In vielen Ländern verlangen Vorschriften, dass Unternehmen Web-Datenverkehr, der sensible Kundendaten enthalten könnte, sichern und verschlüsseln. Dies hat jedoch für die betroffenen Unternehmen den Nachteil, dass sie sich nun mit Bedrohungen auseinandersetzen müssen, die im verschlüsselten Datenverkehr versteckt sind.
Gesetze und Vorschriften zur Verschlüsselung in den USA und weltweit
Kryptographie zum Verbergen geheimer Mitteilungen nutzen Menschen schon sehr lange. Die Verwendung von Codes und Chiffren zum Schutz vertraulicher Informationen begann schon vor Tausenden von Jahren. Die bekannte Caesar-Verschlüsselung ist nach Julius Caesar benannt, der eine Verschiebechiffre nutzte, um geheime militärische Nachrichten zu übermitteln. In den frühen 1970er Jahren hat IBM Kryptographie in seine Geschäftsabläufe integriert und eine Blockverschlüsselung zum Schutz der Kundendaten entwickelt. 1976 haben die Vereinigten Staaten den DES-Verschlüsselungsstandard (Data Encryption Standard) als nationale Norm eingeführt.
In den frühen 1990er Jahren hielt das Internet im geschäftlichen Bereich Einzug, und es wurde nötig, Daten zu verschlüsseln. Netscape entwickelte 1994 das Secure Sockets Layer (SSL)-Protokoll, um die Kommunikation zwischen Clients und Servern im Internet zu sichern. Im Laufe der Jahre hat SSL – und sein jüngster Nachfolger namens Transport Layer Security (TLS) – zahlreiche Verbesserungen und eine breite Akzeptanz erfahren. Heute sind laut F5 Labs nahezu 90 Prozent des Web-Datenverkehrs verschlüsselt.
Während ein Teil der Datenübertragungsverschlüsselung (SSL/TLS) im Wunsch von Unternehmen nach Sicherheit und Datenschutz begründet ist, lässt sich sehr viel davon auf Gesetze und Vorschriften zur Verschlüsselung oder verbindliche Compliance-Standards zurückführen.
Die Verletzung US-amerikanischer Datenschutzbestimmungen kann saftige Geldstrafen zur Folge haben – und potentiell auch Gefängnisstrafen.
US-Gesetze und Vorschriften zur Verschlüsselung
Je nach Datenart unterliegt der Datenschutz von in den USA ansässigen Personen verschiedenen Gesetzen oder Vertragspflichten. Die Bundesgesetze zielen in erster Linie auf bestimmte Sektoren wie das Finanz- oder Gesundheitswesen ab. Bei den einzelstaatlichen Gesetzen geht es hauptsächlich um den Schutz der personenbezogenen Daten einzelner Verbraucher. Branchenspezifische Schutzrahmen wie PCI schreiben die genauen Maßnahmen vor, die zum Schutz von Kreditkartendaten erforderlich sind.
Die meisten Datenschutzbestimmungen der US-Bundesstaaten beschäftigen sich nur mit den Folgen einer Verletzung personenbezogener Daten. Üblicherweise legen Sie nicht fest, wie diese Daten überhaupt zu schützen sind. In jedem Fall kann eine Datenschutzverletzung hohe Geldstrafen zur Folge haben – und potentiell auch Gefängnisstrafen. Das kalifornische Verbraucher-Datenschutzgesetz (Consumer Privacy Act) von 2018 ist im Januar 2020 in Kraft getreten. Die Rechte des einzelnen Bürgers werden dadurch erheblich erweitert. Ebenso sieht das US-Bundesgesetz für die Gesundheitsbranche, HIPAA, Geldstrafen vor, die auf der Anzahl der Patienten basieren, deren Datensicherheit beeinträchtigt wurde. Diese Geldstrafen werden in zwei Kategorien eingeteilt: Bei einer „angemessenen Ursache“ fallen niedrigere Geldstrafen an (zwischen 100–50.000 $) und keine Gefängnisstrafen. Eine „vorsätzliche Vernachlässigung“ hat hingegen höhere Geldstrafen (10.000–50.000 $) und potentielle Gefängnisstrafen und Strafanzeigen zur Folge.
Mehrere Unternehmen und Einrichtungen halten Netzwerksicherheitsrichtlinien für TLS ein. Die vier verbreitetsten sind:
• Der Health Insurance Portability and Accountability Act (HIPAA)
• Die SP 800-52r1 Richtlinien des NIST
• Der Datensicherheitsstandard der Zahlungskartenindustrie (PCI DSS)
In Europa verlangt die DSGVO eine Verschlüsselung mit aktueller Technologie, daher ist nur TLS 1.2 oder höher akzeptabel.
Europäische DSGVO und Verschlüsselung
In Europa ist die Datenschutz-Grundverordnung (DSGVO) ein weitreichendes Gesetz zum Schutz der privaten Daten europäischer Bürger. Es schreibt vor, dass regulierte Informationen durch „geeignete technische und organisatorische Maßnahmen“ zu schützen sind. Dazu gehören die Verschlüsselung personenbezogener Daten und die Fähigkeit, die fortwährende Vertraulichkeit von Systemen und Diensten zu gewährleisten. Die DSGVO definiert personenbezogene Daten als beliebige persönlich identifizierbare Informationen, persönliche Gesundheitsdaten, Informationen zur Internetnutzung und eine Reihe persönlicher Merkmale wie Rasse, sexuelle Orientierung und politische Ansichten.
Ein Verstoß gegen die DSGVO kann ein teurer Fehler sein. Die niedrigeren Bußgelder können bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes des jeweiligen Unternehmens im vergangenen Geschäftsjahr betragen. Höhere Bußgelder können sich auf bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr belaufen, je nachdem, welcher Betrag höher ist. Die DSGVO erfordert eine Verschlüsselung mit modernster Technologie, sodass nur TLS 1.2 oder höher akzeptabel ist. Wird dieses Mindestmaß an Sicherheit nicht gewährleistet, ist die Kommunikationssicherheit aller Beteiligten gefährdet.
Das GDPR definiert „personenbezogene Daten“ als jegliche der folgenden Informationen:
PII
Persönlich identifizierbare Informationen wie Namen, Kennnummern, Standortdaten oder Online-Kennungen oder für die physische, physiologische, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität der jeweiligen Person spezifische Faktoren.
PHI
Persönliche Gesundheitsdaten
Informationen zur Internetnutzung
Personenbezogene Daten, die bei Web-Transaktionen gesammelt wurden, wie z.B. Cookies und Werbetracker.
Persönliche Merkmale
Rasse, sexuelle Orientierung und politische Ansichten.
Im asiatisch-pazifischen Raum schützt das japanische Gesetz zum Schutz personenbezogener Daten (Personal Information Protection Act) die Rechte des Individuums in Bezug auf seine persönlichen Daten. Die Definition personenbezogener Daten ist so weit gefasst, dass sie sogar für Informationen gilt, die man in einem öffentlichen Verzeichnis finden könnte. Es besagt, dass Sie den Zweck der von Ihnen gesammelten persönlichen Daten möglichst genau beschreiben müssen und dass Sie vor der Weitergabe der persönlichen Daten an Dritte (z. B. an einen E-Mail-Newsletter-Dienst) eine Einwilligung einholen müssen. Es gibt in Japan jedoch keine speziellen Gesetze oder Richtlinien zur Verschlüsselung, die sich mit einem allgemeinen Recht auf Verschlüsselung befassen.
Das südkoreanische Gesetz über die Förderung der Nutzung von Informations- und Kommunikationsnetzwerken und den Datenschutz (Act on Promotion of Information and Communications Network Utilization and Data Protection) besagt, dass alle Anbieter von Informations- und Kommunikationsdiensten die Zustimmung der Benutzer einholen müssen, bevor sie deren personenbezogene Daten sammeln können. Für eine gültige Einwilligung müssen Sie dem Benutzer bestimmte Informationen vorlegen, einschließlich Ihres Namens und Ihrer Kontaktdaten, des Zwecks der Datenerhebung und der Rechte der Benutzer an ihren eigenen Daten.
Während es in China keine Gesetze oder Vorschriften mit globalen Auswirkungen gibt, die den Einsatz von SSL/TLS zur Verschlüsselung des Web-Datenverkehrs verlangen, hat China die Verwendung von TLS 1.3 durch technische Kontrollen (die sogenannte Great Firewall) blockiert. Im Gegensatz zu den oben aufgeführten Gesetzen und Vorschriften, die auf ein Mindestmaß an Sicherheit bei der Verschlüsselung von übertragenen Daten abzielen, untergräbt Chinas Vorgehen im Wesentlichen das Potenzial für eine geschütztere Privatsphäre der Benutzer im Interesse der Zensurmöglichkeiten der eigenen Regierung.
In Japan müssen Sie den Zweck der von Ihnen gesammelten personenbezogenen Daten beschreiben und eine vorherige Zustimmung zur Weitergabe dieser Daten an Dritte einholen.
Alle diese gesetzlichen Bestimmungen und Anforderungen bedeuten, dass Unternehmen beim Schutz vertraulicher Daten von Einzelpersonen gebührende Sorgfalt walten lassen müssen. Das ist die gute Nachricht, da Verschlüsselung eine Endpunkt-Authentifizierung ermöglicht und die Daten vor den unterschiedlichsten Angriffen wie Abhören, Manipulation und Verfälschungen schützt.
Die schlechte Nachricht? Die Unternehmen müssen sich nunmehr mit Bedrohungen auseinandersetzen, die im verschlüsselten Datenverkehr versteckt sind. Die Verschlüsselung schränkt die Sichtbarkeit des eingehenden Datenverkehrs ein. Angreifer machen sich diesen Sicherheitsschwachpunkt zunutze, indem sie Malware und böswillige Nutzlasten über verschlüsselte Verbindungen versenden. Laut F5 Labs nutzen 71 Prozent der Malware-Websites Verschlüsselungszertifikate für ihre Zwecke, und dies bedeutet, dass die Unternehmen den Datenverkehr entschlüsseln und überprüfen sollten, um sicherzustellen, dass er frei von schädlichen Komponenten ist.
Dies erhöht die mit der Verschlüsselung verbundenen Sicherheitsrisiken und ebenso das Risiko der Nichteinhaltung von Datenschutzbestimmungen. Was sollte ein Unternehmen also in erster Linie im Blick behalten? Den eigenen Schutz vor Malware durch Entschlüsselung und Kontrolle des Datenverkehrs? Oder die Einhaltung von Datenschutzbestimmungen durch ungehindertes Durchlassen des verschlüsselten Datenverkehrs?
Sie können beides tun
Da heute fortschrittliche Sicherheitslösungen verfügbar sind, brauchen Sie sich nicht mehr mit einer „entweder/oder“-Antwort zufrieden zu geben. Die richtlinienbasierte Datenverkehrssteuerung von F5 SSL Orchestrator kann den Datenverkehr entschlüsseln und anhand einer Richtlinienanpassung in Serviceketten lenken. Die kontextbezogene Classification Engine verfügt über eine Vielzahl an Verkehrsselektoren, die bestimmen, welcher Datenverkehr geprüft wird und welcher Verkehr zu umgehen ist. Ihre Sicherheitsdienstkette kann Prüfungstools wie eine NGFW, Data Loss Prevention (DLP), eine Intrusion Prevention System oder Intrusion Detection System (IPS/IDS)-Vorrichtung oder sogar einen http/https-Web-Proxy umfassen.
Mit richtlinienbasierter Datenverkehrssteuerung können Unternehmen festlegen, welche Datenverkehrsarten zu entschlüsseln und zu überprüfen und welche zu umgehen sind.
Auf der Grundlage von Klassifizierungsattributen für den Datenverkehr – URL, Domänenname, Protokoll, Quell-/Zieladresse, Geolokalisierung usw. – ergreift SSL Orchestrator die notwendigen geeigneten Maßnahmen, um diesen Datenverkehr zu entschlüsseln, zu überprüfen und erneut zu verschlüsseln oder ungehindert passieren zu lassen, um den Regulierungsstandards zu entsprechen. Dies bedeutet, dass Unternehmen verschlüsselte Bedrohungen stoppen und gleichzeitig den Datenschutz durch intelligentes Routing, dynamische Serviceketten und Unterstützung von Standards wahren können. SSL Orchestrator schafft ein Gleichgewicht zwischen Sicherheit und Datenschutz in einer einzigen Hochleistungslösung.
F5 SSL Orchestrator stellt eine Komplettlösung dar, die speziell dafür entwickelt wurde, die Infrastruktur eines Unternehmens zu optimieren, Sicherheitsprüfungstools mit Einblick in den SSL/TLS-verschlüsselten Datenverkehr bereitzustellen und eine möglichst effiziente Nutzung vorhandener Sicherheitsinvestitionen zu ermöglichen. Diese Lösung unterstützt die richtlinienbasierte Verwaltung und Steuerung von Datenverkehrsströmen zu vorhandenen Sicherheitseinrichtungen, lässt sich leicht in bestehende Architekturen integrieren und zentralisiert die SSL/TLS-Entschlüsselungs-/Verschlüsselungsfunktion durch Bereitstellung der neuesten TLS-Versionen und -Chiffren in der gesamten Sicherheitsinfrastruktur.
Der Visual Policy Editor (VPE) ermöglicht Administratoren, dem Ablaufdiagramm zu folgen und zu bestimmen, was mit der Ausgabe des jeweiligen einzelnen Elements geschieht, die dann dem Makro des nächsten Elements zugeführt wird.
Datenschutz ist ein wichtiger Teil der Unternehmensstrategie. Für Unternehmen ist es von entscheidender Bedeutung, datenschutzrechtliche Bedenken und entsprechende Vorschriften mit dem Bedarf an Daten und dem Wunsch nach einem maßgeschneiderten Browsererlebnis in Einklang zu bringen. Unternehmen, die dies erfolgreich umsetzen, können die Kundenzufriedenheit verbessern, Vertrauen aufbauen und eine negative Berichterstattung in der Presse und Rechtsverfolgungskosten vermeiden.
F5 SSL Orchestrator kann Ihnen helfen, Datenschutz und Sicherheit in Ihrem Unternehmen effizienter zu gestalten und bietet Funktionsmerkmale, welche die Gesamtbetriebskosten senken, häufig übersehene Sicherheitslücken beseitigen, die Einhaltung von Datenschutzvorschriften gewährleisten und den Leistungsherausforderungen der heutigen verschlüsselten Welt gerecht werden.
Aber Technologie ist nur die halbe Lösung. Die gesetzlichen Bestimmungen zu Datenschutz und Verschlüsselung sind regional unterschiedlich, und Sie müssen wissen, welche davon für Ihr Unternehmen gelten und welche nicht. Da sich die Technologie immer weiterentwickelt, ist es auch wichtig, über Änderungen und Ergänzungen dieser Vorschriften auf dem Laufenden zu bleiben, deren Nichteinhaltung ziemlich kostspielig sein kann – in Bezug sowohl auf Strafzahlungen als auch auf den guten Ruf des Unternehmens. Letztendlich ist es immer besser, auf der sicheren Seite zu sein.
Erfahren Sie mehr über F5 SSL Orchestrator.
ERFAHREN SIE MEHR ÜBER BEDROHUNGEN DURCH VERSCHLÜSSELTEN DATENVERKEHR
