Compliant nach EU-DSGVO dank einer PKI
26.02.2018
Kaum ein Online- oder Fachmagazin kommt derzeit ohne eine Erwähnung der in Kürze in Kraft tretenden Datenschutzgrundverordnung (EU-DSGVO) aus. Neben der klassischen Warnung vor horrenden Bußgeldern und der nachhaltigen Aufforderung, sich als Unternehmen dagegen zu wappnen, beschäftigt sich dieser Blogbeitrag mit einer Lösung – der Public Key Infrastruktur (PKI) – die Sie bei der Umsetzung der Vorgaben der EU-DSGVO unterstützt und dem Anspruch an eine vertrauliche Datenverarbeitung gerecht wird.
Im Hinblick auf die EU-DSGVO möchten wir Ihnen die zwei wichtigsten Anforderung aufzeigen, denen Sie durch technische Lösungen gerecht werden können:
Laut Artikel 24 EU-DSGVO ist dafür Sorge zu tragen, dass jedes verantwortliche Unternehmen geeignete technische und organisatorische Maßnahmen vorzusehen hat, welche unter Berücksichtigung des Umfangs, der Umstände sowie den entsprechenden Eintrittswahrscheinlichkeiten auszuwählen sind.
Unternehmen sind folglich dafür verantwortlich entsprechende Maßnahmen zu treffen, welche den Grundsatz des Datenschutzes durch den Einsatz von Technik und datenschutzkonforme Voreinstellungen sicherstellen (DATA PROTECTION BY DESIGN & DEFAULT). Bereits bei der Planung der IT-Systeme sollten die Niveaus des Datenschutzes und der Datensicherheit so hoch wie möglich gestaltet werden (DATA PROTECTION BY DESIGN). Eine weitere Forderung der EU-DSGVO ist die Verwendung aktueller Verschlüsselungsmechanismen. Mit dem Einsatz technischer Hilfsmittel zur Verschlüsselung personenbezogener Daten können Unternehmen hinsichtlich der Konformität gegenüber der EU-DSGVO zwei Fliegen mit einer Klappe schlagen.
Dass die Datenschutzgrundverordnung einige spezielle Anforderungen an Unternehmen stellt und das Ziel verfolgt, personenbezogene Daten zu schützen, ist hinreichend bekannt. Also stellt sich die Frage, wie Unternehmen, unabhängig von Mitarbeiterzahl und Größe, diesen Anforderungen gerecht werden. Den Ansatz zu verfolgen, so wenig wie möglich Daten zu speichern und zu verarbeiten ist oft nicht praktikabel, wird jedoch im Rahmen der EU-DSGVO gefordert (DATA PROTECTION BY DEFAULT). Ziel sollte es eher sein, den Stand der Technik zu nutzen um auf Grundlage dieser die Geschäftsprozesse so sicher wie möglich zu gestalten.
Als Basistechnologie zur Unterstützung dieser Ziele, welche durch die Datenschutzgrundverordnung definiert werden, ist es empfehlenswert, Lösungen in Form einer Public Key Infrastruktur zu implementieren. Durch eine PKI wird die Authentizität von Unternehmenswerten durch digitale Signaturen und Zertifikate gewährleistet. Eine PKI baut dabei auf den grundsätzlichen Methoden der asymmetrischen Verschlüsselung auf und besteht sowohl aus Hardware- als auch aus Softwarekomponenten.
Zum besseren Verständnis erläutern wir die Funktionsweise der Authentifikation sowie der Instanzen einer PKI anhand eines alltäglichen Beispiels:
Abbildung: Funktionsweise der Instanzen einer PKI am Beispiel der Ausweiskontrolle am Flughafen, Eigene Darstellung
Bevor man eine Reise mit dem Flugzeug antritt, muss sich eine Person gegenüber dem Flughafenpersonal ausweisen. Hierfür ist ein in Deutschland gültiges Ausweisdokument (in diesem Beispiel der Personalausweis) notwendig. Um diesen ausgehändigt zu bekommen, blicken wir etwas weiter zurück: Die entsprechende Person meldet sich vor dem sechzehnten Lebensjahr bei dem dafür zuständigen Einwohnermeldeamt (Siehe Abbildung: Registrierungsstelle RA) und beantragt einen Personalausweis auf den dafür vorgesehenen Meldeweg (1). Damit das Ausweisdokument eindeutig zugeordnet werden kann, ist dieses mit den für die Person notwendigen und spezifischen Informationen ausgestattet (Größe, Augenfarbe, Wohnort etc.). Die Registrierungsstelle überprüft die hinterlegten Informationen und bestätigt (2) diese gegenüber der Bundesdruckerei (Zertifizierungsstelle CA), welche im nachfolgenden Schritt das entsprechende Zertifikat (Personalausweis) ausstellt (3). Mit Hilfe dieses Zertifikats kann sich die Person dann gegenüber dem Flughafenpersonal ausweisen (4). Zur Überprüfung der Gültigkeit und Integrität des Dokuments wird der Personalausweis im abschließenden Schritt gegenüber einer Validierungsstelle geprüft (5). Diese gleicht alle hinterlegten Informationen der CA (6) mit dem vorliegenden Dokument (Personalausweis) ab und bestätigt im Idealfall zum einen die Echtheit der Person und zum anderen auch die Echtheit und den Inhalt des Zertifikats (7). Die Person beweist mithilfe des Personalausweises (Zertifikat), dass es sich wirklich um diese Person handelt.
Der abgebildete Prozess gleicht im digitalen Umfeld unter anderem der Public Key Infrastruktur. Analog zum oben genannten Beispiel möchte beispielsweise ein Gerät oder eine Person in einem beliebigen Netzwerk die Authentizität und Integrität zur Kommunikation mit anderen Netzwerkteilnehmern bestätigen und benötigt dafür ein digitales Zertifikat. Ähnlich wie zuvor beschrieben ist es notwendig, dass sich die Person bzw. das Gerät gegenüber einer Zertifizierungsstelle die Echtheit bestätigen lässt. Als Zwischeninstanz ist auch hier wieder eine Registrierungsstelle notwendig, welche die Identität des Benutzers erfasst und authentifiziert. Alle genannten Instanzen (s. Abb.) werden im Umfeld einer PKI bereitgestellt. Sie dient somit nicht nur als Zertifizierungsstelle, sondern basiert auf den Methoden der asymmetrischen Kryptografie und bietet dabei eine ganzheitliche Lösung zur Signatur und Verschlüsselung. Es werden Rahmenbedingungen für eine einheitliche Sicherheitsumgebung festgelegt, welche als Grundlage für die Wahrung von Vertraulichkeit, Integrität und Authentizität dienen.
Eine komplette Lösung hierfür bietet beispielsweise das schwedische Unternehmen Primekey. In Form einer »out-of the box« PKI-Appliance werden alle Notwendigen Tools und Anwendungen in einem einzigen Gerät angeboten. Herzstück dieser Appliance bildet die EJBCA Enterprise Plattform in Kombination mit einem nach FIPS 140-2 Level 3 zertifizierten Hardware Sicherheitsmodul (HSM). Dank dieser Koppelung ist die sichere Verwaltung und Erzeugung digitaler Schlüssel durch einen dedizierten Kryptoprozessor möglich, welche zur Ausstellung der Zertifikate notwendig sind. Das HSM ist so konzipiert, dass es die darin befindlichen digitalen Schlüssel nicht nur auf dem digitalen Weg absichert, sondern ebenfalls vor physischer Manipulation der kompletten Hardware schützt. Ein weiteres Tool welches in Zusammenhang mit der PKI Appliance genannt werden muss, ist der SignServer. Dieser ist zuständig für die zentrale Generierung digitaler Signaturen für Dokumente und Daten, die auch eIDAS-konform gestaltet werden können, um die Authentizität, Integrität und Verbindlichkeit der jeweiligen Datensätze zu gewährleisten.
Da eine effiziente und sichere Public Key Infrastruktur grundsätzlich von den jeweiligen Anforderungen und Gegebenheiten des Unternehmens abhängig ist, sollte im Vorfeld ein Konzept entwickelt werden, wie und in welchem Umfang sie schlüssig implementiert wird. Die PKI ist keineswegs nur eine »out-of-the-box«-Lösung, sondern ein ganzheitlicher Ansatz, bestehend aus Security Richtlinien und Hard- und Softwarelösungen, welcher die Endnutzer und Daten in ihrem Unternehmen schützt. Weiterhin stellt sie im Hinblick auf die EU-DSGVO einen optimalen Ausgangspunkt dar.
Wir unterstützen Sie von der Analyse Ihrer Bedürfnisse über die Findung einer optimalen Lösung bis hin zum Support im Betrieb und bieten Ihnen individuell abgestimmte Beratungsservices an. Beachten Sie hierzu auch unsere Security@Softline Workshops.
