sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365

Verschlüsselung

Zunächst die gute Nachricht: Das Thema Verschlüsselung ist in den meisten deutschen Unternehmen angekommen und verschiedene Verfahren zur Verschlüsselung sind implementiert. Nach einer aktuellen Studie sind demnach die Verschlüsselung von VPN-Verbindungen, mobilen Datenträgern und dem E-Mail Versand in den meisten Unternehmen technisch umgesetzt, die Nutzung ist möglich. Häufig ist Verschlüsselung auch bereits zum Standard geworden.

Ok, wir können verschlüsseln. Aber wollen wir?

Weitaus schlechter sieht es dagegen bei der tatsächlichen Nutzung dieser Techniken aus. Während es bei der VPN-Verbindung und der Verschlüsselung mobiler Datenträger für den Anwender keine Möglichkeit gibt, die Verschlüsselungstechnik zu umgehen, kann der E-Mail Versand häufig optional unverschlüsselt erfolgen oder die Verschlüsselung muss sogar aktiv eingeschaltet werden.

Und damit kommen wir auch schon zu dem negativen Ergebnis der Studie: Nur die Hälfte der Mitarbeiter, die Verschlüsselung aus technischer Sicht nutzen könnten, tut dies auch im täglichen Arbeitsalltag.

So kommt es durchaus häufiger vor als manche Arbeitgeber es wahr haben möchten, dass sensible Daten zunächst von der verschlüsselten Festplatte über eine hochsichere VPN-Verbindung zum Mailserver des Unternehmens geschickt werden um dann völlig unverschlüsselt und für jeden einsehbar Ihren weiteren Weg durch das Internet zum Empfänger zu nehmen.

Das Risiko steigt

Dabei sind die Risiken für die Unternehmen durchaus beträchtlich. Als Verstoß gegen die datenschutzrechtlichen Bestimmungen drohen Bußgelder seitens der Aufsichtsbehörden sowie Schadenersatzforderungen von Betroffenen. Darüber hinaus entsteht ein Imageverlust, wenn die Kenntnisnahme der Daten durch Dritte öffentlich bekannt wird. Unter Umständen ist das Unternehmen nach § 42a BDSG sogar selbst dazu verpflichtet das Datenleck zu veröffentlichen.

Für den verschlüsselten Versand von E-Mails gibt es grundsätzlich zwei Varianten. Die Verschlüsselung „der Leitung“ (Transportverschlüsselung) und eine Ende-zu-Ende-Verschlüsselung. Bei der Transport-Verschlüsselung („Transport Layer Security“, TLS) kommunizieren die beiden Mailserver verschlüsselt miteinander. D.h. der Übertragungsweg über das Internet ist gesichert. Im privaten Netzwerk und auf den Mailservern von Sender und Empfänger liegt die E-Mail allerdings unverschlüsselt vor. Bei der Ende-zu-Ende Verschlüsselung liegen die E-Mails verschlüsselt auf den Mailserver und werden nur auf den Clients der Anwender entschlüsselt. Eine Einsichtnahme z. B. durch Administratoren, die ja theoretisch vollen Zugriff auf sämtliche Inhalte der Server haben, ist nur bei der Ende-zu-Ende-Verschlüsselung nicht mehr möglich.

Aus Sicherheitsgründen empfehlen die Aufsichtsbehörden die letztere Variante bei dem Einsatz von E-Mail Verschlüsselung.

Sprechen Sie mich an, gerne unterstütze ich Sie bei der Implementierung von Verschlüsselungstechniken in Ihrem Unternehmen.