Datencontainer: Reicht das für die Datensicherheit?

Die Kapselung von Daten in Containern soll sie vor unbefugter Nutzung schützen. Der Datenschutz verlangt aber mehr, gerade bei hohem Schutzbedarf.

Dieser Artikel behandelt

Datenschutz

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, wenn es durch rechtliche Vorschriften erlaubt wird oder der Betroffene eingewilligt hat. Um Unbefugte davon abzuhalten, die personenbezogenen Daten einzusehen, zu verändern, zu löschen oder anderweitig zu missbrauchen, sind zahlreiche Maßnahmen der Datensicherheit vorgeschrieben.

Werden zu schützende Daten mit anderen Daten gemeinsam vorgehalten, erscheinen die Schutzmaßnahmen besonders schwierig. Das zeigt sich zum Beispiel bei der betrieblichen Nutzung privater Endgeräte (BYOD, Bring Your Own Device). Hier werden betriebliche Daten und Anwendungen mit privaten Apps und Informationen gemeinsam gespeichert und genutzt. Auf die besonderen Datenrisiken weist zum Beispiel der Berliner Beauftragte für Datenschutz und Informationsfreiheit hin.

Viele Sicherheitslösungen bieten inzwischen die Kapselung von Daten und Anwendungen an, ein sogenanntes Containering. Es stellt sich die Frage, ob diese Abkapselung für den Schutz personenbezogener Daten ausreicht oder nicht?

Datentrennung ist ein wichtiger Schritt

Werden bestimmte Daten von anderen abgekapselt, also verschiedene Datenbereiche in einem Speicher zum Beispiel des Smartphones oder Tablets geschaffen, hat dies klare Vorteile: Der Datenschutz verlangt, dass personenbezogene Daten nur für den Zweck ihrer Erhebung verarbeitet werden, sofern keine Einwilligung zur Zweckänderung vorliegt (Prinzip der Zweckbindung).

Private Daten und betriebliche Daten wurden aber ohne Zweifel für verschiedene Zwecke erhoben, so dass sie nicht ohne weiteres gemeinsam verarbeitet werden dürfen. Für Cloud-Dienste haben die Aufsichtsbehörden unterstrichen, dass die Daten verschiedener Mandanten strikt getrennt werden müssen (Mandantenfähigkeit). Eine Trennung in Datenbereiche, die eine zweckfremde Verarbeitung verhindert, ist also ganz im Sinne des Datenschutzes.

Doch nicht jede Trennung ist wirklich dicht

Die grundsätzliche Idee hinter einem Datencontainer als Datentrennung ist, dass die betreffenden Daten über eine spezielle Anwendung (Container-App) mit Verschlüsselung geschützt werden. Ohne den Schlüssel können weder Nutzer noch andere Anwendungen auf die Daten zugreifen. So erhalten dann zum Beispiel betriebliche Anwendungen die Berechtigung, betriebliche Daten zu verarbeiten und private Apps können private Informationen nutzen.

Doch die Verwendung von Container-Lösungen hat Vor- und Nachteile, worauf auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Überblickspapier „IT-Consumerisation und BYOD“ hingewiesen hat. So sind Datencontainer ein einfacher Weg zur Datentrennung, bieten aber nicht den vollständigen Schutz, den sich so manches Unternehmen davon verspricht.

Einerseits hängt die Sicherheit der Datenkapsel von der Stärke der Verschlüsselung und von der Komplexität des gewählten Passwortes ab. Andererseits macht es wenig Sinn, die Daten in dem Container zu schützen, wenn die Übertragung der Informationen in und aus dem Container heraus nicht ausreichend geschützt ist. Verbindungen zum Netzwerk des Unternehmens müssen kryptografisch abgesichert werden. Container-Lösungen, die dies nicht unterstützen, bieten keinen hinreichenden Schutz und sollten daher nicht eingesetzt werden, so das BSI. Eine strikte Trennung der Datenbereiche erreicht man eher mit einer Virtualisierungs- als mit einer Container-Lösung.

Akzeptanz beim Nutzer hinterfragen

Wie Datenschützer unterstreichen, gibt es bei Container-Lösungen auch Probleme mit der Akzeptanz bei den Nutzern: Ist die Container-App nicht geöffnet, werden zum Beispiel keine beruflichen E-Mails empfangen. Anwender begreifen dieses Anwendungsverhalten als Fehler und sind nicht bereit zu akzeptieren, dass es sich um ein Leistungsmerkmal handelt, so der Hessische Datenschutzbeauftragte. Bei mangelnder Akzeptanz suchen Anwender jedoch bekanntlich nach Ausweichstrategien und versuchen, die Sicherheitslösung zu umgehen.

Datencontainer sichern nicht die Verfügbarkeit

Einen weiteren Punkt dürfen Sie nicht vergessen: Die Kapselung von Datenbereichen über Container-Apps hat das Ziel, die missbräuchliche Nutzung der Daten zu verhindern, sie soll also gegen unerlaubte Zugriffe schützen. Für die Datensicherheit allerdings werden noch weitere Forderungen gestellt. So muss unter anderem auch die Verfügbarkeit der personenbezogenen Daten gewährleistet werden. Einen Schutz gegen versehentliches Löschen von Daten bieten Datencontainer allerdings nicht. Nach Eingabe des Container-Passwortes kann der Nutzer ohne weiteres Daten löschen oder auch Daten verändern (Integritätsverlust).

Die Maßnahmen der Verfügbarkeitskontrolle gegen den Datenverlust können durch Container-Lösungen sogar erschwert werden: Damit die Daten in dem Container bei dem regelmäßigen Backup berücksichtigt werden können, ist entweder die komplette Containerdatei zu sichern oder aber die Backup-Lösung benötigt Zugriff auf den Containerinhalt. Das ist insbesondere erforderlich, um eine Sicherung der Dateiänderungen vornehmen zu können. Eine Integration des Containers in das Backup ist aber nicht ohne weiteres gegeben.

Container-Lösungen in das Datenschutzkonzept integrieren

Alleine durch die Einführung von Container-Lösungen ist die Datensicherheit also nicht gewährleistet. Vielmehr müssen Unternehmen die genauen Funktionen und Einschränkungen der Datencontainer kennen und bei ihrem Datenschutzkonzept berücksichtigen. Das gilt zum Beispiel bei den Vorgaben für Passwörter, bei der Freigabe von Anwendungen, bei der Vereinbarung für BYOD und bei der Datensicherung.

 

Artikel wurde zuletzt im Mai 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close