Wenn man die Kommentare zur Datenschutzgrundverordnung (DSGVO) oder den BSI Grundschutz liest, dann denkt man vermutlich nein, oder allenfalls bei öffentlichen Netzen oder hohem Schutzbedarf. Aber das stimmt nicht, Verschlüsselung ist eigentlich eine Basisanforderung ...
Autor | Kommentar | Rn zu Artikel 32 |
---|---|---|
Dr. Carlo Piltz in Gola (Rechtsanwalt) | Eine Pflicht zur Verschlüsselung existiert nicht (Mantz in Sydow, Art 32 Rn 11) | Rn 27 |
Nach Ansicht des Gesetzgebers muss die Verschlüsselung bewirken, dass die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden (vgl. Art. 34 Abs. 3 lit. a). | Rn 28 | |
Dr. Reto Mantz in Sydow Dr. jur Reto Mantz ist Diplom-Informatiker, Rechtsanwalt und ehemaliger Richter, mithin der einzige Kommentator bei dem man vermuten darf, dass er weitgehende Kenntnisse der Technik hat. | Verantwortlicher und Auftragsverarbeiter sollen zur Aufrechterhaltung derSicherheit und zur Vorbeugung von unrechtmäßigen oder unbeabsichtigtenVerarbeitungsvorgängen Daten pseudonymisieren und verschlüsseln. Verschlüsselung als Maßnahme ergab sich nach bisheriger Rechtslage aus Anlage l Satz 2 zu § 9 BDSG aF. Die Pflicht zur Pseudonymisierung hingegen ist neu, auch wenn sie als Teil der Datensparsamkeit nach §§ 3 a, 3 Abs. 6 aBDSG aF gesetzlich verankert war. Als Folge aus Abs. l lit. a ist daher stets 7.11 prüfen, ob und wann personenbezogene Daten verschlüsselt oderpseudonymisiert werden können, wobei dies so früh wie möglich erfolgen sollte (-> Art. 25 Rn. 51). ... Unter Verschlüsselung ist ein Vorgang zu verstehen bei dem eine klar lesbare Information mit Hilfe eines kryptographischen Verfahrensin eineunleserlicheZeichenfolge umgewandelt wird. Pseudonymisierung und Verschlüsselung sollen gewährleisten, dass selbst bei unbefugtemZugriff Dritter auf das System keine Kenntnis von den personenbezogenen Daten erlangt wird oder wenigstens ein Personenbezug nicht ohnehergestellt werden kann. Typische Anwendungsfälle von Verschlüsselung liegen im Versand von E-Mails und der Ablage von Daten in (verschlüsselnden) Datenbanken. Die Verschlüsselung von Datenträgern dientder Verhinderung des Zugriffs, zB bei Abhandenkommen eines Laptops, USB-Sticks etc. Es sind grundsätzlich nicht alle Daten stets zu verschlüsseln, vielmehr ist auch insoweit eine Abwägung nach Abs. 1 zu treffen.Dabei ist auch zu berücksichtigen, ob eine Verschlüsselung der Daten angesichts der Umstände der konkreten, bezweckten Verarbeitung möglich undzumutbar ist. Allerdings hat der Gesetzgeber durch die Hervorhebung derVerschlüsselung als Maßnahme die Schwelle für eine Verschlüsselungspflicht niedrig angesetzt. Jedenfalls bei mittlerem Risiko sollten personenbezogene Daten daher soweit wie möglich verschlüsselt werden. Dies wirdauch aus der Systematik von Abs. l lit. a-d deutlich: Im Gegensatz zu denMaßnahmen nach lit. b und c reicht es bei Pseudonymisierung und Verschlüsselung nicht aus, dass der Verpflichtete die entsprechendenFähigkeitenaufweist. Vielmehr stellen Pseudonymisierung und Verschlüsselungin Abgrenzung zur Formulierung von lit. a und d gegenüber lit. b und c konkrete Maßnahmen dar, die regelmäßig ergriffen werden sollten (->Art. 25 Rn. 51, 56). Daher sind auch Daten aufsmartenGeräten, die als Teil des Internet der Dinge (loT) personenbezogene Daten erheben undübermitteln, stets zu verschlüsseln, sofern Dritte physisch Zugriff auf diese Geräte haben können. Bei der Übermittlung von Daten sollte immer eineEnde-zu-Ende-Transportverschlüsselung verwendet werden. Dies gilt auch bei IoT-Geräten. | Rn 11 |
Prof. Dr. Mario Martini in PaalPauly | Auch die Verschlüsselung stuft der Unionsgesetzgeber als eine der prioritären Sicherheitsmaßnahmen zum Schutz personenbezogener Daten ein. Anders als im Falle der Pseudonymisierung bleibt der Personenbezug bei derVerschlüsselung grds. vollständig erhalten. Allerdings verändert die Verschlüsselung die Daten (regelmäßig vollständig, nicht nur hinsichtlich der Zuordnung zu einer Person) durch kryptografische Maßnahmen so, dass sie – insbes.während ihres Übertragungsvorgangs – ohne den passenden Schlüssel nicht mehr lesbar sind, ein unberechtigter Zugriff Dritter mithin ausgeschlossen ist (vgl. auch Art. 34 Abs. 3 lit. a). Die kryptographischen Verfahren, die der Verschlüsselung zu Grunde liegen, müssen den Stand derTechnik berücksichtigen (Abs. l S. 1; s. zum Stand der Technik für Verschlüsselung: BSI TR-02102-1Kryptographische Verfahren: Empf. undSchlüssellängen, Version 2020-01). Um diesem Kriterium zu entsprechen, dürfen keine Hintertüren in die Verschlüsselungssysteme eingebaut sein, dieeinen unbefugten Zugang eröffnen (Hansen in NK-DatenschutzR DS-GVO Art. 32 Rn. 35). | Rn 34 |
Ebenso wie die Pseudonymisierung ist die Verschlüsselung nicht in jedemEinzelfall zwingend geboten. Wo sie sich jedoch als erforderlich undangemessen erweist, um ein demRisiko angemessenes Schutzniveau zu gewährleisten(Abs. l Hs. 1), ist sie rechtlich aber das Mittel der Wahl. | Rn 34b | |
Dr. Silke Jandt in KuehlingBuchner | Art. 32 Abs. l Hs. 2 lit. a enthält keine Aussage darüber, welche Ziele mit der Verschlüsselung zu verfolgen oder welche Form der Verschlüsselung zu wählen ist. Da dieDatensicherheit als übergeordnete Zielsetzung der Norm sowohl den Schutz vor Veränderungen als auch vor unbefugter Offenlegung und unbefugtem Zugang zu den Datenumfasst, ist als Zweck der Verschlüsselung die Integrität und die Vertraulichkeit anzusehen. | Rn 20 |
Eine Pflicht zur Verschlüsselung existiert nichtbis
prioritäre Sicherheitsmaßnahmeund
so früh wie möglich. Was denn nun?
Autor | Kommentar | Rn |
---|---|---|
Gola, Klug, Körffer in BdsgGolaKlugKoerffer | In Satz 3 der Anlage zu § 9 wird für die Kontrollen nach Nr. 2 bis 4, d.h. für die Zugangs-, Zugriffs- und Weitergabekontrolle, die Verschlüsselung als gängiges Verfahren empfohlen. | §9 Rn 29a |
Dr. Kai-Uwe Plath in BdsgPlath (LL.M., Rechtsanwalt) | Gemäß Satz 3 der Anlage zu § 9 sind die Zugangs-, Zugriffs- und Weitergabekontrolle (Nr. 2, 3 und 4 der Anlage) insbesondere durch die Verschlüsselung der verwendeten personenbezogenen Daten zu gewährleisten. Durch diese explizite Konkretisierung der einzuführenden technischen und organisatorischen Maßnahmen soll den wachsenden Gefahren begegnet werden, die den verwendeten Daten durch Hackerangriffe droht (ebenso Simitis/Ernestus, §9 Rz. 165) | §9 Rn 57 |
Teilweise wird vertreten, dass – zumindest beim E-Mail-Verkehr – aus §9 faktisch eine Verschlüsselungspflicht folgt. Der Einsatz von Verschlüsselungstechnologien sei heutzutage so unproblematisch, das er grundsätzlich stets als verhältnismäßig, mithin also als verpflichtend anzusehen sei (So z.B. Klett/Lee, CR 2008, 644 (646)). Gegen diese Ansicht spricht jedoch, dass eine Maßnahme, die unter den Vorbehalt der Verhältnismäßigkeit gestellt wird, nicht per se verpflichtend sein kann. Es steht der verantwortlichen Stelle damit grundsätzlich frei, sich für einen anderen, ebenso effektiven Schutz des E-Mail-Verkehrs zu entscheiden. In der Regel wird jedoch die Verschlüsselung tatsächlich das Mittel der Wahl darstellen. | §9 Rn 59 | |
Walter Ernestus in BdsgSimitis (Regierungsdirektor) | Die Vorschrift, die im Zuge der Novellierung des BDSG im Jahr 2009 neu in das Gesetz aufgenommen worden ist, sieht das öffentliche und nicht-öffentliche Stellen gleichermaßen bindende Prinzip des Gebotes der Verschlüsselung vor. ... | §9 Rn 164 |
... Mit der Maßnahme sollen die Sicherheit der Daten und Verarbeitungssystem durch Einsatz von Verschlüsselungstechnik vor Gefahren und Bedrohungen wie z.B. Datenkorruption, -änderung, -veruntreuung sowie missbräuchlicher Verwendung gewährleistet werden. Verschlüsselung ist eine Maßnahme, die dem Katalog der datenschutzfreundlichen Techniken entnommen worden ist. Die Regelung trägt den wiederholt gestellten Forderungen nach Schutz vor wachsenden Bedrohungen durch Angriffe aus dem Internet Rechnung. | §9 Rn 165 | |
Die Maßnahmen nach 2 bis 4 der Anlage zielen direkt auf den Schutz der personenbezogenen Daten vor Zugriffen und Kenntnisnahme durch Unbefugte ab. Deshalb ist gerade die Wahl der technischen Maßnahmen außerordentlich wichtig, damit die Daten in einem IT-System durch Verschlüsselung sicher geschützt sind. | §9 Rn 168 | |
Der Gesetzgeber ist mit der Regelung auch Forderungen von Seiten der Datenschutzbeauftragten des Bundes und der Länder nachgekommen. So hat beispielsweise der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit in seinem 18. Tätigkeitsbericht die Verschlüsselung als besondere Maßnahme und wirksamen Schutz vor Unbefugten bei der Verarbeitung von besonders schützenswerten Daten empfohlen. | §9 Rn 169 | |
Dr. Sven Polenz in TaegerPohle LL.M. | „Gesetzliche Regelungen verlangen teilweise ausdrücklich eine Verschlüsselung, wobei der Gesetzgeber nicht selten auf den Stand der Technik abstellt. Beispiele:
| 135 Systemdatenschutz – technische und organisatorische Maßnahmen, Rn 17 |
Spätestens seit den Enthüllungen des Whistleblowers Edward Snowden ist klar: Nicht oder nur schlecht verschlüsselte Kommunikation über das Internet wird umfassend abgehört, gespeichert und ausgewertet. Obwohl § 9 BDSG – und sachlich im Anwendungsbereich beschränkt § 109 I TKG und § 21e III EnWG sowie weitere Normen, indirekt auch § 13 IV S. 1 Nr. 3 TMG – letztlich den Einsatz aktueller Sicherheitsmaßnahmen, insbesondere Verschlüsselung nach dem Stand der Technik, zwingend verlangt, werden die hierfür bestehenden Standards sowohl von der Wirtschaft als auch von der Verwaltung in weiten Bereichen ignoriert.Das bezieht sich primär auf Verschlüsselung im Internet, stimmt nach meinen Beobachtungen aber auch sonst. Ähnlich Andreas Dölker und Philipp Müller-Peltzer in DoelkerMueller:
Dennoch führt eine Verhältnismäßigkeitsprüfung regelmäßig zu dem Ergebnis, dass eine Verschlüsselung zum Schutz personenbezogener Daten angezeigt ist. Faktisch besteht somit in etlichen Konstellationen eine Pflicht zur Verschlüsselung.
Autor | Kommentar | Rn zu §64 |
---|---|---|
Christine Nolden in PaalPauly LL.M. | Konkretisiert wird die Regelung durch Abs. 1 S. 2, nach dem zusätzlich die einschlägigen Technischen RL des BSI zu berücksichtigen sind. Hierdurch wird eine Orientierung für das Kriterium des Standes der Technik aufgenommen. Anmerkung: das BSI hinkt dem Stand der Technik leider stark hinterher. | Rn 3 |
Dr. Simon Schwichtenberg in KuehlingBuchner | Aus der Anlage zu §9 S.1 BDSG aF wurde auch übernommen, dass die Verschlüsselung exemplarisch eine geeignete Maßnahme darstellen kann, um die Ziele des S.1 Nr. 2 bis 5 zu erreichen. Anmerkung: hier frage ich mich, wieso exemplarisch– da steht insbesondere. | Rn 7 |
Kirsten Bock in BeckOK | Abs. 2 S. 1 stellt klar, dass die Maßnahmen der Pseudonymisierung (§ 46 Nr. 5) und Verschlüsselungstechniken auch im Anwendungsbereich des § 45 zum Einsatz kommen können, soweit dies in Anbetracht der Verarbeitungszwecke möglich ist. Es besteht insoweit keine Pflicht, diese Maßnahmen zur Gewährleistung von Vertraulichkeit und Nichtverkettbarkeit bzw. Datenminimierung einzusetzen. Allerdings sind diese Maßnahmen auch nicht von vornherein auszuschließen und daher im Rahmen der Auswahl geeigneter Maßnahmen grundsätzlich zu berücksichtigen. Erst wenn eine Pseudonymisierung oder Verschlüsselung den Verarbeitungszwecken entgegensteht, kann bei Vorliegen der übrigen Voraussetzungen des Abs. 1 von ihrer Berücksichtigung abgesehen werden. | Rn 40 |
besonderen Kategorien personenbezogener Daten:
Autor | Kommentar | Rn zu §22 |
---|---|---|
PD Dr. Eike Michael Frenzel in PaalPauly | Hinzu kommt, dass die einzelnen Maßnahmen überw. allg. Anforderungen abbilden, die sich aus der DS-GVO ergeben. So gelten die Maßnahmen nach Nr. 1, 2, 5, 8 und 9 für jede Verarbeitung personenbezogener Daten (vgl. nur Art. 5 Abs. 2 DS-GVO), und die Sicherheit der Verarbeitung ist ein allg. Wert, dem verschiedene Maßnahmen dienen (vgl. Art. 32 Abs. 1 DS-GVO). Der Unterschied, dass hier bes. Daten verarbeitet werden, wird damit nicht adressiert. Damit fehlen Garantien, wie sie im mitgliedstaatlichen Recht für die bes. Daten selbst vorzusehen sind. | Rn 14 |
Dr. Thilo Weichert in KuehlingBuchner | ... Bei sensitiven Daten gilt generell sowohl bei der digitalen Speicherung wie Übermittlung (über öffentliche Netze) eine Verschlüsselungspflicht. | Rn 38 |
David Kampert in SydowBdsg | Der Verantwortliche muss gemäß Art. 32 Abs. 1 DS-GVO ohnehindurch technische und organisatorische Maßnahmen ein demVerarbeitungsrisiko angemessenes Schutzniveau gewährleisten. Einesolche Maßnahme ist die Verschlüsselung (vgl. Art. 32 Abs. 1 lit. a DS-GVO). Dementsprechend wird der Verantwortliche häufig ohnehinbereits die zu verarbeitenden Daten verschlüsseln. Da dieVerarbeitung besonderer Kategorien personenbezogener Daten alsbesonders sensibel angesehen wird, dürfte eine Verschlüsselungjedenfalls in der Regel angezeigt sein. | Rn 40 |
Security Breach Actsoder
Security Breach Notification Laws(Sbas). Zum Beispiel den von Kalifornien:
breach of the security of the systemmeans unauthorized acquisition of computerized data that compromises the security, confidentiality, or integrity of personal information maintained by the agency. Good faith acquisition of personal information by an employee or agent of the agency for the purposes of the agency is not a breach of the security of the system, provided that the personal information is not used or subject to further unauthorized disclosure.
personal informationmeans either of the following:
personal informationdoes not include publicly available information that is lawfully made available to the general public from federal, state, or local government records.
medical informationmeans any information regarding an individual´s medical history, mental or physical condition, or medical treatment or diagnosis by a health care professional.
health insurance informationmeans an individual´s health insurance policy number or subscriber identification number, any unique identifier used by a health insurer to identify the individual, or any information in an individual´s application and claims history, including any appeals records.
encryptedmeans rendered unusable, unreadable, or indecipherable to an unauthorized person through a security technology or methodology generally accepted in the field of information security.
genetic datameans any data, regardless of its format, that results from the analysis of a biological sample of an individual, or from another source enabling equivalent information to be obtained, and concerns genetic material. Genetic material includes, but is not limited to, deoxyribonucleic acids (DNA), ribonucleic acids (RNA), genes, chromosomes, alleles, genomes, alterations or modifications to DNA or RNA, single nucleotide polymorphisms (SNPs), uninterpreted data that results from analysis of the biological sample or other source, and any information extrapolated, derived, or inferred therefrom.
noticemay be provided by one of the following methods ...
agencyincludes a local agency, as defined in subdivision (a) of Section 6252 of the Government Code.
encryption keyand
security credentialmean the confidential key or process designed to render the data usable, readable, and decipherable.
personal informationausmacht. Nur eines war in den letzten 20 Jahren gleich: die Liste der Staaten und der Attribute oder Datenarten wurde lang und länger. Das Baumuster ist überall ähnlich: wenn
personal information
disclosedwird, also eine Datenpanne eintritt, dann ist eine Organisation meldepflichtig. Eine Meldepflicht haben wir auch in Artikel 34 DSGVO. Aber der kleine Unterschied ist, dass mit der ausdrücklichen Betonung von
unencryptedund
or is reasonably believed to have beendie Beweislast für angemessene Sicherheit einschließlich Verschlüsselung bei der Organisation gesehen wird, nicht beim Betroffenen. Das Ergebnis dieser Interpretation: Verschlüsselung ist in den USA viel selbstverständlicher als bei uns. Insbesondere ist sie in allen Auftragsverarbeitungsverträgen der großen Cloud-Anbieter ganz selbstverständlich mit eingeschlossen, während man in Deutschland danach suchen muss.
Risiko | Kommentare | |
---|---|---|
G 0.14 | Ausspähen von Informationen (Spionage) | Wenn dasPasswort allerdings unverschlüsselt über die Leitung geschickt wird, ist es einem Angreifer unterUmständen möglich, dieses auszulesen. |
G 0.15 | Abhören | Grundsätzlich gibt es keineabhörsicheren Kabel. Lediglich der erforderliche Aufwand zum Abhören unterscheidet die Kabel. ... Besonders kritisch ist die ungeschützte Übertragung von Authentisierungsdaten bei Klartextprotokollen wieHTTP, FTP oder Telnet, da diese durch die klare Strukturierung der Daten leicht automatisch zu analysierensind. E-Mails können während ihres gesamten Weges durch das Netz gelesen werden, wenn sie nichtverschlüsselt sind. Unverschlüsselte E-Mails sollten daher nicht mit klassischen Briefen, sondern mitPostkarten verglichen werden. |
G 0.16 | Diebstahl von Geräten, Datenträgern oder Dokumenten | In einem deutschen Bundesamt wurde mehrfach durch die gleichen ungesicherten Fenster eingebrochen. Neben anderen Wertsachen verschwanden auch mobile IT-Systeme. Anmerkung: selbst schon erlebt, dass eine unverschlüsselte Sicherungsfestplatte gestohlen wurde. Die anschließende Kommunikation war einfach nur irreführend. |
G 0.17 | Verlust von Geräten, Datenträgern oder Dokumenten | ... es können aber auch vertrauliche Informationen in fremde Hände gelangen, wenn die Datenträger nicht komplett verschlüsselt sind. |
G 0.19 | Offenlegung schützenswerter Informationen | Neben der Integrität und der Verfügbarkeit gehört die Vertraulichkeit zu den Grundwertender Informationssicherheit |
G 0.20 | Informationen oder Produkte aus unzuverlässiger Quelle | Käufer von gebrauchten Rechnern, Festplatten, Mobiltelefonen oder ähnlichen Geräten finden daraufimmer wieder höchst vertrauliche Informationen wie Patientendaten oder Kontonummern. |
G 0.30 | Unberechtigte Nutzung oder Administration von Gerätenund Systemen | Aber selbst bei IT-Systemen mit einer starken Identifikations- und Authentisierungsfunktion ist eine unberechtigte Nutzungdenkbar, wenn die entsprechenden Sicherheitsmerkmale (Passwörter, Chipkarten, Token etc.) in falscheHände gelangen. |
G 0.36 | Identitätsdiebstahl | Die Absender-Adressen von E-Mails lassen sich leicht fälschen. Anmerkung: mit DKIM wäre das anders, s.a. EmailVerschlusselung. |
G 0.37 | Abstreiten von Handlungen | Nachrichtenversand oder -empfang kann beim Postversand ebenso abgeleugnet werden wie bei Fax- oder EMail-Nutzung. |
G 0.43 | Einspielen von Nachrichten | Eine Verschlüsselung der Kommunikation bietet keinen Schutz vor Man-in-the-Middle-Attacken, wennkeine sichere Authentisierung der Kommunikationspartner stattfindet |
Baustein | Titel/Anforderung |
---|---|
APP.1.2 | Webbrowser |
A2 Unterstützung sicherer Verschlüsselung der Kommunikation (B) Der Webbrowser MUSS Transport Layer Security (TLS) in einer sicheren Version unterstützen.Verbindungen zu Webservern MÜSSEN mit TLS verschlüsselt werden, sofern dies vom Webserverunterstützt wird. Unsichere Versionen von TLS SOLLTEN deaktiviert werden. Der Webbrowser MUSSden Sicherheitsmechanismus HTTP Strict Transport Security (HSTS) gemäß RFC 6797 unterstützenund einsetzten. | |
APP.6 | Allgemeine Software |
A6 Berücksichtigung empfohlener Sicherheitsanforderungen (S) Die Institution SOLLTE die nachfolgenden Sicherheitsanforderungen im Anforderungskatalog für dieSoftware berücksichtigen:
| |
CON.1 | Kryptokonzept |
A3 Verschlüsselung der Kommunikationsverbindungen (S) Es SOLLTE geprüft werden, ob mit vertretbarem Aufwand eine Verschlüsselung derKommunikationsverbindungen möglich und praktikabel ist. Ist dies der Fall, SOLLTENKommunikationsverbindungen geeignet verschlüsselt werden. Anmerkung: möglich ist es von wenigen Ausnahme abgesehen eigentlich immer. | |
CON.8 | Software Entwicklung |
A5 Sicheres Systemdesign (B) Folgende Grundregeln des sicheren Systemdesigns MÜSSEN in der zu entwickelnden Software berücksichtigt werden:
Anmerkung: meiner Meinung nach sind alle personenbezogenen Daten schützenswert. Warum müssen wir überhaupt noch diskutieren? weil ein Kryptokonzept leider andere Vorgaben definieren kann. | |
NET.1.1 | Netzarchitektur und -design |
A7 Absicherung von schützenswerten Informationen (B) Schützenswerte Informationen MÜSSEN über nach dem derzeitigen Stand der Technik sichere Protokolle übertragen werden, falls nicht über vertrauenswürdige dedizierte Netzsegmente (z. B. innerhalb des Managementnetzes) kommuniziert wird. Können solche Protokolle nicht genutzt werden, MUSS nach Stand der Technik angemessen verschlüsselt und authentisiert werden (siehe NET.3.3 VPN). | |
A34 Einsatz kryptografischer Verfahren auf Netzebene (H) Die Netzsegmente SOLLTEN im internen Netz, im Extranet und im DMZ-Bereich mittels kryptografischer Techniken bereits auf Netzebene realisiert werden. Dafür SOLLTEN VPN-Techniken oder IEEE 802.1AE eingesetzt werden. Wenn innerhalb von internem Netz, Extranet oder DMZ über Verbindungsstrecken kommuniziert wird, die für einen erhöhten Schutzbedarf nicht ausreichend sicher sind, SOLLTE die Kommunikation angemessen auf Netzebene verschlüsselt werden.). Anmerkung: warum VPN oder IEEE 802.1AE statt TLS? | |
Anmerkung: mehr zur Netzwerksicherheit im Abschnitt Defense-in-Depth? | |
ORP.4 | Identitäts- und Berechtigungsmanagement |
A12 Entwicklung eines Authentisierungskonzeptes für IT-Systeme und Anwendungen [IT-Betrieb] (S) Es SOLLTE ein Authentisierungskonzept erstellt werden. Darin SOLLTE für jedes IT-System und jede Anwendung definiert werden, welche Funktions- und Sicherheitsanforderungen an die Authentisierung gestellt werden. Authentisierungsinformationen MÜSSEN kryptografisch sicher gespeichert werden. Authentisierungsinformationen DÜRFEN NICHT unverschlüsselt über unsichere Netze übertragen werden. Anmerkung: s.o. NET.1.1 – auf sichere Netze zu vertrauen ist in meinen Augen grob fahrlässig. | |
SYS.1.5 | Virtualisierung |
A28 Verschlüsselung von virtuellen IT-Systemen (H) Alle virtuellen IT-Systeme SOLLTEN verschlüsselt werden. Anmerkung: warum nur virtuelle Systeme? was ist dann mit dem virtuellen Speicher der virtuellen Systeme? Warum nicht der Virtualisierungshost? | |
SYS.1.8 | Speicherlösungen |
A23 Einsatz von Verschlüsselung für Speicherlösungen (H) Alle in Speicherlösungen abgelegten Daten SOLLTEN verschlüsselt werden. Es SOLLTE festgelegt werden, auf welchen Ebenen (Data-in-Motion und Data-at-Rest) verschlüsselt wird. Dabei SOLLTE beachtet werden, dass die Verschlüsselung auf dem Transportweg auch bei Replikationen und BackupTraffic relevant ist. | |
SYS.2.1 | Allgemeiner Client |
A28 Verschlüsselung der Clients (H) Wenn vertrauliche Informationen auf den Clients gespeichert werden, SOLLTEN mindestens dieschutzbedürftigen Dateien sowie ausgewählte Dateisystembereiche oder besser die gesamtenDatenträger verschlüsselt werden. Hierfür SOLLTE ein eigenes Konzept erstellt und die Details derKonfiguration besonders sorgfältig dokumentiert werden. In diesem Zusammenhang SOLLTEN dieAuthentisierung (z. B. Passwort, PIN, Token), die Ablage der Wiederherstellungsinformationen, die zuverschlüsselnden Laufwerke und die Schreibrechte auf unverschlüsselte Datenträger geregelt werden.Der Zugriff auf das genutzte Schlüsselmaterial MUSS angemessen geschützt sein.Benutzer SOLLTEN darüber aufgeklärt werden, wie sie sich bei Verlust eines Authentisierungsmittels zuverhalten haben. | |
SYS.3.1 | Laptops |
A13 Verschlüsselung von Laptops (S) In Laptops verbaute Datenträger wie Festplatten oder SSDs SOLLTEN verschlüsselt werden. | |
SYS.4.5 | Wechseldatenträger |
A10 Datenträgerverschlüsselung (B) Wenn Wechseldatenträger außerhalb eines sicheren Bereiches verwendet oder transportiert werdenund dabei vertrauliche Daten enthalten, MÜSSEN sie mit einem sicheren Verfahren verschlüsseltwerden. |
Cisco | Microsoft | |
---|---|---|
Mitarbeiter 2020 | 75.500 Protska | 163.000 Protska |
Umsatz Geschäftsjahr 2021 | 49 Mrd. USD StatCisco | 168 Mrd. USD StatMicrosoft |
Marktkapitalisierung (04.01.2022) | 237 Mrd. EUR FinanzenCisco | 2,24 Bio. EUR FinanzenMicrosoft |
jedenfalls bei mittlerem Risikofolgt, zumindest schon ab Schutzbedarf Standard im Grundschutz. Oder Kai-Uwe Plath:
Es steht der verantwortlichen Stelle damit grundsätzlich frei, sich für einen anderen, ebenso effektiven Schutz des E-Mail-Verkehrs zu entscheiden. In der Regel wird jedoch die Verschlüsselung tatsächlich das Mittel der Wahl darstellen.Und nicht nur bei E-Mail, sondern überall. In meiner Infrastruktur sind alle Datenträger mit Ausnahme von Installationsdatenträgern und die gesamte Kommunikation mit Ausnahme der Protokolle DHCP, (internes) DNS, und RPC EPM (Epm) verschlüsselt. Keine Unterscheidung nach Schutzniveau. Wenn man weiß wie es geht, dann gibt es keinen Grund, es nicht konsequent und einheitlich umzusetzen. Edward Snowden sagt:
Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on.(Snowden)
Dieser Artikel entstand auf Grund der folgenden Anfrage:
Erstellt | Geändert | Status | Behörde | Thema |
---|---|---|---|---|
07.07.2021 | 19.06.2023 | Vermittlung | Bundesamt für Sicherheit in der Informationstechnik | Verschlüsselung im BSI Grundschutz? |
Das BSI erwartet zu wenig Sicherheit. Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit und speziell zu Verschlüsselung auf https://blog.lindenberg.one/VerschlusselungPflicht.Öffentliche Sicherheit ist dabei eine Phrase die alles mögliche enthält – s.a. https://de.wikipedia.org/wiki/%C3%96ffentliche_Sicherheit. Konkret gefährdet ist der Anspruch der Bürger auf Datenschutz (EU Grundrechte-Charta Artikel 8). Einen Angreifer wird Geheimhaltung der Sicherheitskonzepte nicht wirklich abhalten – s.a. https://blog.lindenberg.one/SecurityByObscurity. |
Autor(en) | Titel | |
---|---|---|
#1 | Europäisches Parlament und Rat | Datenschutzgrundverordnung (EU 2016/679) |
#2 | Bundesdatenschutzgesetz (BDSG) alte Fassung | |
#3 | Bundesdatenschutzgesetz (BDSG) | |
#4 | Gola (Hrsg) | Datenschutzgrundverordnung (2. Auflage, 2018) |
#5 | Sydow (Hrsg) | Europäische Datenschutzgrundverordnung (2. Auflage, 2018) |
#6 | Paal, Pauly (Hrsg) | DS-GVO, BDSG (3. Auflage. 2021) |
#7 | Kühling, Buchner (Hrsg) | DS-GVO * BDSG – Datenschutz-Grundverordnung Bundesdatenschutzgesetz (3. Auflage, 2020) |
#8 | Wolff, Brink (Hrsg) | BeckOK Datenschutzrecht, (28. Edition, 01.05.2019) |
#9 | Gola, Klug, Körffer | Bundesdatenschutzgesetz Kommentar (Beck, 12. Auflage, 2015) |
#10 | Plath (Hrsg) | BDSG – Kommentar zum BDSG sowie den Datenschutzbestimmungen des TMG und TKG (Verlag Dr. Otto Schmidt Köln, 2013) |
#11 | Simitis (Hrsg) | Bundesdatenschutzgesetz (Nomos Verlag, 8. Auflage 2014) |
#12 | Taeger, Pohle (Hrsg) | Computerrechts-Handbuch (Beck-Online, Werkstand: 36. EL Februar 2021) |
#13 | Sydow (Hrsg) | Bundesdatenschutzgesetz (Beck-Online, 1. Auflage, 2020) |
#14 | National Conference of State Legislatures (NCSL) | Security Breach Notification Laws |
#15 | Bundesamt für Sicherheit in der Informationstechnik (BSI) | Elementare Gefährdungen (Kompendium) |
#16 | Bundesamt für Sicherheit in der Informationstechnik (BSI) | IT-Grundschutz-Bausteine |
#17 | Joachim Lindenberg | Email-Verschlüsselung |
#18 | Joachim Lindenberg | Bedrohungsmodellierung |
#19 | Matthias Bergt | Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung (CR 2014, 726) |
#20 | Matthias Bergt | Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung (DSRITB 2014, 571) |
#21 | Andreas Dölker, Philipp Müller-Peltzer | Besteht eine Pflicht zur oder ein Recht auf Verschlüsselung? (DSRITB 2015, 863) |
#22 | Julia Gerhards | (Grund-)Recht auf Verschlüsselung? (Nomos 2010) |
#23 | The MITRE Corporation | Search CVE List |
#24 | Olga Protska | Die zehn profitabelsten IT-Unternehmen der Welt – 2022 |
#25 | Statista Research Department | Umsatz von Cisco Systems weltweit in den Geschäftsjahren 2006 bis 2021 (19.08.2021) |
#26 | Statista Research Department | Umsatz der Microsoft Corporation in den Geschäftsjahren 2002 bis 2021 (28.07.2021) |
#27 | Finanzen.net | Cisco Aktie (04.01.2022) |
#28 | Finanzen.net | Microsoft Aktie (04.01.2022) |
#29 | Jerome H. Saltzer, Michael Schroeder | Basic Principles of Information Protection, The Protection of Information in Computer Systems |
#30 | National Institute of Standards and Technology (NIST) | defense-in-depth (Glossary) |
#31 | Ned Pyle | Restrictions for Unauthenticated RPC Clients: The group policy that punches your domain in the face |
#32 | The Guardian | Edward Snowden: NSA whistleblower answers reader questions (2013) |
Veröffentlicht am 05.01.2022
© 2022 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.