlich die Verschlüsselung bei der Übertragung von Patienteninformationen ist.
Im Übrigen stehen Unternehmen im Gesundheitswesen vor derselben Herausforderung wie die Finanzdienstleister: Patienten setzen in der Regel keine Verschlüsselungstechnologie ein.
Beispiel 4: Vertraulicher Kontakt zu den Medien
Zeitungen, Fernsehsender und andere Medienfirmen leben davon, Inhalte und Nachrichten zu veröffentlichen. Auch diese müssen vor Wettbewerbern geschützt werden. Der Fall Edward Snowden hat darüber hinaus gezeigt, worauf es ankommt: Quellen und Whistleblower müssen sicher und unkompliziert mit den Medien kommunizieren können. Edward Snowden tauschte sich mit dem Journalisten Glenn Greenwald verschlüsselt aus – sowohl zu seinem eigenen als auch zum Schutz der exklusiven Story.
Je einfacher es ein Medium potenziellen Quellen macht, vertraulich mit ihm in Kontakt zu treten, desto wahrscheinlich machen Whistleblower davon Gebrauch. Eine gute Chance, um der Konkurrenz die Exklusivstory wegzuschnappen. So wird die Vertraulichkeit der Daten zum Wettbewerbsvorteil – in allen vier skizzierten Branchenbeispielen.
Fazit: nur verschlüsselt ist sicher
Branchenübergreifend benötigen Unternehmen sichere, zuverlässige und benutzerfreundliche Verschlüsselungslösungen, gerade für E-Mails. Denn in den meisten Anwenderfirmen werden darüber viele wertvolle Informationen verteilt, die für den Geschäftserfolg entscheidend sind. Unternehmen, die ihre E-Mails verschlüsseln, handeln zudem DSGVO-konform und schützen ihre Daten im Fall von Phishing und E-Mail-Attacken.
Das Ziel der regulatorischen Vorgaben ist der sichere Verkehr von Daten. Zurecht, wie ich finde, denn so wie der Straßenverkehr seit seinen Ursprüngen große Entwicklungsschritte zu immer mehr Sicherheit gemacht hat, müssen auch Unternehmen ihren Einsatz zur Sicherung des Datenverkehrs steigern. (haf)