GDPR und Verschlüsselung

Beachte, dass dieser Artikel nur zu Informationszwecken dient. Er ist nicht als Rechtsberatung gedacht und sollte auch nicht als solche ausgelegt werden. Du solltest nicht auf der Grundlage des Inhalts dieses Artikels handeln oder davon absehen, ohne rechtlichen oder anderen professionellen Rat einzuholen.

Lies auch:

• GDPR: Leitfaden zur Einhaltung
• GDPR und Backups: Best Practices

Verschlüsselung ist ein mächtiges Instrument zum Schutz personenbezogener Daten und das ist der Hauptgrund, warum die DSGVO in mehreren Artikeln ausdrücklich auf Verschlüsselung verweist.

Die Tatsache, dass die Verschlüsselung in der neuen Verordnung mehrfach erwähnt wird, hat viele Menschen zu der Annahme verleitet, dass sie eine zwingende Voraussetzung für die Einhaltung der Vorschriften ist. Aber wir werden sehen, dass das nicht der Fall ist.

Die Datenschutz-Grundverordnung (DSGVO) dient dem Schutz der in Europa lebenden Menschen und ihrer personenbezogenen Daten, und dieser Zweck ist viel umfassender als die Einführung einer Reihe von Sicherheitstechnologien. Die Einführung von Verschlüsselung ist sicherlich nützlich, um die GDPR einzuhalten, aber sie ist weder verpflichtend noch eine ausreichende Maßnahme, um die Vorschriften zu erfüllen.

Lass uns zwei Beispiele ansehen, um den Punkt besser zu verstehen:

• ACME Inc. hat die Datenbankverschlüsselung für die Kunden-DB seiner Buchhaltungssoftware eingeführt. Trotzdem ist das Admin-Passwort der Lösung für alle Mitarbeiter/innen zugänglich und wird nicht regelmäßig geändert.
• Stattdessen investierte BIG Llc. in Schulungen, um persönliche Daten zu schützen, und setzte strenge Richtlinien für die Verwaltung von Passwörtern und den Zugang zu physischen Maschinen und digitalen Berührungspunkten mit der Kundendatenbank durch, obwohl keine Verschlüsselungstechnologie eingesetzt wurde.

Was denkst du, können wir ACME Inc. als GDPR-konformes Unternehmen betrachten? Welchem Unternehmen würdest du mehr vertrauen? Obwohl es sicherer wäre, eine verschlüsselte Datenbank zu haben, würden wir die zweite Variante vorziehen.

Letztendlich geht es um den Schutz der personenbezogenen Daten der in der EU ansässigen Personen, und die DSGVO legt nicht fest, wie dieser Schutz zu gewährleisten ist: Die Verordnung verlangt, dass im Vergleich zu den Risiken angemessene Maßnahmen ergriffen werden, und die Unternehmen müssen die Einhaltung der Schutzgrundsätze nachweisen.

Ist eine Verschlüsselung also überhaupt notwendig?

Nicht unbedingt, aber es ist sehr wahrscheinlich, dass die Verschlüsselung eine notwendige Maßnahme sein könnte, um die von deinem Unternehmen verwalteten personenbezogenen Daten vor externen Bedrohungen zu schützen.

Verschlüsselung muss einfach nicht auf allen möglichen Ebenen und für alle verfügbaren Daten eingesetzt werden und ist sicher nicht die einzige Maßnahme, die man ergreifen sollte.

Zuallererst ist es wichtig, robuste Prozesse und Richtlinien für den Datenschutz einzuführen. Dazu empfehlen wir dir unseren früheren Artikel über die Einhaltung der GDPR.

Du solltest auch bedenken, dass Verschlüsselung zwar die Daten schützt, aber ihre Verfügbarkeit einschränkt, Schreib- und Lesevorgänge verlangsamt und – falls die Verschlüsselungsschlüssel verloren gehen – einen Datenverlust verursachen kann. Aus diesem Grund empfehlen wir dir, die besten Praktiken zu befolgen, um das Beste aus deiner Speicherinfrastruktur herauszuholen und deine Daten zu schützen.

Physische Laufwerke verschlüsseln

Die Verschlüsselung physischer Laufwerke ermöglicht es, persönliche Daten vor Diebstahl, Verlust oder nicht ordnungsgemäßer Außerbetriebnahme physischer Maschinen zu schützen.

Alle wichtigen Plattformen, auch mobile, und die meisten NAS-, SAN- und anderen Speichergeräte unterstützen Echtzeitverschlüsselung auf Festplattenebene.

Die Verschlüsselung von Laufwerken ist eine zeitsparende und leistungsstarke Lösung. Wir empfehlen, sie auf allen Rechnern mit geschäftskritischen und/oder persönlichen Daten einzusetzen.

Für physische Windows-Rechner empfehlen wir, BitLocker zu aktivieren. Weitere Informationen über diese Technologie findest du hier.

Bei NAS hat jeder Hersteller ein eigenes Verwaltungssystem, so dass das Verfahren zur Aktivierung der Verschlüsselung sehr unterschiedlich ist. Das folgende Video stammt von dem bekannten Unternehmen QNAP, das eine benutzerfreundliche Lösung zur Verschlüsselung von Datenträgern anbietet:

Datenbanken verschlüsseln

Alle wichtigen Datenbanklösungen bieten die Möglichkeit, „Data at Rest“ zu verschlüsseln, also DB-Dateien, die auf einer physischen oder virtuellen Festplatte gespeichert sind. Dies ermöglicht es, ihren Inhalt und damit die betroffenen Personen zu schützen, falls die DB-Dateien in die falschen Hände geraten.

Einen Leitfaden zu den Verschlüsselungsfunktionen von Microsoft SQL Server findest du hier.

Wie bereits oben erläutert, reicht die Verschlüsselung von Datenbankdateien nicht aus, um den Datenschutz zu gewährleisten. Regelmäßige Updates der Engine, die Beschränkung der DB-Verwaltung auf eine Liste von IPs, strenge Richtlinien für den Administratorenzugang, die Verwendung starker Passwörter und deren häufige Änderung sind alles gute Praktiken, um unangenehme Unfälle zu vermeiden, und können als Maßnahmen zur Einhaltung der DSGVO betrachtet werden.

Daten mit Uranium Backup verschlüsseln

Uranium Backup ermöglicht es, alle Daten zu verschlüsseln, die in einem gemeinsamen Ziel gespeichert sind, um Daten in entfernten Repositories wie einem Cloud-Ziel zu sichern, empfehlen wir, Ketten-Backups in entfernten Repositories wie einem Cloud-Ziel durchzuführen.

Die Daten müssen komprimiert werden, wie in den Screenshots unten beschrieben:

Das Verschlüsselungspasswort muss vor dem Ausführen des Backups angegeben werden. Du findest es in der Option Allgemein von Uranium Backup. Falls du vergessen hast, es zu konfigurieren, verwendet Uranium ein automatisch generiertes Passwort und kann die Daten mit dem Wiederherstellungsprogramm von demselben Client wiederherstellen, der die Verschlüsselung durchgeführt hat (du kannst jedoch keine Daten von einem anderen Uranium-Client wiederherstellen und bist bei einem Ausfall des Backup-Rechners Datenverlusten ausgesetzt):