fbpx

Verschlüsselung ist kein Schutz

Veröffentlicht von Stefan Schreiner am

Verschlüsselung ist kein Universalschutz – auch nicht im Datenschutz

Die Datenschutz Grundverordnung fordert sieben Gewährleistungsziele – vor allem in Artikel 5 der DSGVO aufgeführt – ein, die verpflichtend zu erfüllen sind. Diesen Gewährleistungszielen stehen entsprechend auch sieben Risikofelder gegenüber, die die Ursache für eine Datenschutzverletzung darstellen. Nur eines der Risikofelder bezieht sich auf Datensicherheit und eine der Maßnahmen zur Erreichung dieses Schutz- und Gewährleistungsziels ist die Verschlüsselung. Vereinfacht gesagt, knapp 15% aller möglichen Risiken aus dem Datenschutz können vielleicht mit der Maßnahme Verschlüsselung gemildert, oder ausgeschlossen werden.

Gewährleistungsziele, Risiken und Maßnahmen leiten sich aus dem Standard Datenschutz Model (vgl.: SDM) der Datenschutzbehörden aus Deutschland ab. Dieses baut auf dem IT Grundschutz des Bundesamt für Sicherheit in der Informationstechnik (vgl.: BSI) auf. Der BSI IT Grundschutzkatalog ist die konkrete Ausformung der ISO 27000 Normenreihe. Das Modul CON.2 des IT Grundschutzkatalogs hat die Konzeption von Maßnahmen zur Einhaltung von Datenschutz zum Inhalt.

Die Risikofelder abgeleitet aus der Datenschutz Grundverordnung und dem Datenschutzgesetz sind,

  • Missachtung von Vorschriften
  • Unwissenheit
  • Offenlegung von Informationen
  • Erkennbarkeit
  • Zuordenbarkeit
  • Identifizierbarkeit
  • Nicht-Abstreitbarkeit

Hinter dem Risikofeld Offenlegung von Informationen steht als mögliche Maßnahme die Verschlüsselung. Anderen Risikofeldern kann mit Verschlüsselung in der Regel nicht effizient begegnet werden. Das Risiko der Offenlegung enthält die gleichen Angriffsvektoren, wie die aus der Datensicherheit, und das sind,

  • Täuschung (Spoofing)
  • Offenlegung
  • Manipulation (Tampering)
  • Ausweitung von Berechtigung

Alleine in diesem Bereich ist offensichtlich Verschlüsselung als Maßnahme nicht ausreichend, um das zugehörige Gewährleistungsziel Integrität zu erfüllen. Die Bedrohung den Authentifizierungsprozess durch Täuschung zu kompromittieren wird nicht durch den Einsatz von Verschlüsselung lösbar sein. Vorhersagbare Credentials sind unabhängig der Form und Art der eingesetzten Verschlüsselung.

Fazit:

  • Verschlüsselung von Daten kann die Vorgaben des Datenschutzes und auch der Datensicherheit nicht alleine erfüllen.
  • Die Verantwortung kann nicht delegiert werden, auch wenn es einen Auftragsverarbeiter gibt. (Wo auch immer die Software läuft und wer sie betreibt ist unerheblich. Der, der den Auftrag gibt ist und bleibt der Verantwortliche)