- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Schutz der Privatsphäre als Standard


Dr. Ann Cavoukian zu Privacy by Design, Privacy by Default und der 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung
Grundlage für einen Ansatz, in dem Profitabilität, Big Data-Nutzung und der Schutz der Privatsphäre natürlich zusammenspielen ist das Privacy by Design-Konzept

- Anzeigen -





Autor: Varonis

Dr. Ann Cavoukian, eine kanadische Datenschützerin, hat maßgeblich das Privacy by Design-Konzept mit entwickelt. Darüber hinaus, und das ist es, was uns an dieser Stelle interessieren soll, haben ihre Sprachregelungen Eingang in die 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung gefunden. Privacy by Design ist übrigens ganz und gar keine neue Idee und wurde bereits 1990 entwickelt. Es erlangt allerdings vor allem in Bezug auf das Internet der Dinge wieder verstärkt Bedeutung. Gerade in der Wirtschaft war und ist allerdings vielfach zu hören, dass sich Privacy by Design-Grundsätze nur eingeschränkt mit technologischem Fortschritt und wirtschaftlicher Prosperität verbinden lassen. Das sieht Cavoukian, die auch Regierungsbehörden und Unternehmen berät, anders. Ihrer Meinung nach lässt sich ein Big Data-Anspruch sehr wohl mit dem Schutz der Privatsphäre verbinden. Die Botschaft von Cavoukian mutet simpel an, die ehemalige Politikerin und Wissenschaftlerin ist aber überzeugt, dass es möglich ist Daten zu erheben und gleichzeitig die Privatsphäre zu schützen.

Eine große Schwierigkeit, die Cavoukian benennt ist, dass man zwar – wie im Staat Ontario geschehen, wo sie selbst als Information and Privacy Commissioner tätig war - Gesetze und entsprechende Vorschriften erlassen kann. Ignoriert man aber die Bedenken von Mandatsträgern und vor allem Unternehmen gestaltet sich die Umsetzung nicht unbedingt einfach. Es besteht also durchaus Erklärungsbedarf. Warum ist ein solcher Ansatz im Interesse aller und warum profitieren letztlich sowohl Behörden und Unternehmen als auch Kunden und Endverbraucher davon? Für Cavoukian geht es ganz klar darum eine Win-Win-Situation für alle beteiligten herzustellen, für die Unternehmen, die Daten erheben, verwenden und gegebenenfalls aufbewahren wie für deren Kunden.

Ja. Und ja
Gerade in Europa wird die Situation allerdings deutlich anders gehandhabt und diskutiert als in den USA. Beispiel Biometrie. Dr. Cavoukian hebt hervor, dass es in Europa die höchste Zahl an Information und Privacy Officers und Sicherheitsexperten in ähnlichen Positionen gibt. Trotzdem wurde nicht ein weiterer regionaler Experte, sondern Cavoukian als Board-Member in das Biometrie-Forum berufen. Sie fragte sich warum. Die Antwort: Sie sagt "Ja" zur Biometrie, votiert aber gleichzeitig für den Schutz der Privatsphäre (und habe sogar Konzepte in der Tasche). Eine deutlich andere Position als das europäische "entweder oder".

Grundlage für einen Ansatz, in dem Profitabilität, Big Data-Nutzung und der Schutz der Privatsphäre natürlich zusammenspielen ist das Privacy by Design-Konzept.

Die Initialzündung war vor allem, dass es nach 9/11 in den USA eine ganz klare Forderung und ein vitales Interesse gab, die Öffentlichkeit zu schützen und Sicherheitsmaßnahmen erheblich zu verstärken. Das ging massiv auf Kosten der Privatsphäre jedes einzelnen. Nun ist aber nicht nur in den USA die Privatsphäre jedes Menschen ein ganz essentieller Bestandteil einer demokratischen Grundordnung und Teil des freiheitlichen Selbstverständnisses. Innerhalb dieser Diskussion hat Cavoukian von Anfang an die These vertreten, dass die öffentliche Sicherheit wie ein allumfassender Schirm funktionieren müsse. Und zwar als einer, unter dem Privacy von Anfang an Bestandteil des Prozesses ist.

Privacy by Default: Schutz der Privatsphäre als Standardeinstellung
Der Schutz der Privatsphäre verstanden als Standardeinstellung. Übertragen auf die Situation in einem Unternehmen bedeutet das, den Schutz der Privatsphäre gleich von Anfang an zu gewährleisten und dies gegenüber bestehenden und potenziellen Kunden zu kommunizieren.

Damit ist aber für Unternehmen und Behörden gleichzeitig eine Pflicht verbunden.

Nämlich genau darzulegen, für welchen Zweck Daten gesammelt und dass sie ausschließlich für genau diesen dargelegten Zweck verwendet werden. Es sei denn, die Kunden haben auf Nachfrage ausdrücklich zugestimmt, dass das betreffende Unternehmen die Daten für weitergehende (und dargelegte) Zwecke ebenfalls verwenden und aufbewahren darf.

Die Standardeinstellung bei diesem Konzept ist aber immer die: Die Daten werden nur für den ausdrücklich ausgewiesenen Zweck verwendet. Für nichts sonst. Der ungehemmten Datensammelwut einzelner Unternehmen erteilt Cavoukian nicht nur eine klare Absage, sondern macht ausgesprochen deutlich, dass sich dieses Verhalten sehr wohl als Boomeramg für das eigene Unternehmen erweisen kann.

Sensible Daten, von denen ein Unternehmen nicht genau weiß, wo sie sich befinden, wer darauf zugreifen kann und welche Aktivitäten mit diesen Daten verknüpft sind, sieht sie als eine an Hacker ausgesprochene Einladung an. Gerade sogenannte PII-Daten, also die Daten, über die sich eine Person eindeutig identifizieren lässt und die im Zuge der EU-Datenschutz-Grundverordnung deutlich erweitert worden sind, müssen sicher, verschlüsselt und nachvollziehbar verwendet und gespeichert werden.

Die Serie von spektakulären Hackerattacken, Insiderangriffen und Leaks in den vergangenen zwei, drei Jahren hat gezeigt, dass Angreifer früher oder später dahin gelangen wo sie hin gelangen wollen. Aus Sicht von Cavoukian ist es einigermaßen verstörend zu sehen wie nicht nur Unternehmen, sondern auch Behörden und Regierungsinstitutionen mit denen ihnen anvertrauten Daten umgehen und Vertrauen verspielen. Und mehr noch: Zusehen wie die Daten, anschließend von Hackern oder Insidern veröffentlicht, weiter verwendet oder zum Verkauf angeboten werden.

Eine Grundvoraussetzung, solche Desaster zu vermeiden ist es laut Cavoukian, die Daten in einer nicht identifizierbaren Form aufzubewahren, beispielsweise nur stark verschlüsselt. Genauso sollten nur diejenigen darauf zugreifen können, die diese Daten tatsächlich brauchen und die das über ein entsprechendes Autorisierungsverfahren tun. Ein besonders augenfälliges Beispiel sind sicherlich Patientendaten und jegliche Art von Gesundheitsdaten – auch sie in den letzten beiden Jahren überproportional vielen (erfolgreichen) Angriffen ausgesetzt. Auch in Deutschland sind inzwischen etliche Angriffe auf Einrichtungen im Gesundheitswesen bekannt geworden. Und immer geht es um hochsensible Daten.

Gerade dieses Beispiel, bei dem sich jeder ein hohes Maß an persönlicher Betroffenheit gut vorstellen kann, führe oftmals dazu, dass Unternehmen einsehen wie notwendig ein Konzept wie PbD ist. Und ganz schlicht: um Schwierigkeiten zu vermeiden. Es ist neben den ersten offensichtlichen Schäden vor allem der Rufschaden, den Cavoukian ausdrücklich hervorhebt. Es kostet Unternehmen oft im wahrsten Sinne des Wortes Jahre ihren guten Ruf und ihre Glaubwürdigkeit wiederherzustellen. Dass dies bei weitem kein "weicher" Faktor ist, sondern eine harte wirtschaftliche Währung, damit befasst sich bereits die entsprechende Literatur.

Meine Daten gehören mir?
Eine Schlüsselrolle beim Umgang mit den erhobenen Daten spielt es wem diese Daten gehören. Sicherlich nicht dem Unternehmen, das sie erhoben hat, sondern denen, die sie zur Verfügung gestellt haben. Daraus erwächst für alle, die Daten sammeln, verarbeiten und speichern, eine enorme Verantwortung, was sie wie mit diesen Daten tun. Und wie sie gewährleisten, dass die Daten tatsächlich geschützt sind.

Dazu gehört ein entsprechendes Berechtigungsmanagement bei dem sichergestellt ist, dass nur die dazu autorisierten Personen auf die Daten zugreifen können. Und dies nur im Hinblick auf den Zweck, zu dem die Daten erhoben worden sind. Privacy by Default gibt Kunden die Sicherheit, dass die erhobenen Daten von Anfang an standardmäßig geschützt werden.

Für Cavoukian bietet das Privacy by Default-Konzept allerdings nicht nur Vorteile in Sachen Informationssicherheit. Dass Unternehmen ihren Kunden diese Sicherheit geben können, darin liegt für sie ein ganz klarer Wettbewerbsvorteil. Zahlreiche in den letzten Monaten veröffentlichte Studien, haben deutlich gezeigt, dass eine überwältigende Mehrzahl von Befragten (nahezu 90 %) Privacy by Design befürwortet. Seit den Enthüllungen von Edward Snowden sind die Zahlen auf die höchsten jemals erhobenen Werte geklettert. Gleichzeitig war die Öffentlichkeit gegenüber Unternehmen und Regierungsinstitutionen noch nie so misstrauisch wie heute, wenn es um den Umgang mit persönlichen Daten und der Privatsphäre geht. Hier lässt sich laut Cavoukian sehr gut beobachten wie die Forderungen nach mehr Schutz der Privatsphäre und ein bereits weitreichender Vertrauensverlust Hand in Hand gehen.

Veränderung tut Not – Privacy by Default
Datenschutzvorfälle und Leaks werden vermutlich nicht schlagartig verschwinden. Lässt sich die Situation trotzdem ändern? Auf jeden Fall ist klar, dass Unternehmen und Behörden gleichermaßen aktiv werden müssen, um einen weiteren Vertrauensverlust zu verhindern beziehungsweise das ursprüngliche Vertrauen wiederherzustellen. Das bedeutet, nicht zu warten, bis Kunden oder Bürger ihr Recht auf Privatsphäre einfordern oder einklagen. Vielmehr muss Privacy by Design zu Privacy by Default werden. Unternehmen beginnen das zu verstehen.

Es ist laut Cavoukian nicht Sache der Verbraucher sich mit seitenlangen Allgemeinen Geschäftsbedingungen und Richtlinien herumzuschlagen, diese dann – nicht selten ohne die Elaborate gelesen oder die tatsächliche juristische Tragweite ermessen zu können – mit einem Haken im entsprechenden Kästchen zu bestätigen. Cavoukian hält diesen Ansatz für falsch und die Ergebnisse von Befragungen geben ihr Recht. Spricht man Kunden und Endverbraucher direkt darauf an, wollen sie genau das: ein Konzept, bei dem der Schutz der Privatsphäre quasi von Anfang an mit "eingebaut"beziehungsweise als eine Art Standardeinstellung vorgegeben ist (und nicht in einem Prozess wie oben beschrieben mühsam ermittelt oder eingefordert werden muss).

Wie gesagt, bei all dem hat Cavoukian immer beide Seiten im Blick. Unternehmen profitieren davon, wenn sie ihren Kunden den Schutz der Privatsphäre von Anfang an, gleichzeitig mit einem Produkt, einer Lösung, einem Dienst anbieten können. Neben dem Wettbewerbsvorteil liegen hier zusätzliche unternehmerische Potenziale.

Und dann ist da noch das Internet Der Dinge
Neben mobilen Endgeräten existiert bereits eine Vielzahl von Geräten, die mit dem Internet verbunden sind. Ob das Wearables sind, elektronische Steuerungen für Garagen, Rollos oder Alarmanlagen, Kameras, Monitore, Kühlschränke, Fernseher oder Automobilelektronik. Die Zahl der Geräte, die mit einer Internetverbindung ausgestattet sind, ist schier unübersehbar, genauso wie die professionellen Anwendungen in der Industrie. Immer noch läge aber der Fokus nicht auf Sicherheitseinstellungen, sondern darauf, dass eine App, ein Dienst oder ein Gerät funktioniert. Erst danach – und nicht selten, wenn das Kind schon in den Brunnen gefallen ist – machen Entwickler sich Gedanken um die potenziellen Sicherheitslücken und die Folgen. An dieser Stelle genügt es nicht, die Verantwortung auf Drittanbieter aus der IT-Sicherheit abzuwälzen. Dabei kommen – so Cavoukian – nur unbefriedigende Lösungen heraus. Viel einfacher sei es Sicherheitsaspekte gleich bei der Entwicklung mit zu berücksichtigen. Hier bestehe aber enormer Aufklärungsbedarf. Gerade bei der Generation App-Entwickler bestehe oft nicht ein mal ein Bewusstsein dafür, Privacy-by-Design-Konzepte überhaupt zu berücksichtigen. "Viele Zuhörer*innen in einem meiner jüngsten Vorträge hatten es, wenn ich es ein Mal salopp formulieren darf, schlicht nicht auf dem Schirm. Für diese Entwickler steht das Produkt im Vordergrund, seine schnelle Marktfähigkeit. Sonst nichts."

Privacy by Default – und warum Gesetze nie ausreichen
Dazu kommt, dass Privacy-by-Design-Konzepten ein gewisser Qualitätsstandard zugrunde liegen muss. Ob und an welcher Stelle Zertifizierungen vielleicht sinnvoll sind, wird die Praxis zeigen. Eine solche Zertifizierung wurde unter anderem am Privacy und Big Data Institute der Ryerson University, an der Cavoukian lehrt, in Zusammenarbeit mit Deloitte entwickelt. Auch wenn immer mehr Firmen und Regierungen dazu übergehen, Spezialisten für Informationssicherheit und Privacy einzustellen, rät Cavoukian davon ab, solche Positionen ausschließlich mit Juristen zu besetzen. Ihrer Meinung nach führt das nicht selten dazu, die Perspektive auf Gesetze und Richtlinien zu verengen und diese dann durchzusetzen.

Compliance zu gewährleisten und Regularien zu genügen ist unabdingbar, aber nicht alles.
Privacy by Design gleich zu Beginn in einen technologischen Prozess zu implementieren und als Teil der Architektur zu verstehen, ist keine juristische Angelegenheit. Laut Cavoukian bedarf es gerade auf der politischen und unternehmerischen Ebene weit mehr als "nur" nach bestehenden Gesetzen zu handeln. Wissenschaftliche Erkenntnisse sollten ebenso in Betracht gezogen werden, Technologien wie eine starke Verschlüsselung, Sicherheit auf Protokollebene, Identitätssicherung und ein entsprechendes Rahmenwerk sind kritische Bestandteile eines PbD-Konzeptes. Das Spektrum dessen, was zu berücksichtigen ist, geht also deutlich über eine rein juristische Betrachtungsweise hinaus. (Varonis: ra)

eingetragen: 12.03.17
Home & Newsletterlauf: 27.03.17


Varonis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • KI: Kein Ersatz für IT-Sicherheitsteams

    Ob Spear-Phishing, Ransomware oder Zero-Day-Exploits, Netzwerke sind ständig in Gefahr gehackt zu werden. Die wachsende Bedrohung geht einher mit immer komplexeren IT-Landschaften, mehr Daten und weniger IT-Personal. Um ihre Netzwerke unter diesen schwierigen Umständen effektiver zu schützen, setzen viele Unternehmen inzwischen auf Technologien wie KI-basierte Verhaltensüberwachung. Sie nutzt die Möglichkeiten von Datenanalyse und maschinellem Lernen um einen der größten Risikofaktoren im Netzwerk zu minimieren: den Benutzer. Nutzer sind die Einfallstore, die sensible Unternehmensdaten gefährden, sei es ein kompromittiertes Nutzerkonto im Netzwerk, ein Insider-Angriff oder unbedachtes Verhalten eines Mitarbeiters.

  • Cyber-Erpressung auf Bestellung

    CryptoLocker, GoldenEye, Locky, WannaCry - Ransomware hat mit der Geiselnahme von Dateien durch Verschlüsselung in den letzten Jahren eine beachtliche und unrühmliche Karriere hingelegt. Und da sich Kriminelle auch bei Digitalisierungstrends wie as-a-Service-Angeboten nicht lumpen lassen, hat die Untergrundökonomie mit Ransomware-as-a-Service (RaaS) rasch ein lukratives Geschäftsmodell für sich entdeckt, das in kürzester Zeit enormes Wachstum erlebt hat. Das Prinzip ist denkbar einfach - wie in der legalen Wirtschaft sind die Dienstleistungen ganz auf die Bedürfnisse einer möglichst breiten Kundschaft zugeschnitten: Auf Ransomware-as-a-Service-Plattformen können nun auch technisch wenig versierte Kriminelle ins Cyber-Erpressergeschäft einsteigen und sich von Schadware-Entwicklern die entsprechende Service-Leistung gegen Abgabe einer festen Gebühr oder einer Provision basierend auf den Lösegeldeinnahmen besorgen.

  • Investitionen in IT-Sicherheit legitimieren

    Wenn man so oft direkt mit unterschiedlichen Unternehmen und Menschen zu tun hat wie der Vertrieb, erkennt man schnell bestimmte Reaktionsschemata. Ebenso wie zuverlässig wiederkehrende Schwierigkeiten beim Implementieren von IT-Sicherheitsmaßnahmen. Den größten Teil unserer Zeit verbringen wir damit zu erläutern warum Cybersicherheit derart wichtig ist und wie ein Unternehmen von bestimmten Maßnahmen am besten profitiert. Trotzdem erhält man regelmäßig dieselben Antworten: "Ich verstehe absolut wovon Sie sprechen, und ich gebe Ihnen sogar Recht. Nur, wie soll ich die zusätzlichen Ausgaben gegenüber der Geschäftsleitung rechtfertigen?" Es gibt allerdings einige grundlegende Argumente die Kunden helfen, Sicherheitsansätze und Lösungen gegenüber der Geschäftsführung oder anderen Zeichnungsbefugten plausibel zu machen.

  • PKI ist im 21. Jahrhundert angekommen

    Um ein IoT-Ökosystem sicher aufzubauen und zu entwickeln, braucht man zwingend Tools und Architekturen, um IoT-Geräte zu identifizieren, zu kontrollieren und zu verwalten. Dieser Prozess beginnt mit dem Festlegen einer starken Identität für jedes IoT-Gerät. Der folgende Beitrag beschäftigt sich mit einigen der Möglichkeiten, wie man die Authentizität von IoT-Geräten verifizieren kann, bevor man sie integriert.

  • Tor-Browser, um IP-Adressen zu verschleiern

    Trotz ausgereifter Sicherheitstechnologien bleiben Anwender für Unternehmen eine empfindliche Schwachstelle, insbesondere deshalb, weil Cyberkriminelle ihre Social Engineering-Angriffe immer weiter verfeinern. Vor allem Phishing zählt zu den Angriffsvektoren, die Unternehmen gegenwärtig Kopfschmerzen bereiten. So werden E-Mails im Namen von Payment-Services, Shopanbietern oder E-Mailservice-Hosts von den kriminellen Hintermännern täuschend echt nachgeahmt, mit dem Ziel, durch das Abfischen von Logindaten weitere sensible, persönliche Daten zu erbeuten. Doch wie sehen die Konsequenzen aus, wenn Nutzerdaten von Mitarbeitern in die falschen Hände geraten und welche Auswirkungen hätte dies auf das Unternehmen? Das Forschungsteam von Bitglass hat versucht, mithilfe eines Experiments unter dem Namen "Cumulus" den Verbreitungswegen illegal erbeuteter Daten auf die Spur zu kommen.