Der digitale Wandel und der industrielle Fortschritt führen zu einer stetig zunehmenden Nachfrage nach angemessenen Vorkehrungen für die Netzwerksicherheit zum Schutz von Daten und Information gegen unbefugte Kenntnisnahme und/oder Manipulation. Unter Berücksichtigung der Entwicklung ist es unumgänglich, sich im unternehmensstrategischen Kontext mit verlässlichen Übertragungswegen im Internet zwischen den einzelnen Kommunikationskanälen zu beschäftigen.

Mit dieser Thematik setzte sich unter anderem auch der alljährlich sattfindende 9. IT-Gipfel unter dem Leitspruch: Motto: „Digitale Zukunft gestalten – innovativ sicher leistungsstark“ in den letzten Tagen (18/19. November 2015) in Berlin auseinander. Im Rahmen dieser Konferenz unterzeichneten Vertreter der Bundesregierung und IT-Wirtschaft zum Ausdruck der allgemeinen Wertschätzung eine „Charta zur Stärkung der vertrauenswürdigen Kommunikation“. Als Themenschwerpunkte befasst sich das vorgestellte Papier neben der originären Verschlüsselung in diesem Zusammenhang insbesondere mit der Schaffung eines Bewusstseins, Einfachheit, Technologieneutralität, Aktualität, Standartkonformität, Transparenz, Vertrauenswürdigkeit, Innovation, Offenheit und des Standortes Deutschland/ Europa. Die zur Disposition stehenden Grundgedanken verdeutlichen das aus wirtschaftspolitischer Sicht geforderte Bedürfnis nach angemessenen Schutzmaßnahmen, welches beispielhaft im Hinblick auf die elektronische Personalausweisverwaltung oder der Vernetzung der Datenleitungen die praktische Relevanz erkennen lassen.

Die Vorteile einer Beschäftigung mit dem Thema der kryptografischen Verfahren sind naheliegend und sollten daher berücksichtigt werden:

• Daten-, Informations- und Geheimnisschutz: Sicherstellung des Schutzes von personenbezogenen Daten sowie Informationen und Geheimnissen.
• Vertrauenswürdige Kommunikation: Schaffung von Vertrauens zur Vermeidung von Kunden- und Reputationsverlusten und Untermauerung der Kundeninteressen.
• Gesicherte Infrastruktur: Die Sicherheitsvorkehrungen schützen nicht nur originär die Kommunikation untereinander, sondern auch die verwendete Infrastruktur.
• Vermeidung von buß- und strafrechtlichen Konsequenzen: Der Einsatz von geeigneten technischen und organisatorischen Maßnahmen kann vor vorzuwerfendem Verhalten schützen, welche buß- und strafrechtlich relevante Konsequenzen führen könnte. Aus datenschutzrechtlicher Sicht kommen weiterhin Meldepflichten bei Datenverlusten gemäß § 42a BDSG in Betracht.

Heutzutage gibt es eine Vielzahl von Verschlüsselungs- und Signaturmethoden, welche Übermittlungen von Daten und Informationen im Internet schützen sollen. Dabei fordern die Varianten einer End-to-End-Verschlüsselung gesonderte Standards und bedingen zumeist, dass ein gegenseitiger Schlüssel im Vorfeld übermittelt wird.

Die unternehmensinterne Ausgestaltung der IT-Sicherheit sollte zumindest insofern eine Erwägung der Möglichkeiten in Form von technischen und organisatorischen Maßnahmen durchführen.

Die auf dem Markt angebotenen Lösungen zur Verschlüsselung von Netzwerkprotokollen via Zertifikat (z.B. Transport Layer Security, Secure Shell, WAP2, IPsec), teilweise sogar kostenlos angebotene Software zur Konfiguration auf den Internetseiten (z.B. Let´s Encrypt, HTST, Pinning) oder E-Mail-Verschlüsselung (z.B. S/MIME, PGP) verlangen eine eingehenden technischen und juristischen Auseinandersetzung, um den Anforderungen gerecht zu werden.

Wenngleich noch nicht absehbar ist, in welche Richtung sich diese Debatte entwickelt, sollte sich jedes Unternehmen unabhängig davon mit dem Schutz von personenbezogenen Daten sowie Informationen und Geheimnissen in gewissem Maße beschäftigen.

Die Verschlüsselung mittels technischer bzw. softwareseitiger Vorkehrungen stellt die wohl einfachste Lösung dar, gleichwohl ist es bei der Verschlüsselung im E-Mail-Verkehr problematisch, dass die angebotenen Standards teilweise aufwendig einzubinden sind.

Daneben ist es aus praktischer Sicht zu empfehlen, die Prozesse der im Internet vollzogenen Handlungen zu beurteilen und je nach Wertigkeit verhältnismäßige Schutzmaßnahen zu ergreifen. Im Sinne des Datenschutzes ist festzuhalten, dass im Zweifel keine besonders sensiblen Daten (z.B. besondere Arten personenbezogener Daten § 3 Abs. 9 BDSG, Bankdaten, Passwörter, Betriebs- und Geschäftsgeheimnisse u.a.) auf einem unverschlüsselten Kommunikationsweg z.B. per E-Mail – sofern ausdrückliche keine Einwilligung des Betroffenen vorliegt – übertragen werden sollten. Registrierungs- und Login-Vorgänge (z.B. in Kundenportale) sollten in jedem Falle durch entsprechende Sicherheitszertifikate als Verschlüsselungsmaßnahme hinterlegt sein. Besondere Vorkehrungen sollten auch bei der Einrichtung von Home- und Mobil-Arbeitsplätzen getroffen werden (z.B. Einrichtung von verschlüsselten VPN-Tunneln). Bei der Versendung von E-Mails sollte als Vorstufe der Verschlüsselung über die Möglichkeit eines Einsatzes von digitalen Signaturen zur Verifikation des Absenders nachgedacht werden. Die Sensibilisierung der Mitarbeiter kann zudem dazu beitragen, dass dem Datenschutz und der Datensicherheit das notwendige Verständnis beigemessen wird. Diesbezüglich sind die konkreten Handlungsmaßnahen auch in dokumentarischer Weise in Form von internen Arbeitsanweisungen und Richtlinien festzuhalten und an aktuelle Gegebenheiten anzupassen.

Zielstellung sollte es im Unternehmen demzufolge sein, dass der Datenschutz im Einklang mit den zur IT-Sicherheit getroffenen Maßnahmen steht. Gerne stehen wir Ihnen für Rückfragen zum Thema Datenschutz zur Verfügung.