Kurzposition: Verschlüsselung und Backups
Egal ob in Organisationen oder als Privatperson: Verschlüsselung bringt einen klaren Mehrwert für den Schutz personenbezogener Daten – Verschlüsselung stärkt das Datenschutz-Ziel „Vertraulichkeit“. Mittels guter Verschlüsselung geschützte Daten lassen ohne den korrekten Schlüssel keine Rückschlüsse auf die geschützten Daten zu. Das verringert Risiken, wie z.B. unberechtigte Verarbeitung oder Kenntnisnahme.
Im Falle des Verlusts eines Datenträgers oder mobilen Endgeräts besteht der Schutz i.d.R. fort. Verschlüsselung hat sich in vielen Bereichen bereits als Standard etabliert, wenn „ruhende Daten“ („data at rest“) geschützt werden sollen und ist vielfach bereits in Produkte integriert. Die Umsetzung ist im Vergleich zu physikalischen Schutzmaßnahmen einfacher und mit nur geringen Kosten verbunden. Verschlüsselung ist eine Maßnahme, die mit anderen technischen und organisatorischen Maßnahmen verschränkt werden muss. Im Verbund können diese helfen, die bestehenden Risiken einer Verarbeitung auf ein akzeptables Niveau zu senken.
Verschlüsselung
Bei der Verschlüsselung ruhender Daten sind verschiedene Verfahrensweisen üblich – die vollständige Verschlüsselung eines Datenträgers oder die Verschlüsselung einzelner Objekte, Dateien oder Ordnerstrukturen. Die vollständige Verschlüsselung eines Datenträgers, auch Festplattenverschlüsselung (englisch „Full disk encryption“, kurz FDE) schützt unterschiedslos alle gespeicherten Daten auf dem Datenträger vor unbefugtem Zugriff, so lange das Gerät ausgeschaltet oder gesperrt ist. FDEbietet allerdings keinen Schutz, wenn das Gerät eingeschaltet oder entsperrt ist, da dann auch alle Dateien entschlüsselt vorliegen. Ein Schutz, wenn die entsprechenden Daten über das Netzwerk übertragen werden, besteht ebenfalls nicht. FDE kann und muss daher je nach Schutzbedarf mit weiteren Schutzmaßnahmen, wie z.B. Verschlüsselung auf Ordner- oder Dateiebene ergänzt werden. Durch die Verschlüsselung des „Home-Verzeichnis“ etwa können verschiedene Accounts auf einem System voneinander isoliert und Dateien mit hohem Schutzbedarf, wie z.B. Passwort-Datenbanken, zusätzlich abgesichert werden. Die Durchsetzung rollenorientierter Zugriffsrechte ist so ebenfalls möglich. Auch bei der Nutzung von Verschlüsselungsverfahren kann es notwendig sein, dass bestimmte (Meta‑) Daten wie Benutzerkennung, Verzeichnisstrukturen, oder Ähnliches, unverschlüsselt vorgehalten werden müssen. In solchen Fällen sind Maßnahmen umzusetzen, die die Integrität der unverschlüsselten Daten gewährleisten und die ggf. personenbezogenen (Meta‑) Daten schützen.
Besonders deutlich wird das bei der Verwendung mobiler Datenträger oder Endgeräte und deren Transport. Hier ist der Einsatz von Verschlüsselung als wichtige Maßnahme zur Gewährleistung der Vertraulichkeit immer geboten, da im Allgemeinen ein erhebliches Risiko durch Verlust oder Diebstahl und anschließenden Missbrauch entsteht.
Backups
Der Verlust stellt auch eine mögliche Einschränkung der Verfügbarkeit dar. Eine typische Gegenmaßnahme sind Backups. Backups sind Kopien der Daten, die für die Wiederherstellung im Notfall verwendet werden können. Sie sollten ebenfalls verschlüsselt werden, wenn sie personenbezogene Daten enthalten. Das bietet Schutz vor Datendiebstahl. Die Verschlüsselung der Backups kann aber auch mit Nachteilen einhergehen, etwa einer erhöhten Komplexität und zusätzlichen Prozessen, z.B. das Schlüsselmanagement. Vertraulichkeit und Verfügbarkeit müssen hier gegeneinander abgewogen werden. Zusätzlich ist zu beachten, dass Schutzmaßnahmen, die für die ursprüngliche Verarbeitung getroffen wurden, für das Backup möglicherweise nicht oder nur eingeschränkt wirken. Beispiele hierfür können Beschränkungen der Zugriffsanzahl, Protokollierungen oder Zugriffsrollen sein, die für das Backup nicht durchgesetzt werden. Durch Verschlüsselung kann auch in solchen Fällen ein effektiver Schutz vor unberechtigter Kenntnisnahme erreicht werden.
Damit Backups ihre Schutzwirkung entfalten können, müssen diese auch tatsächlich für eine Wiederherstellung im Schadensfall herangezogen werden können. Dazu gehört, dass diese im Schadensfall, z.B. nach einem Brand, überhaupt verfügbar sind und nicht ebenfalls zerstört wurden. Die Datensicherungen müssen ausreichend aktuell und so aufbereitet sein, dass sie in die jeweilige Umgebung wieder eingespielt werden können. Dieser Vorgang sollte regelmäßig geprobt werden. Im Falle einer Kompromittierung der Umgebung muss sichergestellt werden, dass die Backups unverändert sind, bevor diese in eine neue Umgebung eingespielt werden. Dazu müssen geeignete Maßnahmen zur Sicherung der Integrität der Backups ergriffen werden. Werden Daten aus dem Backup wiederhergestellt muss sichergestellt werden, dass insbesondere keine personenbezogenen Daten wiedereingespielt werden, die nicht mehr verarbeitet werden dürfen.
Technische und organisatorische Maßnahmen
Bei der Verschlüsselung spielt das Schlüsselmanagement eine zentrale Rolle, denn die Kenntnis des Schlüssels ermöglicht die Entschlüsselung der Daten. Auf den Schlüssel dürfen also nur Personen Zugriff erlangen, die auch tatsächlich befugt sind, auf die entschlüsselten Daten zuzugreifen. Andererseits müssen Schlüssel stets so gut und schnell verfügbar sein, dass ein Zugriff auf die verschlüsselten Daten möglich ist, wenn er erforderlich ist, damit die Verfügbarkeit der Daten gewährleistet bleibt. Von Schlüsseln sollten ebenfalls Backups erstellt und geeignet geschützt werden. Als Mindestanforderung an die Sicherheit der Aufbewahrung der Schlüssel und deren Backups gilt, dass diese genauso sicher aufzubewahren sind wie die unverschlüsselten Daten. Eine geeignete Schutzmaßnahme für Schlüssel können z.B. Zwei-Faktor-Verfahren sein.
Alle Maßnahmen zum Schutz personenbezogener Daten müssen mindestens nach dem Stand der Technik erfolgen. Dazu gehören auch die ausgewählten Verschlüsselungsverfahren, die Schlüssellängen sowie die Verfahren zur Schlüsselerzeugung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt mit seiner Technischen Richtlinie BSI TR-02102 bei der Auswahl geeigneter Verschlüsselungsverfahren sowie der Festlegung geeigneter Schlüssellängen. Es ist regelmäßig zu prüfen, ob die verwendeten Verfahren weiterhin geeignet sind oder ob ein Übergang zu stärkeren Verfahren und größeren Schlüssellängen vorgenommen werden muss. Dies sollte ohne wesentliche Änderungen am Gesamtsystem möglich sein (Kryptoagilität).
Bereits bei der Konzeption einer Verarbeitung, bei der Verschlüsselung als technisch-organisatorische Maßnahme eingesetzt werden soll, müssen die notwendigen Mechanismen und Prozesse vorgesehen und abgestimmt werden. Dazu gehören auch Maßnahmen gegen ein mögliches Maßnahmenversagen, um etwa bei Verlust oder Kompromittierung von Schlüsseln (dazu zählt beispielsweise bereits der Verlust einer Chipkarte ohne dass es konkrete Anhaltspunkte gibt, dass der Schlüssel missbraucht wird) diese zu sperren bzw. zu ersetzen. Außerdem müssen Prozesse für das sichere Löschen der Daten und des Schlüsselmaterials vorgesehen werden (siehe dazu auch den SDM-Baustein „Löschen und Vernichten“).
Auch wenn Backups und Verschlüsselung allein für ein Datenschutzkonzept nach dem Stand der Technik nicht ausreichen, sollten sie aufgrund ihrer Stärken grundsätzlich jedem Datenschutzkonzept entsprechend berücksichtigt werden.
Zusatzinformationen
Publikationen und Downloads
- Zur Detailansicht der Publikation Datenschutz-Grundverordnung - Bundesdatenschutzgesetz - Texte und Erläuterungen (Info 1)(Publikation kann heruntergeladen oder in den Warenkorb gelegt werden)
- Zur Detailansicht der Publikation Datenschutz und Telekommunikation (Info 5)(Publikation kann heruntergeladen oder in den Warenkorb gelegt werden)
- Zur Detailansicht der Publikation Vernetzte Fahrzeuge - Datenschutz im Auto(Publikation kann heruntergeladen oder in den Warenkorb gelegt werden)
- Zur Detailansicht der Publikation RFID-Funkchips für jede Gelegenheit?(Publikation kann heruntergeladen oder in den Warenkorb gelegt werden)