2020/3 | Fachbeitrag | Digitale Transformation

Verkehrschaos auf der Datenautobahn: Wie gelingen Datentransfer & -ablage DSGVO-konform?

von Torben Belz

Inhaltsübersicht:

• Wer ist überhaupt für die Sicherheit zuständig?
• Sicher ist nicht gleich DSGVO-konform
• Einmal sicher, immer sicher? Mit Expertenhilfe schon

Wer ist überhaupt für die Sicherheit zuständig?

Die Zuständigkeiten bei der Sicherheit im Datenverkehr unterscheiden sich je nachdem, welche Kanäle genutzt werden. So sind im E-Mail-Verkehr bei einer End-zu-End-Verschlüsselung sowohl der Absender als auch der Empfänger dafür verantwortlich, Sicherheitsschlüssel zu generieren und Authentifizierungsmethoden, sogenannte Public Keys, auf Servern abzulegen, damit E-Mails verschlüsselt werden können. Operativ sind zur E-Mail-Verschlüsselung und -Signierung beispielsweise S/MIME oder PGP einsetzbar. Anders sieht das bei Datenverkehr zwischen Webseiten und Computern aus. Hier steht der Webseitenbetreiber in der Verantwortung, für die Sicherheit der übermittelten Informationen zu sorgen. Dies ermöglichen SSL-Zertifikate, die Webseiten sind dann an der URL "https" zu erkennen. Diese Zertifikate werden von unabhängigen Dritten geprüft und ausgestellt. Da sie stetig weiterentwickelt werden, um auch neueste Hackermethoden abzuwehren, sollten Betreiber immer die aktuellste Protokoll-Version einsetzen. Derzeit ist das TLS 1.3. Ältere Versionen sind angreifbar und schützen aus diesem Grund nicht umfassend. Ähnlich sieht es bei Webservern und Cloudszenarien aus. Auch hier ist immer der Betreiber für die Sicherheit der Daten verantwortlich. Der Datentransport zwischen Servern, Clients und Desktoprechnern wird dagegen über VPN (Virtual Private Network) in einer Art verschlüsseltem "Tunnel" durch das Netzwerk geschickt, sodass die Daten auf dem Weg nicht von Dritten einsehbar sind. VPNs werden von IT-Administratoren und IT-Serviceprovidern aufgebaut und gepflegt. Jeder Anwender kann nur mit den richtigen Zugangsdaten auf Rechner und Daten innerhalb eines VPN zugreifen.

Sicher ist nicht gleich DSGVO-konform

Nun wird schnell angenommen, dass die sichere Datenübertragung automatisch bedeutet, dass die Daten DSGVO-konform behandelt werden. Dem ist jedoch nicht automatisch so. Nur weil der Datentransfer über eine Verbindung verschlüsselt wird, ist der weitere Umgang mit den Daten nicht zwangsläufig DSGVO-konform. Die DSGVO besagt, dass Unternehmen, die mit personenbezogenen Daten arbeiten, sicherstellen müssen, dass diese Daten von Dritten nicht eingesehen werden können. Das bedeutet, dass nicht nur die Übertragung verschlüsselt erfolgen muss, sondern auch die weitere Speicherung, Archivierung und Verwaltung. Oft unterschätzt oder gar nicht beachtet wird hier der Datentransfer über Filesharing-Plattformen. Dabei stellen sie ein erhebliches Problem dar, denn es ist oft nicht eindeutig klar, wo die Daten physisch liegen. Hier besteht zwar kein Sicherheitsproblem, allerdings ein erhebliches Compliance-Problem in Bezug auf DSGVO-konformes Datenmanagement, denn die DSGVO fordert bei der Übertragung und Archivierung von Daten eine eindeutige Dokumentation über Art der Daten, Ablageort und Aufbewahrungsdauer. DSGVO-konformes Datenmanagement bedeutet auch Wiederauffindbarkeit der Daten. Hierzu gehören sinnvoll strukturierte Bezeichnungen mit Metadaten sowie ein übersichtlich organisiertes Ablagesystem. Ebenso muss innerhalb des Unternehmens eine Einstufung der Zugriffsberechtigungen erfolgen, um Daten DSGVO-konform zu verwalten. Hier schützen Zugangs- und Berechtigungskontrollen sowohl physisch als auch digital vor unbefugtem Zugriff auf Daten und Informationen. Um auch bei der Dauer der gespeicherten Daten konform zu arbeiten, lassen sich im Datenmanagement automatisierte Aufbewahrungszeiträume nach Art der Daten einrichten, denn so gilt für die Speicherung von handels- und steuerrechtlichen Informationen eine Frist von 10 Jahren, für medizinrechtliche Dokumente sind es dagegen bis zu 30 Jahre. Auch bei der Webserverkonfiguration muss auf DSGVO-Konformität geachtet werden: So konfiguriert PLUTEX die Webserver beispielsweise so, dass IP-Adressen ausschließlich anonymisiert und maximal für 3 Tage gespeichert werden. Eine längere Speicherdauer ist jedoch möglich, sollte das vom Kunden für Analysezwecke gewünscht werden. Außerdem erfolgt die Konfiguration immer auf HTTPS und auf Grundlage des aktuellsten TLS-Protokolls.

Einmal sicher, immer sicher? Mit Expertenhilfe schon

Um Datenverkehr und -verwaltung fortlaufend sicher zu organisieren, gilt es diese immer auf den aktuellen Standards zu halten. Ungepflegte und veraltete Server oder Betriebssysteme sowie fehlende Updates führen zu Sicherheitsrisiken, wenn beispielsweise keine aktualisierten Sicherheitspatches eingespielt werden, die vor neuartigen Viren, Trojanern, oder anderen Hackermethoden schützen. Doch wann sind Updates nötig und in welcher Größenordnung? Das ist für IT-ferne Personen oft schwer einzuschätzen und noch schwerer umzusetzen. Hier helfen Serviceprovider und übernehmen Einrichtung, Konfiguration und Pflege all dieser Techniken. Individuelle Serverkonfiguration je nach Größe des Unternehmens, Systemaufbau nach Anforderung an Datenverkehr und Verfügbarkeit realisieren die Experten unter Berücksichtigung der DSGVO-Vorgaben. Außerdem setzen sie PGP für den sicheren E-Mail-Verkehr ein sowie VPN für sichere Kommunikation in Netzwerken und HTTPS für die Webserver. Um im Datenverkehr von Anfang bis Ende hohe Sicherheit vor Datenklau zu ermöglichen, kombinieren sie alle drei Techniken. Der Vorteil dieser externen Helfer? Sie sind rund um die Uhr im Einsatz und können zu jeder Tages- und Nachtzeit bei Problemen oder Vorfällen helfen, sei es ein Hackerangriff oder ein Systemausfall. Sie beherrschen ihr Handwerk, können die wichtigen Informationen verständlich vermitteln und unterstützen dabei, dass Datenverkehr und Datenablage sicher und DSGVO-konform ablaufen.