[datensicherheit.de, 23.09.2021] Laut einer aktuellen Stellungnahme von uniscon – A member of TÜV SÜD steht das Projekt „DE-Mail“ mit dem Rückzug der Telekom vor dem Aus: „Die ,DE-Mail‘ war ein ambitioniertes Versprechen für die digitale Zukunft Deutschlands. Sie sollte ein starkes Signal senden und eine verlässliche und vor allem sichere Alternative zum traditionellen Brief in Papierform bieten.“ Ähnlich einem digitalen Ausweis sei sie aus dem hehren Vorhaben geboren worden, eine digitale Identifizierung des Absenders zu ermöglichen und den rechtskräftigen Austausch offizieller Dokumente zu beschleunigen. Doch die „DE-Mail“ habe die an sie gerichteten Erwartungen nicht erfüllen können. uniscon geht in der Stellungnahme auf die Gründe für das Scheitern des Projekts „DE-Mail“ ein.

Nicht nur bei DE-Mail – Deutschlands Digitalisierung hinkt hinterher…

„In Deutschland gehen die Uhren der Digitalisierung anders – nämlich häufig etwas langsamer – als andernorts.“ Nicht nur beim Breitbandausbau reihten wir uns weit hinter EU-Staaten wie Rumänien oder Ungarn ein. „Auch was die Digitalisierung behördlicher Prozesse angeht, hinken wir hierzulande deutlich hinterher.“
In Estland – dem digitalen Vorreiter in Europa – könnten praktisch alle Behördengänge vom heimischen PC oder vom Smartphone aus erledigt werden. Dafür bedürfe es jedoch etablierter und verlässlicher Strukturen für den digitalen Datenaustausch. Die „DE-Mail“ sei als wichtiger Baustein zu diesem Zweck erdacht worden und sollte die EU-Dienstleistungsrichtlinie umsetzen, nach der bis 2009 elektronische Kommunikation als verbindliches Medium akzeptiert werden sollte.
Doch neben verschiedenen Stolpersteinen, wie laufenden Kosten und der Pflicht zur regelmäßigen Kontrolle des separaten Postfachs, seien es nicht zuletzt die Bedenken hinsichtlich des Datenschutzes gewesen, welche der „DE-Mail“ einen langsamen Abstieg in die Bedeutungslosigkeit beschert hätten. Denn die im Postfach abgelegten E-Mails seien dort in unverschlüsselter Form archiviert worden – ein unhaltbarer Zustand, besonders für ein solches „Schlüssel“-Projekt.

DE-Mail-Ersatz: Bewährte Lösungen für sicheren digitalen Briefverkehr gibt es bereits

„Die ,DE-Mail‘ mag an ihrem unausgereiften Konzept gescheitert sein – doch Deutschland ist für die Digitalisierung seiner Bürokratie auf einen durchdachten Nachfolger angewiesen!“
Es existierten heute bereits verschiedene bewährte Lösungen für eine erfolgreiche Digitalisierung des Briefverkehrs: Hochsichere Cloud-Dienste, „Confidential Computing“ sowie versiegelte digitale Datenräume auf europäischen Servern schützten den Datenaustausch durch Verschlüsselung zu jedem Zeitpunkt – auch während der Verarbeitung, nicht nur während der Datenübertragung und -Speicherung.
Nur ein verschließbarer Briefkasten werde die nötige Akzeptanz der deutschen Nutzer erlangen können, „damit das nächste Projekt nicht wieder zum Fehlschlag wird“. Das Vertrauen der Nutzer in die Sicherheit ihrer Korrespondenz sei eine unabdingbare Grundvoraussetzung für einen möglichen „DE-Mail“-Nachfolger. Der Datenschutz müsse dabei im Mittelpunkt jeglicher Neuplanung stehen.

Bei Neuauflage der DE-Mail auf Stärken des europäischen Datenschutzrechts zurückzubesinnen!

„Es ist daher allen potenziellen Kandidaten, die für eine Neuauflage der ,DE-Mail‘ in Frage kommen, angeraten, sich auf die Stärken des europäischen Datenschutzrechts zurückzubesinnen.“ Es müsse unbedingt der Eindruck vermieden werden, dass die zur Verfügung stehenden Technologien nicht nach bestem Wissen und Gewissen ausgeschöpft worden seien.
„Confidential Computing Made in Europe“ sei heute bereits die gelebte Realität in vielen Unternehmen. „Sie verlassen sich bei der ,Secure Content Collaboration‘ – dem sicheren Austausch vertraulicher Daten und Dokumente und der geschützten digitalen Zusammenarbeit – auf die zukunftssichere Datenspeicherung und -Verarbeitung in der Europäischen ,Cloud‘, die sich nach den strengen Regeln der DSGVO richtet.“
Die deutsche Bürokratie sollte sich daran ein Vorbild nehmen und möglichst schnell einen sicheren Nachfolger für die „DE-Mail“ konzipieren. Doch diesmal bitte nach dem Grundsatz „Datenschutz durch Technikgestaltung“ – und zwar richtig.

Weitere Informationen zum Thema:

golem.de, 01.03.2021
Telekom-Chef: De-Mail ist ein „toter Gaul“ / De-Mail sei nie wirklich genutzt worden, sagte der Telekom-Chef. Die Telekom verabschiedet sich von dem umstrittenen E-Mail-Dienst

Frankfurter Allgemeine, Stephan Finsterbusch, 12.04.2021
Hilfe bei Digitalisierung / Altmaier: „Team aus Estland einfliegen“

Amtsblatt der Europäischen Union, 27.12.2006
RICHTLINIE 2006/123/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 12. Dezember 2006 über Dienstleistungen im Binnenmarkt

privacyblog, 25.03.2021
idgard®: Eine Cloud für alle Branchen – Datenschutz dank Confidential Computing

intersoft consulting
Art. 25 DSGVO Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

datensicherheit.de, 19.01.2011
Bundesdatenschutzbeauftragter veröffentlicht Kriterienkatalog für De-Mail-Dienste

[datensicherheit.de, 25.06.2021] Das Hacker-Kollektiv „Zerforschung“ hat laut einer aktuellen Stellungnahme von Jörg Horn, „Chief Product Officer“ bei uniscon, „erneut eine gravierende Sicherheitslücke“ in „Corona“-Testzentren aufgedeckt. Die Spezialisten hatten demnach nach eigenen Angaben keine Mühe, sich Zugriff auf 174.000 Datensätze zu verschaffen, „darunter Buchungsbestätigungen sowie streng vertrauliche, personenbezogene Daten wie Name, Anschrift, Telefonnummer, E-Mail-Adresse und Geburtsdatum der Patienten“. Selbst Testergebnisse und in einigen Fällen sogar die Ausweisnummer hätten den Angreifern vorgelegen.

Foto: uniscon

Jörg Horn: Verschlüsselung bei Übertragung und Speicherung sensibler Daten u.a. nicht diskutierbare Grundlage der Sicherheit

Passwort-Sicherheit der Accounts geradezu schlampig…

Horn kommentiert: „Die Passwörter der Accounts wurden geradezu schlampig generiert und ungesichert übermittelt: In Aufsteigender Reihenfolge wurden von der im Einsatz befindlichen Software Passwörter aus den Zahlen null bis neun sowie aus den Buchstaben A bis F zusammengesetzt.“ Die Hacker hätten somit leichtes Spiel gehabt, massenhaft Patientendaten einsehen zu können.
Das BSI habe diesen Vorfall als „gravierendes IT-Sicherheits- und Datenschutzproblem“ bezeichnet. Betroffen seien 34 Testzentren des Betreibers PAS Solutions in vier Bundesländern. „Zerforschung“ vermute hinter der Sicherheitslücke einen Mangel an Personal in den für die Aufsicht zuständigen Behörden.

Einhaltung grundlegender Prinzipien der Datensicherheit hat gefehlt

„Die Bewertung eines Vorfalls im Nachgang ist eine vermeintlich einfache Disziplin.“ Mit Kenntnis der genauen Vorgangsweise der Hacker und der Schwachstellen in der betroffenen IT-Struktur könnten Sicherheitsexperten schnell eine Strategie mit Gegenmaßnahmen formulieren. Doch in diesem Fall, so Horn, sei es nicht dem Einfallsreichtum der Angreifer zuzurechnen, „dass die Patientendaten entwendet werden konnten“.
Hierbei habe es an der Einhaltung grundlegender Prinzipien der Datensicherheit gefehlt – „vor allem die unbedachte Generierung simpler Passwörter machten es den Angreifern leicht, die Passwörter mit Hilfe von ,Brute Force‘ zu ,erraten‘. Abgesehen davon sollten sensible digitale Informationen niemals im Klartext kommuniziert werden.“ Ansonsten seien sie Cyber-Kriminellen schutzlos ausgeliefert.

Lückenlose Verschlüsselung der Daten als eine Säule der Sicherheit

Geschäftsfelder wie das Gesundheitssystem, welche mit besonders sensiblen Daten operierten, sollten daher unter allen Umständen auf eine lückenlose Verschlüsselung ihrer Daten setzen.
Horn betont: „Ausnahmslos! Denn der damit verbundene zusätzliche Aufwand steht in keinem Verhältnis zu dem Risiko, das ohne sie eingegangen wird. Und das meist ohne Kenntnis der betroffenen Patienten oder Kunden.“ So seien laut „Zerforschung“ selbst eine Woche nach Bekanntwerden der Sicherheitslücke die Betroffenen nicht vom Betreiber informiert worden.

Verletzung der Datensicherheit untergräbt Akzeptanz der Nutzer

Um der Digitalisierung des öffentlichen Lebens – einschließlich Behördengängen, Arztbesuchen oder zukünftig auch Wahlen – zum Erfolg zu verhelfen, werde die Akzeptanz aller Nutzer benötigt. „Um auch die letzten Skeptiker von den Vorzügen digitaler Lösungen zu überzeugen, dürfen sich Vorfälle wie dieser nicht wiederholen“, unterstreicht Horn.
Gerade in Zeiten, da immer mehr Betriebe und sogar streng regulierte Branchen ihre Daten in die Cloud migrierten, seien vertrauensbildende Maßnahmen der IT-Sicherheit von größter Bedeutung. Die grundsätzliche Verschlüsselung bei der Übertragung und Speicherung sensibler Daten sei dabei genauso „als nicht diskutierbare Grundlage zu sehen wie der flächendeckende Einsatz starker Passwörter und der Zwei-Faktor-Authentifizierung“, so Horn abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 17.06.2021
TÜV Rheinland: Online-Seminar zur IT-Sicherheit im Gesundheitswesen / Gebührenfreies Angebot vom TÜV Rheinland am 12. Juli 2021

datensicherheit.de, 30.11.2020
IT-Sicherheit hinkt bei Digitalisierung im Gesundheitswesen hinterher / PSW GROUP gibt Tipps, wie sich die IT-Sicherheit im Gesundheitswesen verbessern lässt

datensicherheit.de, 16.08.2020
Gesundheitswesen: Digitalisierung-Datenschutz-Synergie / Haye Hösel erläutert „1×1 des Datenschutzes“ im Kontext der notwendigen Erhebung besonders sensibler Informationen im Gesundheitswesen

[datensicherheit.de, 16.04.2021] Uniscon hat den dritten Jahrestag des sogenannten CLOUD Act der USA zum Anlass genommen, die rechtlichen Fallstricke für europäische Unternehmen genauer zu beleuchten. Am 23. März 2018 sei mit dem CLOUD Act („Clarifying Lawful Overseas Use of Data Act“) ein umstrittenes US-amerikanisches Gesetz aus der Taufe gehoben worden. Dessen Ziel sei es, Strafverfolgungsbehörden ein schlagkräftiges Instrument an die Hand zu geben, um Organisierte Kriminalität sowie Terrorismus effektiv bekämpfen zu können. Der CLOUD Act erlaube es US-Behörden und internationalen Strafverfolgern, Zugriffsanfragen an Cloud-Betreiber zu richten, und solle es zudem erleichtern, diese Anfragen durchzusetzen.

Datenschützer äußern immer wieder Kritik am CLOUD Act

Da die angeforderten Informationen in der Regel auch personenbezogene Daten beinhalteten, äußerten Datenschützer immer wieder Kritik am CLOUD Act. Vor allem die Gefahr, dass unbescholtene EU-Bürger ohne Anlass ins Fadenkreuz staatlicher Akteure geraten könnten, hinterlasse bis heute einen faden Beigeschmack an diesem Gesetzeswerk.
In Zeiten fortschreitender Digitalisierung könne sich kaum ein Unternehmen dem Gang in die Cloud erwehren. Da sich jedoch die meisten – und größten – Cloud-Provider in den USA befänden, sorgten sich viele in der EU ansässige Firmen um die Daten ihrer Kunden. Denn diese fielen auch dann in den Geltungsbereich des CLOUD Act, wenn sie in der EU lägen oder verarbeitet würden, solange der betreffende Server einem US-amerikanischen Anbieter oder einer Tochtergesellschaft gehöre.

Ist die DSGVO überhaupt mit dem CLOUD Act vereinbar?

Dieser Umstand sorge bei vielen Unternehmen für Fragen: „Mache ich mich strafbar, wenn ich die personenbezogenen Daten meiner Kunden und Geschäftspartner bei einem US-Dienst speichere oder verarbeiten lasse? Ist die DSGVO überhaupt mit dem CLOUD Act vereinbar?“ Diese Sorgen kämen nicht von ungefähr – denn mit dem Ende des „EU-US Privacy Shield“ fehle nun jede Rechtssicherheit beim Datenaustausch zwischen EU und den USA. Die Frage nach möglichen Compliance-Problemen sei somit berechtigt und sollte von jedem Datenschutzbeauftragten gestellt werden. Die Antwort indes sei nicht ganz so einfach und bedürfe einer Betrachtung, wie die US-amerikanischen Provider mit dieser Problematik umgehen.
„Wer nun befürchtet, dass jeder Datensatz auf Servern von Microsoft, Amazon, Apple oder Google automatisch in die Hände der amerikanischen Behörden gelangt, liegt daneben.“ Die Tech-Giganten nämlich wehrten sich mit allen ihnen zur Verfügung stehenden Mitteln, um die pauschale Herausgabe von Kundendaten an Strafverfolger zu verhindern. Eine Datenfreigabe erfolge nur, wenn die anfragende Behörde die geltenden rechtlichen Verfahren befolge und die Rechtmäßigkeit der Anfrage nachweisen könne. Erst dann könne der Cloud-Provider zu einer Datenherausgabe gezwungen werden.

Antwort auf CLOUD Act: Konkurrenzfähige und innovative IT-Industrie in Europa!

Erfreulicherweise sei die grundsätzliche Ablehnung von behördlichen Anfragen in jüngster Vergangenheit recht erfolgreich und lasse europäische Firmen und Privatnutzer optimistisch in die Zukunft blicken: „So konnten beispielsweise 42 von 91 Anfragen im ersten Halbjahr 2020 abgewiesen werden, nachdem Microsoft diese vor einem US-Gericht angefochten hatte.“
Doch wenn wir den Datenschutz unserer europäischen Mitbürger wirklich ernstnehmen, gelte es, die eigenen Strukturen und Märkte zu stärken. Dazu brauche es eine konkurrenzfähige und innovative IT-Industrie in Europa. Diese müsse sowohl innovative Start-Ups als auch etablierte Player umfassen, welche der US-Konkurrenz auf Augenhöhe begegnen könnten.

Confidential Computing – ein mächtiges Instrumente im Kampf gegen Industriespionage, Cyber-Kriminalität und Zugriff via CLOUD Act

Vielversprechende Projekte wie „GAIA-X“, welche als Gegengewicht zur US-Konkurrenz dienen solle, machten Hoffnung. Hinzu kämen Anbieter wie etwa die TÜV SÜD-Tochter Uniscon, die nach eigenen Angaben „effektiven Datenschutz in der Cloud mit Hilfe von ,Confidential Computing‘ bzw. ,Sealed Computing‘ umsetzt“. „Confidential Computing“ beschreibt demnach den Ansatz, Daten nicht nur bei der Speicherung und Übertragung zu verschlüsseln, sondern auch während der Verarbeitung vor Angriffen zu schützen. Dazu erfolge diese innerhalb eines sicheren Bereichs, der sogenannten „Trusted Execution Environment“ (TEE).
Dies lasse sich sowohl auf Prozessorebene realisieren – wie es Google, Microsoft, Intel, IBM & Co. umsetzten – oder, wie im Falle des „Sealed Computing“, auf Server-Ebene. „Dort findet die Datenverarbeitung auf geschützten Server-Enklaven statt, die über reduzierte Schnittstellen verfügen und Eindringlinge konsequent aussperren. Ein widerrechtliches Abgreifen oder Manipulieren der Daten lässt sich so verhindern.“ Damit sei „Confidential Computing“ eines der mächtigsten Instrumente im Kampf gegen Industriespionage und Cyber-Kriminalität – und schütze auch vor dem Zugriff durch ausländische Behörden.

Am Ende entscheidet der Nutzer: CLOUD Act oder lieber DSGVO?

An Ideen und Konzepten mangele es in Europa wahrlich nicht. „Am Ende jedoch entscheidet der Nutzer über den Erfolg oder Misserfolg solcher Initiativen.“ Daher sei es von existenzieller Wichtigkeit, europäische Unternehmen und Mitbürger von den Vorteilen und der konkurrenzfähigen Qualität hiesiger IT-Produkte zu überzeugen.
Dafür gelte es noch viel Überzeugungsarbeit zu verrichten. „Sachverstand und Erfindergeist haben uns in Europa noch nie gefehlt; nun gilt es, die Fortschritte und Meilensteine der eigenen IT-Industrie gut und verständlich zu produktisieren und kommunizieren.“

Weitere Informationen zum Thema:

IONOS
Digitale Souveränität für Unternehmen in Zeiten des US CLOUD Act

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld

Bundesministerioum für Wirtschaft und Energie
GAIA-X Eine vernetzte Datenstruktur für ein europäisches digitales Ökosystem

privacyblog, Eine Initiative von UNiSCON – A member of TÜV SÜD, 21.02.2020
Confidential Computing: Was hat das mit der Sealed Cloud zu tun?

Microsoft, 11.02.2021
Im Daten-Dschungel: Wie Microsoft mit dem CLOUD Act umgeht

LHR RECHTSANWÄLTE, Kevin Heitmeier, 21.07.2020
Schrems II-Urteil: EuGH erklärt EU-US „Privacy Shield“ für ungültig

[datensicherheit.de, 10.07.2019] In deutschen Unternehmen gibt es mit den „Human Resources“ einen Bereich, in dem Datenverarbeitung immer gleichbedeutend mit der Verarbeitung personenbezogener Daten ist – denn Personaldaten haben definitionsgemäß stets einen Personenbezug und weisen damit in den meisten Fällen einen erhöhten Schutzbedarf auf.

DSGVO diktiert Regeln auch für Personaldaten

Selbstverständlich sind personenbezogene Daten nicht erst seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) angemessen zu schützen. Bereits das Bundesdatenschutz-gesetz (alt) formulierte konkrete Regeln für den Umgang mit personenbezogenen Daten, die auch unter der DSGVO weiter Bestand haben:

• Rechtsgrundlage zur Datenverarbeitung ist erforderlich.
• Daten dürfen nicht unbegrenzt gespeichert werden.
• Verarbeitung der Daten darf nur für den beabsichtigten Zweck erfolgen.
• Datenschutzverletzungen sind meldepflichtig.
• Daten sind angemessen zu schützen.

Doch darüber hinaus fordert die DSGVO bei Zuwiderhandlungen empfindliche Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweit erzielten Jahresumsatzes. Besonders heikel ist, dass Pflichtverletzungen im Datenschutzbereich Geschäftsführer und Vorstände persönlich ersatzpflichtig machen können – diese haften dann gegebenenfalls auch mit ihrem Privatvermögen. In Extremfällen können sogar Gefängnisstrafen verhängt werden. Viele Unternehmen setzen daher laut Uniscon „auf vermeintlich sichere Storage-Angebote wie beispielsweise digitale Datenräume“.

Privilegierter Zugriff als Risiko

Doch selbst, wenn die üblichen „technischen und organisatorischen Maßnahmen“ zum Schutz der Daten getroffen werden, bleibt ein nicht zu unterschätzendes Restrisiko: Dieses besteht selbst dann, wenn die personenbezogenen Daten in einem virtuellen Datenraum oder einer „Business Cloud“ abgelegt sind. Denn gerade organisatorische Maßnahmen wie etwa sorgfältig durchdachte Rechte- und Rollenkonzepte lassen sich laut Uniscon „mit verhältnismäßig überschaubarem Aufwand umgehen“.
Darüber hinaus können sich Administratoren in der Regel privilegierten Zugriff zu den Servern verschaffen und vertrauliche Daten einsehen, manipulieren oder entwenden. Das aber bringt die Verantwortlichen in Bedrängnis, denn diese haben die Integrität der Daten sicherzustellen.
Um personenbezogene Daten wie Personaldaten vor Einsicht, Manipulation oder Verlust zu schützen, „braucht es eine technische Lösung, die jeglichen – auch privilegierten – Zugriff zuverlässig unterbindet“. Herkömmliche Public-Cloud-Angebote könnten diese Anforderung in der Regel nicht erfüllen. Sogar viele „Business Clouds“ täten sich schwer, unerwünschte Datenzugriffe wirkungsvoll zu unterbinden – „die meisten klassischen Server-Infrastrukturen sehen privilegierte Admin-Zugänge vor, beispielsweise zu Wartungs- oder Monitoring-Zwecken“.

Abhilfe: Privilegierten Admin-Zugriff gar nicht erst vorsehen

Einen besseren Ansatz verfolgten betreibersichere Infrastrukturen: Dort würden die organisatorischen Schutzmaßnahmen ausnahmslos durch technische Maßnahmen ersetzt, die sich auch mit hohem Aufwand nicht umgehen ließen.
Die Server seien hermetisch abgeriegelt, ein privilegierter Admin-Zugriff sei nicht vorgesehen – „eine Kenntnisnahme vertraulicher Daten ist ebenso ausgeschlossen wie Diebstahl und Manipulation. Das gilt nicht nur für Administratoren, sondern für alle externen und internen Angreifer“.

Betreibersichere Infrastrukturen mit hohem Datenschutzniveau

„Unternehmen, die zur Speicherung und Verarbeitung vertraulicher und personenbezogener Daten auf betreibersichere Cloud- und Datenraum-Angebote setzen, sind damit rechtlich auf der sicheren Seite“, so Uniscon. Stehen die Server noch dazu in einem EU-Land mit besonders hohem Datenschutzniveau wie etwa Deutschland, schaffe dies zusätzlich Vertrauen. Die passenden Zertifikate erleichterten den Verantwortlichen überdies die Erfüllung ihrer Rechenschaftspflichten.
Betreibersichere Infrastrukturen seien eine noch recht junge Alternative zu herkömmlichen Cloud-Infrastrukturen und würden wegen ihres hohen Datenschutzniveaus seit einigen Jahren zunehmend im geschäftlichen Umfeld eingesetzt. Dazu zählten unter anderem die versiegelte Cloud der Deutschen Telekom und die „Sealed Platform“ der TÜV SÜD-Tochter Uniscon GmbH.

Weitere Informationen zum Thema:

Wikipedia
Sealed Cloud

datensicherheit.de, 07.07.2019
Nutzerstudie 2019: Datenschutz und Datensicherheit in KMU

datensicherheit.de, 21.04.2019
Studie: DSGVO mangelhaft umgesetzt

datensicherheit.de, 30.08.2018
Personaldaten: Richtig agieren mit Daten- und Berufsgeheimnis

datensicherheit.de, 20.09.2009
Neue Bestimmungen zum Beschäftigtendatenschutz erster wichtiger Schritt

[datensicherheit.de, 11.05.2019] Dr. Hubert Jäger, Gründer und „CTO“ der TÜV-SÜD-Tochter Uniscon GmbH nimmt Stellung zu der Erfordernis, dass Banken und Finanzdienstleister ihre Transaktionsdienste ab September 2019 durch Verschlüsselung und Zwei-Faktor-Authentifizierung absichern müssen. „Doch um sensible Daten zuverlässig zu schützen, sollten Unternehmen mehr tun als das“, fordert Jäger.

Stichtag 14. September 2019

Online zu bezahlen sei noch nie so einfach gewesen, so Dr. Jäger: „Die EU-Richtlinie PSD2 (Payment Services Directive 2) mischt bereits seit Anfang 2018 die Payment-Branche auf. Sie erlaubt Unternehmen, auf Daten von Kreditinstituten zuzugreifen und begünstigt so die Entstehung neuer Finanz- und Zahlungsdienste, zum Beispiel Zahlungsauslöse- und Kontoinformationsdienste.“
Ab 14. September 2019 seien Banken und Unternehmen EU-weit dazu verpflichtet, diese Dienste durch Zwei-Faktor-Authentifizierung und verschlüsselte Übertragung abzusichern – „doch reicht das aus, um dem hohen Schutzbedarf sensibler Kundendaten zu genügen?“ Dr. Jäger rät Banken, Finanzdienstleistern und Unternehmen zu zusätzlichen Maßnahmen.

Sensible Daten müssen auch bei der Verarbeitung zuverlässig geschützt werden

„Starke Kundenauthentifizierung und Verschlüsselung bei der Datenübertragung sind Schritte in die richtige Richtung und helfen, Daten gegen Angriffe von außen abzusichern. Doch sensible Daten müssen auch bei der Verarbeitung zuverlässig geschützt sein – und zwar auch gegen Angriffe von innen“, erläutert Dr. Jäger.
Dies zu gewährleisten sei nicht einfach: „Werden Kundendaten im eigenen Rechenzentrum verarbeitet, muss der Anbieter seine Mitarbeiter durch geeignete Maßnahmen vom Zugriff auf sensible Informationen zuverlässig ausschließen. Bei der Nutzung von Cloud-Diensten wird es noch schwieriger, hinreichenden Datenschutz zu gewährleisten – es ist ein offenes Geheimnis, dass die meisten Cloud-Anbieter technisch die Möglichkeit haben, auf die Daten in ihren Rechenzentren zuzugreifen.“

DSGVO fordert hohes Sicherheitsniveau für Verarbeitung schutzbedürftiger Daten

„Viele Infrastrukturen können nicht das hohe Sicherheitsniveau bieten, dass die DSGVO für die Verarbeitung schutzbedürftiger Daten voraussetzt“, so Dr. Jäger und verweist auf Artikel 25 und 32 der Datenschutzgrundverordnung.
Gerade die dort aufgeführten Forderungen nach „Datenschutz durch Technikgestaltung“ – „Privacy by Design“ – und Schutzmaßnahmen nach dem „Stand der Technik“ stellten Unternehmen vor eine „echte Herausforderung“.

Kombination organisatorischer und technischer Maßnahmen

Eine Alternative zu klassischen Cloud- und Serverinfrastrukturen seien betreibersichere Clouds, die etwa in Form der „Versiegelten Cloud“ der Deutschen Telekom oder Uniscons „Sealed Platform“ seit einiger Zeit im kommerziellen Einsatz seien.
Dr. Jäger: „Viele Cloud-Anbieter setzen auf eine Kombination von organisatorischen und technischen Maßnahmen, um unerwünschte Zugriffe auszuschließen. Gerade organisatorische Schutzmaßnahmen lassen sich aber mit verhältnismäßig geringem Aufwand umgehen – ein nicht zu unterschätzendes Restrisiko bleibt hier also bestehen. Betreibersichere Infrastrukturen hingegen schließen durch rein technische Maßnahmen jeglichen unbefugten Datenzugriff aus – auch den Betreiber der Infrastruktur selbst.“ Sogar privilegierter Zugriff im Rechenzentrum oder durch den Administrator sei technisch ausgeschlossen – und auch ein Zugriff durch in- oder ausländische Behörden sei so unmöglich. Auf diese Weise könnten sensible Daten nicht nur sicher übertragen und gespeichert werden, sondern sind auch bei ihrer Verarbeitung in der Cloud geschützt – und zwar sowohl gegen externe als auch interne Angreifer.

Konsequenter „Privacy by Design“-Ansatz

Bei der Entwicklung der „einzigartigen Zero-Trust-Technologie“ hätten die Softwareingenieure grundlegende Datenschutz- und IT-Sicherheitsgrundsätze von Anfang an berücksichtigt. Durch diesen konsequenten „Privacy by Design“-Ansatz erreichten betreibersichere Infrastrukturen ein höheres Sicherheitsniveau als andere Cloud-Lösungen und böten so eine ideale Basis für sämtliche digitalen Geschäftsmodelle, bei denen hochsensible Daten erhoben, gespeichert und verarbeitet werden.
„Das umfasst Finanz- und Payment-Services, aber auch alle anderen Dienste oder Anwendungen, bei denen Compliance höchste Priorität hat“, unterstreicht Dr. Jäger.

Foto: Uniscon GmbH

Dr. Hubert Jäger: „Betreibersichere Infrastrukturen schließen durch rein technische Maßnahmen jeglichen unbefugten Datenzugriff aus!“

Weitere Informationen zum Thema:

datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird

datensicherheit.de, 02.05.2019
Moderne Authentifizierung: Vom Password zu Zero Trust

datensicherheit.de, 07.06.2011
IPv6: Bundesdatenschutzbeauftragter fordert Privacy by Design

[datensicherheit.de, 09.10.2013] Bei Anwendung der „Sealed-Cloud“-Technologie habe nur der Eigentümer der Daten Zugriff auf diese, verspricht Dr. Ralf Rieken, CEO der Uniscon GmbH. Unter dem Titel „Datenschutz und Compliance bei der geschäftlichen Nutzung des Internets“ gab Dr. Rieken am 9. Oktober 2013 im „Forum Rot (Management)“ der „it-sa 2013“ einen Impulsvortrag.
Mit der richtigen Cloud sei es jedenfalls sicherer als ohne – und er wolle eine „public cloud“ vorstellen, die gar sicherer sei als eine „private cloud“.
Er nahm Bezug zum typischen Betriebsalltag, in dem selbst höchst sensible Informationen, z.B. Vertragsunterlagen oder Konstruktionsdaten, unverschlüsselt per E-Mail verschickt würden, denn eine reguläre Verschlüsselung würde zu einem firmenübergreifenden Schlüsselmanagement führen, das aber als zu kompliziert empfunden werde. Herkömmliche E-Mails aber seien so sicher wir offen verschickte Postkarten – ein Mitlesen und Analysieren sei für interessierte Kreise kein Problem, warnte Dr. Rieken.

Foto: Dirk Pinnow

Dr. Ralf Rieken: Sicherheitslösungen müssen bequem sein!

Komplizierte Sicherheitslösungen, so seine Warnung, führten zu einem Verlust an Bequemlichkeit und damit zur Unterlassung. Er empfehle daher die „Sealed Cloud“ – die Server seien ausschließlich in Deutschland lokalisiert und allein der Kunde habe Zugriff auf seine Daten; ein Fremdzugriff wie auch des Anbieters sei technisch ausgeschlossen. „Sealed Cloud“ biete eine bequeme zentrale Verschlüsselung in der Cloud; eine Extra-Software für den Client sei nicht erforderlich. Ferner biete man auch sichere Apps für den mobilen Zugriff an.

Weitere Informationen zum Thema:

Sealed Cloud
Wir schreiben PRIVACY ganz groß! / Sicheres Cloud Computing für unternehmenskritische Anwendungen!

[datensicherheit.de, 04.10.2013] Praktisch alle gesicherten Vorgänge im Internet basieren auf der SSL-Verschlüsselung.
Während Firmen und Privatleute noch auf SSL vertrauen, deuten aktuelle Medienberichte an, dass Verschlüsselung für den US-amerikanischen Geheimdienst NSA kein Hindernis mehr darstellt. Der NSA soll es gelungen sein, gängige Internet-Verschlüsselungsmethoden zu umgehen. Damit sei es möglich, große Teile des verschlüsselten Internet-Verkehrs zu überwachen. Das entsprechende Programm zur Entschlüsselung des Internet-Verkehrs soll den Namen „Bullrun“ tragen und 255 Millionen US-Dollar pro Jahr gekostet haben. Inhaltlich verraten die Berichte in den allgemeinen Medien jedoch nichts, was in der Fachwelt nicht schon seit Jahren Allgemeingut wäre. Der deutsche Sicherheitsexperte Dr. Hubert Jäger, Geschäftsführer des IT-Sicherheitsdienstleisters Uniscon, fasst den derzeitigen fachlichen Stand zum Thema Verschlüsselung wie folgt zusammen:

Keine absolute Sicherheit!

Generell habe schon immer gegolten und gelte noch heute, dass es „keine absolute Sicherheit“ gebe, daher vermieden ernsthafte
Sicherheitsdienstleister wie Uniscon auch Formulierungen, die so verstanden werden könnten. Sicherheit bzw. Privatheit sei vielmehr die „Ökonomie des Schutzes“ – hohe Sicherheit und in Folge zuverlässige Privatheit bedeuteten, dass die Attacke deutlich teurer kommt als die Beute wert ist.

Foto: Uniscon GmbH

Dr. Hubert Jäger: Sicherheit bzw. Privatheit als „Ökonomie des Schutzes“ definiert

Fatale Neigung, schwächste Glieder der Sicherheitskette zu ignorieren

Außerdem gelte stets, dass eine Sicherheitskette nur so stark sei wie ihr schwächstes Glied. Häufig neigten Sicherheitstechniker aber dazu, gerade die Glieder der Kette, von denen sie glauben, sie nicht sicher gestalten zu können, in ihrem Konzept zu verdrängen. An dieser Stelle setze die Uniscon GmbH auf ihrem Spezialgebiet, Sicherheit in der Cloud, an – in einer „ABC-Analyse“ der Sicherheitsketten liege die Sicherheit beim Betreiber von Cloud-Diensten, E-Mail-Diensten und Webservern an erster Stelle bei möglichen Lecks. Das heiße also, dass das Risiko besonders hoch sei. Die Sicherheit der Endgeräte sei das zweitgrößte Sicherheitsloch. Die verschlüsselte Übertragung über SSL/TLS sei dann nur noch das drittwichtigste Leck.

Betreibersicherheit hat Priorität!

Bislang würden oft ohne echten Beweis die Dienstanbieter sowie die Geräte-, Betriebssystem- und Anti-Virus-Hersteller als vertrauenswürdig angesehen, kritisiert Dr. Jäger. Die Datenskandale seien jedoch überwiegend auf Untreue und Lecks bei den Anbietern zurückzuführen, nicht auf geknackte Verschlüsselungen. Es sei also geboten, sich erst um das schwächste Glied in der Sicherheitskette und dann um das zweitschwächste usw. zu kümmern. Also seien zuerst Betreibersicherheit und vertrauenswürdige Endgeräte zu verbessern, dann sei eine besonders sichere Verschlüsselung zu entwickeln.

Unscharfe Diskussion über „Verschlüsselung“

Wenn in den Medien über „geknackte“ Verschlüsselungen berichtet wird, so werde in der Regel nicht zwischen den verschiedenen Methoden unterschieden, erläutert Dr. Jäger.

1. Bei SSL/TLS sei die einfachste Methode des Abhörens, sich als „Mann in der Mitte“ zwischen Sender und Empfänger zu stellen. Man müsse dazu eine zweite verschlüsselte Verbindung aufbauen, von der – und das sei das Problem – der normale Nutzer in gewöhnlichen Browsern nichts mitbekomme, während Experten die Zertifikatsdetails anschauten und den Angriff erkennen könnten. Die Geheimdienste beherrschten diese Methode wahrscheinlich, da sie bei manchen Zertifikatserstellern sogenannte Root-Zertifikate erhalten oder vielleicht auch in den Browsern eigene Root-Zertifikate deponiert hätten. Deswegen enthalte z.B. das „Firefox-Add-in für IDGARD“ eine automatisierte Angriffserkennung.
2. Eine zweite Methode des Abhörens sei das Kopieren des verschlüsselten Datenstroms und das anschließende automatisierte Durchprobieren aller möglichen Schlüssel. Dies dauere bei guter Verschlüsselung sehr lange. Bei mangelhafter Verschlüsselung könne das bei hohen Rechenleistungen und entsprechenden Kosten für die Geheimdienste aber inzwischen auch sehr schnell bewerkstelligt werden. „IDGARD“ etwa besitze für seine Verschlüsselung ein A-Rating. Dies bedeute, dass alles, was im Bereich SSL/TLS sicherheitstechnisch erreichbar ist, erreicht worden sei.
   Mittelfristig werde „IDGARD“ optional eine weitere Verschlüsselung „on-top“ anbieten.
3. Eine weitere Möglichkeit, Verschlüsselung zu knacken, seien der Fachöffentlichkeit unbekannte bzw. geheime „Back Doors“, also bislang unentdeckte Einfallstore oder Schwächen der Implementierung. Diese könnten Angreifer zur Entschlüsselung nutzen, wenn sie den Datenstrom kopiert haben. Hiergegen würden nur „Open Source“-Implementierungen helfen, so beispielsweise bei „IDGARD“ eingesetzt.

Unsicherheitsfaktor Mensch

Dass Privat- und Geschäftskommunikation abgehört wird, sollte mittlerweile jedem klar sein, unterstreicht Dr. Jäger. Heute gehe es in
erster Linie darum, dass das verdrängte Sicherheitsproblem beim Betreiber, zum Beispiel von Cloud-Diensten, E-Mail-Diensten und
Webservern, angegangen werde. Die meisten Sicherheitskonzepte von Cloud-Anbietern berücksichtigten den Unsicherheitsfaktor „Mensch“ nicht in umfassender Form. Um Vertrauen und Integrität in der Cloud umsetzbar zu machen, habe z.B. Uniscon die „Sealed-Cloud-Technologie“ entwickelt.

Uniscon setzt auf „Sealed Cloud

Unternehmensdaten, die auf „Sealed Cloud“-Servern gespeichert sind, seien technisch so abgesichert, dass sie vor den Blicken Außenstehender und sogar vor den Blicken des Cloud-Betreibers geschützt seien. Mit dem auf der „Sealed Cloud“ entwickelten Dienst „IDGARD“ könnten Nutzer über ein Web-Interface oder eine der „IDGARD“-Apps für Smartphones und Tablets auf geschützte Daten in der „Sealed Cloud“ zugreifen und mit ihren Partnern sicher kommunizieren. Seit wenigen Wochen stelle der Dienst zusätzliche Funktionen, wie beispielsweise einen abhörsicheren Chat, als sichere Alternative zu den Chats in Skype oder WhatsApp zur Verfügung. Auch bei der Nutzung von E-Mails arbeiteten viele Nutzer ohne einen angemessenen Datenschutz und legten täglich eigene und fremde
Informationen offen. Mit „IDGARD“ lässt sich das vermeiden, da der Dienst sichere Kommunikationsräume schaffe, die von allen üblichen Plattformen aus nutzbar seien.

Weitere Informationen zum Thema:

Sealed Cloud
Wir schreiben PRIVACY ganz groß!