Schlagwort: Verschlüsselung

Neue Orientierungshilfe der DSK zur Sicherheit bei der E-Mail-Übermittlung

28. Juni 2021

Die Datenschutzkonferenz (DSK) – das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder – hat kürzlich eine Orientierungshilfe veröffentlicht, welche Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail vorstellt. Diese richtet sich nicht nur an öffentliche E-Mail-Dienstanbieter, sondern an sämtliche datenschutzrechtlich Verantwortliche sowie Auftragsverarbeiter, die personenbezogene Daten per E-Mail übermitteln. Die Orientierungshilfe behandelt dabei lediglich Risiken in Bezug auf die Vertraulichkeit und Integrität der Daten, also solche Risiken, die sich auf dem Transportweg ergeben. Gegenstand der vorgestellten Maßnahmen sind daher vor allem Verschlüsselungstechniken. Diese sollten jedoch durch Maßnahmen zum Schutz der beteiligten Systeme sowie zur Minimierung, Speicherbegrenzung und Zweckbindung der Verkehrsdaten ergänzt werden.

Inanspruchnahme öffentlicher E-Mail-Dienstanbieter

Nehmen Unternehmen die Dienste öffentlicher E-Mail-Dienstanbieter in Anspruch, sollten diese darauf achten, dass die Dienstanbieter hinreichende Garantien für die Einhaltung der datenschutzrechtlichen Anforderungen bieten können. Dazu gehört auch, dass die Dienstanbieter die Anforderungen der TR 03108-1 des Bundesamtes für Sicherheit und Informationstechnik (BSI) einhalten; dies ist für die Dienstanbieter verpflichtend. Daneben müssen die unternehmenseigenen Systeme und Endgeräte sicher an jene der Dienstanbieter angebunden sein. Sollten sich für die Verarbeitung nach Einschätzung des Verantwortlichen oder Auftragsverarbeiters gesteigerte Risiken ergeben, sind ggf. die zusätzlichen, in der Orientierungshilfe dargestellten Anforderungen einzuhalten.

Gezielter Empfang personenbezogener Daten

Die DSK stellt anschließend zwei Fallgruppen vor, für welche sich zusätzliche Verpflichtungen ergeben können: Einerseits die gezielte Entgegennahme personenbezogener Daten durch E-Mails, andererseits der Versand von E-Mail-Nachrichten. Werden gezielt personenbezogene Daten per E-Mail entgegengenommen, muss der Empfänger einen verschlüsselten Kanal zur Verfügung stellen, mindestens per TLS-Verbindung. Außerdem sollte ein möglichst breites Spektrum an qualifizierten Algorithmen für die Verschlüsselung und Authentifizierung zur Verfügung gestellt und DKIM-Signaturen überprüft werden, um die Authentizität und Integrität der empfangenen Nachrichten sicherzustellen. Bestünde durch den Bruch der Vertraulichkeit ein hohes Risiko für die Betroffenen, muss schließlich sowohl eine qualifizierte Transportverschlüsselung als auch der Empfang von Ende-zu-Ende-verschlüsselten Nachrichten ermöglicht werden. Auch die Signaturen müssen dann qualifiziert überprüft werden.

Versand von E-Mail-Nachrichten

Werden personenbezogene Daten per E-Mail versandt, sollten sich die Verantwortlichen oder Auftragsverarbeiter an der TR 03108-1 des BSI (s.o.) orientieren und eine obligatorische Transportverschlüsselung sicherstellen. Würde der Bruch der Vertraulichkeit ein hohes Risiko für die Betroffenen darstellen, ist grundsätzlich sogar eine Ende-zu-Ende-Verschlüsselung sowie eine qualifizierte Transportverschlüsselung erforderlich. Für Berufsgeheimnisträger können sich zudem besondere Anforderungen ergeben, da bei diesen ein hohes Risiko für die Betroffenen anzunehmen ist. Schließlich muss durch geeignete technische und organisatorische Maßnahmen sichergestellt werden, dass beim Empfänger nur jene Personen von der Nachricht Kenntnis nehmen können, für welche die Nachricht bestimmt ist. Bei hohem Risiko kann etwa eine Ende-zu-Ende-Verschlüsselung mit individueller Adressierung in Betracht kommen.

Anforderungen müssen eingehalten werden

Die Orientierungshilfe enthält außerdem umfangreiche technische Anforderungen an die dargestellten Verschlüsselungs- und Signaturverfahren. Für betroffene Unternehmen gilt es also zu prüfen, ob diese erforderlich sind, und wenn ja, ob die Anforderungen korrekt umgesetzt werden. Wichtig ist die Feststellung, dass die DSK lediglich typische Verarbeitungssituationen berücksichtigen konnte. Ergeben sich bei einem Verantwortlichen oder Auftragsverarbeiter Besonderheiten für die Verarbeitung, etwa aus dem Umfang, den Umständen oder den Zwecken der Übermittlung, muss dies berücksichtigt werden und kann ggf. abweichende Anforderungen notwendig machen. Zudem betont die DSK, dass andere Kommunikationskanäle ausgewählt werden müssen, wenn die dargestellten Anforderungen nicht erfüllt werden können.

Microsoft zieht EU-Datengrenze und verspricht damit eine Speicherung und Verarbeitung von Daten ausschließlich in der EU

7. Mai 2021

Microsoft kündigte in einem Blogbeitrag vom 6. Mai 2021 an, ab Ende 2022 personenbezogene Daten europäischer Kunden nur noch innerhalb der EU zu verarbeiten und speichern. Dies gelte, so Microsoft, für alle zentralen Cloud-Dienste von Microsoft, d.h. Azure, Microsoft 365 und Dynamics 365. Microsoft verspricht mit seinem „EU Data Boundary for the Microsoft Cloud“, d.h. einer EU-Datengrenze für seine Cloud-Lösungen, zukünftig keine Daten seiner Kunden mehr aus der EU heraus transferieren zu müssen. Das Angebot richte sich an Kunden aus dem öffentlichen Sektor und Unternehmenskunden, so der Konzern.

Damit reagiert Microsoft erneut auf das vom Europäischen Gerichtshof (EuGH) im Juli letzten Jahres ergangene Schrems-II-Urteil, dass das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat. Nach Ansicht des EuGH haben die USA kein mit der EU vergleichbares Datenschutzniveau. Begründet wird dies insbesondere damit, dass US-Geheimdienste aufgrund des US Gesetzes „Cloud Act“ einen umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben.

Geplant ist laut Microsoft in den kommenden Monaten in einen engen Austausch mit seinen Kunden aber auch den Aufsichtsbehörden zu gehen, um damit den Vorschriften zum Schutz der Daten gerecht zu werden. Ob dieses Vorhaben gelingen wird, bleibt abzuwarten. Unklar bleibt auch noch, ob dadurch die Unsicherheiten bei einem Datentransfer zwischen Europa und den USA beseitigt werden kann. Zunächst ist weiterhin der Microsoft-Konzern rechtlich für die Clouddaten verantwortlich. Dies könne laut dem österreichischen Datenschutzaktivist Max Schrems nur dadurch behoben werden, „wenn eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben, erreicht würde“ – so Schrems gegenüber der Deutschen Presse-Agentur.

Microsoft verweist diesbezüglich auf seine Nutzer selbst. Diese könnten bereits jetzt durch die Verwendung von kundenverwalteten Schlüsseln, die Verschlüsselung ihrer Daten selbst konfigurieren und insbesondere kontrollieren und damit vor einem unzulässigen Zugriff durch staatliche Stellen schützen.

Die Aufsichtsbehörden haben sich zu dem Plan von Microsoft noch nicht geäußert. Vielmehr haben diese erst vor kurzem eine Task-Force eingerichtet, um den Risiken bei der Nutzung von Cloud-Diensten entgegenzuwirken.

Neue Gesetze verlangen die Verschlüsselung von Daten

25. Januar 2019

Grundsätzlich ist jedes Unternehmen und jede Behörde durch die neuen Gesetze dazu angehalten sensibel Daten zu verschlüsseln. Viele Unternehmen schätzen den Nachdruck, der hinter der Umsetzung steht, falsch ein. Erst wenn Daten verloren gehen oder durch Hacker gestohlen und veröffentlicht werden, wird die Bedeutung der Gesetze greifbar.

Auch wenn in der DSGVO nicht explizit das Wort „Verschlüsselung“ verwendet wird, ist es trotzdem zwingend, dass Daten spätestens bei Speicherung in einer Cloud oder bei Übermittlung via Internet verschlüsselt werden müssen.

Geheimnisträger wie beispielsweise Anwälte, Notare sowie Wirtschaftsprüfer sind zu dem noch an den im Jahr 2017 neugefassten § 203 StGB gebunden, der den Schutz von Informationen zusätzlich regelt. Im Falle eines Verstoßes drohen Bußgelder sowie Gefängnisstrafen.

Der Schutz von Daten wird in vielen Branchen durch zusätzliche Normen geschützt. Ärzte und Apotheker sind beispielsweise an das E-Health-Gesetz gebunden. Betreiber kritischer Infrastrukturen unterliegen dem IT-Sicherheitsgesetz, welches ausdrücklich eine Verschlüsselung vorschriebt.

Instagram gesteht Datenpanne ein

19. November 2018

Bei der Abfrage der bei Instagram gespeicherten Daten haben Nutzer auch ihr Passwort unverschlüsselt sehen können.

Im Zuge der DSGVO-Umsetzung hat Instagram die „Download your data“-Option eingeführt. So konnten Nutzer eine Übersicht der über sie bei Instagram gespeicherten Daten bekommen. Bei der Abfrage war allerdings auch das Passwort ausgeschrieben in der URL im Browser sichtbar. Dies bedeutet, dass die Passwörter unverschlüsselt auf dem Server gespeichert waren, was die Sicherheitsstandards von Instagram in Frage stellt.

Nach dem Instagram das Problem aufgefallen ist wurde es direkt behoben. Nach eigenen Angaben seien nur wenige Nutzer betroffen. Die Betroffenen wurden informiert und gebeten ihre Passwörter zu ändern.

Ungeklärt bleibt, wie lange dieses „Datenleck“ bereits bestand und warum nur einige Nutzer betroffen sein sollten und nicht alle.

Mangel an Verschlüsselungstechniken in mittelständischen Unternehmen

27. Februar 2018

In einem Unternehmen gibt es zahlreiche sensible Daten, die jeden Tag verarbeitet werden. Sei es in Form von Speichern von sensiblen Daten oder im Versenden dieser an Vertragspartner.

Dennoch ergab eine Umfrage des Bundeswirtschaftsministeriums, dass ein Viertel der mittelständischen Unternehmen keine Verschlüsselungstechniken bei ihren Verarbeitungstätigkeiten anwenden. Bei Großunternehmen sind es lediglich 10 %, die es mit der Verschlüsselung nicht ganz so genau nehmen.

Es zeichnen sich auch erhebliche Branchenunterschiede ab. IT- und Telekommunikationsunternehmen speichern und tauschen mit Dritten nur verschlüsselt Daten aus. In der Autobranche sind es beispielsweise jedoch nur zwei Drittel, die verschlüsselt arbeiten.

Als Grund werden technischer und finanzieller Aufwand genannt sowie Komforteinbußen täglicher Arbeit.

„Informationen in einer unverschlüsselten E-Mail sind etwa genauso geschützt wie die auf einer Postkarte“, sagte Brigitte Zypries (SPD), die geschäftsführende Bundeswirtschaftsministerin.

Aus diesem Grund entwickelte das Bundeswirtschaftsministerium auch einen Kompass für Unternehmen, wie man am besten Daten verschlüsseln kann.

WhatsApp – Revolution durch und durch?

8. April 2016

Die Nachricht, dass WhatsApp nun die Nachrichten seiner Nutzer verschlüsselt, ging durch alle Kanäle. WhatsApp selbst zieht die Marketingregister, preist den Datenschutz und den Mehrwert für die Kunden.

Die nun eingeführte Ende-zu-Ende-Verschlüsselung (kurz: e2e) bewirkt, dass die Nachrichten nur vom Sender und Empfänger gelesen werden können. Wenn die Nachricht unterwegs abgefangen wird, zeigt sich nur wirrer Datensalat. Was vor drei Jahren (also vor Snowden) noch undenkbar gewesen wäre, ist nun Wirklichkeit – eine Milliarde Menschen nutzen nun plötzlich e2e-Verschlüsselung, und das, ohne es wirklich zu merken oder etwas dafür tun zu müssen.

Aber auch wenn die Verschlüsselung als Revolution gefeiert wird – WhatsApp führt streng genommen nur endlich auch das ein, was Threema, Telegram und andere schon lange machen.

Gleichzeitig wird bei aller Begeisterung um die Verschlüsselung der Nachrichten ein Aspekt nur selten angesprochen: Die Metadaten bleiben nach wie vor unverschlüsselt. Wer mit wem wann kommuniziert hat, ist nach wie vor für WhatsApp erkenn- und verwertbar. Und das ist oft spannender als der eigentliche Inhalt der Nachrichten. WhatsApp ändert auch nach wie vor nicht seine regelmäßigen Suchen durch die Adressbücher der Nutzer nach weiteren WhatsApp Nutzern und gehört weiterhin zu Facebook, aber das nur am Rande.

Um es kurz zu machen: Ja, die Verschlüsselung der WhatsApp Nachrichten wird gefeiert. Ja, es ist ein guter Schritt in die richtige Richtung. Aber es bleiben nach wie vor genügend interessante Daten zur Auswertung übrig. Unverschlüsselt.

 

 

Samsung verbessert den Datenschutz: „High-End-Smartphones“

9. September 2013

 

Samsung soll, wie das Online-Magazin heise.de berichtet,  zukünftig die Verschlüsselungstechnik Knox nicht nur für große Unternehmen anbieten, sondern implementiert diese Verschlüsselungstechnik zukünftig nun auch auf den Android-Geräten Galaxy Note 3 und Note 10.1, das 2014 auf den Markt kommt. Die bereits auf dem Markt verfügbaren Geräte Galaxy S3, S4 und Note 2 sollen mit Knox upgedatet werden.

Zielgruppe dieser „High-End-Smartphones“ sollen sicherheitsbewusste Privatpersonen und Unternehmen sein. Knox soll davor schützen, dass unsichere Apps heruntergeladen werden können. Dies betrifft vor allem private Apps und deren dazugehörigen Werbemodule, die letztendlich dazu geeignet sind, die auf dem Handy befindlichen Daten auszuspähen.

Apple, RIM und Nokia sollen indischem Geheimdienst Zugriff auf E-Mails der Kunden erlauben

12. Januar 2012

Die Hackergruppierung The Lords of Dharmaraja hat einige Dokumente veröffentlicht, die Medienberichten zufolgen belegen, dass  Apple, Nokia und Research in Motion (RIM)  mit einem indischen Geheimdienst Verträge eingegangen sind, die die Überwachung von Kunden-E-Mails erlauben. Dies soll Bedingung für den Zugang zum indischen Markt gewesen sein. Einem der Schreiben ist zu entnehmen, dass neben den namentlich genannten Firmen alle wichtigen Gerätehersteller eine solche Vereinbarung abgeschlossen hätten. Weiterhin soll aus einem anderen Dokument hervorgehen, dass über diese Schnittstelle auch eine E-Mail der U.S.-China Economic and Security Review Commission (USCC), die sich mit Wirtschafts- und Sicherheitsfragen in den Beziehungen zwischen USA und China beschäftigt, mitgelesen wurde. USCC Verantwortliche überprüfen laut Reuters die Sachlage und sehen sich momentan nicht zu einer weiteren Stellungnahme in der Lage.

Ebendiesem Reuters Artikel zufolge hat Apple Sprecherin Trudy Muller dementiert, dass Apple eine Hintertür für die Indische Regierung in seine Produkte integriert habe. Ein indischer RIM-Sprecher erklärte gegenüber Reuters, dass man Gerüchte nicht kommentiere und Nokia lehnte jeglichen Kommentar ab. RIM musste bereits in der Vergangenheit sowohl Indien, als auch Saudi Arabien und den Vereinigten Arabischen Emiraten Zugang zu bestimmten verschlüsselten Teilen seines BlackBerry Systems gewähren, um nicht von diesen Märkten ausgeschlossen zu werden.

Für die Plausibilität der Berichte spricht, dass die Hacker von The Lords of Dharmaraja kürzlich zweifelsfrei einen Quellcode des Sicherheitsspezialisten Symantec entwenden konnten. Auch bezüglich dieses Quellcodes deuten einige Anzeichen darauf hin, dass dieser von indischen Regierungsservern stammen könnte. (se)