Bera­tung und Sup­port – Tel. 0800 100 400 800

Pres­se­infor­ma­tion: Ver­kehrs­chaos auf der Daten­au­to­bahn

Wie las­sen sich Daten­ver­kehr und Daten­ab­lage sicher und DSGVO-kon­form gestal­ten?

Im Jahr 2019 beweg­ten sich täg­lich 293,6 Mil­li­ar­den E‑Mails welt­weit über das Inter­net. Das hat das Markt­for­schungs­un­ter­neh­men Radi­cati Group in einer Stu­die ermit­telt und pro­gnos­ti­ziert: Ten­denz wei­ter stei­gend. Egal ob Unter­neh­men oder Pri­vat­per­son, Emp­fän­ger oder Absen­der, alle Sei­ten wün­schen dabei Sicher­heit und Schutz ihrer Infor­ma­tio­nen vor unbe­fug­tem Zugriff. Doch wer ist zustän­dig dafür, dass die­ser Daten­ver­kehr sicher und DSGVO-kon­form abläuft?

Wer ist über­haupt für die Sicher­heit zustän­dig?

Die Zustän­dig­kei­ten bei der Sicher­heit im Daten­ver­kehr unter­schei­den sich je nach­dem, wel­che Kanäle genutzt wer­den. So sind im E‑Mail-Ver­kehr bei einer End-zu-End-Ver­schlüs­se­lung sowohl der Absen­der als auch der Emp­fän­ger dafür ver­ant­wort­lich, Sicher­heits­schlüs­sel zu gene­rie­ren und Authen­ti­fi­zie­rungs­me­tho­den, soge­nannte Public Keys, auf Ser­vern abzu­le­gen, damit E‑Mails ver­schlüs­selt wer­den kön­nen. Ope­ra­tiv sind zur E‑Mail-Ver­schlüs­se­lung und ‑Signie­rung bei­spiels­weise S/MIME oder PGP ein­setz­bar. Anders sieht das bei Daten­ver­kehr zwi­schen Web­sei­ten und Com­pu­tern aus. Hier steht der Web­sei­ten­be­trei­ber in der Ver­ant­wor­tung, für die Sicher­heit der über­mit­tel­ten Infor­ma­tio­nen zu sor­gen. Dies ermög­li­chen SSL-Zer­ti­fi­kate, die Web­sei­ten sind dann an der URL „https“ zu erken­nen. Diese Zer­ti­fi­kate wer­den von unab­hän­gi­gen Drit­ten geprüft und aus­ge­stellt. Da sie ste­tig wei­ter­ent­wi­ckelt wer­den, um auch neu­este Hacker­me­tho­den abzu­weh­ren, soll­ten Betrei­ber immer die aktu­ellste Pro­to­koll-Ver­sion ein­set­zen. Der­zeit ist das TLS 1.3. Ältere Ver­sio­nen sind angreif­bar und schüt­zen aus die­sem Grund nicht umfas­send. Ähn­lich sieht es bei Web­ser­vern und Cloud­sze­na­rien aus. Auch hier ist immer der Betrei­ber für die Sicher­heit der Daten ver­ant­wort­lich. Der Daten­trans­port zwi­schen Ser­vern, Cli­ents und Desk­toprech­nern wird dage­gen über VPN (Vir­tual Pri­vate Net­work) in einer Art ver­schlüs­sel­tem „Tun­nel“ durch das Netz­werk geschickt, sodass die Daten auf dem Weg nicht von Drit­ten ein­seh­bar sind. VPNs wer­den von IT-Admi­nis­tra­to­ren und IT-Ser­vice­pro­vi­dern auf­ge­baut und gepflegt. Jeder Anwen­der kann nur mit den rich­ti­gen Zugangs­da­ten auf Rech­ner und Daten inner­halb eines VPN zugrei­fen.

Sicher ist nicht gleich DSGVO-kon­form

Nun wird schnell ange­nom­men, dass die sichere Daten­über­tra­gung auto­ma­tisch bedeu­tet, dass die Daten DSGVO-kon­form behan­delt wer­den. Dem ist jedoch nicht auto­ma­tisch so. Nur weil der Daten­trans­fer über eine Ver­bin­dung ver­schlüs­selt wird, ist der wei­tere Umgang mit den Daten nicht zwangs­läu­fig DSGVO-kon­form. Die DSGVO besagt, dass Unter­neh­men, die mit per­so­nen­be­zo­ge­nen Daten arbei­ten, sicher­stel­len müs­sen, dass diese Daten von Drit­ten nicht ein­ge­se­hen wer­den kön­nen. Das bedeu­tet, dass nicht nur die Über­tra­gung ver­schlüs­selt erfol­gen muss, son­dern auch die wei­tere Spei­che­rung, Archi­vie­rung und Ver­wal­tung. Oft unter­schätzt oder gar nicht beach­tet wird hier der Daten­trans­fer über File­sha­ring-Platt­for­men. Dabei stel­len sie ein erheb­li­ches Pro­blem dar, denn es ist oft nicht ein­deu­tig klar, wo die Daten phy­sisch lie­gen. Hier besteht zwar kein Sicher­heits­pro­blem, aller­dings ein erheb­li­ches Com­pli­ance-Pro­blem in Bezug auf DSGVO-kon­for­mes Daten­ma­nage­ment, denn die DSGVO for­dert bei der Über­tra­gung und Archi­vie­rung von Daten eine ein­deu­tige Doku­men­ta­tion über Art der Daten, Abla­ge­ort und Auf­be­wah­rungs­dauer. DSGVO-kon­for­mes Daten­ma­nage­ment bedeu­tet auch Wie­der­auf­find­bar­keit der Daten. Hierzu gehö­ren sinn­voll struk­tu­rierte Bezeich­nun­gen mit Meta­da­ten sowie ein über­sicht­lich orga­ni­sier­tes Abla­ge­sys­tem. Ebenso muss inner­halb des Unter­neh­mens eine Ein­stu­fung der Zugriffs­be­rech­ti­gun­gen erfol­gen, um Daten DSGVO-kon­form zu ver­wal­ten. Hier schüt­zen Zugangs- und Berech­ti­gungs­kon­trol­len sowohl phy­sisch als auch digi­tal vor unbe­fug­tem Zugriff auf Daten und Infor­ma­tio­nen. Um auch bei der Dauer der gespei­cher­ten Daten kon­form zu arbei­ten, las­sen sich im Daten­ma­nage­ment auto­ma­ti­sierte Auf­be­wah­rungs­zeit­räume nach Art der Daten ein­rich­ten, denn so gilt für die Spei­che­rung von han­dels- und steu­er­recht­li­chen Infor­ma­tio­nen eine Frist von 10 Jah­ren, für medi­zin­recht­li­che Doku­mente sind es dage­gen bis zu 30 Jahre. Auch bei der Web­ser­ver­kon­fi­gu­ra­tion muss auf DSGVO-Kon­for­mi­tät geach­tet wer­den: So kon­fi­gu­riert PLUTEX die Web­ser­ver bei­spiels­weise so, dass IP-Adres­sen aus­schließ­lich anony­mi­siert und maxi­mal für 3 Tage gespei­chert wer­den. Eine län­gere Spei­cher­dauer ist jedoch mög­lich, sollte das vom Kun­den für Ana­ly­se­zwe­cke gewünscht wer­den. Außer­dem erfolgt die Kon­fi­gu­ra­tion immer auf HTTPS und auf Grund­lage des aktu­ells­ten TLS-Pro­to­kolls.

Ein­mal sicher, immer sicher? Mit Exper­ten­hilfe schon

Um Daten­ver­kehr und ‑ver­wal­tung fort­lau­fend sicher zu orga­ni­sie­ren, gilt es diese immer auf den aktu­el­len Stan­dards zu hal­ten. Unge­pflegte und ver­al­tete Ser­ver oder Betriebs­sys­teme sowie feh­lende Updates füh­ren zu Sicher­heits­ri­si­ken, wenn bei­spiels­weise keine aktua­li­sier­ten Sicher­heits­patches ein­ge­spielt wer­den, die vor neu­ar­ti­gen Viren, Tro­ja­nern, oder ande­ren Hacker­me­tho­den schüt­zen. Doch wann sind Updates nötig und in wel­cher Grö­ßen­ord­nung? Das ist für IT-ferne Per­so­nen oft schwer ein­zu­schät­zen und noch schwe­rer umzu­set­zen. Hier hel­fen Ser­vice­pro­vi­der und über­neh­men Ein­rich­tung, Kon­fi­gu­ra­tion und Pflege all die­ser Tech­ni­ken. Indi­vi­du­elle Ser­ver­kon­fi­gu­ra­tion je nach Größe des Unter­neh­mens, Sys­tem­auf­bau nach Anfor­de­rung an Daten­ver­kehr und Ver­füg­bar­keit rea­li­sie­ren die Exper­ten unter Berück­sich­ti­gung der DSGVO-Vor­ga­ben. Außer­dem set­zen sie PGP für den siche­ren E‑Mail-Ver­kehr ein sowie VPN für sichere Kom­mu­ni­ka­tion in Netz­wer­ken und HTTPS für die Web­ser­ver. Um im Daten­ver­kehr von Anfang bis Ende hohe Sicher­heit vor Daten­klau zu ermög­li­chen, kom­bi­nie­ren sie alle drei Tech­ni­ken. Der Vor­teil die­ser exter­nen Hel­fer? Sie sind rund um die Uhr im Ein­satz und kön­nen zu jeder Tages- und Nacht­zeit bei Pro­ble­men oder Vor­fäl­len hel­fen, sei es ein Hacker­an­griff oder ein Sys­tem­aus­fall. Sie beherr­schen ihr Hand­werk, kön­nen die wich­ti­gen Infor­ma­tio­nen ver­ständ­lich ver­mit­teln und unter­stüt­zen dabei, dass Daten­ver­kehr und Daten­ab­lage sicher und DSGVO-kon­form ablau­fen.

Wei­tere Infor­ma­tio­nen unter www.plutex.de

Text­länge: 6.209 Zei­chen mit Leer­zei­chen

PLUTEX GmbH
Die PLUTEX GmbH ist ein auf Ser­ver­ma­nage­ment, Netz­werke, Hos­ting und Colo­ca­tion spe­zia­li­sier­ter Mana­ged Ser­vice Pro­vi­der (MSP) mit eige­nen zer­ti­fi­zier­ten Rechen­zen­tren in Bre­men und Bie­le­feld. Das Ange­bot umfasst Mana­ged IT-Ser­vices, Cloud- und Sto­rage-Lösun­gen, (Web-)Hosting, Ser­ver-Housing, A/SDSL- und Richt­funk-Ver­bin­dun­gen, Back-up- sowie Archi­vie­rungs­dienst­leis­tun­gen. Alle Lösun­gen wer­den fle­xi­bel und indi­vi­du­ell nach Anfor­de­run­gen der Kun­den auf­ge­baut. Die Rechen­zen­tren arbei­ten mit maxi­ma­ler Ener­gie­ef­fi­zi­enz und bie­ten ein leis­tungs­fä­hi­ges und schnel­les Back­bone-Netz mit Kno­ten­punk­ten und direk­tem Zugang zu allen wich­ti­gen Car­ri­ern. Ein mehr­stu­fi­ges Sicher­heits­kon­zept, jähr­li­che TÜV-Süd-Audits sowie ein Daten­schutz­be­auf­trag­ter sor­gen für umfas­sende Sicher­heit und Kon­trolle von Daten und Ser­vern. Die Rechen­zen­tren tra­gen sowohl für die IT- und Infor­ma­ti­ons­si­cher­heit (ISO/IEC 27001) als auch für das Qua­li­täts­ma­nage­ment (ISO/IEC 9001) den offi­zi­el­len TÜV-Süd-Stem­pel.

Pres­se­kon­takt: Borg­meier Public Rela­ti­ons, Lilian Lehr-Kück, Am Saat­moor 2, 28865 Lili­en­thal, Tel.: 04298–4683-26, Fax: 04298–4683-33, E‑Mail: lehr@​borgmeier.​de

Immer auf dem Laufenden!

Bestellen Sie unseren Newsletter! Mit Technik, Neuheiten und Informationen rund ums Rechenzentrum, einmal im Quartal ins Postfach.