Datenschutz: Anforderungen an die Verschlüsselung

Verschlüsselung ist eine der wichtigsten Maßnahmen im technischen Datenschutz. Doch nicht jede Verschlüsselung erhöht wirklich die Datensicherheit.

So wichtig Maßnahmen der IT-Sicherheit für den Schutz personenbezogener Daten auch sind: Konkrete Verfahren der IT-Sicherheit findet man in den rechtlichen Vorgaben wie dem Bundesdatenschutzgesetz (BDSG) kaum. Eine Ausnahme ist die Verschlüsselung. Diese wird explizit in den technisch-organisatorischen Maßnahmen benannt: Dort heißt es sinngemäß, dass eine Maßnahme im Bereich Zugangskontrolle, Zugriffskontrolle und Weitergabekontrolle insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren ist.

Zugang schützen, Zugriff regeln, Weitergabe absichern

Mit Verschlüsselungsverfahren soll also erreicht werden, dass Unbefugte keinen Zugang zu personenbezogenen Daten erhalten. Außerdem sollen Nutzer nicht auf personenbezogene Daten zugreifen können, für die ihnen die Berechtigung fehlt. Auch muss sichergestellt sein, dass personenbezogene Daten bei Transport und Übertragung gegen Diebstahl oder Abfangen geschützt sind.

Um das tatsächlich zu verhindern, genügt natürlich nicht jedes Verschlüsselungsverfahren, denn bekanntlich gibt es auch zu schwache, unsichere Verfahren.

Stand der Technik beachten

Die Datenschutzgesetze verweisen deshalb auf den Stand der Technik, dem die Verschlüsselungsverfahren entsprechen müssen. Wie dieser aussieht, wird nicht in einem Gesetz geregelt, denn die Dynamik der Technik ist zu hoch. Vielmehr sollten Anwenderunternehmen auf die aktuelle Technische Richtlinie „Kryptographische Verfahren: Empfehlungen und Schlüssellängen (BSI TR-02102)“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) achten. Allerdings wird vom BSI kein Anspruch auf Vollständigkeit erhoben, nicht aufgeführte Verfahren werden vom Bundesamt also nicht unbedingt als unsicher eingestuft.

Auch die European Union Agency for Network and Information Security (ENISA) bietet Orientierung, wenn es um den Stand der Technik bei Verschlüsselungsverfahren geht. Die aktuellen Empfehlungen „Recommended cryptographic measures - Securing personal data“ betreffen unter anderem Verschlüsselungsalgorithmen und Schlüssellängen.

Beispiel: Verschlüsselung im Fall von De-Mail

Der Umfang der Empfehlungen zeigt, dass sich die Anforderungen an eine nach dem Stand der Technik sicheren Verschlüsselung nicht in einem Satz darstellen lässt. Dafür aber wird schnell deutlich, was aus Sicht der Aufsichtsbehörden bei entsprechendem Schutzbedarf nicht ausreicht, wenn es um eine verschlüsselte Datenübertragung geht.

Herkömmliche E-Mails sind oftmals unverschlüsselt: Laut einer BITKOM-Umfrage setzen nur etwas mehr als die Hälfte der befragten Unternehmen Verschlüsselung für E-Mail ein. Auch De-Mail bietet eine Verschlüsselung. Die Datenschutz-Aufsichtsbehörden haben allerdings auf ein Problem bei der Verschlüsselung von De-Mail hingewiesen: Eine durchgehende Verschlüsselung findet nur auf der Strecke zwischen den De-Mail-Anbietern statt. Wer sensible Daten verschicken will, soll deshalb zusätzlich verschlüsseln, so die Empfehlung des Bundesdatenschutzbeauftragten. Die Frage ist nun, ob eine zusätzliche Verschlüsselung bei De-Mail zu nutzen ist oder nicht? Laut Datenschutz-Empfehlung sollen die Anwender diesbezüglich eine Schutzbedarfsanalyse für die Daten vornehmen, die übertragen werden sollen.

Von einem hohen oder sehr hohen Schutzbedarf und damit der Notwendigkeit für eine zusätzliche Ende-zu-Ende-Verschlüsselung können Anwender ausgehen, wenn zum Beispiel personenbezogene Daten übertragen werden. Die gehören nach Bundesdatenschutzgesetz zu den sogenannten besonderen Arten personenbezogener Daten, also Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

Denkt man an die Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten, also an Datenpannen und Sicherheitsvorfälle, die gemeldet werden müssen, sollten auch die Daten zusätzlich verschlüsselt werden, die im Verlustfall zu einer Informationspflicht führen können. Zusätzlich zu den besonderen Arten personenbezogener Daten sind dies personenbezogene Daten:

  • Informationen, die einem Berufsgeheimnis unterliegen
  • personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen
  • personenbezogene Daten zu Bank- oder Kreditkartenkonten.

Forderung nach Ende-zu-Ende-Verschlüsselung

Gerade die laufende Diskussion zu Überwachungsmaßnahmen im Internet zeigt deutlich, wie wichtig eine möglichst sichere Verschlüsselung ist. Mit einer Entschließung auf der 86. Konferenz der Datenschutzbeauftragten des Bundes und der Ländern am 1./2. Oktober 2013 forderten die Aufsichtsbehörden deshalb, eine sichere elektronische Kommunikation zu gewährleisten und eine Ende-zu-Ende-Verschlüsselung einzusetzen und weiterzuentwickeln.

Nicht nur Anti-Malware braucht Aktualisierung, auch die Verschlüsselung

„Kodierung ist eine alte Methode, Daten zu sichern und auch heutzutage noch ein effektives Mittel, um persönliche Daten online zu schützen“, so der geschäftsführende Direktor der ENISA, Professor Udo Helmbrecht. Entscheidend ist dabei, dass zum einen auf die genannte Ende-zu-Ende-Verschlüsselung geachtet wird. Zum anderen gilt es nicht nur, Betriebssysteme, Anwendungen und Anti-Viren-Definitionen zu aktualisieren. Auch die Verschlüsselungsverfahren sowie -lösungen müssen regelmäßig auf Aktualität und Einhaltung des Stands der Technik überprüft werden.

Artikel wurde zuletzt im November 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Email-Schutz

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close