Datenschutzfreundliche Sicherheit

Die Einhaltung von Datenschutz- und Sicherheitsvorschriften muss kein Tauziehen sein

Sicherheit und Datenschutz werden häufig als Widerspruch gesehen. Die Umsetzung wirksamer Sicherheitsmaßnahmen erfordert die Fähigkeit, potenzielle Bedrohungen zu erkennen. Dies kann jedoch dazu führen, dass sensible oder persönliche Daten eingesehen werden, was die Privatsphäre gefährden kann.

In Wirklichkeit lässt sich der Datenschutz nur durch die Einführung einer wirksamen Datensicherheit erreichen. Ein gut durchdachtes Sicherheitsprogramm, bei dem der Datenschutz im Vordergrund steht, bietet jedem Unternehmen erhebliche Vorteile und minimiert gleichzeitig mögliche Auswirkungen auf den Datenschutz.

Die falsche Vorstellung von „Sicherheit vs. Datenschutz“

Die Ansicht, dass Sicherheit und Datenschutz im Widerspruch stehen, resultiert daraus, dass beide Begriffe nur in ihrer extremsten Auslegung betrachtet werden. In dieser Denkweise wird jeder potenzielle Zugang zu sensiblen Daten als Verletzung der Privatsphäre angesehen, die um jeden Preis vermieden werden muss. Dies hat zur Folge, dass Sicherheitsprogramme in ihrer Fähigkeit, potenzielle Bedrohungen zu erkennen und zu bekämpfen, stark eingeschränkt sind.

Betrachten wir als Beispiel etwa die Analyse des Netzwerk-Traffics. Die Paketüberprüfung ist ein unschätzbares Werkzeug für das Cybersicherheitsprogramm eines Unternehmens. Firewalls sind eine weitverbreitete Form der Paketüberprüfung, und das Fehlen einer Firewall würde in einer Reihe von Ländern weltweit als Verstoß gegen angemessene Sicherheitsmaßnahmen angesehen, die durch Gesetze und Vorschriften vorgeschrieben sind. Durch einen Blick in die Nutzlast eines Netzwerkpakets ist es möglich, versuchte Schadsoftware-Infektionen, Datenexfiltration, Kontoübernahme und andere Bedrohungen zu identifizieren.

Unter dem Gesichtspunkt des Datenschutzes kann die Paketüberprüfung jedoch problematisch sein, wenn ein Paket personenbezogene Daten (PII) oder andere sensible Daten enthält. Unter dem Gesichtspunkt des absoluten Schutzes der Privatsphäre scheint eine Ende-zu-Ende-Verschlüsselung ohne Paketüberprüfung vorzuziehen zu sein.

Oberflächlich betrachtet scheinen diese beiden Perspektiven – die Gewährleistung der notwendigen Sicherheit und die Wahrung der Privatsphäre persönlicher Daten – unvereinbar. Die Aufsichtsbehörden haben jedoch auch deutlich gemacht, dass die Gewährleistung einer angemessenen Sicherheit für den Schutz des Datenschutzes essenziell ist. Man muss sich nur eine beliebige Anzahl von Verfahren zur Durchsetzung der Datenschutzvorschriften gegen von Datenverstößen betroffenen Unternehmen ansehen, um dies zu erkennen. Wir sind der Meinung, dass die Sicherheits- und Datenschutzverantwortlichen die Kluft zwischen absoluter Sicherheit und absolutem Datenschutz überbrücken können. Hierfür benötigt man jedoch eine völlig andere Sichtweise auf Datenschutz und Sicherheit.

Was sind die Risiken?

Das Risikomanagement ist ein wichtiges Grundprinzip sowohl in Programmen für Datensicherheit und jenen für Datenschutz. Um die Ziele beider Programme zu vereinen, müssen die potenziellen Risiken für die Daten eines Unternehmens betrachtet werden.

Für jede Organisation, die personenbezogene Daten verarbeitet, ist es von größter Bedeutung, dass diese Daten sicher und vertraulich behandelt werden. Eine der größten Sorgen für Unternehmen im Zusammenhang mit einem Programm für Datensicherheit ist die Möglichkeit, dass Sicherheitslösungen im Rahmen ihrer Aufgaben auf personenbezogene Daten und andere sensible Daten zugreifen können. Diese Tools können E-Mails, Netzwerkpakete oder Dateien auf Anzeichen für bösartige Inhalte überprüfen.

Das andere Hauptrisiko für Unternehmens- und Kundendaten besteht darin, dass ein Cyberkrimineller auf sie zugreifen könnte. Moderne Ransomware stiehlt beispielsweise sensible Daten und gibt sie preis, wenn ein Unternehmen das Lösegeld nicht zahlt. Selbst wenn das Lösegeld bezahlt wird, gibt es keine Garantie dafür, dass die Daten gelöscht werden und nicht offengelegt werden.

Es ist unmöglich, diese beiden Risiken zu vermeiden. Ein wirksames Sicherheitsprogramm benötigt Zugang zu Daten, und ineffektive Sicherheitsmaßnahmen sorgt praktisch zwangsläufig dafür, dass es zu einem Datenverstoß kommt.

Eine datenschutzfreundliche Sicherheitsperspektive erarbeiten

Wenn Sicherheitslösungen unter Berücksichtigung des Datenschutzes entwickelt werden, können Unternehmen unserer Erfahrung nach zuverlässige Sicherheitsvorkehrungen treffen und gleichzeitig die persönlichen Daten ihrer Kunden und Mitarbeitenden schützen. Und wir wissen, dass bei einer Kosten-Nutzen-Analyse die potenziellen Vorteile eines datenschutzfreundlichen Sicherheitsansatzes enorm sind.

Zum Beispiel kann das Blockieren von Schadsoftware, bevor sie die Systeme eines Unternehmens erreicht, eine Datenschutzverletzung verhindern. Bei einem durchschnittlichen Preis von 4,45 Millionen Dollar im Jahr 2023 – ganz zu schweigen von der Markenreputation und den rechtlichen Auswirkungen – ist es für das Unternehmen essenziell, jeden möglichen Datenverstoß im Keim zu ersticken. Es steht also außer Frage, dass branchenführende Sicherheitsmaßnahmen unbedingt erforderlich sind. Ein seriöses Sicherheitsunternehmen sollte Lösungen anbieten, die den Zugang zu sensiblen Daten minimieren und die ihm anvertrauten personenbezogenen Daten schützen.

Als Chief Privacy Officer bei Cloudflare ist es ein wichtiger Teil meiner Arbeit und der Diskussionen mit unserem CISO, herauszufinden, wie man Sicherheitslösungen entwickelt und implementiert, bei denen der Datenschutz im Vordergrund steht. Vor einigen Jahren wurden wir Kunde von Area 1, weil wir wussten, dass eine Lösung zur präventiven Prüfung und Sicherung unseres E-Mail-Traffics unabdingbar war. Als CPO war ich zunächst besorgt darüber, dass eine Technologie den E-Mail-Verkehr in unserem Unternehmen scannen könnte. Als wir jedoch mehr über die Funktionsweise der Lösung und die Datenschutzmaßnahmen erfuhren, erkannten wir, dass die Art und Weise, wie Area 1 mit den Daten umgeht, die Sicherheitsrisiken erheblich reduziert und gleichzeitig die potenziellen Vorteile maximiert, und zwar auf eine Weise, bei der der Datenschutz im Vordergrund steht. Tatsächlich waren wir von dem Produkt so beeindruckt, dass wir es nicht nur nutzen, sondern das Unternehmen übernommen haben und es nun ein zentrales Angebot der Zero Trust-Produktsuite von Cloudflare ist.

Entwurf eines datenschutzfreundlichen Sicherheitsprogramms

Datenschutz und Sicherheit müssen nicht unbedingt im Widerspruch zueinander stehen. Ein Sicherheitsprogramm, bei dem der Datenschutz im Vordergrund steht, bewertet die Risiken, die sich aus der Implementierung von Sicherheitsmaßnahmen und der Unterlassung dieser Maßnahmen ergeben. Wenn die Vorteile der Implementierung einer Sicherheitslösung, z. B. das Scannen von E-Mails, überwiegen (was mit Sicherheit der Fall sein wird), dann sollte das Unternehmen diese Funktion mit Sorgfalt einsetzen.

Bei der Bewertung, ob ein Sicherheitstool die Datensicherheit und den Schutz der Privatsphäre fördert, sind einige wichtige Fragen zu stellen:

• Bietet es klare Vorteile? Die potenziellen Datenschutzrisiken einer Sicherheitslösung sind nur dann akzeptabel, wenn sie auch das Risiko einer Datenschutzverletzung verringern.

• Wird der Zugang zu persönlichen Daten minimiert? Eine Sicherheitslösung sollte die Menge der potenziell sensiblen Daten, auf die sie zugreift und die sie verarbeitet, auf ein Minimum reduzieren.

• Räumt das Unternehmen der Sicherheit Priorität ein? Prüfen Sie, wie das Unternehmen mit früheren Sicherheitsvorfällen umgegangen ist und welche Prioritäten es bei seinen Investments in Sicherheit gesetzt hat.

• Erfüllt sie die gesetzlichen Anforderungen? Überprüfen Sie, ob das Unternehmen über datenschutzrelevante Zertifizierungen wie ISO 27701 und ISO 27018 verfügt, nach dem EU-U.S. Data Privacy Framework zertifiziert ist und/oder den EU Cloud Code of Conduct erfüllt. Wenn ein Unternehmen diese Zertifizierungen zusätzlich zu den Standard-Sicherheitszertifizierungen wie PCI DSS, ISO 27001 und SOC 2 Typ II vorweisen kann, ist dies ein hervorragendes Zeichen dafür, dass der Anbieter in Sachen Datenschutz und Sicherheit noch einen Schritt weiter geht.

Die Bewertung all dieser Kriterien für die mehr als 60 Sicherheitstools, die ein durchschnittliches Unternehmen einsetzt, kann äußerst mühsam und aufwändig sein. Dies ist ein weiteres wichtiges Argument für die Konsolidierung von Sicherheitsanbietern. Eine eingehende Prüfung eines einzelnen Anbieters mit einer breiten Palette von Funktionen ist einfacher als eine oberflächliche Bewertung von einzelnen Sicherheitsprodukten.

Datenschutzorientierte Sicherheit mit Cloudflare

Cloudflare ist seit langem ein Verfechter der Sicherheit, bei der der Datenschutz an erster Stelle steht – der Trust Hub beschreibt die Anstrengungen, die unternommen wurden, um die Datenschutz- und Sicherheitsanforderungen aller wichtigen Datenschutzvorschriften zu erfüllen oder zu übertreffen.

Der Fokus, den Cloudflare auf den Datenschutz legt, zeigt sich auch im Kern unserer Lösungen, die darauf ausgelegt sind, den Zugang zu persönlichen Daten zu minimieren und gleichzeitig eine hohe Sicherheit zu gewährleisten. Eine wichtige Voraussetzung dafür ist das Ausmaß des Cloudflare-Netzwerks. Da 20 % aller Internetwebsites von Cloudflare geschützt werden, durchläuft ein beträchtlicher Teil des Internet-Traffics durch die Systeme von Cloudflare und fließt in die Bedrohungsdaten von Cloudflare ein, ohne dass die Privatsphäre der Endnutzende der Kunden gefährdet wird.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Vertiefung des Themas:

Erfahren Sie mehr über den Cloudflare-Ansatz für datenschutzorientierte Sicherheit in der Kurzdarstellung „Datenschutz mit Cloudflare One“.

Autor

Emily Hancock - @emilyhancock
Chief Privacy Officer, Cloudflare

Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

• So hängen Datenschutz und Datensicherheit zusammen

• Wie man die Datenschutzrisiken von Sicherheitsinvestitionen abschätzen kann

• Worauf ist bei einem datenschutzfreundlichen Sicherheitsprodukt zu achten?

Verwandte Ressourcen:

• Wie ich lernte, Compliance zu lieben

• Wie Sie die Herausforderungen bei der Datenhoheit überwinden

• Kurzdarstellung: Datenschutz mit Cloudflare One

• Infografik: Auswirkungen von modernem Programmieren, KI und der Cloud auf die Datenschutzstrategie