Sysbus
AdvertorialsInterviewSecurity

Arbeiten mit Verschlüsselung von hochsensiblen personenbezogenen Daten

dcg

Partner-News

Die Verschlüsselung von hochsensiblen personenbezogenen Daten ist ein Muss. Aber wie lässt sich damit arbeiten?

Die Verschlüsselung von Daten ist die beste Methode, sensible Informationen vor unautorisiertem Zugriff zu schützen – sowohl intern als auch gegenüber Fremden, wie beispielsweise Cyberkriminellen. Frühere, traditionelle Verschlüsselungsmethoden hatten einen großen Nachteil: Sobald die Daten verschlüsselt waren, konnten sie von niemandem und keiner Anwendung gelesen oder verarbeitet werden – außer von der Person, die den passenden Schlüssel zum Entschlüsseln hatte. In Zeiten, in denen sensible Daten in Cloud-basierten Anwendungen verarbeitet werden, sind die traditionellen Verschlüsselungsmechanismen daher keine Option. Wie die funktionserhaltende Verschlüsselung heute anwendbar wird, bespricht Sysbus mit Ömer Tekin von eperi anhand des Beispiels von hochsensiblen Daten in HR-Abteilungen.

Ömer Tekin, Technical Project Manager eperi – Quelle: eperi

Sysbus: Personenbezogene Daten, wie sie beispielsweise in HR-Abteilungen oder gar bei Betriebsärzten gespeichert sind, bedürfen einer besonderen Sicherheit. Wie hoch ist das Risiko und wie kann man die Daten schützen?

Ömer Tekin: Das Risiko einer Datenschutzverletzung ist hoch. Studien von Sicherheitsfirmen bestätigen, dass rund 60 Prozent der deutschen Unternehmen und Organisationen von Cyberkriminellen mit Ransomware angegriffen werden. Andere Angriffsarten oder die internen Datenmissbräuche sind dabei noch nicht einmal berücksichtigt. Jegliche Daten von Mitarbeitenden oder Bewerbenden unterliegen einem besonderen Schutzbedürfnis, insbesondere in Verbindung mit Applikationen in der Cloud. Dafür existieren Gesetze, etwa die DSGVO. Ein Datenmissbrauch kann für ein Unternehmen oder eine Organisation schwerwiegende Folgen haben, insbesondere den Reputationsverlust am Markt, aber auch langwierige Erklärungs-Schlachten mit dem BSI (z.B. gem. § 8b Absatz 4 BSIG).

Abgesehen von den klassischen Möglichkeiten wie Firewalls, Antivirensoftware und regelmäßigen Sicherheitsupdates ist es vor allem die Verschlüsselung, die vor einem Datenmissbrauch schützen kann. Sollten verschlüsselte Daten trotz der vorgenannten Schutzmechanismen gestohlen werden, sind sie für die Cyberkriminellen und alle anderen Unbefugten wertlos.

Sysbus: Die Daten der Mitarbeitenden und Bewerbenden in HR, oder die Daten der Patienten bei Betriebsärzten werden in dafür speziell entwickelten Anwendungen erfasst, bearbeitet und gespeichert. Wie kann man die Funktionalität trotz einer sicheren Verschlüsselung sicherstellen?

Ömer Tekin: Zunächst ist festzustellen, dass auch in diesen hochsensiblen Bereichen die Cloud zur primären Plattform geworden ist. Dies bringt besondere Anforderungen an den Datenschutz mit sich: Die Herausforderung ist, dass die sensiblen Daten verschlüsselt werden und gleichzeitig für die Bearbeitung zur Verfügung stehen müssen. Wenn eine Personalabteilung beispielsweise mit Personio oder HRworks Daten erfasst und verarbeitet – respektive mit CGM ISIS MED bei Betriebsärzten – dann darf die Verschlüsselung die Arbeit nicht behindern. Um das zu vermeiden, gibt es funktionserhaltende Verschlüsselungslösungen, welche Datenschutz und Funktionalität vereinen.

Sysbus: Wie muss man sich diesen Spagat zwischen Datenschutz und Funktionalität vorstellen?

Ömer Tekin: Im Hintergrund arbeitet eine komplexe Technologie, die für Administratoren und Anwender jedoch unsichtbar bleibt. Im Wesentlichen werden alle relevanten Daten automatisch verschlüsselt – basierend auf den neuesten, sichersten und zertifizierten Verfahren. Der entscheidende Vorteil sind sogenannte Templates: Diese steuern intelligent, welche Daten für die jeweilige Anwendung sichtbar und nutzbar gemacht werden können. So bleibt die Sicherheit gewährleistet, während die Anwendung weiterhin die benötigten Informationen erhält.

Sysbus: Wie genau funktioniert die Integration von eperi mit den unterschiedlichen Anwendungen. Man kann ja nicht für jede App eine separate Verschlüsselungsplattform entwickeln.

Ömer Tekin: eperi kann mit allen REST-basierten Applikationen ohne Code-Anpassungen nahtlos zusammenarbeiten. Um den datenschutzkonformen Einsatz von HR-Anwendungen sowohl in der EU als auch im internationalen Umfeld zu gewährleisten, verschlüsselt und tokenisiert unsere Lösung eperi sEcure die personenbezogenen Daten. Mit eperi sEcure können Regeln für einzelne Felder in beispielsweise Personio, HRworks oder CGM ISIS MED konfiguriert werden, um die Sicherheit durch Verschlüsselung zu gewährleisten. Das Entscheidende im Vergleich zu einer herkömmlichen – und für diese Zwecke unbrauchbaren – Verschlüsselungsmethode ist, dass mit eperi sEcure die wichtigen Funktionen der Software, wie etwa die Suche, trotz Verschlüsselung und Tokenisierung auf Feldebene erhalten bleiben. Damit können Unternehmen alle Vorteile der HR-Software nutzen und gleichzeitig sicherstellen, dass die Daten in der Cloud geschützt sind.

Sysbus: Haben Sie ein Beispiel?

Ömer Tekin: Bereits vor einiger Zeit haben wir ein Projekt im Zusammenhang mit der Arbeitsmedizinsoftware CGM ISIS MED umgesetzt. Das Problem waren personenbezogene Daten ohne besonderen Schutz. Es ging also darum, die Verschlüsselung medizinischer Daten von Mitarbeitenden sowie werksärztlicher Diagnosen zu etablieren. Mit eperi sEcure werden die Daten unter Kontrolle des CGM-Kunden und nach dem aktuellen Stand der Technik verschlüsselt, bevor diese in einer sonst für den Systemadministrator einsehbaren Datenbank abgelegt werden. Die Software CGM ISIS MED muss nicht angepasst werden und die Daten sind sicher vor jeglichen Augen, die darin nichts zu suchen haben.

Sysbus: Letzte und vielleicht Gretchenfrage: Wer ist Herr der Schlüssel?

Ömer Tekin: Das ist allerdings eine Gretchenfrage. Wir haben einen klaren Standpunkt. Ausschließlich der Kunde sollte über die Schlüssel verfügen. Das heißt, dass weder wir noch der Cloud-Provider und schon gar nicht der App-Anbieter Zugang zu den Schlüsseln haben sollte. Nur damit wird eine Sicherheit etabliert, die allein in den Händen des Kunden liegt und nicht bei Dritten. Genau dafür ist eperi sEcure entwickelt. Im Markt gibt es allerdings unterschiedliche Meinungen. Lediglich 55 Prozent der von uns befragten Unternehmen bevorzugen den Zugang auf die Encryption Keys ausschließlich im Unternehmen. Über 40 Prozent wollen die Keys auch mit dem Cloud-Provider oder dem IT-Dienstleister teilen. Das ist erstaunlich, da es bei der Sicherheit ratsam ist, möglichst alle Risiken zu minimieren und eine eigenverantwortliche Verwaltung der Schlüssel zu bevorzugen. Es scheint, als müssten wir in diesem Bereich noch etwas Aufklärungsarbeit leisten.

Vielen Dank für das Gespräch.

eperi – Datenschutz und Compliance für Ihre Cloud-Daten

Über die Eperi GmbH:

Wir bei eperi® sind der festen Überzeugung, dass Datenschutz ein grundlegendes Menschenrecht ist. Unser Ziel ist es, dass Menschen und Unternehmen zu jeder Zeit die Kontrolle über ihre Daten behalten. Ohne Kompromisse und mit der besten Technologie. Mit dem Fokus auf die Sicherheit unserer Kunden haben wir eine Lösung geschaffen, die für den Benutzer unsichtbar ist und gleichzeitig die höchsten Sicherheitsstandards erfüllt.

Mit der eperi® Lösung profitieren unsere Kunden von allen Vorteilen der Cloud-Nutzung, wie beispielsweise einer effizienten unternehmensweiten Kollaboration, und bleiben dabei rechtssicher gemäß weltweiten Datenschutzgesetzen. Wir besitzen mehrere internationale Patente für unsere innovative Multi-Cloud-Technologie, die einen konkurrenzlosen Datenschutz für SaaS Anwendungen, individuelle Applikationen und Dateien bietet. Unsere Kunden behalten die alleinige Kontrolle über alle sensiblen Daten, da keine unverschlüsselten Daten in die Cloud gesendet werden.

Wir ermöglichen die Cloud – einfach, sicher, individuell, DSGVO-konform.

Das könnte dir auch gefallen

Versteckte Gefahr: Intra2net schützt vor Ransomware in RTF-Dateien

gcg

Expertenkommentar zum Thema „Sicherheit im Wandel“

gcg

20 Jahre alte Sicherheitslücke in Linux geschlossen

gg
Powered by  GDPR Cookie Compliance
Datenschutz-Übersicht

Diese Website verwendet Cookies, damit wir Ihnen die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in Ihrem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von Ihnen, wenn Sie auf unsere Website zurückkehren, und hilft unserem Team zu verstehen, welche Abschnitte der Website für Sie am interessantesten und nützlichsten sind.