Bild: CC0 - pixabay.com
Bild: CC0 - pixabay.com

Gastartikel – Robert Korherr, ProSoft

DSGVO & Co.: Wer nicht verschlüsselt, ist selber schuld

Nichts erfreut Hacker und Datendiebe mehr als der Zugriff auf unverschlüsselte, völlig offen abgespeicherte Unternehmensdaten. Die Verschlüsselung von Datenträgern zählt deshalb zu den wichtigsten Grundschutz-Maßnahmen innerhalb der IT und ist im professionellen Segment eigentlich kaum verzichtbar. Dies gilt nicht nur für transportable Speichermedien wie USB-Sticks, sondern in erster Linie natürlich auch für die in Desktop-PCs und Notebooks verbauten Festplatten.

Neben praktischen Gründen spielen hier auch Compliance-Aspekte eine entscheidende Rolle. So stellt beispielsweise die 2018 in Kraft tretende Datenschutzgrundverordnung (DSGVO) klare Anforderungen an den Schutz personenbezogener Daten, deren Umsetzung ohne eine sichere Verschlüsselung kaum vorstellbar erscheint.

So ist beispielsweise in Artikel 32 der DSGVO im Rahmen der "geeigneten technischen und organisatorischen Maßnahmen" nicht nur die Verschlüsselung entsprechender Daten gefordert, sondern es lassen sich daraus auch Anforderungen an ein zentrales Management ableiten. Artikel 30 der Verordnung sieht ein detailliertes Verarbeitungsverzeichnis vor und Artikel 33 beschäftigt sich unter anderem mit der Dokumentation von Maßnahmen, die zum Schutz personenbezogener Daten ergriffen werden – auch, um die Folgen möglicher Datenlecks abzumildern.

BitLocker: Standard-Lösung in der Windows-Welt

Auch wenn natürlich Konkurrenzprodukte am Markt erhältlich sind: Wer heute "Festplattenverschlüsselung" sagt, meint damit zumindest in der Windows-Welt in aller Regel Microsoft BitLocker. Das Tool, das in aktuellen Windows Professional- und Enterprise-Lizenzen bereits integriert ist, ist de facto längst zum Standard geworden – Tendenz weiter steigend. BitLocker basiert auf der Trusted-Computing-Technologie und gilt durch die Verschlüsselung nach dem bewährten AES-Standard (Advanced Encryption Standard) mit 128 oder 256 Bit Schlüssellänge als sicher.

Einer der wesentlichen Vorteile von BitLocker: Die Lösung ist kostenfrei in vielen neuen Windows-Versionen enthalten, was bei Budgetverantwortlichen für große Freude sorgen dürfte. Eigentlich sollte man also meinen, dass nichts gegen eine Nutzung spricht und jeder professionelle Anwender die Möglichkeit ergreift, seine Daten effektiv zu schützen. Umso unverständlicher ist es, dass selbst viele Unternehmen diese Chance nach wie vor ungenützt verstreichen lassen. Dabei sind weit komplexere und deutlich teurere IT-Security-Maßnahmen letztlich fast wirkungslos, wenn parallel auf einen absoluten Basis-Baustein wie die Festplattenverschlüsselung verzichtet wird.

Doch natürlich ist auch bei BitLocker nicht alles Gold, was glänzt. Während die eigentliche Festplattenverschlüsselung ihren Dienst tadellos verrichtet, darf nicht verschwiegen werden, dass die bordeigenen Verwaltungs- und Managementfunktionen der Lösung eher überschaubar sind. Dies stellt speziell Firmen, die mehr als eine Handvoll Rechner verschlüsseln möchten, vor Probleme und erhöht den Administrationsaufwand deutlich. Doch die Rettung naht: Am Markt sind mittlerweile ausgereifte BitLocker-Management-Lösungen von Drittanbietern wie BitTruster verfügbar, die auf BitLocker aufbauen und die Festplattenverschlüsselung um die geforderten Management- und Verwaltungs-Funktionen ergänzen.

DSGVO: Festplattenverschlüsselung braucht zentrale Dokumentation!

Eine Lösung für das BitLocker-Management wie BitTruster hilft dabei, den Anforderungen der EU-DSGVO nachzukommen. Sie ist darauf ausgelegt, ein umfassendes Compliance-Reporting zur Festplattenverschlüsselung mit BitLocker bereitzustellen. Klar und eindeutig dokumentiert werden dabei etwa die Standards, die bei der Speicherung, Archivierung, Verschlüsselung und Wiederherstellung von Daten eingehalten werden. Gleichzeitig steht in Form eines Dashboards ein umfangreicher Live-Sicherheitsstatus des gesamten Netzwerks zur Verfügung. Möglicherweise ungeschützte Rechner lassen sich dadurch problemlos identifizieren und auch der Verschlüsselungsstatus aller Rechner ist ersichtlich.

Über das Compliance-Monitoring und -Reporting lassen sich zum Beispiel im Fall einer vermeintlichen Datenpanne nachweisen, dass die entsprechenden Clients sicher verschlüsselt waren. Im Rahmen der EU-DSGVO kann dies den Unterschied zwischen einer empfindlichen, möglicherweise unternehmensbedrohenden Geldbuße und einem problemlosen Ausgang ausmachen.

Robert Korherr ist CEO der ProSoft GmbH.

Übrigens: Mehr Informationen gibt es auch in einem Webinar am 29. Mai. Erfahren Sie in 30 Minuten alles über das BitLocker-Management mit BitTruster.

Mehr Artikel zum Thema: Security EU-DSGVO

Schwache Passwörter als großes Sicherheitsrisiko

Exotische und komplexe Angriffsszenarien kommen vor und man...

Weiterlesen

85% verpassen DSGVO-Deadline

Obwohl die Regulierung in einer Woche anwendbar wird,...

Weiterlesen

nic.at beschränkt Whois-Abfragen

In Hinblick auf die DSGVO hat die Domain-Registry nic.at...

Weiterlesen

Mehr Angriffe auf Finanzsektor

NTT Security, das auf Sicherheit spezialisierte Unternehmen...

Weiterlesen

Wie funktionieren Endpoint-Attacken?

Ein besseres Verständnis über die verschiedenen Schritte...

Weiterlesen

Mit Neuronen auf Cybergangsterjagd

In der Cybersicherheits-Branche wird der Begriff "Machine...

Weiterlesen

WP: Schwachstellen automatisch erkennen & patchen

Spätestens seit WannaCry und NotPetya hat sich die...

Weiterlesen

Zu viele Angriffspunkte? Veraltete Systeme?

Umfassende Security ist eine große Herausforderung. Dennoch...

Weiterlesen

Kein Freibrief für Datenschutzverstöße

Wir haben den Rechtsanwalt Gerald Ganzger gefragt, welche...

Weiterlesen

DSGVO: Ein zahnloser Löwe?

Knapp einen Monat vor dem Stichtag der EU-DSGVO am 25. Mai...

Weiterlesen

DSAG löst Datenschutz-Fragezeichen

Es soll immer noch Unternehmen geben, die im freien Fall auf...

Weiterlesen

"Das ist ein Wahnsinn"

"Wir brauchen drei bis sechs Monate, um gute Leute auf...

Weiterlesen

Sicherheitsrisiko Führungskraft

NTT Security, das "Security Center of Excellence" der NTT...

Weiterlesen

Was bedeutet KI für Cybersecurity?

Künstliche Intelligenz und Machine Learning liegen auch im...

Weiterlesen

Aus Security-Sicht ein Horror

Die Ergebnisse des jährlichen Breach Level Index von Gemalto...

Weiterlesen

Datenschutz bei der DSAG

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) macht auch vor...

Weiterlesen

EU-DSGVO: Was ist noch machbar?

Die neue Datenschutz-Grundverordnung der EU steht...

Weiterlesen

ESET: Suhl neuer Country Manager DACH

Holger Suhl übernimmt ab sofort die Position des Country...

Weiterlesen

IT-Sicherheit: Resignation ist unangebracht

Je besser ein Hausbesitzer Fenster und Türen absichert,...

Weiterlesen