Ist Verschlüsselung Pflicht?
Wenn man die Kommentare zur Datenschutzgrundverordnung (DSGVO) oder den BSI Grundschutz liest, dann denkt man vermutlich nein, oder allenfalls bei öffentlichen Netzen oder hohem Schutzbedarf. Aber das stimmt nicht, Verschlüsselung ist eigentlich eine Basisanforderung ...
Inhalt
- Datenschutzgrundverordnung?
- Altes Bundesdatenschutzgesetz?
- Neues Bundesdatenschutzgesetz?
- Security Breach Notification Laws?
- Grundschutz?
- Defense-in-Depth?
- Fazit?
Datenschutzgrundverordnung?
Artikel 32 Datenschutzgrundverordnung zählt Verschlüsselung (leider) nur als eine Maßnahme von mehreren auf (DSGVO):DSGVO Artikel 32 Sicherheit der Verarbeitung
- (1)
- Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
- a)
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- b)
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
- c)
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
- d)
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
- (2)
- Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
- (3)
- ...
- (4)
- ...
Autor | Kommentar | Rn zu Artikel 32 |
---|---|---|
Dr. Carlo Piltz in Gola (Rechtsanwalt) | Eine Pflicht zur Verschlüsselung existiert nicht (Mantz in Sydow, Art 32 Rn 11) | Rn 27 |
Nach Ansicht des Gesetzgebers muss die Verschlüsselung bewirken, dass die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden (vgl. Art. 34 Abs. 3 lit. a). | Rn 28 | |
Dr. Reto Mantz in Sydow Dr. jur Reto Mantz ist Diplom-Informatiker, Rechtsanwalt und ehemaliger Richter, mithin der einzige Kommentator bei dem man vermuten darf, dass er weitgehende Kenntnisse der Technik hat. | Verantwortlicher und Auftragsverarbeiter sollen zur Aufrechterhaltung derSicherheit und zur Vorbeugung von unrechtmäßigen oder unbeabsichtigtenVerarbeitungsvorgängen Daten pseudonymisieren und verschlüsseln. Verschlüsselung als Maßnahme ergab sich nach bisheriger Rechtslage aus Anlage l Satz 2 zu § 9 BDSG aF. Die Pflicht zur Pseudonymisierung hingegen ist neu, auch wenn sie als Teil der Datensparsamkeit nach §§ 3 a, 3 Abs. 6 aBDSG aF gesetzlich verankert war. Als Folge aus Abs. l lit. a ist daher stets 7.11 prüfen, ob und wann personenbezogene Daten verschlüsselt oderpseudonymisiert werden können, wobei dies so früh wie möglich erfolgen sollte (-> Art. 25 Rn. 51). ... Unter Verschlüsselung ist ein Vorgang zu verstehen bei dem eine klar lesbare Information mit Hilfe eines kryptographischen Verfahrensin eineunleserlicheZeichenfolge umgewandelt wird. Pseudonymisierung und Verschlüsselung sollen gewährleisten, dass selbst bei unbefugtemZugriff Dritter auf das System keine Kenntnis von den personenbezogenen Daten erlangt wird oder wenigstens ein Personenbezug nicht ohnehergestellt werden kann. Typische Anwendungsfälle von Verschlüsselung liegen im Versand von E-Mails und der Ablage von Daten in (verschlüsselnden) Datenbanken. Die Verschlüsselung von Datenträgern dientder Verhinderung des Zugriffs, zB bei Abhandenkommen eines Laptops, USB-Sticks etc. Es sind grundsätzlich nicht alle Daten stets zu verschlüsseln, vielmehr ist auch insoweit eine Abwägung nach Abs. 1 zu treffen.Dabei ist auch zu berücksichtigen, ob eine Verschlüsselung der Daten angesichts der Umstände der konkreten, bezweckten Verarbeitung möglich undzumutbar ist. Allerdings hat der Gesetzgeber durch die Hervorhebung derVerschlüsselung als Maßnahme die Schwelle für eine Verschlüsselungspflicht niedrig angesetzt. Jedenfalls bei mittlerem Risiko sollten personenbezogene Daten daher soweit wie möglich verschlüsselt werden. Dies wirdauch aus der Systematik von Abs. l lit. a-d deutlich: Im Gegensatz zu denMaßnahmen nach lit. b und c reicht es bei Pseudonymisierung und Verschlüsselung nicht aus, dass der Verpflichtete die entsprechendenFähigkeitenaufweist. Vielmehr stellen Pseudonymisierung und Verschlüsselungin Abgrenzung zur Formulierung von lit. a und d gegenüber lit. b und c konkrete Maßnahmen dar, die regelmäßig ergriffen werden sollten (->Art. 25 Rn. 51, 56). Daher sind auch Daten aufsmartenGeräten, die als Teil des Internet der Dinge (loT) personenbezogene Daten erheben undübermitteln, stets zu verschlüsseln, sofern Dritte physisch Zugriff auf diese Geräte haben können. Bei der Übermittlung von Daten sollte immer eineEnde-zu-Ende-Transportverschlüsselung verwendet werden. Dies gilt auch bei IoT-Geräten. | Rn 11 |
Prof. Dr. Mario Martini in PaalPauly | Auch die Verschlüsselung stuft der Unionsgesetzgeber als eine der prioritären Sicherheitsmaßnahmen zum Schutz personenbezogener Daten ein. Anders als im Falle der Pseudonymisierung bleibt der Personenbezug bei derVerschlüsselung grds. vollständig erhalten. Allerdings verändert die Verschlüsselung die Daten (regelmäßig vollständig, nicht nur hinsichtlich der Zuordnung zu einer Person) durch kryptografische Maßnahmen so, dass sie – insbes.während ihres Übertragungsvorgangs – ohne den passenden Schlüssel nicht mehr lesbar sind, ein unberechtigter Zugriff Dritter mithin ausgeschlossen ist (vgl. auch Art. 34 Abs. 3 lit. a). Die kryptographischen Verfahren, die der Verschlüsselung zu Grunde liegen, müssen den Stand derTechnik berücksichtigen (Abs. l S. 1; s. zum Stand der Technik für Verschlüsselung: BSI TR-02102-1Kryptographische Verfahren: Empf. undSchlüssellängen, Version 2020-01). Um diesem Kriterium zu entsprechen, dürfen keine Hintertüren in die Verschlüsselungssysteme eingebaut sein, dieeinen unbefugten Zugang eröffnen (Hansen in NK-DatenschutzR DS-GVO Art. 32 Rn. 35). | Rn 34 |
Ebenso wie die Pseudonymisierung ist die Verschlüsselung nicht in jedemEinzelfall zwingend geboten. Wo sie sich jedoch als erforderlich undangemessen erweist, um ein demRisiko angemessenes Schutzniveau zu gewährleisten(Abs. l Hs. 1), ist sie rechtlich aber das Mittel der Wahl. | Rn 34b | |
Dr. Silke Jandt in KuehlingBuchner | Art. 32 Abs. l Hs. 2 lit. a enthält keine Aussage darüber, welche Ziele mit der Verschlüsselung zu verfolgen oder welche Form der Verschlüsselung zu wählen ist. Da dieDatensicherheit als übergeordnete Zielsetzung der Norm sowohl den Schutz vor Veränderungen als auch vor unbefugter Offenlegung und unbefugtem Zugang zu den Datenumfasst, ist als Zweck der Verschlüsselung die Integrität und die Vertraulichkeit anzusehen. | Rn 20 |
Eine Pflicht zur Verschlüsselung existiert nichtbis
prioritäre Sicherheitsmaßnahmeund
so früh wie möglich. Was denn nun?
Altes Bundesdatenschutzgesetz?
Da war der deutsche Gesetzgeber eigentlich schon weiter. In der Anlage zum §9 altes Bundesdatenschutzgesetz (BDSG_aF, seit dem 25.5.2018 nicht mehr in Kraft – durch die DSGVO ersetzt) stand:Anlage zu §9 Satz 1 – Technische und organisatorische Maßnahmen
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, - 1.
- Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
- 2.
- zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
- 3.
- zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
- 4.
- zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
- 5.
- zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle)
- 6.
- zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
- 7.
- zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
- 8.
- zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Autor | Kommentar | Rn |
---|---|---|
Gola, Klug, Körffer in BdsgGolaKlugKoerffer | In Satz 3 der Anlage zu § 9 wird für die Kontrollen nach Nr. 2 bis 4, d.h. für die Zugangs-, Zugriffs- und Weitergabekontrolle, die Verschlüsselung als gängiges Verfahren empfohlen. | §9 Rn 29a |
Dr. Kai-Uwe Plath in BdsgPlath (LL.M., Rechtsanwalt) | Gemäß Satz 3 der Anlage zu § 9 sind die Zugangs-, Zugriffs- und Weitergabekontrolle (Nr. 2, 3 und 4 der Anlage) insbesondere durch die Verschlüsselung der verwendeten personenbezogenen Daten zu gewährleisten. Durch diese explizite Konkretisierung der einzuführenden technischen und organisatorischen Maßnahmen soll den wachsenden Gefahren begegnet werden, die den verwendeten Daten durch Hackerangriffe droht (ebenso Simitis/Ernestus, §9 Rz. 165) | §9 Rn 57 |
Teilweise wird vertreten, dass – zumindest beim E-Mail-Verkehr – aus §9 faktisch eine Verschlüsselungspflicht folgt. Der Einsatz von Verschlüsselungstechnologien sei heutzutage so unproblematisch, das er grundsätzlich stets als verhältnismäßig, mithin also als verpflichtend anzusehen sei (So z.B. Klett/Lee, CR 2008, 644 (646)). Gegen diese Ansicht spricht jedoch, dass eine Maßnahme, die unter den Vorbehalt der Verhältnismäßigkeit gestellt wird, nicht per se verpflichtend sein kann. Es steht der verantwortlichen Stelle damit grundsätzlich frei, sich für einen anderen, ebenso effektiven Schutz des E-Mail-Verkehrs zu entscheiden. In der Regel wird jedoch die Verschlüsselung tatsächlich das Mittel der Wahl darstellen. | §9 Rn 59 | |
Walter Ernestus in BdsgSimitis (Regierungsdirektor) | Die Vorschrift, die im Zuge der Novellierung des BDSG im Jahr 2009 neu in das Gesetz aufgenommen worden ist, sieht das öffentliche und nicht-öffentliche Stellen gleichermaßen bindende Prinzip des Gebotes der Verschlüsselung vor. ... | §9 Rn 164 |
... Mit der Maßnahme sollen die Sicherheit der Daten und Verarbeitungssystem durch Einsatz von Verschlüsselungstechnik vor Gefahren und Bedrohungen wie z.B. Datenkorruption, -änderung, -veruntreuung sowie missbräuchlicher Verwendung gewährleistet werden. Verschlüsselung ist eine Maßnahme, die dem Katalog der datenschutzfreundlichen Techniken entnommen worden ist. Die Regelung trägt den wiederholt gestellten Forderungen nach Schutz vor wachsenden Bedrohungen durch Angriffe aus dem Internet Rechnung. | §9 Rn 165 | |
Die Maßnahmen nach 2 bis 4 der Anlage zielen direkt auf den Schutz der personenbezogenen Daten vor Zugriffen und Kenntnisnahme durch Unbefugte ab. Deshalb ist gerade die Wahl der technischen Maßnahmen außerordentlich wichtig, damit die Daten in einem IT-System durch Verschlüsselung sicher geschützt sind. | §9 Rn 168 | |
Der Gesetzgeber ist mit der Regelung auch Forderungen von Seiten der Datenschutzbeauftragten des Bundes und der Länder nachgekommen. So hat beispielsweise der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit in seinem 18. Tätigkeitsbericht die Verschlüsselung als besondere Maßnahme und wirksamen Schutz vor Unbefugten bei der Verarbeitung von besonders schützenswerten Daten empfohlen. | §9 Rn 169 | |
Dr. Sven Polenz in TaegerPohle LL.M. | „Gesetzliche Regelungen verlangen teilweise ausdrücklich eine Verschlüsselung, wobei der Gesetzgeber nicht selten auf den Stand der Technik abstellt. Beispiele:
| 135 Systemdatenschutz – technische und organisatorische Maßnahmen, Rn 17 |
Spätestens seit den Enthüllungen des Whistleblowers Edward Snowden ist klar: Nicht oder nur schlecht verschlüsselte Kommunikation über das Internet wird umfassend abgehört, gespeichert und ausgewertet. Obwohl § 9 BDSG – und sachlich im Anwendungsbereich beschränkt § 109 I TKG und § 21e III EnWG sowie weitere Normen, indirekt auch § 13 IV S. 1 Nr. 3 TMG – letztlich den Einsatz aktueller Sicherheitsmaßnahmen, insbesondere Verschlüsselung nach dem Stand der Technik, zwingend verlangt, werden die hierfür bestehenden Standards sowohl von der Wirtschaft als auch von der Verwaltung in weiten Bereichen ignoriert.Das bezieht sich primär auf Verschlüsselung im Internet, stimmt nach meinen Beobachtungen aber auch sonst. Ähnlich Andreas Dölker und Philipp Müller-Peltzer in DoelkerMueller:
Dennoch führt eine Verhältnismäßigkeitsprüfung regelmäßig zu dem Ergebnis, dass eine Verschlüsselung zum Schutz personenbezogener Daten angezeigt ist. Faktisch besteht somit in etlichen Konstellationen eine Pflicht zur Verschlüsselung.
Neues Bundesdatenschutzgesetz?
Auch im neuen Bundesdatenschutzgesetz (BDSG) §64 findet sich eine vergleichbare Liste, aber nur anwendbar im Bereich der Justiz und Strafverfolgungsbehörden:BDSG §64 Anforderungen an die Sicherheit der Datenverarbeitung
- (1)
- Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen.
- (2)
- Die in Absatz 1 genannten Maßnahmen können unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind. Die Maßnahmen nach Absatz 1 sollen dazu führen, dass
- 1.
- die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden und
- 2.
- die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.
- (3)
- Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:
- 1.
- Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),
- 2.
- Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),
- 3.
- Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),
- 4.
- Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),
- 5.
- Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),
Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden.
Autor | Kommentar | Rn zu §64 |
---|---|---|
Christine Nolden in PaalPauly LL.M. | Konkretisiert wird die Regelung durch Abs. 1 S. 2, nach dem zusätzlich die einschlägigen Technischen RL des BSI zu berücksichtigen sind. Hierdurch wird eine Orientierung für das Kriterium des Standes der Technik aufgenommen. Anmerkung: das BSI hinkt dem Stand der Technik leider stark hinterher. | Rn 3 |
Dr. Simon Schwichtenberg in KuehlingBuchner | Aus der Anlage zu §9 S.1 BDSG aF wurde auch übernommen, dass die Verschlüsselung exemplarisch eine geeignete Maßnahme darstellen kann, um die Ziele des S.1 Nr. 2 bis 5 zu erreichen. Anmerkung: hier frage ich mich, wieso exemplarisch– da steht insbesondere. | Rn 7 |
Kirsten Bock in BeckOK | Abs. 2 S. 1 stellt klar, dass die Maßnahmen der Pseudonymisierung (§ 46 Nr. 5) und Verschlüsselungstechniken auch im Anwendungsbereich des § 45 zum Einsatz kommen können, soweit dies in Anbetracht der Verarbeitungszwecke möglich ist. Es besteht insoweit keine Pflicht, diese Maßnahmen zur Gewährleistung von Vertraulichkeit und Nichtverkettbarkeit bzw. Datenminimierung einzusetzen. Allerdings sind diese Maßnahmen auch nicht von vornherein auszuschließen und daher im Rahmen der Auswahl geeigneter Maßnahmen grundsätzlich zu berücksichtigen. Erst wenn eine Pseudonymisierung oder Verschlüsselung den Verarbeitungszwecken entgegensteht, kann bei Vorliegen der übrigen Voraussetzungen des Abs. 1 von ihrer Berücksichtigung abgesehen werden. | Rn 40 |
besonderen Kategorien personenbezogener Daten:
BDSG §22 Verarbeitung besonderer Kategorien personenbezogener Daten
- (1)
- Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zulässig
...
soweit die Interessen des Verantwortlichen an der Datenverarbeitung in den Fällen der Nummer 1 Buchstabe d und der Nummer 2 die Interessen der betroffenen Person überwiegen. - (2)
- In den Fällen des Absatzes 1 sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören:
...- 6.
- Pseudonymisierung personenbezogener Daten,
- 7.
- Verschlüsselung personenbezogener Daten,
Autor | Kommentar | Rn zu §22 |
---|---|---|
PD Dr. Eike Michael Frenzel in PaalPauly | Hinzu kommt, dass die einzelnen Maßnahmen überw. allg. Anforderungen abbilden, die sich aus der DS-GVO ergeben. So gelten die Maßnahmen nach Nr. 1, 2, 5, 8 und 9 für jede Verarbeitung personenbezogener Daten (vgl. nur Art. 5 Abs. 2 DS-GVO), und die Sicherheit der Verarbeitung ist ein allg. Wert, dem verschiedene Maßnahmen dienen (vgl. Art. 32 Abs. 1 DS-GVO). Der Unterschied, dass hier bes. Daten verarbeitet werden, wird damit nicht adressiert. Damit fehlen Garantien, wie sie im mitgliedstaatlichen Recht für die bes. Daten selbst vorzusehen sind. | Rn 14 |
Dr. Thilo Weichert in KuehlingBuchner | ... Bei sensitiven Daten gilt generell sowohl bei der digitalen Speicherung wie Übermittlung (über öffentliche Netze) eine Verschlüsselungspflicht. | Rn 38 |
David Kampert in SydowBdsg | Der Verantwortliche muss gemäß Art. 32 Abs. 1 DS-GVO ohnehindurch technische und organisatorische Maßnahmen ein demVerarbeitungsrisiko angemessenes Schutzniveau gewährleisten. Einesolche Maßnahme ist die Verschlüsselung (vgl. Art. 32 Abs. 1 lit. a DS-GVO). Dementsprechend wird der Verantwortliche häufig ohnehinbereits die zu verarbeitenden Daten verschlüsseln. Da dieVerarbeitung besonderer Kategorien personenbezogener Daten alsbesonders sensibel angesehen wird, dürfte eine Verschlüsselungjedenfalls in der Regel angezeigt sein. | Rn 40 |
Security Breach Notification Laws?
Werfen wir doch mal einen Blick in die Vereinigten Staaten von Amerika. Dort – und in einigen benachbarten Karibikstaaten – gibt es dieSecurity Breach Actsoder
Security Breach Notification Laws(Sbas). Zum Beispiel den von Kalifornien:
California Civil Code 1798.29
- (a)
- Any agency that owns or licenses computerized data that includes personal information shall disclose any breach of the security of the system following discovery or notification of the breach in the security of the data to any resident of California
- (1)
- whose unencrypted personal information was, or is reasonably believed to have been, acquired by an unauthorized person, or,
- (2)
- whose encrypted personal information was, or is reasonably believed to have been, acquired by an unauthorized person and the encryption key or security credential was, or is reasonably believed to have been, acquired by an unauthorized person and the agency that owns or licenses the encrypted information has a reasonable belief that the encryption key or security credential could render that personal information readable or usable. The disclosure shall be made in the most expedient time possible and without unreasonable delay, consistent with the legitimate needs of law enforcement, as provided in subdivision (c), or any measures necessary to determine the scope of the breach and restore the reasonable integrity of the data system.
- (b)
- Any agency that maintains computerized data that includes personal information that the agency does not own shall notify the owner or licensee of the information of any breach of the security of the data immediately following discovery, if the personal information was, or is reasonably believed to have been, acquired by an unauthorized person.
- (c)
- The notification required by this section may be delayed if a law enforcement agency determines that the notification will impede a criminal investigation. The notification required by this section shall be made after the law enforcement agency determines that it will not compromise the investigation.
- (d)
- Any agency that is required to issue a security breach notification pursuant to this section shall meet all of the following requirements:
... - (e)
- Any agency that is required to issue a security breach notification pursuant to this section to more than 500 California residents as a result of a single breach of the security system shall electronically submit a single sample copy of that security breach notification, excluding any personally identifiable information, to the Attorney General. A single sample copy of a security breach notification shall not be deemed to be within subdivision (f) of Section 6254 of the Government Code.
- (f)
- For purposes of this section,
breach of the security of the system
means unauthorized acquisition of computerized data that compromises the security, confidentiality, or integrity of personal information maintained by the agency. Good faith acquisition of personal information by an employee or agent of the agency for the purposes of the agency is not a breach of the security of the system, provided that the personal information is not used or subject to further unauthorized disclosure. - (g)
- For purposes of this section,
personal information
means either of the following:- (1)
- An individual´s first name or first initial and last name in combination with any one or more of the following data elements, when either the name or the data elements are not encrypted:
- (A)
- Social security number.
- (B)
- Driver´s license number, California identification card number, tax identification number, passport number, military identification number, or other unique identification number issued on a government document commonly used to verify the identity of a specific individual.
- (C)
- Account number or credit or debit card number, in combination with any required security code, access code, or password that would permit access to an individual´s financial account.
- (D)
- Medical information.
- (E)
- Health insurance information.
- (F)
- Unique biometric data generated from measurements or technical analysis of human body characteristics, such as a fingerprint, retina, or iris image, used to authenticate a specific individual. Unique biometric data does not include a physical or digital photograph, unless used or stored for facial recognition purposes.
- (G)
- Information or data collected through the use or operation of an automated license plate recognition system, as defined in Section 1798.90.5.
- (H)
- Genetic data.
- (2)
- A username or email address, in combination with a password or security question and answer that would permit access to an online account.
- (h)
-
- (1)
- For purposes of this section,
personal information
does not include publicly available information that is lawfully made available to the general public from federal, state, or local government records. - (2)
- For purposes of this section,
medical information
means any information regarding an individual´s medical history, mental or physical condition, or medical treatment or diagnosis by a health care professional. - (3)
- For purposes of this section,
health insurance information
means an individual´s health insurance policy number or subscriber identification number, any unique identifier used by a health insurer to identify the individual, or any information in an individual´s application and claims history, including any appeals records. - (4)
- For purposes of this section,
encrypted
means rendered unusable, unreadable, or indecipherable to an unauthorized person through a security technology or methodology generally accepted in the field of information security. - (5)
- For purposes of this section,
genetic data
means any data, regardless of its format, that results from the analysis of a biological sample of an individual, or from another source enabling equivalent information to be obtained, and concerns genetic material. Genetic material includes, but is not limited to, deoxyribonucleic acids (DNA), ribonucleic acids (RNA), genes, chromosomes, alleles, genomes, alterations or modifications to DNA or RNA, single nucleotide polymorphisms (SNPs), uninterpreted data that results from analysis of the biological sample or other source, and any information extrapolated, derived, or inferred therefrom.
- (i)
- For purposes of this section,
notice
may be provided by one of the following methods ... - (j)
- Notwithstanding subdivision (i), an agency that maintains its own notification procedures as part of an information security policy for the treatment of personal information and is otherwise consistent with the timing requirements of this part shall be deemed to be in compliance with the notification requirements of this section if it notifies subject persons in accordance with its policies in the event of a breach of security of the system.
- (k)
- Notwithstanding the exception specified in paragraph (4) of subdivision (b) of Section 1798.3, for purposes of this section,
agency
includes a local agency, as defined in subdivision (a) of Section 6252 of the Government Code. - (l)
- For purposes of this section,
encryption key
andsecurity credential
mean the confidential key or process designed to render the data usable, readable, and decipherable.
personal informationausmacht. Nur eines war in den letzten 20 Jahren gleich: die Liste der Staaten und der Attribute oder Datenarten wurde lang und länger. Das Baumuster ist überall ähnlich: wenn
personal information
disclosedwird, also eine Datenpanne eintritt, dann ist eine Organisation meldepflichtig. Eine Meldepflicht haben wir auch in Artikel 34 DSGVO. Aber der kleine Unterschied ist, dass mit der ausdrücklichen Betonung von
unencryptedund
or is reasonably believed to have beendie Beweislast für angemessene Sicherheit einschließlich Verschlüsselung bei der Organisation gesehen wird, nicht beim Betroffenen. Das Ergebnis dieser Interpretation: Verschlüsselung ist in den USA viel selbstverständlicher als bei uns. Insbesondere ist sie in allen Auftragsverarbeitungsverträgen der großen Cloud-Anbieter ganz selbstverständlich mit eingeschlossen, während man in Deutschland danach suchen muss.
Grundschutz?
Beim Grundschutz bietet es sich vielleicht an, bei den vom BSI aufgezählten elementaren Gefährdungen (ElemGef) zu beginnen:Risiko | Kommentare | |
---|---|---|
G 0.14 | Ausspähen von Informationen (Spionage) | Wenn dasPasswort allerdings unverschlüsselt über die Leitung geschickt wird, ist es einem Angreifer unterUmständen möglich, dieses auszulesen. |
G 0.15 | Abhören | Grundsätzlich gibt es keineabhörsicheren Kabel. Lediglich der erforderliche Aufwand zum Abhören unterscheidet die Kabel. ... Besonders kritisch ist die ungeschützte Übertragung von Authentisierungsdaten bei Klartextprotokollen wieHTTP, FTP oder Telnet, da diese durch die klare Strukturierung der Daten leicht automatisch zu analysierensind. E-Mails können während ihres gesamten Weges durch das Netz gelesen werden, wenn sie nichtverschlüsselt sind. Unverschlüsselte E-Mails sollten daher nicht mit klassischen Briefen, sondern mitPostkarten verglichen werden. |
G 0.16 | Diebstahl von Geräten, Datenträgern oder Dokumenten | In einem deutschen Bundesamt wurde mehrfach durch die gleichen ungesicherten Fenster eingebrochen. Neben anderen Wertsachen verschwanden auch mobile IT-Systeme. Anmerkung: selbst schon erlebt, dass eine unverschlüsselte Sicherungsfestplatte gestohlen wurde. Die anschließende Kommunikation war einfach nur irreführend. |
G 0.17 | Verlust von Geräten, Datenträgern oder Dokumenten | ... es können aber auch vertrauliche Informationen in fremde Hände gelangen, wenn die Datenträger nicht komplett verschlüsselt sind. |
G 0.19 | Offenlegung schützenswerter Informationen | Neben der Integrität und der Verfügbarkeit gehört die Vertraulichkeit zu den Grundwertender Informationssicherheit |
G 0.20 | Informationen oder Produkte aus unzuverlässiger Quelle | Käufer von gebrauchten Rechnern, Festplatten, Mobiltelefonen oder ähnlichen Geräten finden daraufimmer wieder höchst vertrauliche Informationen wie Patientendaten oder Kontonummern. |
G 0.30 | Unberechtigte Nutzung oder Administration von Gerätenund Systemen | Aber selbst bei IT-Systemen mit einer starken Identifikations- und Authentisierungsfunktion ist eine unberechtigte Nutzungdenkbar, wenn die entsprechenden Sicherheitsmerkmale (Passwörter, Chipkarten, Token etc.) in falscheHände gelangen. |
G 0.36 | Identitätsdiebstahl | Die Absender-Adressen von E-Mails lassen sich leicht fälschen. Anmerkung: mit DKIM wäre das anders, s.a. EmailVerschlusselung. |
G 0.37 | Abstreiten von Handlungen | Nachrichtenversand oder -empfang kann beim Postversand ebenso abgeleugnet werden wie bei Fax- oder EMail-Nutzung. |
G 0.43 | Einspielen von Nachrichten | Eine Verschlüsselung der Kommunikation bietet keinen Schutz vor Man-in-the-Middle-Attacken, wennkeine sichere Authentisierung der Kommunikationspartner stattfindet |
Baustein | Titel/Anforderung |
---|---|
APP.1.2 | Webbrowser |
A2 Unterstützung sicherer Verschlüsselung der Kommunikation (B) Der Webbrowser MUSS Transport Layer Security (TLS) in einer sicheren Version unterstützen.Verbindungen zu Webservern MÜSSEN mit TLS verschlüsselt werden, sofern dies vom Webserverunterstützt wird. Unsichere Versionen von TLS SOLLTEN deaktiviert werden. Der Webbrowser MUSSden Sicherheitsmechanismus HTTP Strict Transport Security (HSTS) gemäß RFC 6797 unterstützenund einsetzten. | |
APP.6 | Allgemeine Software |
A6 Berücksichtigung empfohlener Sicherheitsanforderungen (S) Die Institution SOLLTE die nachfolgenden Sicherheitsanforderungen im Anforderungskatalog für dieSoftware berücksichtigen:
| |
CON.1 | Kryptokonzept |
A3 Verschlüsselung der Kommunikationsverbindungen (S) Es SOLLTE geprüft werden, ob mit vertretbarem Aufwand eine Verschlüsselung derKommunikationsverbindungen möglich und praktikabel ist. Ist dies der Fall, SOLLTENKommunikationsverbindungen geeignet verschlüsselt werden. Anmerkung: möglich ist es von wenigen Ausnahme abgesehen eigentlich immer. | |
CON.8 | Software Entwicklung |
A5 Sicheres Systemdesign (B) Folgende Grundregeln des sicheren Systemdesigns MÜSSEN in der zu entwickelnden Software berücksichtigt werden:
Anmerkung: meiner Meinung nach sind alle personenbezogenen Daten schützenswert. Warum müssen wir überhaupt noch diskutieren? weil ein Kryptokonzept leider andere Vorgaben definieren kann. | |
NET.1.1 | Netzarchitektur und -design |
A7 Absicherung von schützenswerten Informationen (B) Schützenswerte Informationen MÜSSEN über nach dem derzeitigen Stand der Technik sichere Protokolle übertragen werden, falls nicht über vertrauenswürdige dedizierte Netzsegmente (z. B. innerhalb des Managementnetzes) kommuniziert wird. Können solche Protokolle nicht genutzt werden, MUSS nach Stand der Technik angemessen verschlüsselt und authentisiert werden (siehe NET.3.3 VPN). | |
A34 Einsatz kryptografischer Verfahren auf Netzebene (H) Die Netzsegmente SOLLTEN im internen Netz, im Extranet und im DMZ-Bereich mittels kryptografischer Techniken bereits auf Netzebene realisiert werden. Dafür SOLLTEN VPN-Techniken oder IEEE 802.1AE eingesetzt werden. Wenn innerhalb von internem Netz, Extranet oder DMZ über Verbindungsstrecken kommuniziert wird, die für einen erhöhten Schutzbedarf nicht ausreichend sicher sind, SOLLTE die Kommunikation angemessen auf Netzebene verschlüsselt werden.). Anmerkung: warum VPN oder IEEE 802.1AE statt TLS? | |
Anmerkung: mehr zur Netzwerksicherheit im Abschnitt Defense-in-Depth? | |
ORP.4 | Identitäts- und Berechtigungsmanagement |
A12 Entwicklung eines Authentisierungskonzeptes für IT-Systeme und Anwendungen [IT-Betrieb] (S) Es SOLLTE ein Authentisierungskonzept erstellt werden. Darin SOLLTE für jedes IT-System und jede Anwendung definiert werden, welche Funktions- und Sicherheitsanforderungen an die Authentisierung gestellt werden. Authentisierungsinformationen MÜSSEN kryptografisch sicher gespeichert werden. Authentisierungsinformationen DÜRFEN NICHT unverschlüsselt über unsichere Netze übertragen werden. Anmerkung: s.o. NET.1.1 – auf sichere Netze zu vertrauen ist in meinen Augen grob fahrlässig. | |
SYS.1.5 | Virtualisierung |
A28 Verschlüsselung von virtuellen IT-Systemen (H) Alle virtuellen IT-Systeme SOLLTEN verschlüsselt werden. Anmerkung: warum nur virtuelle Systeme? was ist dann mit dem virtuellen Speicher der virtuellen Systeme? Warum nicht der Virtualisierungshost? | |
SYS.1.8 | Speicherlösungen |
A23 Einsatz von Verschlüsselung für Speicherlösungen (H) Alle in Speicherlösungen abgelegten Daten SOLLTEN verschlüsselt werden. Es SOLLTE festgelegt werden, auf welchen Ebenen (Data-in-Motion und Data-at-Rest) verschlüsselt wird. Dabei SOLLTE beachtet werden, dass die Verschlüsselung auf dem Transportweg auch bei Replikationen und BackupTraffic relevant ist. | |
SYS.2.1 | Allgemeiner Client |
A28 Verschlüsselung der Clients (H) Wenn vertrauliche Informationen auf den Clients gespeichert werden, SOLLTEN mindestens dieschutzbedürftigen Dateien sowie ausgewählte Dateisystembereiche oder besser die gesamtenDatenträger verschlüsselt werden. Hierfür SOLLTE ein eigenes Konzept erstellt und die Details derKonfiguration besonders sorgfältig dokumentiert werden. In diesem Zusammenhang SOLLTEN dieAuthentisierung (z. B. Passwort, PIN, Token), die Ablage der Wiederherstellungsinformationen, die zuverschlüsselnden Laufwerke und die Schreibrechte auf unverschlüsselte Datenträger geregelt werden.Der Zugriff auf das genutzte Schlüsselmaterial MUSS angemessen geschützt sein.Benutzer SOLLTEN darüber aufgeklärt werden, wie sie sich bei Verlust eines Authentisierungsmittels zuverhalten haben. | |
SYS.3.1 | Laptops |
A13 Verschlüsselung von Laptops (S) In Laptops verbaute Datenträger wie Festplatten oder SSDs SOLLTEN verschlüsselt werden. | |
SYS.4.5 | Wechseldatenträger |
A10 Datenträgerverschlüsselung (B) Wenn Wechseldatenträger außerhalb eines sicheren Bereiches verwendet oder transportiert werdenund dabei vertrauliche Daten enthalten, MÜSSEN sie mit einem sicheren Verfahren verschlüsseltwerden. |
Defense-in-Depth?
Die Unterscheidung nach mobil oder nicht, vertrauenswürdig oder nicht, ergibt nur Sinn, wenn man geradezu unerschütterliches Vertrauen in die physische Sicherheit und Netzwerksicherheit hat. Das ist meiner Meinung nach nicht gerechtfertigt. Ich kenne einige Berichte von Team-Reds, die den Auftrag hatten, ins Rechenzentrum einzudringen, und es ist ihnen immer gelungen. Wer rein will, kommt auch rein. Ggfs. lässt er sich anstellen, direkt oder bei einem Subunternehmer, beim Reinigungspersonal oder Servicediensten. Oder er besticht oder bedroht jemanden, der schon rein darf. Die Gefährdungen G.035, G.042, G.044 (ElemGef) sind real. Die Hülle kann bremsen, aber den Zugang nicht verhindern. Bin ich drin, habe ich auch Kontrolle über das Netzwerk. Mal abgesehen davon, dass auch Netzwerkkomponenten aus viel Software bestehen, und die Liste der CVEs dort nicht abreißt. Beispiel Cisco vs. Microsoft (Mitre CVE Datenbank, Stand 30.12.2021, MitreCve):Überrascht? Auch noch ein Größenvergleich fällig? Hier bitte:
Cisco | Microsoft | |
---|---|---|
Mitarbeiter 2020 | 75.500 Protska | 163.000 Protska |
Umsatz Geschäftsjahr 2021 | 49 Mrd. USD StatCisco | 168 Mrd. USD StatMicrosoft |
Marktkapitalisierung (04.01.2022) | 237 Mrd. EUR FinanzenCisco | 2,24 Bio. EUR FinanzenMicrosoft |
Fazit?
Wenn man ernsthaft Sicherheit umsetzen will, dann ist Verschlüsselung meiner Meinung nach ein klares Muss, ja eine Basis-Anforderung. Oder wenn man Dr. Reto Mantzjedenfalls bei mittlerem Risikofolgt, zumindest schon ab Schutzbedarf Standard im Grundschutz. Oder Kai-Uwe Plath:
Es steht der verantwortlichen Stelle damit grundsätzlich frei, sich für einen anderen, ebenso effektiven Schutz des E-Mail-Verkehrs zu entscheiden. In der Regel wird jedoch die Verschlüsselung tatsächlich das Mittel der Wahl darstellen.Und nicht nur bei E-Mail, sondern überall. In meiner Infrastruktur sind alle Datenträger mit Ausnahme von Installationsdatenträgern und die gesamte Kommunikation mit Ausnahme der Protokolle DHCP, (internes) DNS, und RPC EPM (Epm) verschlüsselt. Keine Unterscheidung nach Schutzniveau. Wenn man weiß wie es geht, dann gibt es keinen Grund, es nicht konsequent und einheitlich umzusetzen. Edward Snowden sagt:
Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on.(Snowden)
Anfragen?
Dieser Artikel entstand auf Grund der folgenden Anfrage:
Erstellt | Geändert | Status | Behörde | Thema |
---|---|---|---|---|
07.07.2021 | 08.08.2023 | Eingeschlafen | Bundesamt für Sicherheit in der Informationstechnik | Verschlüsselung im BSI Grundschutz? |
Das BSI erwartet zu wenig Sicherheit. Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit und speziell zu Verschlüsselung auf https://blog.lindenberg.one/VerschlusselungPflicht.Öffentliche Sicherheit ist dabei eine Phrase die alles mögliche enthält – s.a. https://de.wikipedia.org/wiki/%C3%96ffentliche_Sicherheit. Konkret gefährdet ist der Anspruch der Bürger auf Datenschutz (EU Grundrechte-Charta Artikel 8). Einen Angreifer wird Geheimhaltung der Sicherheitskonzepte nicht wirklich abhalten – s.a. https://blog.lindenberg.one/SecurityByObscurity.Meine Beschwerde wurde abgelehnt, ich habe Klage eingereicht. Wer sich dafür interessiert darf mich gerne anschreiben. |
Literatur
Autor(en) | Titel | |
---|---|---|
#1 | Europäisches Parlament und Rat | Datenschutzgrundverordnung (EU 2016/679) |
#2 | Bundesdatenschutzgesetz (BDSG) alte Fassung | |
#3 | Bundesdatenschutzgesetz (BDSG) | |
#4 | Gola (Hrsg) | Datenschutzgrundverordnung (2. Auflage, 2018) |
#5 | Sydow (Hrsg) | Europäische Datenschutzgrundverordnung (2. Auflage, 2018) |
#6 | Paal, Pauly (Hrsg) | DS-GVO, BDSG (3. Auflage. 2021) |
#7 | Kühling, Buchner (Hrsg) | DS-GVO * BDSG – Datenschutz-Grundverordnung Bundesdatenschutzgesetz (3. Auflage, 2020) |
#8 | Wolff, Brink (Hrsg) | BeckOK Datenschutzrecht, (28. Edition, 01.05.2019) |
#9 | Gola, Klug, Körffer | Bundesdatenschutzgesetz Kommentar (Beck, 12. Auflage, 2015) |
#10 | Plath (Hrsg) | BDSG – Kommentar zum BDSG sowie den Datenschutzbestimmungen des TMG und TKG (Verlag Dr. Otto Schmidt Köln, 2013) |
#11 | Simitis (Hrsg) | Bundesdatenschutzgesetz (Nomos Verlag, 8. Auflage 2014) |
#12 | Taeger, Pohle (Hrsg) | Computerrechts-Handbuch (Beck-Online, Werkstand: 36. EL Februar 2021) |
#13 | Sydow (Hrsg) | Bundesdatenschutzgesetz (Beck-Online, 1. Auflage, 2020) |
#14 | National Conference of State Legislatures (NCSL) | Security Breach Notification Laws |
#15 | Bundesamt für Sicherheit in der Informationstechnik (BSI) | Elementare Gefährdungen (Kompendium) |
#16 | Bundesamt für Sicherheit in der Informationstechnik (BSI) | IT-Grundschutz-Bausteine |
#17 | Joachim Lindenberg | Email-Verschlüsselung |
#18 | Joachim Lindenberg | Bedrohungsmodellierung |
#19 | Matthias Bergt | Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung (CR 2014, 726) |
#20 | Matthias Bergt | Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung (DSRITB 2014, 571) |
#21 | Andreas Dölker, Philipp Müller-Peltzer | Besteht eine Pflicht zur oder ein Recht auf Verschlüsselung? (DSRITB 2015, 863) |
#22 | Julia Gerhards | (Grund-)Recht auf Verschlüsselung? (Nomos 2010) |
#23 | The MITRE Corporation | Search CVE List |
#24 | Olga Protska | Die zehn profitabelsten IT-Unternehmen der Welt – 2022 |
#25 | Statista Research Department | Umsatz von Cisco Systems weltweit in den Geschäftsjahren 2006 bis 2021 (19.08.2021) |
#26 | Statista Research Department | Umsatz der Microsoft Corporation in den Geschäftsjahren 2002 bis 2021 (28.07.2021) |
#27 | Finanzen.net | Cisco Aktie (04.01.2022) |
#28 | Finanzen.net | Microsoft Aktie (04.01.2022) |
#29 | Jerome H. Saltzer, Michael Schroeder | Basic Principles of Information Protection, The Protection of Information in Computer Systems |
#30 | National Institute of Standards and Technology (NIST) | defense-in-depth (Glossary) |
#31 | Ned Pyle | Restrictions for Unauthenticated RPC Clients: The group policy that punches your domain in the face |
#32 | The Guardian | Edward Snowden: NSA whistleblower answers reader questions (2013) |
Veröffentlicht am 05.01.2022.
© 2022 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.