Einfach sicher: Thales unterstützt österreichischen Vertrauensdiensteanbieter A-Trust, eIDAS-konforme digitale Signaturen schnell und sicher bereitzustellen

Einfach sicher: Thales unterstützt österreichischen Vertrauensdiensteanbieter A-Trust, eIDAS-konforme digitale Signaturen schnell und sicher bereitzustellen

Im April 2017 trat in Österreich die sogenannte Registrierkassensicherheitsverordnung (kurz RKSV, oder Cash Registers Security Regulation) in Kraft. Die RKSV ist eine österreichische Rechtsvorschrift über zwingend vorgeschriebene technische Sicherheitseinrichtungen in Registrierkassen, mit Hilfe derer eine Sicherheit vor Manipulation bei Barumsätzen erreicht werden soll. Die Verordnung schreibt vor, dass sämtliche Belege aus Einzelhandel, Gastronomie und Dienstleistungsgewerbe digital signiert und gespeichert werden und dass ein eindeutiger privater Schlüssel jedem Geschäftsinhaber zugeordnet wird.

Einfach sicher: Thales unterstützt österreichischen Vertrauensdiensteanbieter A-Trust, eIDAS-konforme digitale Signaturen schnell und sicher bereitzustellen

A-Trust – Einfach sicher

Sicherheit steht naturgemäß ganz oben auf der Prioritätenliste von A-Trust. Deshalb hat das Unternehmen sich für die Lösung von Thales entschieden um digitale Signaturen schnell und einfach bereitzustellen sowie die zugehörigen Schlüssel zu generieren und umfassende Sicherheit zu gewährleisten. nShield HSM sind zudem nach Common Criteria (CC) EAL4+ zertifiziert und als Secure Signature Creation Devices (SSCDs) anerkannt. Das heißt, die nShield Hardwaresicherheitsmodule stellen digitale Signaturen zur Verfügung, liefern dazugehörige Zeitstempel und weitere Transaktionsdaten, die A-Trust benötigt, um der RKSV-Verordnung zu entsprechen.

A-Trust unterstützt Unternehmen dabei die RKSV-Anforderungen zu erfüllen, indem der Anbieter von Vertrauensdiensten kosteneffiziente, automatisierte Lösungen zur Verfügung stellt. A-Trust-Lösungen fallen zudem unter die Anforderungen der European Union’s Electronic Identification and Trust Services Verordnung, unter dem Kürzel ‚eIDAS’ bekannt. Ziel ist es einen europäischen Markt für den sicheren elektronischen Geschäftsverkehr zu schaffen.

Perfekte Partner

Thales und A-Trust arbeiten schon seit langem zusammen, wenn es um Lösungen für sichere digitale Signaturen geht. Die beiden Unternehmen kooperierten jüngst als A-Trust auf der Suche nach einer optimalen Backend-Lösung (HSM) für Mobiltelefon-Signaturen war. Die sogenannte „Handy-Signatur“ gestattet es Benutzern eine digitale Signatur anstelle einer konventionellen handschriftlichen Unterschrift zu nutzen um Transaktionen innerhalb der Europäischen Union abzuschließen. Für A-Trust ein ausgesprochen wichtiges Produkt, war doch das Unternehmen damit in der Lage eine eIDAS-konforme Lösung in vielen Ländern zu vermarkten. A-Trust hatte zuvor schon die Thales nShield Connect Hardware Security Module (HSM) eingesetzt, weil sie ein ausgewogenes Verhältnis von Preis, Leistung und Funktionalität bieten. Man entschied sich also erneut für diese Lösung.

Einfach, sicher, leistungsfähig

Wie oben beschrieben unterstützen Thales nShield Hardware Security Module (HSM) A-Trust bei einer Reihe von Anforderungen und sie bieten etliche Vorteile. Das Team von Ingenieuren fand die Lösung in allen Fällen besonders einfach zu nutzen und sie hat sich in jeder der Implementierungen als äußerst flexibel erwiesen. Thales HSM fungieren als Vertrauensanker für hochsichere Berechtigungsnachweise. Sie sorgen erst für die Integrität einer Transaktion oder einer Anwendung. Diese Integrität ist eine notwendige Grundlage für die digitale Transformation der Industrie wie einzelner Unternehmen.

Thales HSM werden jetzt sowohl in Umgebungen genutzt, die sich direkt an den Endverbraucher richten als auch bei der Datenverarbeitung im Backend der A-Trust-Rechenzentren.

Thales HSM fungieren als Vertrauensanker für hochsichere Berechtigungsnachweise. Sie sorgen erst für die Integrität einer Transaktion oder einer Anwendung. Diese Integrität ist eine notwendige Grundlage für die digitale Transformation der Industrie wie einzelner Unternehmen.

Die komplette Fallstudie finden Sie hier zum Nachlesen.

Für Brancheneinblicke und Einschätzungen zu aktuellen Datenschutztrends lesen Sie unseren Blog. Und folgen Sie Thales eSecurity auf Twitter, LinkedIn, Facebook und YouTube.

Studie Thales eSecurity: Der Ruf als Ressource - Datenschutz und Reputation 2.0

Studie Thales eSecurity: Der Ruf als Ressource - Datenschutz und Reputation 2.0

Die EU-Datenschutz-Grundverordnung (EU-DSGVO/GDPR) beschert den Konsumenten mehr Kontrolle über ihre Privatsphäre. Selbst wenn über die Umsetzung in der Praxis noch gerungen wird, sehen die meisten Verbraucher das als eine positive Entwicklung an. Gerade die Deutschen sind zudem durchaus willens ihre Rechte auch einzufordern. Aus einer jüngst von Thales eSecurity veröffentlichten Umfrage unter dem Titel „Schutz personenbezogener Daten – Warum die DSGVO nicht nur Geldbußen mit sich bringt“ geht hervor, dass 68 % Prozent der befragten deutschen Konsumenten rechtliche Schritte einleiten würden, sollte ein Unternehmen der DSGVO nicht entsprechen, 85 % würden den Anbieter wechseln und 64 % würden gegebenenfalls die Aufsichtsbehörde informieren. Und bei 84 % der Befragten würde die Wahrnehmung des Unternehmens negativ beeinflusst.

Studie Thales eSecurity: Der Ruf als Ressource – Datenschutz und Reputation 2.0

Reputation: Rufschaden schlimmer als Geldstrafen

Laut Gablers Wirtschaftslexikon versteht man unter Reputation „das auf Erfahrungen gestützte Ansehen und ggf. auch Vertrauen, das ein Individuum oder eine Organisation bei anderen Akteuren hat. Reputation spielt eine wesentliche Rolle bei der Einschätzung künftiger Verhaltensweisen von A als potenziellem Interaktionspartner von B, v.a. in solchen Situationen, die vertraglich nur unvollständig bzw. gar nicht erfasst werden (können), (...) Reputation stellt heute ein Äquivalent für die traditionellen Begriffe Ehre oder Tugend dar.“

Eine Definition, die sich problemlos ins digitale Zeitalter übertragen lässt. Mit den ab Mai 2018 wirksam werdenden Anforderungen der DSGVO rückt neben den finanziellen Strafen ein weiterer Schaden in den Mittelpunkt der Aufmerksamkeit: der Imageschaden. Im Rahmen des Bundesdatenschutzgesetzes (§42 BDSG) war eine Datenschutzpanne nämlich nur unter gewissen Umständen meldepflichtig. Das ändert sich mit der DSGVO. Nach dem viel diskutierten Artikel 33 muss nämlich grundsätzlich jede Datenschutzverletzung der zuständigen Aufsichtsbehörde mitgeteilt werden, wenn personenbezogene Daten betroffen sind. Es wird also zunehmend wahrscheinlicher, dass die Öffentlichkeit mehr als bisher von Datenschutzverletzungen erfährt. Das allein kann reichen, dem Ruf eines Unternehmens mehr zu schaden als selbst ein hohes Bußgeld. Die Datenschutzskandale gerade der letzten beiden Jahre haben die Verbraucher dahingehend sensibilisiert.

Und noch eine weitere Form der in diesem Falle gezielten Rufschädigung rückt in den Fokus. In seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2017 vom November weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei der anhaltend hohen Gefährdungslage ausdrücklich auf Cyberangriffe zur politischen Einflussnahme hin.

Das ist der Fall, wenn – unterstellt – staatliche gelenkte Angreifer beispielsweise gezielt die Reputation eines Wahlkandidaten oder einer Regierung demontieren.

Imageschäden, eine potenziell beschädigte Marke und ein ramponierter Ruf wirken nach.

Reputation 2.0 – Datenschutz als Wettbewerbsvorteil

Ganz so einfach ist es natürlich nicht, den Datenschutz 1:1 zu einem Wettbewerbsvorteil zu machen. Es lohnt sich aber durchaus die Perspektive zu wechseln und den Datenschutz (und mit ihm den Ruf und guten Namen eines Unternehmens) als potenziellen Wettbewerbsvorteil zu betrachten.

Dazu muss man als Firma allerdings den Dialog mit einer zunehmend kritischen Öffentlichkeit wagen. Ein Unternehmen, das Datenschutz „lebt“ vermittelt Kunden und potenziellen Kunden die Botschaft: „Ihre Daten sind uns wichtig, weil Sie uns wichtig sind“. Und es sind nicht nur die personenbezogenen Daten um die Verbraucher sich Sorgen machen. Ein ähnlicher Mangel an Vertrauen herrscht in Bezug auf den Umgang von Firmen mit ihrer Privatsphäre: 45 % der deutschen Verbraucher glauben, dass den Unternehmen ihre Privatsphäre im digitalen Umfeld gleichgültig ist. Hier ist Raum für vertrauensbildende Maßnahmen, den Unternehmen nicht ungenutzt lassen sollten. Die neue Datenschutz-Grundverordnung schafft auch dafür die rechtliche Grundlage.

Sicherlich sorgen die hohen Strafen in vielen Fällen für die notwendige Motivation, die EU-DSGVO umzusetzen. Datenschutz ist aber längst mehr als ein Kostenfaktor. Mit ihm investiert ein Unternehmen in seine eigene Innovations- und Zukunftsfähigkeit wie in die Kundenbindung. In Zeiten, in denen das nächste und vermeintlich bessere Angebot nur einen Klick weit entfernt ist, ein nicht zu unterschätzender Faktor. Dazu kommt ein generell stärkerer Verdrängungswettbewerb ausgelöst durch die digitale Transformation. Wie kann man in diesem Umfeld neue Kunden gewinnen und an sich binden oder neuartige Dienstleistungen entwickeln? Vielerorts eine unternehmerische Überlebensfrage.

Datenschutz ist für viele Kunden nicht nur in der digitalen Wirtschaft zu einem wichtigen Kriterium bei Kauf- und Vertragsentscheidungen geworden. Schließlich geht die EU-Datenschutzgrundverordnung nicht zuletzt auf die Forderungen der Öffentlichkeit nach einem strengeren Datenschutzrecht zurück. Ressourcen gezielt für den Datenschutz einzusetzen und die Anforderungen der Datenschutz-Grundverordnung zeitnah umzusetzen kann Unternehmen durchaus einen Wettbewerbsvorteil verschaffen.

Auch wenn 49 % der im Rahmen der Studie befragten deutschen Unternehmen, der Ansicht sind, dass die Umsetzung von Maßnahmen zur Einhaltung der DSGVO den Geschäftsalltag komplexer machen wird, sind doch immerhin 38 % zuversichtlich, dass sich die DSGVO überhaupt nicht auf den Geschäftsbetrieb auswirken wird.

Methodik

Für die von Thales eSecurity in Auftrag gegebene Studie wurden 2.000 Verbraucher in Deutschland und im Vereinigten Königreich (jeweils 1.000 pro Land) und 1.500 Führungskräfte aus dem oberen Management in Deutschland, den USA und dem Vereinigten Königreich (jeweils 500 pro Land) befragt. Die Studie wurde im August 2017 von dem internationalen Marktforschungsunternehmen Censuswide online durchgeführt.

Studie Thales eSecurity: EU-Datenschutz-Grundverordnung – Verbraucher hegen starke Bedenken was den Schutz ihrer Daten anbelangt

Studie Thales eSecurity: EU-Datenschutz-Grundverordnung – Verbraucher hegen starke Bedenken was den Schutz ihrer Daten anbelangt

Gerade in den letzten beiden Jahren haben sich spektakuläre Datenschutzverletzungen und Datenklau in großem Stil gehäuft. Längst hat die Berichterstattung es von der Fachnische in die Abendnachrichten geschafft. Verizon, Yahoo!, Equifax und zuletzt Uber um nur einige prominente Beispiele zu nennen. Es verwundert also nicht, dass Verbraucher besorgt sind wenn es um den Schutz ihrer personenbezogenen Daten geht. Dabei sorgt nicht nur der Diebstahl als solcher für Verunsicherung. 80 Prozent der deutschen Verbraucher sind zusätzlich überzeugt davon, dass ihre Daten von Cyberkriminellen online zum Verkauf angeboten werden.

Damit hat sich auch das öffentliche Bewusstsein im Hinblick auf die im Mai kommenden Jahres in Kraft tretende EU-Datenschutz-Grundverordnung (EU-DSGVO/GDPR) verändert. Neben IT-Sicherheitsexperten, Juristen und Unternehmen diskutieren gerade in Deutschland und UK verstärkt Verbraucher, welche Veränderungen die EU-DSGVO konkret mit sich bringt. Unter anderem damit befasst sich die aktuelle Studie von Thales unter dem Titel „Schutz personenbezogener Daten – Warum die DSGVO nicht nur Geldbußen mit sich bringt“.

Studie Thales eSecurity: EU-Datenschutz-Grundverordnung – Verbraucher hegen starke Bedenken was den Schutz ihrer Daten anbelangt

Große Bedenken beim Schutz personenbezogener Daten

Im Hinblick auf den Schutz personenbezogener Daten bestehen bei den Befragten teilweise erhebliche Bedenken. Das hat drastische Folgen für das Vertrauen, das Kunden in ein Unternehmen setzen. Die Hälfte der befragten Verbraucher im Vereinigten Königreich (50 %) und rund ein Drittel der Befragten in Deutschland (35 %) gaben an, niemandem zu vertrauen, wenn es um den Schutz ihrer personenbezogenen Daten geht. Nicht viel besser steht es um das Vertrauen in die digitale Privatsphäre. 49 % der britischen und 45 % der deutschen Verbraucher glauben, dass Unternehmen ihre digitale Privatsphäre weitgehend gleichgültig ist. Schon allein deshalb werden die kommenden Regulierungen positiv aufgenommen.

Die Negativschlagzeilen der letzten Monate haben dabei vor allem das Vertrauen in Gesundheitswesen, die Banken- und Finanzbranche aber auch den Online-Handel erschüttert. Nicht ganz unberechtigt wie eine frühere Umfrage von Thales zu IT-Sicherheitsbedrohungen 2017 ergeben hat: Im vergangenen Jahr wurden zwei von fünf Einzelhandelsunternehmen weltweit Opfer eines Datensicherheitsvorfalls. Ein Drittel unter ihnen sogar mehrfach.

Mehr Kontrolle dank DSGVO

Davon jedenfalls ist die Mehrheit der Befragten überzeugt. Vier Fünftel der ohnehin als besonders sicherheitsaffin geltenden deutschen Verbraucher (83 %) sind der Meinung, dass die zunehmende Regulierung den Schutz ihrer Daten verbessert und sie weitreichendere Kontrollmöglichkeiten haben. Entsprechend gut sind sowohl die Briten als auch die Deutschen informiert, was die kommenden Änderungen anbelangt. Unter den Befragten, die bereits von der DSGVO gehört hatten, geben im Vereinigten Königreich 57 % und in Deutschland sogar 66 % an die Verordnung bis zu einem gewissen Grad erklären zu können.

Und die Verbraucher sind sich nicht nur ihrer Rechte bewusst, sie ziehen sogar juristische Konsequenzen in Betracht, sollten Firmen sich nicht an die Vorgaben halten.

Soviel artikulierte Entschlossenheit war selten: Zwei Drittel der britischen (68 %) und die Mehrheit der deutschen Verbraucher (87 %) erwarten eine Benachrichtigung, falls Firmen die Frist für die Umsetzung der DSGVO nicht einhalten können. Drei von fünf Verbrauchern im Vereinigten Königreich (58 %) und stolze zwei Drittel in Deutschland (68 %) würden zumindest in Betracht ziehen, rechtliche Schritte gegen ein Unternehmen einzuleiten, das beim Umgang mit ihren personenbezogenen Daten gegen die DSGVO verstößt.

Es braucht nicht ein Mal einen schweren Datenschutzverstoß, um die Kundenbindung zu erodieren: 85 % der deutschen Kunden erwägen einen Wechsel zu einem anderen Unternehmen, wenn der Anbieter die Verordnung nicht einhält, 64 % würden bei Verstößen gegebenenfalls die zuständige Aufsichtsbehörde informieren. Im günstigsten Fall hinterließe ein Verstoß gegen die DSGVO einen bitteren Nachgeschmack bei 84 % der deutschen Verbraucher.

Es gibt einiges, worüber sich Unternehmen bis Mai 2018 Gedanken machen sollten. Und das sind nicht nur die hohen Strafen als solche sondern auch Imageschäden, die Meldung bei einer Aufsichtsbehörde, Geschäftsverluste und womöglich sogar Rechtsstreitigkeiten mit Kunden.

Geschäftliche Auswirkungen der DSGVO

Aus der Studie ergab sich noch eine Reihe weiterer Konsequenzen:

  • Die Umsetzung von Maßnahmen zur Einhaltung der DSGVO macht den Geschäftsalltag komplexer und bürokratischer. Das denken 63 % der Befragten im Vereinigten Königreich, 49 % in Deutschland.
  • Beinahe die Hälfte der Befragten (49 % im Vereinigten Königreich, 47 % in Deutschland) befürchtet, dass die DSGVO Innovationen behindern könnte.
  • 21 % der Befragten im Vereinigten Königreich und 15 % in Deutschland erwarten negative Auswirkungen auf die Beziehung mit internationalen Partnern.

Immerhin ein Drittel der europäischen Unternehmen ist trotzdem zuversichtlich, dass sich die DSGVO nicht auf den Geschäftsbetrieb auswirkt.

Fazit

Die EU-DSGVO tritt am 25. Mai 2018 in Kraft. Unternehmen hatten dann rund zwei Jahre Zeit sich auf die Anforderungen vorzubereiten. Jetzt, nur wenige Monate bis zum Stichtag ergibt sich ein uneinheitliches Bild. Längst nicht alle Unternehmen sind ausreichend vorbereitet. Das liegt zum einen an der komplexen Materie und zum anderen an den befürchteten Kosten.

Dazu gehören die Kosten, die ein Unternehmen beispielsweise für ein Audit seiner PII-Daten aufbringen muss. Ebenso wie für ein Berichtswesen, das sicherstellt, die Verbraucherrechtsanforderungen und Nachweispflichten zu gewährleisten. Viel höher zu bewerten sind allerdings die Kosten, die bei einem Datenschutzvorfall mit personenbezogenen Daten entstehen. Beratungsunternehmen geben Zahlen von über 90 % an, wenn es daran geht die Folgekosten zu beziffern. Gemeint sind solche durch entgangene Geschäfte, entstandenen Rufschaden, eine beschädigte Marke und natürlich die eigentlichen Strafen. Gleichzeitig wächst der Druck von Seiten der Öffentlichkeit und der Aufsichtsbehörden.

Aber noch bleibt Unternehmen Zeit, um zu prüfen, ob sie ausreichend auf die DSGVO vorbereitet sind. In Anbetracht der gravierenden Folgen von Verstößen sind Datenschutz und Cybersicherheit Themen, die auf Vorstandsebene diskutiert und angegangen werden müssen.

Den kompletten Report mit weiteren Daten haben wir hier zum Herunterladen für Sie vorbereitet.

eIDAS-Verordnung soll Vertrauen in die digitale Signatur schaffen

eIDAS-Verordnung soll Vertrauen in die digitale Signatur schaffen

eIDAS-Verordnung soll Vertrauen in die digitale Signatur schaffen

Laut BBC – und laut unserem CTO Jon Geater – könnten herkömmliche handschriftliche Unterschriften bald von der digitalen Variante abgelöst werden.

Es hat zwar eine Weile gedauert, doch letztendlich hat die zunehmende Nutzung digitaler Dienste (von Bank- und Finanztransaktionen im privaten bis hin zu Steuer- und Gesundheitsdienstleistungen im öffentlichen Sektor) zu einem verstärkten Einsatz der elektronischen Signatur geführt.

Doch obwohl die elektronische Signatur in einigen europäischen Ländern seit Jahren rechtsgültig ist, stellen uneinheitliche Regelungen in den EU Mitgliedstaaten bislang ein Hindernis für den grenzüberschreitenden Geschäftsverkehr dar.

Seit Juli 2016 kommt jedoch eine Verordnung mit der eingängigen Bezeichnung „Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ zur Anwendung.

Bekannter als dieser sperrige Titel ist das Akronym „eIDAS“ (Electronic Identification, Authentication and Trust Services), das für elektronische Identifizierung, Authentifizierung und Vertrauensdienste steht. Mit der Verordnung soll ein Rahmen für elektronische Transaktionen geschaffen werden, der rechtsverbindliche grenzüberschreitende Geschäftsaktivitäten innerhalb der EU erleichtert.

Und tatsächlich stellt die eIDAS-Verordnung die elektronische Signatur der handschriftlichen Unterschrift in rechtlicher Hinsicht gleich und sieht eine Regulierung der Vertrauensdiensteanbieter durch Aufsichtsstellen im jeweiligen EU-Mitgliedstaat vor.

Unternehmen, die in der EU tätig sind, profitieren von der Nutzung von Vertrauensdiensteanbietern, die den Anforderungen der Verordnung entsprechen: Alle unterzeichneten Dokumente und Verträge gelten in der gesamten EU. Durch die Nutzung eines qualifizierten Vertrauensdiensts können sie sicherstellen, dass die elektronische Signatur eines Dokuments mindestens die gleiche Gültigkeit besitzt wie eine handschriftliche Unterschrift. Insbesondere Banken fangen inzwischen an, die eIDAS-Verordnung umzusetzen, um die Identität ihrer Kunden zu prüfen und die Gültigkeit ihrer Vereinbarungen zu gewährleisten. Auch die Behörden bieten den Bürgern immer mehr digitale Dienste an und sind dementsprechend auf Dienstanbieter und Signaturen angewiesen, die den eIDAS-Vorgaben genügen.

Vertrauensdiensteanbieter müssen qualifizierte Signaturerstellungseinheiten mit leistungsstarken Verschlüsselungsalgorithmen verwenden, um die Sicherheit der Signaturen zu gewährleisten und die Vorgaben zu erfüllen.

Doch ganz gleich, wie stark die Verschlüsselung ist: Sie ist immer nur so sicher wie der Vertrauensanker, der die jeweiligen kryptografischen Schlüssel schützt.

Und an diesem Punkt kommen wir ins Spiel.

Die nach Common Criteria EAL4+ zertifizierten nShield-Hardwaresicherheitsmodule (HSM) von Thales dienen Vertrauensdiensten als Vertrauensanker. Als qualifizierte Signaturerstellungseinheiten ermöglichen sie es den Vertrauensdiensteanbietern, die eIDAS-Vorgaben zu erfüllen.

Da sich die digitale Signatur immer mehr durchsetzt und mittlerweile in der gesamten EU als rechtsgültig anerkannt wird, sind Regelungen wie die eIDAS-Verordnung wichtig: Dank ihnen können sich die europäischen Verbraucher sicher sein, dass die Vertrauensdiensteanbieter in der Lage sind, die Gültigkeit ihrer digitalen Transaktionen zu gewährleisten und ihre Identität zu schützen.

Vor diesem Hintergrund arbeitet Thales mit einer Reihe digitaler Dienstanbieter zusammen, wobei unsere nShield-HSM als Vertrauensanker dienen und Ihre wertvollsten und vertraulichsten digitalen Ressourcen durch Lösungen schützen, die den eIDAS-Vorgaben entsprechen.

Klicken Sie hier, um mehr darüber zu erfahren, wie wir Unternehmen helfen, die Anforderungen der neuen eIDAS-Verordnung zu erfüllen.

Im Dschungel der internationalen Datenschutzgesetze

Im Dschungel der internationalen Datenschutzgesetze

Der Übergang zur Digitaltechnik schreitet weiter voran und sorgt in immer mehr Branchen für einen Wandel, wenn nicht sogar für einen völligen Umbruch. Das wertvollste Gut eines Unternehmens bleibt dabei nach wie vor seine Daten. Unternehmen erstellen, teilen und speichern mehr Daten als je zuvor. Daraus erwächst, neben neuen Möglichkeiten zur Informationsgewinnung und Innovationspotenzial, eine enorme Verantwortung. Um es mit Voltaire (oder Spiderman) zu sagen: „Aus großer Macht folgt große Verantwortung“. Kunden überlassen Unternehmen ihre Daten in dem Vertrauen, dass sie sicher verwahrt werden. Und international agierende Unternehmen sehen sich mit einem komplexen Geflecht verschiedenster Datenschutzgesetze konfrontiert.

Versuch Einer Entwirrung

Das Chaos internationaler Datenschutzgesetze: Versuch einer Entwirrung

In den Nachrichten war unlängst zu lesen, dass die Europäische Union Facebook mit beträchtlichen Geldbußen belegt hat und die Datenschutzbehörden Frankreichs und der Niederlande aufgrund von Verletzungen der vor Ort geltenden Datenschutzgesetze Anordnungen gegen das Unternehmen erlassen haben. Facebook hatte bei der Übernahme von WhatsApp und dessen Benutzerstamm von mehreren Milliarden Personen erklärt, dass es die Benutzerdaten beider Dienste nicht verknüpfen würde, hielt diese Zusicherung jedoch nicht ein. Die europäischen Regulierungsbehörden entschieden, dass Facebook aus der Verknüpfung ein unlauterer Vorteil gegenüber potenziellen Wettbewerbern entstünde.

Die Schlagzeilen veranschaulichen den Lernprozess, den viele US Unternehmen durchlaufen, wenn sie ihre Produkte und Dienstleistungen nicht mehr nur in den Vereinigten Staaten mit ihren relativ lockeren Regelungen vertreiben, sondern in andere Regionen mit strengeren gesetzlichen Auflagen expandieren. In Europa beispielsweise gilt mit der Datenschutz-Grundverordnung (DSGVO/GDPR) ab Mai 2018 ein neuer Rechtsrahmen.

Die DSGVO soll die Datenschutzgesetze europaweit harmonisieren, um den Schutz der Daten aller EU Bürger zu gewährleisten und den Umgang mit personenbezogenen Daten in der Wirtschaft nachhaltig zu verändern. Leider wissen viele Marktteilnehmer noch nicht, dass die DSGVO für alle Unternehmen gilt, die EU Bürgern Produkte oder Dienstleistungen anbieten, ganz gleich, wo der Hauptsitz des Anbieters liegt. Zwar tritt die DSGVO erst 2018 endgültig in Kraft, doch es ist wichtig, dass sich die Wirtschaft jetzt schon auf die zu erfüllenden Vorgaben vorbereitet. Wenn Sie mehr darüber erfahren möchten, warum Unternehmen sich umgehend auf das Inkrafttreten der DSGVO vorbereiten sollten, empfehle ich Ihnen den unlängst veröffentlichten Blog-Artikel meines Kollegen Peter Carlisle.

Andere Länder wie zum Beispiel Australien haben ihre Datenschutzgesetze vor Kurzem geändert. Mit dem Privacy Amendment (Notifiable Data Breaches) Bill 2016 billigte das australische Parlament am 13. Februar 2017 den entsprechenden Gesetzentwurf zu meldungspflichtigen Datensicherheitsvorfällen. Die Überarbeitung des Gesetzes hatte sich allerdings bereits über einen längeren Zeitraum hingezogen. Es bezieht sich in erster Linie auf die Offenlegung von Datensicherheitsvorfällen und soll den australischen Bürgern mehr Klarheit über den Schutz ihrer personenbezogenen Daten verschaffen.

Auch in China werden derzeit neue Vorschriften zur Cyber-Sicherheit und ein eigenes Datenschutz-Rahmengesetz ausgearbeitet. Laut dem neuen Gesetz müssen Unternehmen ihre Daten innerhalb von China speichern. Darüber hinaus sieht es Sicherheitsprüfungen für Unternehmen in Sektoren wie Finanzen und Kommunikation vor. Die neuen Vorschriften dienen dazu, die Cyber-Sicherheit chinesischer Unternehmen zu verbessern, doch solche Regelungen zum Datenspeicherort sorgen bei multinationalen Unternehmen und Regierungsbehörden, die personenbezogene Daten verarbeiten, gleichermaßen für Kopfzerbrechen.

Da es keine internationalen Normen zur Datenhoheit gibt, stehen Unternehmen – die meist Cloud-Anbieter und Rechenzentren auf der ganzen Welt nutzen – häufig vor einer Reihe unbeantworteter Fragen. In meinem Blog-Artikel zur internationalen Nutzung personenbezogener Daten habe ich das Problem des Datenspeicherorts ausführlicher erörtert.

Eine Frage des Vertrauens: Was Verbraucher im Hinblick auf die Datensicherheit erwarten

Doch nicht nur die rechtlichen Rahmenbedingungen unterscheiden sich von Land zu Land, auch die Auffassungen zum Thema Datenschutz sind völlig unterschiedlich. Datenschutzfragen werden von verschiedenen Ländern und ihren Bürgern ganz unterschiedlich wahrgenommen und geregelt, hauptsächlich aufgrund der kulturellen und politischen Umstände, in denen sich die allgemeine Meinung zum Datenschutz entwickelt hat.

US Amerikaner beispielsweise befürchten, die Kontrolle über ihre personenbezogenen Daten verloren zu haben. Viele US Bürger bezweifeln, dass Behörden und Großunternehmen in der Lage sind, die gesammelten Kundendaten auch wirklich zu schützen. So glaubt laut einer aktuellen Studie des Pew Research Center etwa die Hälfte aller Amerikaner nicht, dass die Regierung oder Social-Media-Plattformen ihre Daten schützen.

In den europäischen Ländern, wo sowohl die geltenden als auch die kommenden Datenschutzgesetze strenger ausfallen, ergibt sich dagegen ein etwas anderes Bild in Bezug auf den Datenschutz und die Kontrolle über personenbezogene Daten. Laut einem kürzlich veröffentlichten Bericht der Europäischen Kommission erwarten fast alle Europäer, dass sie im Fall eines Verlusts ihrer Daten benachrichtigt werden. Aus dem Bericht ging zudem hervor, dass die meisten Europäer es nicht gern sehen, wenn Internetunternehmen ihre Online-Aktivitäten auswerten, um Werbung zu personalisieren. Durch die DSGVO dürfte sich der Eindruck der Öffentlichkeit, dass Datenschutz und -sicherheit im Internet Priorität haben, noch verstärken, während sich das Wirrwarr von Gesetzen und Regelungen in den USA weiterhin negativ auf das Vertrauen der Verbraucher auswirken könnte.

Unternehmen sind auf Vertrauen angewiesen. Es liegt auf der Hand, dass sie im globalen Wirtschaftsumfeld von heute neue Ansätze zum Schutz ihrer digitalen Ressourcen verfolgen müssen. Der Schutz des digitalen Unternehmens umfasst mehr als nur den Schutz vor Cyber-Bedrohungen: Auch die Vertraulichkeit, Integrität und Verfügbarkeit von Daten gehören dazu. Zwar ist kein Unternehmen immun gegen Sicherheitsvorfälle, doch eine Datenverschlüsselung mit strengen Zugriffskontrollen ist eine entscheidende Maßnahme zum Schutz seiner wichtigen Daten und seines guten Rufs.

Viele der geltenden Datenschutzgesetze sehen eine starke Verschlüsselung vor und unterstreichen damit die Bedeutung von Verschlüsselungsmechanismen für den Schutz vertraulicher Daten. Diese Art von präventivem Rechtsrahmen ist für international agierende Unternehmen die neue Realität. Man kann nur hoffen, dass er sich positiv auf die Wahrnehmung des Datenschutzes in der Gesellschaft auswirkt und das Vertrauen in die Unternehmen erhöht, die personenbezogene Daten verarbeiten.

Verschlüsselung: Menschenrecht und wirtschaftliche Notwendigkeit

Bislang ist Compliance in Unternehmen die wichtigste Motivation für die Umsetzung von Verschlüsselungsstrategien. Dies ergibt sich aus dem Bericht von Thales zu IT Sicherheitsbedrohungen 2017, laut dem fast die Hälfte (44 Prozent) aller international tätigen Unternehmen der Einhaltung von Compliance-Vorgaben bei der Budgetplanung oberste Priorität einräumt.

Man muss sich jedoch darüber im Klaren sein, dass es heute nicht mehr genügt, einfach nur Punkte auf einer Compliance-Checkliste abzuhaken. Während sich die Art der Cyber-Angriffe täglich, ja sogar stündlich ändert, dauert es Monate oder Jahre, Compliance-Regeln zu überarbeiten. Daher zwingen Compliance-Vorgaben Unternehmen häufig, Sicherheitsmaßnahmen zu ergreifen, die von Angreifern möglicherweise längst umgangen werden können. Compliance ist grundsätzlich kein schlechter Ansatz, aber keine wirklich sichere Strategie zum Schutz vertraulicher Daten.

Auch für den einzelnen Benutzer bildet Verschlüsselung mittlerweile einen integralen Bestandteil von Datenschutz- und Sicherheitsmaßnahmen. 2016 veröffentlichte Amnesty International einen Bericht, in dem die große Bedeutung der Verschlüsselung als Hilfsmittel für die Umsetzung von Menschenrechten betont wird, denn sie „stellt eine Grundvoraussetzung für Datenschutz und Meinungsfreiheit im digitalen Zeitalter dar“, so ein Sprecher der Organisation.

Angesichts der zunehmenden Zahl von Bedrohungen erhöhen Gesetzgeber und Aufsichtsbehörden rund um den Globus die Datenschutzanforderungen und verabschieden neue Gesetze. Es ist erfreulich, dass mittlerweile sowohl Unternehmen als auch Benutzer erkannt haben, dass Perimeterschutz allein nicht mehr ausreichend ist, sondern die Daten durch Verschlüsselung direkt geschützt werden müssen. Für Unternehmen, die wertvolle vertrauliche Geschäfts- und Kundendaten vor Angreifern schützen und verhindern wollen, dass ihr guter Ruf durch Datenskandale ruiniert wird, steht Datenschutz inzwischen an oberster Stelle.

Fragen Sie sich, wie Ihr Unternehmen die Einhaltung branchenspezifischer und staatlicher Compliance-Vorgaben bewältigen soll? Lesen Sie, wie Thales Ihnen helfen kann, selbst die strengsten Datenschutz- und Compliance-Anforderungen zu erfüllen. Und natürlich können Sie gern unten einen Kommentar hinterlassen oder mir über Twitter unter @kessalan eine Nachricht senden, um mehr zu erfahren.

Datensicherheit in Multi-Cloud-Umgebungen

Datensicherheit in Multi-Cloud-Umgebungen

Der Aufschwung der Cloud …

Die Cloud-Nutzung hat mittlerweile unvorstellbare Ausmaße erreicht. Unternehmen setzen auf Cloud-Dienste, weil sie in vielerlei Hinsicht Vorteile bieten, z. B. im Hinblick auf Flexibilität, Skalierbarkeit, Kosten und Innovation. Einer Prognose von Gartner zufolge wird der Markt für Cloud-Dienste in diesem Jahr um 18 Prozent zulegen: Der Gesamtumsatz wird weltweit von 209,2 Mrd. auf 246,8 Mrd. US Dollar steigen. Die führenden Cloud-Anbieter sind Amazon Web Services (AWS), Microsoft Azure und die Google Cloud Platform (GCP). Doch nicht nur die geschäftlichen Vorteile der Cloud werden das Wachstum weiter ankurbeln, sondern auch der Datenzuwachs durch das Internet der Dinge, künstliche Intelligenz, maschinelles Lernen und andere Big-Data-Anwendungsbereiche (die eine enorme Rechenleistung erfordern).

Wenn Unternehmen anfangen, Cloud-Dienste zu nutzen, sind sie möglicherweise überrascht, dass sie die Kontrolle über die Sicherheit ihrer Daten nicht an den Cloud-Anbieter abgeben müssen. Das ist im Grunde eine gute Sache: Unternehmen, die gesetzliche Vorgaben erfüllen müssen, brauchen mehr als nur Standard-Sicherheitseinstellungen. Im Allgemeinen benötigen sie mehr Kontrolle und ein höheres Sicherheitsniveau, als durch die Standardlösung für die Schlüsselverwaltung der meisten Cloud-Anbieter gewährleistet wird.

Die Mehrheit der Cloud-Anbieter verschlüsselt auf Wunsch Data-at-Rest, um Dateien und Ordner vor unerwünschten Zugriffen autorisierter Infrastrukturbetreiber zu schützen und für den Fall eines Datenverlusts beim Cloud-Dienst. In gewisser Weise ist Verschlüsselung einfach nur ein weiteres Merkmal des Cloud-Diensts, der verwendet und bezahlt wird. Doch der Haken ist: Sie hilft nur dann, wenn die Schlüssel gut geschützt sind.

Multi cloud key management

… und wie sich ihr Niedergang verhindern lässt

Leider ist die Verwaltung der Schlüssel – und damit der Daten – eine der kniffligsten Angelegenheiten, mit denen Unternehmen beim Umstieg auf die Cloud zu kämpfen haben. Laut unserer Ponemon-Studie zu globalen Verschlüsselungstrends 2017 gilt die Verwaltung von Schlüsseln für externe Cloud-Dienste oder gehostete Dienste als weit komplexer als die Verwaltung anderer Schlüsselarten.

Glücklicherweise gibt es jedoch einige Optionen. (Deren Notwendigkeit zeigte sich erst kürzlich wieder, als sich ein Hacker im Zuge des Datensicherheitsvorfalls bei OneLogin Zugriff auf mehrere AWS-Schlüssel verschaffte. Berichten zufolge hatte OneLogin zum Zeitpunkt des Angriffs nicht die uneingeschränkte Kontrolle über seine Schlüssel. Nach dem Vorfall hieß es von seiten des Unternehmens: „Der Angreifer erlangte Zugriff auf Datenbanktabellen, die Informationen zu Benutzern und Anwendungen sowie verschiedene Arten von Schlüsseln enthalten. Wir verschlüsseln bestimmte vertrauliche Data-at-Rest, können jedoch eine Entschlüsselung von Daten durch den Angreifer zum gegenwärtigen Zeitpunkt nicht ausschließen.“)

Thales beispielsweise bietet für Benutzer von AWS, GCP und Microsoft Azure BYOK-Lösungen („Bring Your Own Key“) für Cloud-Anwendungen an. Mit unseren nShield-Hardwaresicherheitsmodulen (HSM) bieten wir eine Sicherheitslösung an, durch die Unternehmen von der Flexibilität und den Kostenvorteilen von Cloud-Diensten profitieren und gleichzeitig die Sicherheit der Schlüsselverwaltung verbessern und mehr Kontrolle über ihre Schlüssel erlangen.

Indem Unternehmen im Hinblick auf die Verschlüsselung autonom bleiben, behalten sie die Kontrolle über Anwendungen und Cloud-Dienste, da sie ihre eigenen Datennutzungsrichtlinien umsetzen können. Die Umsetzung der Datennutzungsrichtlinien wiederum wird von Auditoren gern gesehen – eine Win-win-Situation.

Möchten Sie mehr erfahren? Dann empfehlen wir Ihnen, das (kostenlose) Whitepaper von Securosis über Multi-Cloud-Schlüsselverwaltung herunterzuladen, das Sie auch auf der Website von Securosis finden. Darin wird erläutert, warum sich Unternehmen mehr Sicherheit und Kontinuität bei der Schlüsselverwaltung wünschen, welche Ansätze es gibt und wie Sie aus den vielen möglichen Varianten die passende auswählen.

Fragen oder Kommentare? Senden Sie mir eine Nachricht über mein LinkedIn-Profil.

Thales verstärkt sein Engagement auf dem Markt für Datensicherheit in Deutschland, Österreich und der Schweiz

Thales verstärkt sein Engagement auf dem Markt für Datensicherheit in Deutschland, Österreich und der Schweiz

Thales, ein weltweit führendes Unternehmen für kritische Informationssysteme, Cyber Security und Datensicherheit, verstärkt mit der Ernennung neuer Führungskräfte für sein e-Security-Team das Engagement auf dem Cyber Security Markt in Deutschland, Österreich und der Schweiz (D-A-CH).

Mit fortschrittlichen Datensicherheitslösungen für Unternehmen und Regierungsbehörden hat sich Thales bereits in der Region etabliert. Die Verstärkung des Teams ist die Antwort auf einen gestiegenen Bedarf in Bezug auf den Schutz kritischer Informationen und das Einhalten einer wachsenden Anzahl an datenschutzbasierten Vorschriften, wie beispielsweise der Datenschutz-Grundverordnung (DSGVO - GDPR) der Europäischen Kommission und der eIDAS-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen der EU.

Dipl.-Kfm. Kai Zobel wurde zum Regional Sales Director für Deutschland, Österreich und die Schweiz ernannt. Er hat umfassende Marktkenntnisse im Bereich Datensicherheit und weiß, wie Kundenanforderungen erfüllt werden müssen. Kai Zobel war früher bei Fortinet und bei Cisco, Skybox, CA, Verizon und Safenet in leitender Position tätig. Andreas Moewes, Edgar Kary und Hildegard von Waldenfels wurden zu Senior Sales Managern ernannt und Jürgen Schopper verstärkt das Team als Channel Manager für die D-A-CH-Region. Sie ergänzen das Team bestehend aus den Senior Sales Engineers Michael Loger und Bernd Stamp, dem Senior Sales Manager Joachim Brandt und dem Business Development Manager Mario Galatovic.

Mit den Lösungen von Thales wird sichergestellt, dass Daten von Unternehmen und Regierungsbehörden in jeder Umgebung – im Unternehmen selbst, in der Cloud, in Rechenzentren und Big Data-Umgebungen – ohne die Unternehmensprozesse einzuschränken, gesichert und vertraulich behandelt werden. Mit dem kürzlich erfolgten Erwerb von Vormetric Data Security bietet Thales einer Organisation anhand von Verschlüsselung, erweiterter Schlüsselverwaltung, Tokenisierung, Kontrolle privilegierter Benutzer und der Einhaltung der höchsten Zertifizierungsstandards alles, was sie für den Schutz und die Verwaltung ihrer Daten, ihrer Identitäten und ihres geistigen Eigentums, sowie zur Compliance mit regulatorischen Vorschriften benötigt.

Kai Zobel, Regional Sales Director D-A-CH, Thales e-Security, sagt:

„Cyber-Kriminalität tritt weltweit immer häufiger auf, da bei Unternehmen der Trend in Richtung digitale Technologien ungebrochen ist. Dies führt dazu, dass sowohl Unternehmen als auch Regierungsbehörden gleichermaßen fortschrittlichere Techniken benötigen, um die zahlreichen Cyber-Bedrohungen zu bewältigen. Gemäß einem aktuellen Bericht von 451 Research haben 95% der deutschen Bürger das Gefühl, anfällig für einen Angriff auf ihre Daten zu sein, und 45% davon haben das Gefühl, sehr oder außerordentlich anfällig zu sein. Ich bin sehr froh, zusammen mit einem so starken neuen Team zu Thales gekommen zu sein, insbesondere zu einer Zeit, in der Datensicherheit immer wichtiger wird und die Nachfrage immer weiter steigt.“

Peter Carlisle, Vice President Sales EMEA, Thales e-Security, sagt dazu:

„Thales genießt weltweites Ansehen als Marktführer für fortschrittliche Datensicherheitslösungen. Mit den neuen Ernennungen von Führungskräften zeigt Thales seinen Kunden Unterstützung auf dem Weg in das digitale Zeitalter und schafft dort Vertrauen, wo Informationen erstellt, gespeichert und geteilt werden. Wir sind sehr froh darüber, unsere neu ernannten Führungskräfte im Team sowohl als Teil unseres Engagements bei der Unterstützung bestehender Kunden, als auch beim weiteren Ausbau unserer Geschäfte in der D-A-CH-Region willkommen zu heißen.“

Subscribe to Drupal blog posts
Unsere interaktive Produkt-Demo ansehen Mehr erfahren
Eine Demonstration vereinbaren Zeitplan
Einen Spezialisten kontaktieren Kontaktieren Sie uns