Datensicherheit und Datenschutz
Wir verlagern mehr und mehr unserer alltäglichen Kommunikation und Routinen in den digitalen Raum. Dies hat auch zur Folge, dass wir uns in immer mehr Bereichen um die Sicherheit unserer Daten kümmern müssen. Hierbei gehen wir im Bereich der Datensicherheit immer von einem gezielten Angriff aus (engl. Security) und nicht vom Schutz der Daten vor zufälligen Fehlern oder Ereignissen (engl. Safety).
Gerade im Bereich des eCommerce geht es um den Schutz von personenbezogenen und vertraulichen Kund:innendaten oder die Sicherstellung der Erreichbarkeit von Webseiten und Onlineshops. Hierbei ist es wichtig zu unterscheiden, welche Art der Information wir vor welch einem Angriff schützen wollen und gegen welche Angreifer:innen der Schutz wirksam sein soll. Basierend auf diesen Zielen können wir dann die geeigneten Technologien auswählen. Einen perfekten Schutz gegen jeden möglichen Angriff wird es jedoch nie geben.
Sobald wir vom Schutz von personenbezogenen Daten sprechen, betreten wir die Welt des Datenschutzes. Hierbei steht die zu schützende Person im Mittelpunkt der Aufmerksamkeit und es ist wichtig, einen Überblick über technische und organisatorische Maßnahmen zur Erreichung des Datenschutzes zu haben. Zudem sollte man Bedenken, dass Datenschutz und Datensicherheit, je nachdem, in welcher Situation man sich befindet, komplementär aber auch konkurrierend sein können.
Datensicherheit
Die Grundlage einer jeden Sicherheitsanalyse stellt die Definition der zu schützenden Daten dar. Hierfür werden in der Datensicherheit sogenannte Schutzziele definiert. Im nächsten Schritt folgt die Überlegung gegen welche Angreifer:innen die zu wählenden Schutzmechanismen effektiv sein sollen. Hierbei hilft uns ein Angreifer:innenmodell. In vielen Situationen sind Techniken aus dem Bereich der Verschlüsselung die erste Wahl um digitale Daten zu schützen. Ein Grundmaß an Sicherheit und Vertrauen bieten digitale Zertifikate.
Schutzziele
Insgesamt unterscheidet man 3 grundlegende Schutzziele: Vertraulichkeit (engl. Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability). Unter Vertraulichkeit versteht man den Umstand, dass die zu schützenden Daten ausschließlich berechtigten Personen zugänglich sind. Unter Integrität versteht man den Umstand, dass man feststellen kann, ob die zu schützenden Daten korrekt und vollständig sind, also etwa nicht von Unberechtigten verändert wurden. Unter Verfügbarkeit versteht man, dass allen berechtigten Personen immer und überall auf die zu schützenden Daten zugreifen können. Hierbei kann bereits abgelesen werden, dass die Unterscheidung zwischen berechtigten und nicht-berechtigten Personen eines der wichtigsten Probleme bei der Umsetzung eines Sicherheitskonzepts ist und auch in jedem Onlineshop mit überlegt werden muss. In der Praxis erfolgt diese Unterscheidung meistens in den folgenden drei Schritten: Authentisierung: eine Person belegt, dass es sich bei ihr um eine bestimmte (bekannte) Identität handelt. Authentifizierung: In diesem Schritt wird der Nachweis der Identität überprüft. Autorisierung: Hierbei wird, nach erfolgreicher Authentifizierung, abgerufen, welche Berechtigung die Person bzw. Identität hat.
Angreifer:innenmodell
Wie bereits oben erwähnt, wird kein IT-System jemals unter allen Umständen perfekt sicher gegen jede:n denkbare:n Angreifer:in sein. Zudem sind bei der Investition in Sicherheitsmechanismen auch ökonomische Überlegungen relevant, da man im Idealfall nicht mehr in Maßnahmen der IT-Sicherheit investiert, als man im schlimmsten Fall durch Sicherheitsvorfälle verlieren könnte. Da jedoch die genaue Bezifferung der möglichen Schäden in der Praxis sehr schwer ist, hilft es, sich in einem ersten Schritt Gedanken über mögliche bzw. wahrscheinliche Angreifer:innen zu machen. Hierbei versucht man, Angreifer:innen nach ihren Zielen, ihrem (Vor)Wissen und ihren Fähigkeiten zu unterteilen.
Die Ziele sind üblicherweise das Brechen eines der oben erwähnten Schutzziele: zum Beispiel verletzt das Entwenden von Kund:innendaten das Schutzziel der Vertraulichkeit, das Verändern von zum Beispiel Transaktionen das Schutzziel der Integrität oder Denial-of-Service-Angriffe und das Verschlüsseln von Festplatten das Schutzziel der Verfügbarkeit.
Zu den Fähigkeiten der Angreifer:innen zählen unter anderem die technischen Ressourcen, die ihnen zur Verfügung stehen, aber auch die Zeit, die sie zur Verfügung haben oder ob es sich um eine:n einzelne:n Angreifer:in handelt oder einen verteilten Pool aus miteinander interagierenden Angreifer:innen.
Beim Wissen möglicher Angreifer:innen unterscheidet man, wie viel diese über das verwendete System und die implementierten Gegenmaßnahmen wissen. Bei allen technischen Maßnahmen sollte man sich an Kerckhoffs‘ Prinzip halten und davon ausgehen, dass die Angreifer:innen potentiell alles wissen, z.B. durch Insider-Bedrohungen oder Social Engineering.
Quelle: https://commons.wikimedia.org/wiki/File:Hacker-3342696_1920-1024×788.jpg , Copyright: Creative Commons Zero CC0
Verschlüsselung
Verschlüsselung oder Kryptographie wird hauptsächlich dafür eingesetzt um das Schutzziel der Vertraulichkeit, also das Verbergen von Daten oder Kommunikationsinhalten vor nicht-berechtigten Personen, zu erreichen. Hierbei sind Dinge wie das Verschlüsseln von Festplatten, auf denen Kund:innendaten liegen und die verschlüsselte Kommunikation zwischen den Browsern der Kund:innen und dem Onlineshop wichtige Bereiche im eCommerce. Meistens dient die Länge der verwendeten Schlüssel als Sicherheitsparameter, wobei längere Schlüssel für ein höheres Sicherheitsniveau stehen. Technisch gesehen unterscheidet man Verschlüsselungsverfahren in symmetrische und asymmetrische Verfahren.
Bei symmetrischen Verschlüsselungsverfahren wird der selbe Schlüssel sowohl zum Verschlüsseln als auch zum Entschlüsseln verwendet. Weit verbreitete Vertreter dieser Klasse an Verschlüsselungsverfahren sind der Data Encryption Standard (DES), die verdreifachte Variante davon Triple-DES und der Advanced Encryption Standard (AES). Der Vorteil von symmetrischen Verschlüsselungsverfahren ist es, dass sie mit vergleichsweise kurzen Schlüsseln eine hohe Sicherheit erreichen. Der große Nachteil dieser Verfahren ist allerdings, dass, zum Beispiel beim Schutz von Kommunikationsinhalten, der Schlüssel zuerst zwischen den Kommunikationspartner:innen ausgetauscht werden muss.
Dieses Problem der Schlüsselverteilung kann man mithilfe der asymmetrischen Verschlüsselung umgehen. Hierbei generiert sich jede:r Kommunikationspartner:in ein sogenanntes Schlüsselpaar, welches aus einem öffentlichen und einem privaten Schlüssel besteht. Möchte man nun mit einer Person verschlüsselt kommunizieren, benötigt man deren öffentlichen Schlüssel um eine Nachricht zu verschlüsseln. Diese verschlüsselte Nachricht kann dann nur mit dem dazugehörigen privaten Schlüssel, den nur der/die Empfänger*in kennt, entschlüsselt werden. Asymmetrische Verfahren basieren auf schwer lösbaren mathematischen Problemen, benötigen jedoch durch die Verbindung von öffentlichen und privatem Schlüssel sehr viel längere Schlüssel als vergleichbare symmetrische Verfahren. Ein weit verbreitetes Verfahren der asymmetrischen Verschlüsselung ist RSA.
In der Praxis im Internet werden meistens hybride Verfahren eingesetzt in denen Techniken aus der asymmetrischen Verschlüsselung genutzt werden um einen gemeinsamen Schlüssel auszutauschen, der dann für die symmetrische Verschlüsselung genutzt wird.
Eine weitere Möglichkeit der asymmetrischen Verschlüsselungen sind digitale Signaturen, welche nur mit symmetrischen Verschlüsselungsverfahren nicht umsetzbar sind. Eine digitale Signatur versichert in der digitalen Kommunikation, dass der/die Besitzer:in eines öffentlichen Schlüssels auch Absender:in einer bestimmten Nachricht ist und diese, bei erfolgreicher Prüfung der Signatur, auch unverändert ist. Somit dient die digitale Signatur sowohl der Integritätsprüfung als auch der Authentizitätsprüfung einer Nachricht. Da bei symmetrischen Verfahren immer (mindestens) zwei Parteien den selben Schlüssel kennen, könnte hier nicht zweifelsfrei belegt werden, welche der beiden Parteien eine Signatur ausgestellt hat.
Digitale Zertifikate
Gerade bei der oben erwähnten Nutzung öffentlicher Schlüssel in asymmetrischen Verschlüsselungsverfahren muss man sich natürlich die Frage stellen, wie kann man sicher sein, dass der öffentliche Schlüssel tatsächlich zu dem/der von mir gewünschten Empfänger:in gehört. Zu eben diesem Zweck dienen digitale Zertifikate, in denen öffentliche Schlüssel an Identitäten geknüpft sind. Eine sogenannte Zertifizierungsstelle (engl. Certification Authority) bestätigt mit dem Ausstellen eines digitalen Zertifikats, dass der/die Zertifikatsinhaber:in glaubhaft bewiesen hat, dass er/sie im Besitz des zum öffentlichen Schlüssel gehörenden privaten Schlüssels ist.
Digitale Zertifikate kommen im Internet häufig in Verbindung mit der gesicherten Variante des HTTP-Protokolls, dem HTTPS-Protokoll, vor. Hierbei wird für jede neue Sitzung zwischen Browser und Server ein symmetrischer Sitzungsschlüssel ausgehandelt und meistens authentisiert sich der Server hierbei mithilfe eines digitalen Zertifikats, welches bestätigt, dass die entsprechende Domäne zum im HTTPS-Protokoll verwendeten öffentlichen Schlüssel gehört. Dabei müssen sich die Nutzer:innen nicht selbst darum kümmern, welchen Zertifizierungsstellen sie vertrauen, da das Vertrauen in viele der Zertifizierungsstellen bereits in alle gängigen Browser eingebaut ist. Ein Blick in die jeweiligen Einstellung liefert oft überraschende Erkenntnisse, wem jede:r von uns vertraut.
Quelle: https://commons.wikimedia.org/wiki/File:Cybersecurity.png, Copyright: Creative Commons Zero CC0
Datenschutz
Im Gegensatz zur Datensicherheit, bei der es egal ist, welche Daten geschützt werden, geht es im Datenschutz darum Menschen zu schützen, indem ihre personenbezogenen Daten geschützt werden. Die Notwendigkeit für Maßnahmen des Datenschutzes leitet sich aus einer Reihe von technischen und gesellschaftlichen Veränderungen der letzten Jahrzehnte ab. In diesem Sinne regelt seit Mai 2018 im europäischen Raum die Datenschutzgrundverordnung (DSGVO) sämtliche Aspekte des Datenschutzes und bestätigt bzw. verschärft einige schon länger gültige Regelungen.
Motivation
Die Art und Weise, wie wir im Internet kommunizieren und wie das Internet technisch aufgebaut ist, unterscheidet sich fundamental von der Art, wie vor dem Internetzeitalter kommuniziert wurde.
Zum einen hat sich auf der Ebene der verfügbaren technischen Geräte einiges verändert. So haben wir heute mehr und mehr Sensoren in mehr und mehr Geräten und der verfügbare digitale Speicherplatz ist größer und günstiger geworden. Somit fallen durch die Sensoren sehr viel mehr und sehr viel feingranularere Daten an, die durch den verfügbaren Speicher dauerhaft gespeichert werden können. In vielen Fällen ist es sogar einfacher, alles dauerhaft zu speichern, als mühsam herauszufiltern, welche Daten noch benötigt werden und welche nicht.
Des Weiteren unterscheidet sich die Netzwerkarchitektur des Internets grundlegend von der früherer Radio- oder TV-Netzwerke. Bei der Übertragung von Radio und TV gibt es einen Sender, der den selben Inhalt an alle Empfangsgeräte sendet, egal, ob diese eingeschalten sind oder nicht. So kann niemand, selbst der Sender nicht, nachvollziehen, wer welche Informationen zu welcher Zeit empfangen hat. Im Internet hingegen, ist jede Kommunikation mit eindeutigen Sender:innen- und Empfänger:innenadressen versehen und wird über viele verschiedene Zwischenknoten geleitet. Ohne spezielle Schutzmaßnahmen, kann hierbei jeder dieser Zwischenknoten sehen, wer mit wem kommuniziert und im Fall von unverschlüsselter Kommunikation auch mitlesen, welche Inhalte ausgetauscht werden.
Zuletzt hat sich auch die Art, wie wir Inhalte, z.B. Nachrichten, konsumieren stark verändert. Während bei Zeitungen auf Papier alle Leser:innen die selben Meldungen in der selben Reihenfolge bekommen haben, wird heutzutage im Internet und besonders in Sozialen Netzwerksystemen, den Nutzer:innen das zuallererst präsentiert, was aufgrund der persönlichen Präferenzen am relevantesten für sie ist. Um diese Präferenzen möglichst genau zu treffen, werden Profile erstellt, die dann auch zur Schaltung gezielter Werbung genutzt werden.
Zusammenfassend lässt sich also sagen, technisch gesehen fallen immer mehr persönliche und personenbezogene Daten an und können und werden auch dauerhaft gespeichert. So gut die Sicherheit dieser Daten auch versucht wird umzusetzen, wir sehen anhand der Vorkommnisse riesiger Datenlecks in den vergangenen Jahren doch, dass alles was gespeichert wird, durch Fehler oder Angriffe auch verloren gehen kann. In diesem Sinne ist es wichtig, dass Datenschutz ein Grundrecht darstellt (vgl. Charta der Grundrechte der Europäischen Union, Artikel 8) und durch verschiedene Gesetze und Verordnungen sichergestellt werden soll. Die in Europa strikteste Verordnung stellt die Datenschutzgrundverordnung (DSGVO) dar, welche im Mai 2018 in Kraft trat.
Datenschutzgrundverordnung
Die DSGVO baut, wie viele Datenschutzregelungen auf europäischer und nationalstaatlicher Ebene auf mehreren allgemeinen Grundsätzen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten auf.
Der Grundsatz der Rechtmäßigkeit sieht vor, dass personenbezogene Daten auf rechtmäßige Weise und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Der Grundsatz der Zweckbindung sieht vor, dass die entsprechenden Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und zu keinerlei anderem Zweck genutzt werden dürfen. Der Grundsatz der Datenminimierung wirkt der oben erwähnten Entwicklung des dauerhaftem Speichern von Allem entgegen und regelt, dass die Speicherung personenbezogener Daten auf das notwendige Maß beschränkt ist. Ergänzend regelt der Grundsatz der Speicherbegrenzung, dass die Daten nur so lange gespeichert werden, wie es für die Zwecke erforderlich ist. Der Grundsatz der Richtigkeit besagt, dass die Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen. Und der Grundsatz der Datensicherheit stellt die Vertraulichkeit und Integrität der gespeicherten personenbezogenen Daten sicher.
Wichtig bei all diesen Grundsätzen ist, dass der/die Verantwortliche, etwa der/die Betreiber:in einer Webseite oder eines Onlineshops, für die Einhaltung der DSGVO zuständig ist und diese auch nachweisen kann. Nutzer:innen haben ein Auskunftsrecht darüber, welche Daten zu welchem Zweck, wie lange bei den Verantwortlichen gespeichert sind und im Sinne der informationellen Selbstbestimmung können sie jederzeit einzelne Zustimmungen widerrufen.
Quelle: https://commons.wikimedia.org/wiki/File:GDPR_Background_Image_-_DSGVO_Hintergrundbild_transparent.gif, Copyright: Creative Commons Attribution-Share Alike 4.0
Dos and Don'ts
- Schon beim Entwurf von jeglicher Art von Informationssystem Sicherheit und Schutzziele mitdenken. Wenn man versucht die Sicherheit im Nachhinein hinzuzufügen, wird es unter Umständen sehr aufwendig.
- Genügend Zeit und Ressourcen verwenden um mögliche und realistische Angreifer:innen zu identifizieren, niemand will mehr in Datensicherheit investieren, als nötig ist.
- Kein „Security by Obscurity“ verwenden, bei dem man hofft, dass potentielle Angreifer:innen manche internen Informationen nicht bekommen.
- Niemals eigene Verschlüsselungsalgorithmen erfinden.
- Bei digitalen Zertifikaten auf vertrauenswürdige Zertifizierungsstellen setzen.
- Beim Datenschutz mehr als nur das unbedingt Nötige tun. Ein stark umgesetzter Datenschutz kann heutzutage als Alleinstellungsmerkmal gegenüber Konkurent:innen gelten.
- Niemals eine 100%-ige Sicherheit annehmen. Schon im Vorhinein (Notfall)Pläne machen, wie mit einem Sicherheitsvorfall umgegangen wird, z.B. wie man auf alle betroffenen Systeme Backup aufspielt.
Weiterführende Literatur
- Ross J. Anderson: Security Engineering: A Guide to Building Dependable Distributed Systems (3. Auflage; https://www.cl.cam.ac.uk/~rja14/book.html)
- Charta der Grundrechte der Europäischen Union: https://www.europarl.europa.eu/charter/pdf/text_de.pdf
- Die WKO-Seite zur IT-Sicherheit: https://www.wko.at/service/innovation-technologie-digitalisierung/it-sicherheit.html
- Die WKO-Seite zur DSGVO: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/datenverarbeitung-webshop-website.html
Downloads
Download nur für registrierte User verfügbar.
Hier können Sie sich anmelden bzw. registrieren