Zum Inhalt springen

externer Datenschutzbeauftragter

Ver­schlüs­se­lung — eine kur­ze Geschichte

Ver­schlüs­se­lung ist ein span­nen­des und in der Infor­ma­ti­ons­si­cher­heit grund­le­gen­des The­ma. Die Not­wen­dig­keit, unbe­rech­tig­ten Per­so­nen Infor­ma­tio­nen und Güter vor­zu­ent­hal­ten und gleich­zei­tig die posi­ti­ve Berech­ti­gung über ein (über)tragbares, erlern­ba­res Medi­um zu defi­nie­ren, ist so alt wie die Erfin­dung der Schur­ke­rei selbst.

κρυπτός, nein hier han­delt es sich nicht um ein Bei­spiel für Ver­schlüs­se­lung, son­dern nur um Grie­chisch :). Kryp­tos bezeich­net das Gehei­me. Falls Sie bei die­sem Begriff einen nega­ti­ven Bei­geschmack haben soll­ten, liegt das wahr­schein­lich dar­an, dass Inha­bern von Geheim­nis­sen ten­den­zi­ell nega­ti­ve Absich­ten zuge­spro­chen wer­den. Grund dazu gibt es aller­dings nicht. Denn die Gewin­nung von — ins­be­son­de­re per­so­nen­be­zo­ge­nen — Infor­ma­tio­nen wird zuneh­mend zur wert­volls­ten und lukra­tivs­ten Res­sour­ce. Und die gilt es mit einer ange­mes­se­nen Sorg­falt zu wah­ren. Was mit ein­mal offen­ge­leg­ten oder kom­pro­mit­tier­ten Infor­ma­tio­nen geschieht, ist dann meist nur noch eine Fra­ge der Nach­sor­ge. Eine siche­re Ver­schlüs­se­lung ist somit zu einem der wich­tigs­ten Weg­be­glei­ter unse­rer beruf­li­chen und pri­va­ten Per­sön­lich­keits­ent­fal­tung geworden.

Anfän­ge der Verschlüsselung

Altes chi­ne­si­sches Vor­hän­ge­schloss — Wiki­me­dia Commons

Schlüs­sel sind die ältes­te Form der Berech­ti­gungs­ver­ga­be. Bis heu­te wer­den sie zur phy­si­schen Zugangs- und Zutritts­kon­trol­le ein­ge­setzt. Häu­fig wer­den sie kom­bi­niert mit digi­ta­len Kodie­run­gen, die über eine Draht­losab­fra­ge vali­diert wer­den. Auch Maschinen(-funktionen) wie in Kraft­wer­ken und Schif­fen wer­den mit phy­si­schen Schlüs­seln frei­ge­schal­tet. Die Abbil­dung zeigt Schlüs­sel mit Schloss wie sie vor eini­gen tau­send Jah­ren in Chi­na ein­ge­führt wur­den. Für die ver­ba­le Infor­ma­ti­ons­si­cher­heit — ein­schließ­lich der Über­win­dung gro­ßer Distan­zen — wur­den Dazu gehö­ren Insi­der- und Geheim­spra­chen. Die­se datie­ren mit­un­ter bis zu 2000 Jah­re zurück. Wie etwa Gelehr­ten-Dia­lek­te und Kauf­manns­spra­chen, bei denen ein­zel­ne Lau­te, Sil­ben und Phra­sen ent­we­der nach Sys­tem oder durch grup­pen­spe­zi­fi­sche Gewohn­hei­ten ersetzt wurden.

Kodie­run­gen und Kryptographie

Rotor-Schlüs­sel­ma­schi­ne

Mit zuneh­men­der Bedeu­tung des geschrie­be­nen Wor­tes stieg der Bedarf, die­se Infor­ma­ti­on zu schüt­zen. Zei­chen durch ande­re zu erset­zen nach einem spe­zi­fi­schen, für Ein­ge­weih­te nach­voll­zieh­ba­ren Sys­tem, wur­de in ver­schie­de­nen For­men kul­ti­viert. Jedem bekannt in unse­rem digi­ta­len Zeit­al­ter, fan­den Kodie­run­gen ins­be­son­de­re Ihre Anfän­ge in der stra­te­gi­schen Anwen­dung. Um dem Geg­ner kei­nen Ein­blick in die Pla­nun­gen zu geben und über wei­te Stre­cken Ent­schei­dun­gen mit­zu­tei­len, wur­den Code­sys­te­me wie etwa die Cäsar-Chif­fre im 1. Jahr­hun­dert v. Chr. ent­wi­ckelt. Chif­frier­schei­ben ab 1467 und Chif­frier­ma­schi­nen wie die abge­bil­de­te aus dem 20. Jahr­hun­dert ermög­lich­ten die ein­fach nach­voll­zieh­ba­re mecha­ni­sche Chif­frie­rung geschrie­be­ner Inhalte.

Tipp - In die­sem Kon­text sei eine nicht beson­ders bekann­te und den­noch geni­al ein­fa­che Ver­si­on der manu­el­len Ver­schlüs­se­lungs­hil­fe zu nen­nen. Die Pass­wort­kar­te. Die­se Lässt sich mit weni­gen Klicks selbst erstel­len und auch online gene­rie­ren. Anstel­le der Zei­chen des gewünsch­ten Pass­worts als sol­che müs­sen Sie sich ledig­lich Start­punkt, ggf. belie­big vie­le Abzwei­gun­gen und End­punkt mer­ken. Wenn Sie eine indi­vi­du­el­le Pass­wort­kar­te bei­spiels­wei­se zwei­mal aus­dru­cken und ein Exem­plar einem weit ent­fern­ten Gesprächs­part­ner über­mit­teln, kön­nen Sie mit die­sem sehr siche­re Pass­wort­ab­spra­chen für gemein­sa­me Pro­jek­te abspre­chen und müs­sen dabei nur opti­sche Ori­en­tie­rung erläutern.

Moder­ne Verschlüsselungen

Im Zuge der flä­chen­de­cken­den Wei­ter­ent­wick­lung der digi­ta­len Kom­mu­ni­ka­ti­on wur­de der erwar­tungs­ge­mä­ßen Nach­fra­ge der Ver­schlüs­se­lung im behörd­li­chen und cor­po­ra­te Bereich Rech­nung getra­gen. IBM grün­de­te Ende der 1960er Jah­re eine Arbeits­grup­pe, die sich erfolg­reich mit der Ent­wick­lung einer stan­dar­di­sier­ten Ver­schlüs­se­lungs­lo­gik befass­te. Die­se wur­de in den DES wei­ter­ent­wi­ckelt, eine sym­me­tri­sche Ver­schlüs­se­lungs­me­tho­de und Vor­läu­fer des heu­ti­gen AES. Die­se Block­chif­fre AES ist trotz eini­ger erfolg­reich durch­ge­führ­ter spe­zia­li­sier­ter Angriffs­ver­su­che bis heu­te einer der maß­geb­li­chen, tech­nisch und behörd­lich aner­kann­ten Verschlüsselungsstandards.

Der AES-Stan­dard wird auf Grund von Sicher­heits­ni­veau und Effi­zi­enz welt­weit ein­ge­setzt. Er gilt außer in Bezug auf volu­mi­nö­se bru­te force Angrif­fe als prak­tisch unknack­bar in Kom­bi­na­ti­on mit einem ent­spre­chend star­ken Pass­wort. Es wur­den sowohl diver­se auf die­ses Prin­zip auf­bau­en­de als auch unab­hän­gi­ge Ver­schlüs­se­lungs­al­go­rith­men ent­wi­ckelt wie RSA, MD5, IDEA, Tri­ple­DES und Blow­fi­sh sowie zahl­rei­che inzwi­schen offi­zi­ell kom­pro­mit­tier­te und unsi­che­re Stan­dards wie SHA.

Zwei zen­tra­le Aspek­te bil­den bei der Wis­sen­schaft der Ver­schlüs­se­lung wei­test­ge­hend gemein­sa­me Spe­zi­fi­ka: Die Zer­stü­cke­lung der Infor­ma­ti­on (wie zB. in Hash­funk­tio­nen), die dann einer sepa­ra­ten, seg­ment­wei­sen wie­der­hol­ten Chif­rie­rung zuge­führt wer­den kann. Und die Anrei­che­rung mit Mis­in­for­ma­ti­on wie zB. bei Salts, um die Iden­ti­fi­zie­rung der eigent­li­chen Infor­ma­ti­on zu erschweren.

Tipp — Sie kön­nen auch mit ein­fachs­ten Mit­teln AES-256 Ver­schlüs­se­lung auf Ihre zu schüt­zen­den Daten anwen­den. Hier­zu gibt es eini­ge soft­ware Lösun­gen wie das pro­mi­nen­tes­te Bei­spiel win­rar, das pri­vat im Rah­men einer kos­ten­freie Test­ver­si­on genutzt wer­den kann und auch im Fir­men­ein­satz über­schau­bar lizen­ziert wer­den kann. Zusam­men mit einem guten Pass­wort­kön­nen Sie sehr siche­re Datei­con­tai­ner her­stel­len und die­se dann per her­kömm­li­chem = unsi­che­rem mail Weg ver­sen­den. Das Pass­wort selbst natür­lich auf einem sepa­ra­ten Weg mit­tei­len wie tele­fo­nisch etc. 

Aus­blick der künf­ti­gen Verschlüsselung

Mit der zu erwar­ten­den Markt­er­schlie­ßung durch den kom­mer­zi­el­len Quan­ten­com­pu­ter, der vor gut einem Jahr offi­zi­ell prä­sen­tiert wur­de, gewinnt die Infor­ma­ti­ons­streu­ung in Aus­ga­be­wer­ten bei der Infor­ma­ti­ons­si­che­rung ins­be­son­de­re gegen bru­te force Angrif­fe eine essen­zi­el­le Rol­le. Statt ein­fach die Aus­gangs­in­for­ma­ti­on mit Algo­rith­men zu chif­frie­ren muss auch die Aus­ga­be­lo­gik inten­siv wei­ter­ent­wi­ckelt wer­den, die bei­spiels­wei­se bei jedem ein­zel­nen Angriffs­ver­such ver­meint­lich ent­schlüs­selt und dabei fake Daten im exakt erwar­te­ten For­mat liefert.

Auch Mehr­fak­torau­then­ti­fi­zie­run­gen und auto­ma­ti­sche Sper­ren wer­den wei­ter an Gewicht im behörd­li­chen, cor­po­ra­te und pri­va­ten Bereich gewin­nen und soll­ten selbst­ver­ständ­lich bereits heu­te nach tech­ni­schen Mög­lich­kei­ten ein­ge­setzt wer­den, was unse­res Erach­tens in der Pra­xis noch statt­li­ches Aus­bau­po­ten­zi­al hat 🙂

War­um ist Daten­schutz für Unter­neh­men und Behör­den wichtig?

Haben Sie sich auch schon die­se Fra­ge gestellt? Sascha Kuhr­au, Inha­ber des bun­des­weit täti­gen Bera­tungs­un­ter­neh­mens a.s.k. Daten­schutz gibt Antworten.

Herr Kuhr­au, ist Daten­schutz ein Modethema?

Mit­nich­ten! Schau­en Sie ein­fach auf die His­to­rie des Daten­schutz­rechts in Deutsch­land und der EU. 1977 hat­ten wir das ers­te Bun­des­da­ten­schutz­ge­setz (BDSG) in Deutsch­land, seit 1995 gibt es auf EU Ebe­ne ver­bind­li­che Regeln für alle Mitgliedsstaaten.

Wen betrifft die­ses Bundesdatenschutzgesetz?

Das ist ganz ein­fach. Jedes Unter­neh­men, jeden Gewer­be­trei­ben­den, jeden Frei­be­ruf­ler, jede Behör­de und auch jeden Ver­ein, sofern dort per­so­nen­be­zo­ge­ne Daten vor­lie­gen und ver­ar­bei­tet werden.

Man soll­te auch nicht dem Irr­tum unter­lie­gen, ein eige­nes Stan­des­recht wür­de das Daten­schutz­ge­setz erset­zen. Obwohl die Aus­sa­ge der Geset­ze hier klar ist, muss­ten mitt­ler­wei­le Gerich­te bestä­ti­gen, dass sol­ches Recht nicht pau­schal erset­zend wirkt. Die­se Fehl­ein­schät­zung kann gera­de bei Ärz­ten, Steu­er­be­ra­tern oder auch Anwäl­ten schnell zu Kon­flik­ten führen.

Wirk­lich jeden? Es gibt doch bestimmt Ausnahmen?

Da muss ich Sie ent­täu­schen. § 1 BDSG ist hier ein­deu­tig. Es wer­den kei­ne Unter­schie­de nach Bran­che, Mit­ar­bei­ter­zahl oder Umsatz gemacht. Die­sen Irr­glau­ben trifft man öfter in Gesprä­chen mit Geschäfts­füh­rern, Inha­bern oder auch Behördenleitern.

Eine Aus­nah­me gibt es jedoch bei der Bestell­pflicht des soge­nann­ten Daten­schutz­be­auf­trag­ten.

Wel­che Auf­ga­ben hat ein sol­cher Datenschutzbeauftragter?

Salopp gesagt, küm­mert sich die­ser um die rechts­kon­for­me Umset­zung des Daten­schutz­rechts in der Orga­ni­sa­ti­on vor Ort. Er ist Bera­ter , Tipp­ge­ber und Ansprech­part­ner für Lei­tung und Mitarbeiter.

Und wann muss ein sol­cher Daten­schutz­be­auf­trag­ter bestellt werden?

Die­se Vor­schrift fin­det sich in § 4f BDSG und ist bis auf ganz weni­ge Aus­nah­men eben­falls ein­deu­tig. Sobald mehr als 9 Mit­ar­bei­ter mit per­so­nen­be­zo­ge­nen Daten mit­tels IT arbei­ten, muss ein Daten­schutz­be­auf­trag­ter intern oder extern bestellt wer­den. Und bei der Zahl der Mit­ar­bei­ter ist es uner­heb­lich, ob Voll­zeit, Teil­zeit, Aus­hil­fe oder Geschäfts­füh­rung selbst.

Dann liegt die­se Bestell­pflicht recht schnell vor, ohne dass die Ver­ant­wort­li­chen dies viel­leicht wissen?

Das ist in der Pra­xis häu­fig der Fall. Wir bera­ten hier­zu jedoch kos­ten­los und unver­bind­lich, ob eine Bestell­pflicht vorliegt.

Wer küm­mert sich um das The­ma Daten­schutz, wenn kein Daten­schutz­be­auf­trag­ter vor­han­den ist?

Dann liegt die Umset­zung aller Rechts­vor­schrif­ten bei der Geschäfts­füh­rung oder Behör­den­lei­tung. Die­se haf­tet im Zwei­fel dann auch bei Nicht­er­fül­lung oder ein­tre­ten­den Daten­pan­nen. Das BDSG hat hier einen mitt­ler­wei­le sehr emp­find­li­chen Buß­geld­ka­ta­log.

Also soll­te man schon zur Ver­mei­dung von Buß­gel­dern das The­ma Daten­schutz ernst nehmen?

Das ist nach mei­ner Erfah­rung der fal­sche Ansatz. Wenn sich des The­mas nur ange­nom­men wird, weil Ängs­te vor recht­li­chen Risi­ken und Buß­gel­dern bestehen, dann wur­den die Chan­cen eines bewusst geleb­ten Daten­schut­zes nicht erkannt.

Daten­schutz ist mehr als eine Rechtsvorschrift?

Ja! Kun­den und Bür­ger wer­den immer sen­si­bler. Neh­men Sie nur die aktu­el­le Pres­se. Nicht erst seit der NSA Affä­re, aus­ge­löst durch Herrn Snow­den, stei­gen das Bewusst­sein und auch der Anspruch der soge­nann­ten “Betrof­fe­nen” (im Sin­ne des BDSG) rund um das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung.

Kom­me ich die­sem Anspruch als Orga­ni­sa­ti­on nach, dann ist geleb­ter Daten­schutz ein Ele­ment der Kun­den­ak­qui­se, aber auch der Kundenbindung.

Und da Daten­schutz auch sehr weit in Berei­che wie der IT-Sicher­heit ein­greift, kom­men Fak­to­ren wie Sen­kung des Aus­fall­ri­si­kos oder Ver­kür­zung von Wie­der­an­lauf­zei­ten von EDV-Sys­te­men ergän­zend hin­zu. Es geht hier um die Kern­zie­le: Schutz vor Zer­stö­rung, Ver­lust und Miss­brauch von per­so­nen­be­zo­ge­nen Daten. Am Ende spart die Orga­ni­sa­ti­on Zeit und Geld, wenn es zum Stör­fall kommt..

Wie unter­stützt a.s.k. Daten­schutz hierbei?

Wir prü­fen das vor­han­de­ne Daten­schutz– und Daten­si­cher­heits­ni­veau, iden­ti­fi­zie­ren Schwach­stel­len, behe­ben die­se gemein­sam mit unse­ren Auf­trag­ge­bern, betreu­en Einzelprojekte—z.B. die Ein­füh­rung einer geplan­ten Videoüberwachung—oder ste­hen als per­ma­nen­ter Ansprech­part­ner für Fra­gen zu die­sen The­men zur Verfügung.

Selbst­ver­ständ­lich über­neh­men wir auch die Auf­ga­ben des (exter­nen) Daten­schutz­be­auf­trag­ten oder unter­stüt­zen einen inter­nen Daten­schutz­be­auf­trag­ten, wenn die­ser aus Zeit­grün­den Sup­port benö­tigt. Letz­te­res kommt in der Pra­xis recht häu­fig vor. Seit eini­ger Zeit haben wir für baye­ri­sche Kom­mu­nen auch zwei Vari­an­ten des AKDB Sicher­heits­checks im Angebot.

Was steht dabei für Sie im Vordergrund?

Wich­tig sind uns der abso­lu­te Pra­xis­be­zug und die Sicher­stel­lung der recht­li­chen Anfor­de­run­gen. Daten­schutz darf kein Selbst­zweck sein oder sich zu wich­tig neh­men. Nicht umsonst lau­tet unser Mot­to „Aus der Pra­xis für die Praxis“.

Ist Daten­schutz teuer?

Ja, wenn Sie sich nicht dar­um kümmern 🙂

Nein, im Ernst. Wir arbei­ten bei lang­fris­ti­gen Betreu­un­gen und Pro­jek­ten mit Pau­scha­len, damit unser Kun­de stets weiß, mit wel­chen Kos­ten er zu rech­nen hat und vor unlieb­sa­men Über­ra­schun­gen sicher ist.

Und da unse­re Leis­tun­gen modu­lar buch­bar sind, kann der Kun­de selbst ent­schei­den, wel­chen Anteil an Zeit er selbst ein­brin­gen will und kann, und wel­chen er an uns auslagert.

Wenn jemand noch Fra­gen zum The­ma hat?

Ein­fach anru­fen oder eine kur­ze Email schreiben.

Hahn IT Daten­schutz-Info­ta­ge Juni /​ Juli 2013 in Schwaig

Der Angriff war schnell und sorg­te für fet­te Beu­te: Unbe­kann­te haben am 11. April den Ser­ver nam­haf­ter Unter­neh­men im Bereich Rei­se­bu­chun­gen geknackt und eine bis­lang unbe­kann­te Zahl an Kun­den-Kre­dit­kar­ten­da­ten gestoh­len! Wie sehen die weit­rei­chen­den Kon­se­quen­zen aus? Kaum ein Tag ver­geht ohne Schlag­zei­len in der Pres­se zu den The­men Daten­schutz und Daten­si­cher­heit. Die­se Mel­dun­gen kön­nen Sie als Ver­brau­cher, genau­so wie als Unter­neh­mer oder Mit­ar­bei­ter betreffen.

Zu den größ­ten Irr­tü­mern im Daten­schutz gehört die Auf­fas­sung, das eige­ne Unter­neh­men habe mit dem Bun­des­da­ten­schutz­ge­setz nichts zu tun. Das Bun­des­da­ten­schutz­ge­setz (BDSG) ist recht­li­che Vor­schrift für alle. Zusätz­lich muss ab 9 Mitarbeiter/​innen, die im  Unter­neh­men per PC mit per­so­nen­be­zo­ge­nen Daten (Daten von Kun­den, Geschäfts­part­nern oder Per­so­nal­da­ten der eige­nen Mit­ar­bei­ter) ein sog. Daten­schutz­be­auf­trag­ter bestellt werden.

Vie­le Fall­stri­cke lau­ern im Umgang mit per­so­nen­be­zo­ge­nen Daten und den mög­li­chen Feh­ler­quel­len samt Rechts­ver­stö­ßen. Geld­bu­ßen (50.000 – 300.000 EUR) für Ver­stö­ße gegen das Bun­des­da­ten­schutz­ge­setz sind vor­ge­se­hen – zuzüg­lich even­tu­el­ler Scha­den­er­satz­for­de­run­gen! Und das nicht erst, wenn etwas schief gegan­gen ist.

Besu­chen Sie einen der für Sie kos­ten­frei­en Info­aben­de im Rah­men der Hahn IT Cam­pus­in­itia­ti­ve und infor­mie­ren Sie sich in nur  zwei Stun­den über die­ses bri­san­te Thema.

Das Pro­gramm für Sie :

  • Begrü­ßung mit Geträn­ken & Snacks
  • Top Irr­tü­mer zum The­ma Datenschutz
  • Kon­se­quen­zen durch Nichteinhaltung
  • Aktu­el­le Infos zum The­ma IT-Sicherheit
  • Lösun­gen zur geset­zes­kon­for­men Umsetzung
  • Bei­spie­le aus der Pra­xis in der Talkrunde
  • Zeit fur Gesprä­che beim Abendbuffet

+ Die Ver­an­stal­tung ist für Sie kostenfrei
+ Sie erhal­ten ein Teilnahmezertifikat

Refe­ren­ten des Abends sind Herr Ste­fan Mol­ter (Hahn IT) und Sascha Kuhr­au (a.s.k. Datenschutz).

Ter­mi­ne:

  • 27. Juni 2013, 17.00 — 19.00 Uhr
  • 04. Juli 2013, 17.00 — 19.00 Uhr
  • 11. Juli 2013, 17.00 — 19.00 Uhr

Ver­an­stal­tungs­ort:

90571 Schwaig

Haben wir Ihr Inter­es­se geweckt? Hier geht es zur Anmel­dung.

Die mobile Version verlassen