Erkenntntnis hat sich durchgesetzt, dass personenbezogene Daten wertvoll und schützenswert sind

Ein Kommentar von Matthias Maier, Technical Expert, Splunk

[datensicherheit.de, 22.05.2020] Die EU-Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung (2016/679) der Europäischen Union, die nach einer Übergangsfrist seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten gilt. Mit der DSGVO werden seitdem die Regeln zur Verarbeitung personenbezogener Daten durch die Datenverarbeiter, sowohl private wie öffentliche, EU-weit vereinheitlicht.

Matthias Maier, Technical Expert, Splunk, © Splunk

Zu zwei Jahren EU-Datenschutz-Grundverordnung äußert sich Matthias Maier von Splunk wie folgt:

„Die letzten zwei Jahre DSGVO haben eine Reihe von Veränderungen mit sich gebracht, dennoch haben sich deutsche Unternehmen gut daran angepasst. Auch hat sich das Bewusstsein durchgesetzt, dass personenbezogene Daten wertvoll und schützenswert sind. Dies führte dazu, dass Unternehmen zunehmend eine Datenstrategie entwickeln, also die IT zusammen mit den zuständigen Abteilungen wie Datenschutz, Legal, HR und dem Betriebsrat. Außerdem wird inzwischen darauf geschaut, wie die Daten gespeichert und geschützt werden können und der Datenlebenszyklus sichergestellt wird. Die IT-Abteilung muss heutzutage einen umfassenden Überblick haben, um Integrität und Transparenz zu gewährleisten und Compliance-Richtlinien einzuhalten. Allerdings zeigt sich auch eine gewisse Verunsicherung, welche Daten wofür genutzt werden dürfen. Oft werden Datenzugriffe oder Projekte aus Unwissenheit blockiert, auch wenn es gar nicht um personenbezogene Daten geht. Aber so geht das enorme Potential der eigenen Daten für das Unternehmen verloren. Umfragen zeigen, dass eine ausgereifte Datenstrategie nachweislich zu mehr Umsatz, einer höheren Rentabilität, geringeren Betriebskosten, mehr Innovationen, schnelleren Markteinführungen sowie zu besserer Kundenzufriedenheit und -loyalität führt.“

Weitere Informationen zum Thema:

datensicherheit.de, 20.04.2020
DSGVO: Zunehmende Geldbußen rücken „Privacy by Design“ ins Interesse

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld

datensicherheit.de, 21.08.2019
Datenschutzbeauftragter: Pflicht für Kleinbetriebe umstritten

datensicherheit.de, 24.05.2019
Ein Jahr DSGVO: BfDI sieht Erfolg mit Steigerungspotenzial

[datensicherheit.de, 15.04.2020] Mobile Gesundheitsanwendungen verarbeiten sensible und besonders schützenswerte persönliche Daten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu eine Technische Richtlinie (TR) entwickelt, die bei Anwendung den Zugriff Unbefugter auf diese Daten erschweren kann. Die TR „Sicherheitsanforderungen an digitale Gesundheitsanwendungen“ ist nach Angaben des BSI unabhängig von und bereits im Vorfeld der gegenwärtigen Corona-Pandemie für Gesundheits-Apps entwickelt worden. Sie kann grundsätzlich für alle mobilen Anwendungen, die sensible Daten verarbeiten und speichern, herangezogen werden. Grundsätzlich fordert das BSI, Sicherheitsanforderungen von Anfang an bei der Software-Entwicklung mitzudenken.

Dazu der Präsident des BSI, Arne Schönbohm:

„Sensible Gesundheitsdaten verdienen einen besonderen Schutz. Sowohl das jeweilige Smartphone der Nutzerinnen und Nutzer als auch die Hintergrundanwendungen auf Seiten der Anbieter müssen daher ein Mindestmaß an Sicherheit vorweisen können. Denn die Veröffentlichung solch sensibler Daten wie Pulsfrequenz, Schlafrhythmus oder Medikationspläne, lässt sich nicht ungeschehen machen. Hier kann nicht, wie im Falle eines Missbrauchs beim Online-Banking, der Fehlbetrag zurückgebucht werden. Mit der nun bereitgestellten Technischen Richtlinie stellt das BSI als die Cyber-Sicherheitsbehörde des Bundes einen wichtigen Leitfaden zur Verfügung, damit die Anwendungen das erforderliche IT-Sicherheitsniveau erreichen können.“

Die TR verfolgt die grundsätzlichen Schutzziele der IT-Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Sie kann als Mindestanforderung für den sicheren Betrieb einer Anwendung betrachtet werden. Die TR wird in einem „trial use“-Status veröffentlicht. In zukünftigen Versionen werden auf Grundlage der Erfahrungen und der Rückmeldungen aus der Industrie, Erweiterungen vorgenommen, die eine Zertifizierung von Apps nach dieser Technischen Richtlinie ermöglichen. Bereits jetzt kann die TR herangezogen werden, um – im Rahmen einer Selbsterklärung der Entwickler – den entsprechenden Anforderungen des Zulassungsverfahrens des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) genüge zu tun.

Weitere Informationen zum Thema:

BSI
TR-03161 : „Sicherheitsanforderungen an digitale Gesundheitsanwendungen“

datensicherheit.de, 16.11.2018
Sicherheit im Smart Home: BSI veröffentlicht Technische Richtlinie für Breitband-Router

datensicherheit.de, 18.11.2017
Gesundheits-Apps: Mehr Transparenz und Sicherheit erforderlich

[datensicherheit.de, 26.07.2019] Venafi, gibt die Markteinführung von Next-Gen Code Signing bekannt. Die Lösung zum Schutz von Maschinenidentitäten sichert die Code Signing-Prozesse ab, indem sie einen unternehmensweiten Einblick in alle Code Signing-Vorgänge bietet. Sie bietet eine zentralisierte Speicherung privater Schlüssel, die Durchsetzung von Code Signing-Richtlinien sowie Automatisierung und reduziert gleichzeitig den Aufwand für das Code Signing auf Seite der Softwareentwicklungsteams.

Überprüfung der Integrität von Software

Seit Jahrzehnten wird Code Signing zur Überprüfung der Integrität von Software verwendet, fast jedes Unternehmen verlässt sich darauf, dass sein Code nicht durch Malware beschädigt wurde. Dennoch haben Unternehmen oft Schwierigkeiten, Code Signing-Operationen abzusichern und zu schützen, weil sie keine Lösung haben, die es ihnen ermöglicht, Richtlinien standortübergreifend, werkzeug- und prozessübergreifend durchzusetzen, ohne die Entwicklungsteams aufzuhalten.

Foto: Venafi

Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi

„Heute entwickelt jedes Unternehmen Software und damit Anwendungen, Bibliotheken, Container und andere Tools“, sagt Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi. „Es kann jedoch sehr schwierig sein, Code Signing-Operationen zu skalieren. Die Sicherheitsverfahren zum Schutz der Codesignatur werden typischerweise als schwerfällig angesehen und Entwickler ignorieren sie oft. Leider lässt dies die Sicherheitsteams im Dunkeln und ist für bösartige Akteure sehr vorteilhaft. Gestohlene Code Signing-Keys sind leistungsstarke Cyberwaffen, die Unternehmen und ihre Kunden gefährden. Von Stuxnet bis hin zu alltäglichen Malware- und Phishing-Kampagnen, Angriffe, die Codesignatur nutzen, entziehen sich der AV-Erkennung der nächsten Generation.“

Verwaltung aller privaten Schlüssel für die Code-Signierung

Neben der Sicherung von Unternehmenscode-Signierungsprozessen automatisiert Next-Gen Code Signing die Verwaltung aller privaten Schlüssel für die Code-Signierung. Private Code-Signaturschlüssel verlassen niemals die vertrauenswürdige Venafi-Speicherplattform oder angeschlossene Hardware-Sicherheitsmodule (HSMs). Diese neue Lösung bietet IT-Sicherheitsabteilungen umfassende Transparenz und detaillierte Informationen über alle Aspekte der Code-Signierungsvorgänge, einschließlich der Frage, wer den Code und mit welchem Zertifikat signiert, und wer die Anfrage genehmigt sowie wann jede Aktion stattgefunden hat. Auf der Grundlage der Erkenntnisse aus Code Signing-Prozessen liefert Next-Gen Code Signing Compliance- und Audit-Berichte über alle Code Signing-Aktivitäten.

Zu den Hauptvorteilen der Code Signing Next-Gen-Technologie gehören nach Unternehmensangaben:

• Skalierbarkeit, die Entwickler an einem Standort unterstützen kann, sowie Zehntausende von Entwicklern, die weltweit verteilt sind, und Millionen von Code Signing-Operationen pro Woche durchführen.
• Automatisierung und Unterstützung für ein breites Spektrum von Softwareentwicklungsprozessen; Entwicklungsteams müssen keine Tools wechseln.
• Ein zentraler, permanenter Speicherort für private Schlüssel, damit sie geschützt bleiben.
• Flexible, anpassbare Richtliniendurchsetzung, die die Anforderungen mehrerer Softwareprojekte unterstützt, einschließlich der Genehmigung von Workflows, Zertifikatstypen, Zertifizierungsstellen, HSMs und Softwareentwicklungs-Tools.
• Ermöglicht es Sicherheitsteams, einen Code Signing-Service bereitzustellen, der Richtlinien durchsetzt und für Entwickler transparent ist.

Bocek schließt: „Next-Gen Code Signing ermöglicht es Softwareentwicklern, die gleichen Code Signing-Tools zu verwenden und erfordert keine Änderungen an ihren Build-Umgebungen. Es bietet eine unsichtbare Technologieebene, die Code-Signaturschlüssel sichert und vor Angreifern schützt. Venafi‘s Next-Gen Code Signing bietet IT-Sicherheitsteams und Entwicklern gleichermaßen eine spannende Möglichkeit, schnell aber auch sicher bei der Code-Signierung zu sein.“

Venafi Next-Gen Code Signing ist ab sofort verfügbar.

Weitere Informationen zum Thema:

datensicherheit.de, 04.07.2019
Smart Home-Systeme gefährdet durch Schwachstellen bei SSH-Maschinenidentitäten

datensicherheit.de, 14.07.2019
Fünf Risiken von Maschinenidentitäten

datensicherheit.de, 07.06.2019
ForgeRock: Datendiebstähle werden für Unternehmen immer kostspieliger

datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle

datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten

[datensicherheit.de, 20.11.2010] Vertraulichkeit, Verfügbarkeit und Integrität sind alles Eigenschaften und quasi per se Voraussetzung dafür, dass auf geschäftlicher Ebene ein Vertrauensverhältnis überhaupt hergestellt werden kann. Dabei ist es erst einmal nebensächlich, was für ein Unternehmen Sie unterhalten. Der sichere Umgang mit sensiblen Kundendaten sollte stets oberste Priorität haben. Sind Sie diesbezüglich schon auf dem neusten Stand?
Das Thema Datenschutz ist in kleinen und mittelständischen Unternehmen oft bloß ein stiefmütterlich bedachtes Thema und bedarf deswegen dringender Modernisierung. Viele Kunden achten inzwischen verstärkt darauf, dass ihre personenbezogenen Daten nicht in falsche Hände geraten. Es ist nämlich erstmal unerheblich, in welchem Tätigkeitsfeld Sie tätig sind. Ob Sie erfolgreich und mit Stolz in langer Familientradition eine weitere Immobilie verkaufen oder andere starke Partner zueinander führen – in allen Fällen bedarf der Schutz geschäftlicher Beziehungen besonders aufmerksamer Pflege. Das gute Verhältnis hat man sich unter Umständen über Jahre hart erarbeitet und dem gilt ein besondere Schutz. Vorsorge ist dabei wichtiger als Nachsicht, und die Umsetzung entsprechender Maßnahmen stärkt diese Bindungen sogar zusätzlich. Ärzte gelten an sich als Vertrauenspersonen, doch auch sie sind nicht bloß zu besonderer Geheimhaltung verpflichtet, wenn es um die Belange ihrer Patienten geht. Besonderes Augenmerk gilt dem Schutz der Patientendaten, und zu diesem Zweck hat der Gesetzgeber gemäß des Bundesdatenschutzgesetzes (BDSG) festgelegt, dass die Sicherheit von Kunden oder potenziellen Partnern und Patienten in jedem Unternehmen durch einen Datenschutzbeauftragen gewährleistet werden muss. Das bedeutet natürlich erst einmal ein erhebliches Mehr an Aufwand und manchem ist dieser Teilbereich des „Computerstaates“ wohl ein Buch mit sieben Siegeln. Darum muss man bei der Auswahl einiges bedenken.
Bestellt man einen internen Mitarbeiter als Vertrauensmann zum Schutz der Daten ab, muss dieser entsprechende Qualifikationen nachweisen können oder bei Nachholbedarf Schulungen und Fortbildungen durchlaufen. Die Organisation im Unternehmen ist nicht immer darauf ausgelegt, derartige Nischentätigkeiten kompetent selbst auszubilden. Auch bei der Koordination ist man schnell überfragt, weil das trotz aller Dringlichkeit schlicht am eigenen Unternehmenszweck vorbeiläuft.
Einfacher ist da meist, auf externe Partner zu setzen und diese Sicherheitsanforderungen durch den Ankauf eines Komplettpaketes auf einen Streich sicher zu stellen. Speziell für kleine und mittelständische Unternehmen übernehmen diese Firmen dann nicht nur die Absicherung nach Außen, sondern auch die eigenen Mitarbeiter werden für die Anforderungen des digitalen Zeitalters fit gemacht und die eigene IT in Punkto Datenschutz den Anforderungen und Forderungen des Gesetzgebers angepasst. Das scheint zwar für den Moment etwas kostenintensiver, aber langfristig ist das für alle die sicherste und bequemste Lösung.