Thought Leadership
Ist ein Schutzschild besser als ein sicherer Hafen? Diese Frage dürfte im Moment viele Verantwortliche in den Unternehmen umtreiben. Ein Kommentar von Malte Pollmann, CEO des IT-Sicherheitsspezialisten Utimaco.
Noch ist kein Gesetzestext verfügbar, noch gibt es überhaupt keine belastbaren Details, doch die Europäische Kommission hat eine politische Willensäußerung zum Safe-Harbor-Nachfolger bekanntgegeben. Dieser segelt nun nicht mehr im geschützten Hafen, sondern unter der Flagge EU-US Privacy Shield.
Datenschützer kritisieren schon jetzt, dass die dort angekündigte zukünftige Regelung ähnlich wie die Vorgängerversion keinen ausreichenden Schutz bieten kann. Viele Fragen für eine rechtssichere Anwendung in der Praxis sind vollkommen ungeklärt und es ist sehr wahrscheinlich, dass der Europäische Gerichtshof auch den angekündigten EU-US Privacy Shield wieder als unzureichend kippen wird.
Bleibt also nur eines: Ein eigenes Schutzschild schmieden. Und zwar durch konsequente Ende-zu-Ende-Verschlüsselung der Daten. So sind die Informationen selbst dann rechtssicher geschützt, wenn Unberechtigte darauf zuzugreifen versuchen. Denn sie erhalten nur unleserlichen Codesalat. Dies gelingt allerdings nur, wenn die Schlüsselerzeugung, -speicherung und -verwaltung in einem separaten, geschützten Bereich erfolgt.
Das bedeutet erstens: Die Schlüssel müssen qualitativ so gut sein, dass das Anfertigen eines Duplikats und das Ausnützen einer Schwachstelle unmöglich ist. Und zweitens: Die Datensauger der Geheimdienste dürfen keine Chance haben, an die Originale zu kommen. Diese Aufgaben übernehmen Hardware-Sicherheitsmodule – dedizierte Geräte innerhalb der IT-Infrastruktur, die Schlüssel mit echten Zufallszahlengeneratoren erzeugen und sie gegen unautorisierte Zugriffe schützen, weil Daten niemals unverschlüsselt vorliegen.
Es wird sich noch herausstellen, wie viel Schutz der neue EU-US Privacy Shield tatsächlich bieten wird und ob die Vereinbarung der kritischen Prüfungsinstanzen standhält. Wollen die Verantwortlichen in der Zwischenzeit straffrei und compliant bleiben, sind sie gut beraten, die Kontrolle über ihre Daten selbst in die Hand zu nehmen. Frei nach dem Motto: Vertrauen ist gut, verschlüsseln ist besser.
