Aktuelles, Branche - geschrieben von dp am Samstag, Mai 11, 2019 19:44 - noch keine Kommentare
Zero-Trust-Technologie: Privacy by Design für betreibersichere Infrastrukturen
Dr. Hubert Jäger erläutert, wie sensible Daten auch bei der Verarbeitung in der Cloud geschützt werden
[datensicherheit.de, 11.05.2019] Dr. Hubert Jäger, Gründer und „CTO“ der TÜV-SÜD-Tochter Uniscon GmbH nimmt Stellung zu der Erfordernis, dass Banken und Finanzdienstleister ihre Transaktionsdienste ab September 2019 durch Verschlüsselung und Zwei-Faktor-Authentifizierung absichern müssen. „Doch um sensible Daten zuverlässig zu schützen, sollten Unternehmen mehr tun als das“, fordert Jäger.
Stichtag 14. September 2019
Online zu bezahlen sei noch nie so einfach gewesen, so Dr. Jäger: „Die EU-Richtlinie PSD2 (Payment Services Directive 2) mischt bereits seit Anfang 2018 die Payment-Branche auf. Sie erlaubt Unternehmen, auf Daten von Kreditinstituten zuzugreifen und begünstigt so die Entstehung neuer Finanz- und Zahlungsdienste, zum Beispiel Zahlungsauslöse- und Kontoinformationsdienste.“
Ab 14. September 2019 seien Banken und Unternehmen EU-weit dazu verpflichtet, diese Dienste durch Zwei-Faktor-Authentifizierung und verschlüsselte Übertragung abzusichern – „doch reicht das aus, um dem hohen Schutzbedarf sensibler Kundendaten zu genügen?“ Dr. Jäger rät Banken, Finanzdienstleistern und Unternehmen zu zusätzlichen Maßnahmen.
Sensible Daten müssen auch bei der Verarbeitung zuverlässig geschützt werden
„Starke Kundenauthentifizierung und Verschlüsselung bei der Datenübertragung sind Schritte in die richtige Richtung und helfen, Daten gegen Angriffe von außen abzusichern. Doch sensible Daten müssen auch bei der Verarbeitung zuverlässig geschützt sein – und zwar auch gegen Angriffe von innen“, erläutert Dr. Jäger.
Dies zu gewährleisten sei nicht einfach: „Werden Kundendaten im eigenen Rechenzentrum verarbeitet, muss der Anbieter seine Mitarbeiter durch geeignete Maßnahmen vom Zugriff auf sensible Informationen zuverlässig ausschließen. Bei der Nutzung von Cloud-Diensten wird es noch schwieriger, hinreichenden Datenschutz zu gewährleisten – es ist ein offenes Geheimnis, dass die meisten Cloud-Anbieter technisch die Möglichkeit haben, auf die Daten in ihren Rechenzentren zuzugreifen.“
DSGVO fordert hohes Sicherheitsniveau für Verarbeitung schutzbedürftiger Daten
„Viele Infrastrukturen können nicht das hohe Sicherheitsniveau bieten, dass die DSGVO für die Verarbeitung schutzbedürftiger Daten voraussetzt“, so Dr. Jäger und verweist auf Artikel 25 und 32 der Datenschutzgrundverordnung.
Gerade die dort aufgeführten Forderungen nach „Datenschutz durch Technikgestaltung“ – „Privacy by Design“ – und Schutzmaßnahmen nach dem „Stand der Technik“ stellten Unternehmen vor eine „echte Herausforderung“.
Kombination organisatorischer und technischer Maßnahmen
Eine Alternative zu klassischen Cloud- und Serverinfrastrukturen seien betreibersichere Clouds, die etwa in Form der „Versiegelten Cloud“ der Deutschen Telekom oder Uniscons „Sealed Platform“ seit einiger Zeit im kommerziellen Einsatz seien.
Dr. Jäger: „Viele Cloud-Anbieter setzen auf eine Kombination von organisatorischen und technischen Maßnahmen, um unerwünschte Zugriffe auszuschließen. Gerade organisatorische Schutzmaßnahmen lassen sich aber mit verhältnismäßig geringem Aufwand umgehen – ein nicht zu unterschätzendes Restrisiko bleibt hier also bestehen. Betreibersichere Infrastrukturen hingegen schließen durch rein technische Maßnahmen jeglichen unbefugten Datenzugriff aus – auch den Betreiber der Infrastruktur selbst.“ Sogar privilegierter Zugriff im Rechenzentrum oder durch den Administrator sei technisch ausgeschlossen – und auch ein Zugriff durch in- oder ausländische Behörden sei so unmöglich. Auf diese Weise könnten sensible Daten nicht nur sicher übertragen und gespeichert werden, sondern sind auch bei ihrer Verarbeitung in der Cloud geschützt – und zwar sowohl gegen externe als auch interne Angreifer.
Konsequenter „Privacy by Design“-Ansatz
Bei der Entwicklung der „einzigartigen Zero-Trust-Technologie“ hätten die Softwareingenieure grundlegende Datenschutz- und IT-Sicherheitsgrundsätze von Anfang an berücksichtigt. Durch diesen konsequenten „Privacy by Design“-Ansatz erreichten betreibersichere Infrastrukturen ein höheres Sicherheitsniveau als andere Cloud-Lösungen und böten so eine ideale Basis für sämtliche digitalen Geschäftsmodelle, bei denen hochsensible Daten erhoben, gespeichert und verarbeitet werden.
„Das umfasst Finanz- und Payment-Services, aber auch alle anderen Dienste oder Anwendungen, bei denen Compliance höchste Priorität hat“, unterstreicht Dr. Jäger.
Dr. Hubert Jäger: „Betreibersichere Infrastrukturen schließen durch rein technische Maßnahmen jeglichen unbefugten Datenzugriff aus!“
Weitere Informationen zum Thema:
datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird
datensicherheit.de, 02.05.2019
Moderne Authentifizierung: Vom Password zu Zero Trust
datensicherheit.de, 07.06.2011
IPv6: Bundesdatenschutzbeauftragter fordert Privacy by Design
Aktuelles, Experten, Studien - Nov 14, 2024 19:29 - noch keine Kommentare
Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
weitere Beiträge in Experten
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
- KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf
- eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz
- US-Angemessenheitsbeschluss und Datenschutz bei Strafverfolgungsbehörden – EDSA bezieht Position
Aktuelles, Branche, Studien - Nov 14, 2024 19:20 - noch keine Kommentare
NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland
weitere Beiträge in Branche
- Black Friday: Hochsaison für Schnäppchenjagd – und raffinierte Phishing-Angriffe
- Erkenntnis aus BSI-Bericht 2024: Zahl der Cyber-Vorfälle in Deutschland erneut zugenommen
- Ymir: Kaspersky warnt vor neuentdeckter Ransomware
- Fremd-Zugriff auf Standortdaten: Lauf-Apps können Gefahr für eigene Sicherheit bergen
- JFrog-Analyse zur Gefährdung Maschinellen Lernens: Kritische Schwachstellen in ML-Frameworks entdeckt
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren