Anzeige

Datenstrom

Im Jahr 2019 bewegten sich täglich 293,6 Milliarden E-Mails weltweit über das Internet. Das hat das Marktforschungsunternehmen Radicati Group in einer Studie ermittelt und prognostiziert: Tendenz weiter steigend.

Egal ob Unternehmen oder Privatperson, Empfänger oder Absender, alle Seiten wünschen dabei Sicherheit und Schutz ihrer Informationen vor unbefugtem Zugriff. Doch wer ist zuständig dafür, dass dieser Datenverkehr sicher und DSGVO-konform abläuft?

Wer ist überhaupt für die Sicherheit zuständig?

Die Zuständigkeiten bei der Sicherheit im Datenverkehr unterscheiden sich je nachdem, welche Kanäle genutzt werden. So sind im E-Mail-Verkehr bei einer End-zu-End-Verschlüsselung sowohl der Absender als auch der Empfänger dafür verantwortlich, Sicherheitsschlüssel zu generieren und Authentifizierungsmethoden, sogenannte Public Keys, auf Servern abzulegen, damit E-Mails verschlüsselt werden können. Operativ sind zur E-Mail-Verschlüsselung und -Signierung beispielsweise S/MIME oder PGP einsetzbar. Anders sieht das bei Datenverkehr zwischen Webseiten und Computern aus. Hier steht der Webseitenbetreiber in der Verantwortung, für die Sicherheit der übermittelten Informationen zu sorgen. Dies ermöglichen SSL-Zertifikate, die Webseiten sind dann an der URL „https“ zu erkennen.

Diese Zertifikate werden von unabhängigen Dritten geprüft und ausgestellt. Da sie stetig weiterentwickelt werden, um auch neueste Hackermethoden abzuwehren, sollten Betreiber immer die aktuellste Protokoll-Version einsetzen. Derzeit ist das TLS 1.3. Ältere Versionen sind angreifbar und schützen aus diesem Grund nicht umfassend. Ähnlich sieht es bei Webservern und Cloudszenarien aus. Auch hier ist immer der Betreiber für die Sicherheit der Daten verantwortlich. Der Datentransport zwischen Servern, Clients und Desktoprechnern wird dagegen über VPN (Virtual Private Network) in einer Art verschlüsseltem „Tunnel“ durch das Netzwerk geschickt, sodass die Daten auf dem Weg nicht von Dritten einsehbar sind. VPNs werden von IT-Administratoren und IT-Serviceprovidern aufgebaut und gepflegt. Jeder Anwender kann nur mit den richtigen Zugangsdaten auf Rechner und Daten innerhalb eines VPN zugreifen.

Sicher ist nicht gleich DSGVO-konform

Nun wird schnell angenommen, dass die sichere Datenübertragung automatisch bedeutet, dass die Daten DSGVO-konform behandelt werden. Dem ist jedoch nicht automatisch so. Nur weil der Datentransfer über eine Verbindung verschlüsselt wird, ist der weitere Umgang mit den Daten nicht zwangsläufig DSGVO-konform. Die DSGVO besagt, dass Unternehmen, die mit personenbezogenen Daten arbeiten, sicherstellen müssen, dass diese Daten von Dritten nicht eingesehen werden können. Das bedeutet, dass nicht nur die Übertragung verschlüsselt erfolgen muss, sondern auch die weitere Speicherung, Archivierung und Verwaltung. Oft unterschätzt oder gar nicht beachtet wird hier der Datentransfer über Filesharing-Plattformen. Dabei stellen sie ein erhebliches Problem dar, denn es ist oft nicht eindeutig klar, wo die Daten physisch liegen. Hier besteht zwar kein Sicherheitsproblem, allerdings ein erhebliches Compliance-Problem in Bezug auf DSGVO-konformes Datenmanagement, denn die DSGVO fordert bei der Übertragung und Archivierung von Daten eine eindeutige Dokumentation über Art der Daten, Ablageort und Aufbewahrungsdauer.

DSGVO-konformes Datenmanagement bedeutet auch Wiederauffindbarkeit der Daten. Hierzu gehören sinnvoll strukturierte Bezeichnungen mit Metadaten sowie ein übersichtlich organisiertes Ablagesystem. Ebenso muss innerhalb des Unternehmens eine Einstufung der Zugriffsberechtigungen erfolgen, um Daten DSGVO-konform zu verwalten. Hier schützen Zugangs- und Berechtigungskontrollen sowohl physisch als auch digital vor unbefugtem Zugriff auf Daten und Informationen. Um auch bei der Dauer der gespeicherten Daten konform zu arbeiten, lassen sich im Datenmanagement automatisierte Aufbewahrungszeiträume nach Art der Daten einrichten, denn so gilt für die Speicherung von handels- und steuerrechtlichen Informationen eine Frist von 10 Jahren, für medizinrechtliche Dokumente sind es dagegen bis zu 30 Jahre. Auch bei der Webserverkonfiguration muss auf DSGVO-Konformität geachtet werden: So konfiguriert PLUTEX die Webserver beispielsweise so, dass IP-Adressen ausschließlich anonymisiert und maximal für 3 Tage gespeichert werden. Eine längere Speicherdauer ist jedoch möglich, sollte das vom Kunden für Analysezwecke gewünscht werden. Außerdem erfolgt die Konfiguration immer auf HTTPS und auf Grundlage des aktuellsten TLS-Protokolls.

Einmal sicher, immer sicher? Mit Expertenhilfe schon

Um Datenverkehr und -verwaltung fortlaufend sicher zu organisieren, gilt es diese immer auf den aktuellen Standards zu halten. Ungepflegte und veraltete Server oder Betriebssysteme sowie fehlende Updates führen zu Sicherheitsrisiken, wenn beispielsweise keine aktualisierten Sicherheitspatches eingespielt werden, die vor neuartigen Viren, Trojanern, oder anderen Hackermethoden schützen. Doch wann sind Updates nötig und in welcher Größenordnung? Das ist für IT-ferne Personen oft schwer einzuschätzen und noch schwerer umzusetzen. Hier helfen Serviceprovider und übernehmen Einrichtung, Konfiguration und Pflege all dieser Techniken. Individuelle Serverkonfiguration je nach Größe des Unternehmens, Systemaufbau nach Anforderung an Datenverkehr und Verfügbarkeit realisieren die Experten unter Berücksichtigung der DSGVO-Vorgaben.

Außerdem setzen sie PGP für den sicheren E-Mail-Verkehr ein sowie VPN für sichere Kommunikation in Netzwerken und HTTPS für die Webserver. Um im Datenverkehr von Anfang bis Ende hohe Sicherheit vor Datenklau zu ermöglichen, kombinieren sie alle drei Techniken. Der Vorteil dieser externen Helfer? Sie sind rund um die Uhr im Einsatz und können zu jeder Tages- und Nachtzeit bei Problemen oder Vorfällen helfen, sei es ein Hackerangriff oder ein Systemausfall. Sie beherrschen ihr Handwerk, können die wichtigen Informationen verständlich vermitteln und unterstützen dabei, dass Datenverkehr und Datenablage sicher und DSGVO-konform ablaufen.

Torben Belz, Geschäftsführer
Torben Belz
Geschäftsführer, PLUTEX GmbH
(Bild: PLUTEX GmbH)

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Datentransfer

Datentransfer an Dritte ist die größte Sorge der deutschen Verbraucher

Inwiefern hat sich das Einkaufsverhalten von Kunden seit Beginn der Covid-19-Pandemie vom stationären auf den Onlinehandel verlagert? Welche Dinge stören deutsche Verbraucher am meisten, wenn sie ein Online-Nutzerkonto anlegen? Was sind die beliebtesten…
Datenschatz

Der Datenschatz und sein Fluch

Nutzerprofile sind Gold wert, heißt es immer wieder im Online-Marketing. Nur so lassen sich Kunden verstehen und Marketingbotschaften gezielt ausspielen. Kein Wunder, dass Marketer alles tun, um diesen Datenschatz zu heben. Dass sie sich mit US-Anbietern und…
Hintertür

Hintertüren für Ende-zu-Ende-Verschlüsselung?

Die Regierungschefs der Europäischen Union führen aktuell Gespräche darüber, ob und wie ihre Behörden in Zukunft verschlüsselte Kommunikation abhören und in die Strafverfolgung einbeziehen können.
Cookies

Cookies im Netz - Was sie alles können

Als Süßspeise bei den meisten überaus beliebt, genießen Cookies unter Internetnutzern hingegen häufig einen schlechten Ruf. Auch Datenschützer warnen immer wieder vor Cookies. Doch warum ist das so? Immerhin sorgen Cookies in erster Linie für ein möglichst…
USA-Flagge

Der Druck auf Unternehmen bei der Nutzung von US-Clouds wächst

Deutsche Unternehmen müssen schleunigst ihre Cloud-Strategie überprüfen, nachdem der EuGH das Ende des „Privacy Shield“-Abkommens eingeleitet hat. Ein Statement von Tobias Gerlinger, CEO und Managing Director von ownCloud in Nürnberg.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!