Tipps zur Europäischen Datenschutz-Grundverordnung (EU-DSGVO) So gelingt die Umstellung auf die neue Datenschutzverordnung

RUTRONIK Elektronische Bauelemente GmbH

Der Distributor Rutronik hat ein eigenes EU-DSGVO-Kompetenzteam gegründet, um den Informationsbedarf von Entwicklern und Einkäufern zu erfüllen.

Bild: iStock, StockstudioX
10.10.2017

Schon in einem guten halben Jahr kommt die Europäische Datenschutz-Grundverordnung zur Anwendung. Unternehmen haben derzeit alle Hände voll zu tun, sich durch die Verordnung zu schlagen – sollte man zumindest meinen.

Sponsored Content

Bis zum Stichtag 25. Mai 2018 müssen praktisch alle Unternehmen, die personenbezogene Daten verarbeiten, umfangreiche Maßnahmen zum Schutz dieser Daten umgesetzt haben. Das legt die Europäische Datenschutz-Grundverordnung (EU-DSGVO) fest. Verbunden mit diesen bislang schärfsten Datenschutzverordnungen sind bei Missachtung hohe Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes des Unternehmens.

Nur wenige Unternehmen beschäftigen sich mit EU-Datenschutzverordnung

Trotzdem zeigen mehrere Studien, dass sich viele Firmen nicht mit dem Thema beschäftigen. Ein Jahr vor Ablauf der Frist waren das laut einer Bitkom-Umfrage rund 20 Prozent. Nur ein Drittel der befragten Unternehmen hatte schon erste Maßnahmen ergriffen oder umgesetzt. Auch bei einer Befragung der Non-Profit-Organisation AIIM (Association for Information and Image Management) unter ihren Mitgliedern, gaben gerade einmal 32 Prozent an, bereits EU-DSGVO-Projekte durchzuführen. Über die Hälfte war noch in der Planung oder dachte erst darüber nach, sechs Prozent hatten noch gar nichts unternommen.

Immerhin sechs Prozent sahen sich schon vollständig vorbereitet. Doch diese Einschätzung ist mit Vorsicht zu genießen: Bei einer Studie im Auftrag des Softwareunternehmens Veritas unter weltweit 900 Unternehmen mit Geschäftsbeziehungen im EU-Raum, behaupteten gut 30 Prozent, die Anforderungen der EU-DSGVO bereits zu erfüllen. Nach konkreten Forderungen der Verordnung befragt – etwa ob das Unternehmen Einsicht in alle Vorfälle hat, bei denen personenbezogene Daten verloren gehen könnten – mussten jedoch viele passen.

Auch wenn die Zahlen variieren, ist der Trend klar erkennbar: Die meisten Unternehmen scheuen den – doch erheblichen – Aufwand oder unterschätzen die enormen Auswirkungen der EU-DSGVO. Sie ziehen sich durch das gesamte Unternehmen, viele Prozesse müssen anders gestaltet, Firmenrichtlinien umgeschrieben, neue Stellen geschaffen und Mitarbeiter aus IT, Personal und Qualität geschult werden. Auch die Kernabteilungen – allen voran Hardware- und Softwareentwickler, Produktmanager, Einkäufer und Portfoliomanager – sind von der Verordnung betroffen. Für sie sind vor allem die Artikel 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ und 32 „Sicherheit der Datenverarbeitung“ maßgeblich.

Welche Verschlüsselung ist notwendig?

Eine der hier vorgeschriebenen Maßnahmen ist die Verschlüsselung der personenbezogenen Daten. Dabei sind der Stand der Technik, die Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos in Betracht zu ziehen. Das wirft viele Fragen auf. Geklärt werden muss zum Beispiel, welche Daten indirekt als personenbezogen gelten, ob stets eine asymmetrische Verschlüsselung mit RSA zum Einsatz kommen muss oder ob auch ein erheblich schnelleres AES-Verfahren genügt und bei welchen Anwendungen ECC oder das hybride SSL/TLS-Verfahren eine juristisch ausreichende Variante ist. Auch was „Stand der Technik“ im Detail bedeutet, müssen Unternehmen klären.

Mit der Verschlüsselung ist es aber noch längst nicht getan. Unternehmen müssen auch dafür Sorge tragen, dass ihre Datenverarbeitung „auf Dauer“ sichergestellt ist. Eine Möglichkeit, das zu erfüllen, wäre die Verwendung eines Raid-Verbundes oder von langlebigeren SLC-Speicherzellen anstelle von – zwar günstigeren, aber schneller alternden – MLC- oder TLC-Modellen.

Zudem müssen Unternehmen die Verfügbarkeit ihrer Datensysteme sicherstellen. Dafür sollten sich Firmen überlegen, ob jeder Computer, auf dem personenbezogene Daten gespeichert sind, mit einem redundanten Netzteil abgesichert oder ob eine unterbrechungsfreie Stromversorgung durch einen Stützakku gewährleistet werden muss. Auch ob der Überspannungsschutz höher auszulegen ist, sollten sie klären.

EU-DSGVO-Kompetenzteam gibt Antworten

Um den Informationsbedarf von Entwicklern und Einkäufern kompetent zu erfüllen, hat der Distributor Rutronik ein eigenes EU-DSGVO-Kompetenzteam gegründet. In diesem arbeiten Fachleute aus den Produktbereichen Speichermedien, Funkkommunikation, Embedded-Boards, Embedded-Systeme, Security-Bausteine, Mikrocontroller, Displays und Sensorik abteilungsübergreifend zusammen.

Welches Funkprotokoll für die jeweilige Anwendung die größte Sicherheit bietet – geheim gehaltene proprietäre Funkprotokolle mit Rolling-Code-Verfahren oder standardisierte Funkprotokolle mit einer großen Entwicklergemeinschaft – beantworten die Rutronik-Funkexperten. Mit welchen technischen Mechanismen sich Schadcode gleich beim Bootvorgang entlarven lässt, wissen die Embedded-Spezialisten. Dabei zeigen sie auch alle Aspekte und Grenzen des Machbaren auf, wie beispielsweise die Gefahr eines gekidnappten Lautsprechers, da Tracking-Attacken mit Hilfe der Ultrasonic-Beaconing-Technologie durch Dritte noch nicht so bekannt sind wie der Gerätemissbrauch für Distributed-Denial-of-Service-Attacken (DDoS).

Der Beratungsservice steht jedem Bauteile-Kunden von Rutronik zur Verfügung. Zudem verstärkt das Kompetenzteam den Vertrieb bei Kundenterminen, in denen das Thema Sicherheit eine Rolle spielt. Als erste Ergebnisse hat das Team bereits komplette Systemkonzepte entwickelt, mit denen Unternehmen der EU-DSGVO gerecht werden können. Sie lassen sich relativ schnell an die individuellen Anforderungen und Bedrohungsszenarien anpassen.

Beratung zu den Sicherheitsaspekten einzelner Komponenten

Dass ein Sicherheitskonzept alle Aspekte der jeweiligen Anwendung umfasst, ist entscheidend. Denn wie bei einer Kette ist die Sicherheit elektronischer Systeme immer nur so stark wie das schwächste Glied. Dadurch entstehen komplexe Lösungen, die häufig voneinander abhängen und in Wechselwirkung stehen. Für die Entwicklung solcher Konzepte ist Rutronik in einer besonders vorteilhaften Position: Als Broadliner deckt der Distributor alle Produktbereiche ab, sodass alle Systemkomponenten berücksichtigt und aufeinander abgestimmt werden können.

Die juristische Haftbarkeit kann den Herstellern von Geräten zwar nicht abgenommen werden, eine fundierte und umfassende Beratung zu den Sicherheitsaspekten der verschiedenen Komponenten sind jedoch bereits die halbe Miete. Ergänzend zu dieser persönlichen Beratung arbeiten die Sicherheitsexperten von Rutronik derzeit an einem umfassenden Kompetenzbuch. Es beleuchtet nicht nur allgemeines Grundlagenwissen, sondern auch genau konkrete Produkte und macht sicherheitsrelevante Unterscheidungen sichtbar. Die Kernthemen dieses „Whitepapers on how to make state of the art electronic design“ sind zwar hauptsächlich die Datenübermittlung, -speicherung und –verarbeitung, es befasst sich aber auch konkret mit Anwendungsfälle wie Spionage und Identitätsdiebstahl.

PIN-Codes und Passwörter allein schützen Daten nicht ausreichend

Denn Gerätehersteller müssen bereits weiter denken und auch Themen wie das Social Engineering berücksichtigen. Dabei nutzen Betrüger das häufig am einfachsten zu knackende Teil der Sicherheitskette aus: den Menschen. Zum Beispiel werden Mitarbeiter unter Vorspiegelung falscher Identitäten und Tatsachen dazu bewogen, vertrauliche Daten oder Passwörter an Unbefugte weiter zu geben. Dagegen reichen Maßnahmen wie PIN-Codes oder Passwörter nicht aus; biometrische Sensoren können Social Engineering dagegen wirksam verhindern. Auch Displays mit besonders kleinem Blickwinkel, wie sie etwa bei Bankautomaten eingesetzt werden, können das Ausspähen personenbezogener Daten bei vielen Anwendungen erschweren.

Brisant wird das Thema Sicherheit vor allem durch die Integration von Netzwerkfähigkeit, denn mit jeder Verknüpfungsebene steigt das Risiko überproportional an. Weitere Gefährdungen kommen hinzu, wenn Kernfunktionalität in die Cloud übertragen werden, da damit der Schutz durch die physische Trennung von Geräten aufgehoben wird. Hier gilt es unbedingt Vorkehrungen zu treffen, um zu verhindern, dass ein Gerät als Waffe missbraucht oder für DDoS-Attacken von Dritten zweckentfremdet wird.

Daten schützen und Skandale vermeiden

Wie aufwändig die Umsetzung der EU-DSGVO auch scheinen mag - der Weg durch den Dschungel lohnt sich. Denn jedes Unternehmen sollte ein ureigenes Interesse daran haben, seine eigenen Daten und die seiner Kunden zu schützen. Nur so lassen sich Skandale vermeiden, die nicht nur einen Imageschaden nach sich ziehen, sondern meist auch erhebliche wirtschaftliche Verluste.

Firmen zu diesem Artikel
Verwandte Artikel