Datenschutzgesetze online einhalten

Transkript

1 WHITEPAPER Datenschutzgesetze online einhalten Wie SSL-Verschlüsselung Ihre Strategie für die IT-Sicherheit unterstützt

2 Einleitung Die Webpräsenz eines Unternehmens ist sowohl ein wertvolles Markensymbol als auch eine wichtige Quelle neuer Aufträge. Die Besucher einer Website möchten wissen, ob sie dem Betreiber vertrauen können nicht nur zur Ausführung des Auftrags selbst, sondern auch hinsichtlich des Umgangs mit ihren Daten. Erst kürzlich waren einige weltbekannte und erfolgreiche Unternehmen von ernsten Datenpannen betroffen: Online-Dienste mussten abgeschaltet werden, der Ruf der betroffenen Unternehmen nahm Schaden und es kam zu finanziellen Verlusten. Robuste Maßnahmen für die Online-Sicherheit sind daher nicht nur geschäftlich sinnvoll sie werden auch vom Gesetz eingefordert. Schwachstellen beim Schutz von personenbezogenen Daten Ihrer Kunden im Internet machen Sie nicht nur zu einem Ziel für Hacker-Angriffe und Identitätsdiebstahl, sondern auch von Klagen und rechtlichen Maßnahmen von Einzelpersonen und Behörden. Dieses Dokument gibt Ihnen einen Überblick über die Maßnahmen, die für Unternehmen zur Einhaltung des Bundesdatenschutzgesetzes erforderlich sind. Außerdem erfahren Sie, wie Sie personenbezogene Daten (und das Vertrauen) Ihrer Kunden online schützen. Das Bundesdatenschutzgesetz Es gibt Websites oder Web-Shops deutscher Unternehmen, nur 9347 davon haben ein SSL-Zertifikat. (Stand: März 2011) 1 Der Datenschutz wird in Deutschland durch verschiedene Gesetze geregelt. Im Zentrum steht das Bundesdatenschutzgesetz (BDSG), das eine Reihe verpflichtender Vorschriften für die Stellen enthält, die für die Daten verantwortlich sind. Die verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Außerdem gibt es in den einzelnen Bundesländern eigene Landesdatenschutzgesetze, die vor allem für Landesbehörden und Kommunalverwaltungen gelten. Privatwirtschaftliche Unternehmen und Bundesbehörden unterliegen dem BDSG. Daher muss jede Verarbeitung u. a. die Speicherung, Änderung, Löschung und Übertragung von online erlangten Daten, die Ihr Unternehmen selbst durchführt oder in Auftrag gibt, den Bestimmungen des Bundesdatenschutzgesetzes genügen (soweit nicht andere Gesetze zum Datenschutz vorrangig sind). Laut Paragraf 4 des BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ( ) nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Generell dürfen Daten nur für einen bestimmten Zweck verarbeitet werden und es dürfen nur die Daten erhoben werden, die für diesen Zweck notwendig sind. Alle Personen, die Zugang zu den Daten haben, sind verpflichtet, diese vertraulich zu behandeln. Zum Datenschutz gehört außerdem, dafür zu sorgen, dass die personenbezogenen Daten korrekt und aktuell sind und die betreffende Person jederzeit Auskunft darüber erhalten kann. Genauere Informationen über Ihre Pflichten unter dem Bundesdatenschutzgesetz finden Sie auf der Website des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit unter

3 Was sind personenbezogene Daten? Personenbezogene Daten sind Angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Dazu gehören Daten, durch die eine Person direkt oder indirekt identifiziert werden kann. Sogar anonymisierte Daten können als personenbezogene Daten gelten, wenn es möglich ist, aus ihnen auf die Identität des Betroffenen zu schließen (z. B. mithilfe anderer Daten). Namen, Adressen und Kreditkartennummern sind demnach offensichtlich personenbezogene Daten, aber auch Kaufentscheidungen oder Urlaubsziele können als solche gelten. Darüber hinaus gibt es besondere Arten personenbezogener Daten, die ohne Zustimmung des Betroffenen nicht für wirtschaftliche Zwecke verarbeitet werden dürfen, sofern nicht eine der Bestimmungen des 28 (6) des BDSG anwendbar ist. Zu diesen besonderen Arten personenbezogener Daten zählen u. a. Angaben über die rassische und ethnische Herkunft, politische und religiöse Überzeugungen, Gesundheit und Sexualleben. Auch dann, wenn Ihr Unternehmen diese Art von Daten nicht aktiv erfasst, besteht die Gefahr, dass jemand derartige Daten unaufgefordert an das Unternehmen übermittelt, etwa über ein Freitextfeld in einem Online- Formular. Datensicherheit nach 9 des BDSG Paragraf 9 des Bundesdatenschutzgesetzes befasst sich mit der Sicherheit personenbezogener Daten. Stellen, die personenbezogene Daten erfassen, verarbeiten oder nutzen, sind aufgefordert, die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um sicherzustellen, dass die Vorschriften des BDSG eingehalten werden. Welche Maßnahmen oder technischen Verfahren zur Einhaltung der Gesetzesvorschriften notwendig sind, gibt das Gesetz nicht im Einzelnen vor. Dennoch sollten Ihre Maßnahmen insoweit dem aktuellen Stand der Technik entsprechen, als die Kosten dafür in einem angemessenen Verhältnis zum Schutzbedürfnis der Daten und zu dem mit ihrer Verarbeitung verbundenen Risiko stehen der Websites oder Web-Shops in Deutschland sehen eine Anmeldung der Kunden vor, doch nur 4392 davon haben ein SSL-Zertifikat. (Stand: März 2011) 1 Wenn Sie zur Verarbeitung und Erfassung personenbezogener Daten automatisierte Verfahren verwenden (z. B. bei der Erfassung über das Internet), sollten Sie sicherstellen, dass Sie alle ausdrücklichen Anforderungen der Anlage zu 9 des BDSG einhalten. Die von Ihnen ergriffenen Maßnahmen sollten Folgendes leisten: 1. Unbefugten den Zutritt zu Ihren Datenverarbeitungsanlagen verwehren, 2. Unbefugten die Nutzung Ihrer Datenverarbeitungssysteme verwehren, 3. gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, 4. gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass festgestellt werden kann, an welche Stellen personenbezogene Daten übermittelt werden, 5. gewährleisten, dass nachträglich festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, dort verändert oder daraus entfernt worden sind,

4 6. gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers und in Übereinstimmung mit den geltenden Gesetzen verarbeitet werden können, 7. gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind, 8. gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Es bleibt Ihrem Urteil überlassen, welche technischen und organisatorischen Maßnahmen notwendig sind, um die Daten Ihrer Kunden zuverlässig zu schützen, insbesondere hinsichtlich der oben aufgeführten Anforderungen. So ist für eine Website, die lediglich die -Adressen der Nutzer erfasst, möglicherweise ein geringeres Schutzniveau ausreichend als für eine E-Commerce-Website, die viele Zahlungen online verarbeitet. Allerdings wird in dieser Anlage auch ausdrücklich darauf hingewiesen, dass Verschlüsselungsverfahren, die dem aktuellen Stand der Technik entsprechen, hilfreich zur Einhaltung der Anforderungen in den oben genannten Punkten 2 bis 4 sind der Websites oder Web- Shops in Deutschland verwenden einen Warenkorb, doch nur 2229 davon haben ein SSL-Zertifikat. (Stand: März 2011) 1 Bevor Sie also mit der Erfassung und Verarbeitung personenbezogener Daten beginnen, sollten Sie nicht nur überprüfen, ob Sie nach dem Gesetz überhaupt dazu berechtigt sind, sondern auch, ob Ihre Datenverarbeitungssysteme dafür ausreichende Sicherheit bieten. Auch die Systeme Dritter, die Sie mit der Verarbeitung von Daten beauftragen, sollten Sie dahin gehend überprüfen. Paragraf 11 des BDSG erläutert Ihre Pflichten, wenn Sie die Datenverarbeitung an eine Fremdfirma übergeben. Legen Sie bei der Auswahl Ihres Datenverarbeiters besonderes Augenmerk darauf, ob die technischen und organisatorischen Maßnahmen dieses Unternehmens geeignet sind. Auch nach der Auftragsvergabe sollten Sie die Einhaltung der Datenschutzvorschriften regelmäßig überprüfen. Was ist zu tun? Das Bundesamt für Sicherheit in der Informationstechnik, BSI, hat einige Grundschutz-Standards herausgegeben, um Unternehmen bei der Gestaltung ihrer IT-Infrastruktur zu unterstützen. Ziel ist es, die Mindestanforderungen des Datenschutzes mit vertretbarem Aufwand und kostengünstig umzusetzen. In Zusammenarbeit mit dem Bundesbeauftragten und den Landesbehörden für Datenschutz hat das BSI außerdem einen nützlichen Katalog mit Sicherheitsrichtlinien und -strategien für die IT-Infrastruktur entwickelt. Darin enthalten ist auch ein Abschnitt zum Datenschutz. 2 Für den Einstieg sollte für die meisten Unternehmen eine Vorgehensweise nach BSI-Standard (kompatibel mit ISO 27001/2) die Mindestanforderungen an den Datenschutz erfüllen. 3 Wenn Sie allerdings beispielsweise Cloud-Computing 4 über das Internet bereitstellen oder Rechtsberatung anbieten, so dass die Daten Ihrer Kunden der Schweigepflicht unterliegen, sind weitergehende Maßnahmen notwendig. In solchen Fällen wird das erforderliche Sicherheitsniveau vermutlich nicht ohne Verschlüsselung erreichbar sein.

5 Machen Sie sich unbedingt mit den BSI-Richtlinien und etwaigen bundeslandspezifischen Besonderheiten vertraut. Auch in Situationen, für die bestimmte technische Verfahren wie z. B. SSL-Verschlüsselung nicht ausdrücklich erforderlich sind, sollten Sie immer darauf achten, die in Ihrer Branche üblichen und für die von Ihnen verarbeiteten personenbezogenen Daten angemessenen Standardverfahren anzuwenden. Rechtliche Rahmenbedingungen Während der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hauptverantwortlich für den Datenschutz auf Bundesebene ist, sind für die Privatwirtschaft die Landesdatenschutzämter der einzelnen 16 Bundesländer zuständig. Sie überwachen die Einhaltung aller relevanten Datenschutzgesetze, beraten zu Sicherheitsmaßnahmen und -verfahren und untersuchen etwaige Probleme der Websites oder Web-Shops in Deutschland erfassen personenbezogene Daten, doch nur 1573 davon haben ein SSL-Zertifikat. (Stand: März 2011) 1 Nach Paragraf 4d des BDSG sind Sie verpflichtet, Verfahren zur automatisierten Datenverarbeitung vor der Inbetriebnahme der zuständigen Aufsichtsbehörde zu melden, sofern Sie keinen eigenen Datenschutzbeauftragten im Unternehmen haben. Eine solche Meldung sollte Einzelheiten zu den Maßnahmen enthalten, mit denen Sie gewährleisten wollen, dass Ihre Datenverarbeitung den Sicherheitsanforderungen genügt. Mögliche Folgen einer Verletzung des Datenschutzes Wenn ein Hacker in Ihre Website eindringt und personenbezogene Daten stiehlt, hat das für Ihr Unternehmen nicht nur wirtschaftliche, sondern möglicherweise auch juristische Folgen. Ein Verstoß eines Datenschutzbeauftragten gegen die deutschen Datenschutzgesetze kann zivil-, straf- und ordnungsrechtliche Konsequenzen nach sich ziehen. Ordnungswidrigkeiten werden von den zuständigen Aufsichtsbehörden gemäß Paragraf 43 des BDSG geahndet. Es handelt sich beispielsweise um eine Ordnungswidrigkeit, wenn Sie die Datenverarbeitung nicht korrekt an die Aufsichtsbehörden melden, wenn Sie keinen Datenschutzbeauftragten ernennen oder die Einhaltung der Datenschutzbestimmungen durch Firmen, die mit der Datenverarbeitung beauftragt wurden, nicht überprüfen. Möglich sind in diesen Fällen Bußgelder von bis zu Euro. Für schwerwiegendere Verstöße können auch Bußgelder von bis zu Euro verhängt werden. In jedem Fall muss das Bußgeld so hoch sein, dass es den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigt. Gegebenenfalls können die Bußgeldbeträge dazu über die genannten Beträge hinaus angehoben werden. Wurde vorsätzlich wegen eines finanziellen Gewinns gegen das Datenschutzgesetz verstoßen, kann auch eine bis zu zweijährige Haftstrafe verhängt werden. Personen, denen durch die gesetz- oder vorschriftswidrige Datenverarbeitung ein Schaden entstanden ist, steht nach Paragraf 7 des BDSG Schadensersatz zu. Wenn in Ihrem Unternehmen ein Verstoß gegen die Datenschutzvorschriften auftritt oder Ihre Maßnahmen zum Datenschutz als unzureichend beurteilt werden, kann die zuständige Aufsichtsbehörde die Datenverarbeitung vollständig untersagen, wenn Sie die beanstandete Situation nicht in angemessener Zeit verbessern.

6 Das BDSG verpflichtet Sie außerdem, Betroffene von einem unbefugten Zugriff auf ihre Daten oder von einer gesetzwidrigen Datenübertragung zu benachrichtigen. Diese Vorgaben kommen beispielsweise bei einem Hacker-Angriff zum Tragen und können die Folgen eines solchen Angriffs in Form von finanziellen Schäden und der Schädigung Ihres guten Rufs noch erheblich verschärfen. SSL-Verschlüsselung Die SSL-Verschlüsselung ist das am häufigsten eingesetzte Verfahren, um Daten online zu sichern. SSL steht für Secure Sockets Layer ; es handelt sich dabei um ein Sicherheitsprotokoll, das einen abgeschotteten verschlüsselten Kanal herstellt, über den Daten geschützt übertragen werden können. Jedes SSL-Zertifikat besteht aus einem öffentlichen Schlüssel, der die Daten verschlüsselt, und einem privaten Schlüssel, der sie wieder entschlüsselt. Die Daten werden dadurch verschlüsselt, also unlesbar, übertragen, und nur der beabsichtigte Empfänger kann die verschlüsselten Daten dekodieren. SSL-Zertifikate sind mit einer Verschlüsselungstiefe bis 256 Bit verfügbar. Generell gilt: je höher die Bit-Zahl des Schlüssels, desto stärker die Verschlüsselung. Bei den heute möglichen Rechengeschwindigkeiten bräuchte ein motivierter Hacker mit guter Computerausstattung eine Billion Jahre, um in eine Datenübertragung einzudringen, die mit 128 Bit verschlüsselt ist. Benutzer können ihre Daten also unbesorgt auf einer mit einem SSL-Zertifikat gesicherten Website eingeben. Zwar ist die SSL-Verschlüsselung alleine nicht ausreichend, um die Einhaltung des BDSG zu gewährleisten, aber sie ist ein Baustein zur Erfüllung der Forderung nach Maßnahmen, die dem aktuellen Stand der Technik entsprechen. Ganz sicher ist sie ein kostengünstiger Weg, das Risiko eines unbefugten Eindringens zu reduzieren, und sollte daher in der Sicherheitsplanung Ihres Unternehmens eine wichtige Rolle spielen der Websites oder Web-Shops in Deutschland wickeln den Kauf über Fremdunternehmen ab und nur 103 von diesen haben ein SSL-Zertifikat. (Stand: März 2011) 1 Schritt halten mit aktuellen Entwicklungen VeriSign Authentication Services, jetzt Teil von Symantec, stellte kürzlich in einer Umfrage fest, dass 79 Prozent der IT-Manager um die Sicherheit ihrer Kunden besorgt sind und 68 Prozent sich Sorgen wegen eines möglichen Identitätsdiebstahls machen. 4 Hacker werden immer geschickter darin, personenbezogene Daten abzufangen, und in der Öffentlichkeit steigt die Angst vor Online-Betrug. Daraus folgt, dass Ihr Unternehmen in seinen Bemühungen niemals stillstehen darf. Modernste technische Verfahren spielen eine große Rolle bei Ihren Maßnahmen zur Einhaltung aller Datenschutzanforderungen. Sie sollten daher regelmäßig überprüfen, ob Ihre Schutzmaßnahmen noch auf dem aktuellen Stand der Technik sind. Überlegen Sie im Rahmen einer solchen Überprüfung auch Folgendes: Benötigen wir einen anspruchsvolleren Schutz? Wenn Sie mittlerweile Daten erfassen, die einen höheren Schutz benötigen, ist eine stärkere Verschlüsselung vermutlich sinnvoll. Wenn die branchenüblichen Standards steigen, kann es notwendig sein, Ihre Zertifikate aufzurüsten, um mit den technischen Entwicklungen Schritt zu halten und die Vorgaben des BSI zu erfüllen.

7 Es kann auch erforderlich sein, sich gegen neue Hacker-Verfahren zu wappnen. Firesheep beispielsweise ist eine neue Bedrohung, die über offene Wi-Fi- Verbindungen HTTP-Sitzungen kapern und Anmeldedaten des Benutzers auslesen kann. Diese und viele andere Bedrohungen machen einmal mehr deutlich, dass Anmeldedaten ebenso vertraulich behandelt werden sollten wie andere personenbezogene Daten. Außerdem sollten Unternehmen erwägen, SSL für ihre gesamte Website, nicht nur für sichere Seiten, zu implementieren. Sind unsere SSL-Zertifikate noch gültig? Das unbemerkte Ablaufen von SSL-Zertifikaten bereitet 70 Prozent der IT-Manager Sorgen. 5 Der Gültigkeitsstatus aller Zertifikate muss ständig überwacht werden, denn ein abgelaufenes Zertifikat kann für Ihr Unternehmen und Ihre Kunden eine gefährliche Sicherheitslücke darstellen. Wenn Ihr Unternehmen mehrere Zertifikate verwendet, überprüfen Sie zunächst alle Domänen und Zertifikate. Legen Sie diese anschließend in einem verwalteten Konto zusammen. Damit stellen Sie sicher, dass alle Zertifikate ordnungsgemäß installiert sind und die richtige Stufe an Verschlüsselung und Authentifizierung verwenden. Auf diese Weise stellen Sie außerdem fest, welche Server noch geschützt werden müssen oder welche Zertifikate demnächst ablaufen. Diese Überprüfungen sind unverzichtbar und ermöglichen Ihnen zugleich die Kontrolle, ob Sie die gesetzlichen Anforderungen weiterhin erfüllen. Auf Websites oder Web-Shops treffen zwei oder mehr der hier aufgeführten Kriterien zu. (Stand: März 2011) 1 So kann Symantec Sie unterstützen Auch wenn Sie von Gesetzes wegen nicht verpflichtet sind, aktuelle technische Verfahren zum Schutz personenbezogener Daten zu verwenden Ihre Kunden erwarten dies dennoch. Sie möchten Ihrem Online-Angebot vertrauen und dort sorgenfrei Transaktionen ausführen können. Das Norton Secured Siegel auf einer Website versichert Ihren Kunden, dass die Website durch eine SSL Verschlüsselung der führenden Zertifizierungsstelle gesichert wird. Es bestätigt außerdem, dass diese Website seriös ist. Alle VeriSign SSL-Zertifikate werden nur nach sorgfältiger Authentifizierung des gesamten Unternehmens ausgegeben. Dies gibt Kunden die Gewissheit, dass der Betreiber überprüft wurde und sie ihre persönlichen Daten ohne Risiko angeben können. Über das Siegel gelangt man zu einer Bestätigungsseite, die alle Details zum Zertifikat nennt. Noch weiter gehendes Vertrauen erhalten Sie durch Zertifikate mit Extended Validation (EV). Ist ein solches Zertifikat installiert, zeigen aktuelle Browser den Namen Ihres Unternehmens in der grün unterlegten Adressleiste an. Dies bietet einen größeren Schutz gegen Phishing- oder Spoofing-Versuche.

8 VeriSign Authentication Services rundet sein Angebot mit Lösungen für Unternehmen jeglicher Größe ab: Mit diesen können Sie Ihre SSL-Zertifikate kaufen, verwalten und erneuern, so dass Sie sich stets auf den unterbrechungsfreien Schutz verlassen können. Die Bandbreite unserer Lösungen reicht vom einfachen webgestützten Konto beim VeriSign Trust Center bis hin zum VeriSign Managed PKI für SSL, eine leistungsfähige und kostengünstige cloudgestützte Plattform zur Erfassung und Verwaltung aller SSL-Zertifikate in Ihrem Unternehmen. Mit VeriSign Managed PKI für SSL können Sie Zertifikate automatisch erfassen und erneuern, schon 90 Tage vor ihrem Ablauf. Wenn Sie in mehreren Unternehmen oder Geschäftsbereichen mit mehreren Zertifikaten, Servern und Administratoren arbeiten, ist dies der ideale Weg, um die Zertifikate zentral zu verwalten und dadurch Kosten und Aufwand zu sparen. Damit erhalten Sie ganz einfach einen Überblick über alle Zertifikate von einer bestimmten Zertifizierungsstelle und behalten den Überblick. Das Symantec Certificate Intelligence Center für SSL-Zertifikate mit Technik von VeriSign steht ausschließlich Kunden mit VeriSign Managed PKI für SSL zur Verfügung und wurde zur Verwaltung von Infrastrukturen ab 100 Servern konzipiert. Im Symantec Certificate Intelligence Center für SSL-Zertifikate werden Daten in einem zentralen Repository gescannt und erfasst, damit Administratoren die detaillierten Informationen erhalten, die sie für die schnelle und einfache Verwaltung der gesamten SSL-Umgebung im Unternehmen benötigen. Weitere Informationen über VeriSign SSL-Zertifikate und ihre mögliche Rolle in Ihrer Datenschutzstrategie erhalten Sie telefonisch unter , per unter oder online unter 1 Quelle: VeriSign Internet Profile Service (IPS), März Der Internet Profile Service teilt auflösende Websites in verschiedene funktionelle Kategorien ein. Diese Ergebnisse wurden dann mit Daten zu SSL von NetCraft Data abgeglichen. 2 Siehe IT-Grundschutz-Kataloge unter 3 Ausführliche Informationen zu den Standards und Richtlinien des BSI finden Sie unter itgrundschutz_node.html. 4 Siehe hierzu das Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter des BSI unter SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf 5 Quelle: Umfrage von VeriSign unter IT-Managern vom Januar 2010: Symantec Corporation. Alle Rechte vorbehalten. Das Häkchen im Kreis ist eine eingetragene Marke der Symantec Corporation. VeriSign, VeriSign Trust und andere verwandte Marken sind eingetragene Marken von VeriSign und lizenziert an Symantec. Alle anderen Marken sind Eigentum der jeweiligen Inhaber. Symantec Deutschland GmbH Wappenhalle, Konrad-Zuse-Platz 2-5, D München, Deutschland