Was sind personenbezogene Daten (PII)?
Das digitale Zeitalter von heute wird von Kunden- und Verbraucherdaten angetrieben: Daten sind die neue Währung. Sofern sie mit Einwilligung und unter Einhaltung von Transparenz erhoben werden, sind Verbraucherdaten der Schlüssel für Unternehmen, um Mehrwert für ihre Kunden zu schaffen, beispielsweise durch Personalisierung und optimierte Kundenerlebnisse. Zu den vielfältigen Attributen von Verbraucherdaten gehören auch solche, die zur eindeutigen Identifizierung des Verbrauchers verwendet werden können – diese Daten werden als personenbezogene Daten (PII) bezeichnet. Beispiele für PII sind Name, E-Mail-Adresse, Telefonnummer, Adresse und weitere Attribute, die sich auf demografische, finanzielle, gesundheitliche und sonstige persönliche Daten einer Person beziehen.
Die Notwendigkeit für Unternehmen, personenbezogene Daten zu schützen
Mit Regelungen wie dem California Consumer Protection Act (CCPA) in den USA und der Datenschutz-Grundverordnung (DSGVO)DatenschutzIn Europa und anderen Teilen der Welt sind Unternehmen zunehmend gesetzlich verpflichtet, personenbezogene Daten zu schützen. Da das Bewusstsein der Verbraucher wächst, führt jede Datenschutzverletzung zu einem erheblichen Vertrauensverlust und damit zu einer Schädigung der Marke und des Rufs des Unternehmens. Doch es geht nicht nur um Marke und Reputation: Jüngste Studien zeigen, dass jede Datenschutzverletzung finanzielle Auswirkungen in Höhe von 4 Millionen US-Dollar hat. Angesichts der stetig zunehmenden Bedrohungen und Sicherheitslücken ist der Schutz personenbezogener Daten für Unternehmen heute wichtiger denn je.
Verschlüsselung von PII-Daten
Verschlüsselung Die Verschlüsselung ist eine bewährte Methode zum Schutz personenbezogener Daten. Sobald Kundendaten verschlüsselt sind, lässt sich das Risiko eines Datenlecks erheblich reduzieren und dessen Auswirkungen eindämmen, da die gestohlenen Daten in verschlüsselter Form für Angreifer wertlos sind. Neben der Risikominderung ist die Verschlüsselung personenbezogener Daten auch aus Compliance-Gründen notwendig, da Vorschriften wie der CCPA und die DSGVO, die bereits erwähnt wurden, eine solche Verschlüsselung vorschreiben.
Was soll verschlüsselt werden?
Der erste Schritt bei der Verschlüsselung personenbezogener Daten (PII) besteht darin, festzulegen, welche Daten verschlüsselt werden sollen. Datenschutzbestimmungen bieten hierfür einen guten Ausgangspunkt. Beispielsweise definieren die HIPAA-Bestimmungen (Health Insurance Portability and Accountability Act) in den USA, welche Patientendaten, einschließlich Behandlungsdaten, verschlüsselt werden müssen. Wichtig ist, dass die Bestimmungen zwar vorgeben, welche Daten verschlüsselt werden müssen, die Wahl der Verschlüsselungstechnologie jedoch dem Unternehmen überlassen.
Auffinden der Daten
Sobald die zu verschlüsselnden Daten identifiziert sind, besteht der nächste Schritt darin, diese Daten im gesamten Unternehmen im Rahmen einer Datenermittlung zu lokalisieren. Dies ist unerlässlich, da personenbezogene Daten (PII) in verschiedenen Anwendungen, Datenbanken und Dateisystemen im gesamten Unternehmen oder in der Cloud gespeichert sein können. Die Datenermittlung umfasst typischerweise eine Analyse oder Bewertung des Anwendungs- und Systemportfolios sowie den Einsatz von Datenermittlungstools.
Verschlüsselungstechnologien und -standards
Der nächste Schritt ist die eigentliche Verschlüsselung der Daten. Es gibt zahlreiche Verschlüsselungstechnologien und -standards; sehen wir uns die gängigsten an.
Erweiterter Verschlüsselungsstandard (AES):
AES zählt aufgrund seiner Stärke und weiten Verbreitung zu den besten Verschlüsselungsoptionen. Als eine der stärksten verfügbaren Verschlüsselungstechnologien genießt AES breite Akzeptanz bei Regulierungsbehörden, Unternehmen, Kreditkartenherausgebern und Regierungsbehörden. AES wird auch im Pretty Good Privacy (PGP)-Standard verwendet, der von zahlreichen Banken und Finanzdienstleistern eingesetzt wird. Das Nationale Institut für Standards und Technologie (NIST)NIST) empfiehlt AES als höchsten Standard für die Verschlüsselung, mit drei verschiedenen Schlüssellängen: 128-Bit, 192-Bit und 256-Bit.
RSA:
Dies ist ein Verschlüsselungsstandard, benannt nach seinen drei Erfindern: Rivest, Shamir und Adleman. Die Stärke von RSA beruht darauf, dass die Primfaktorzerlegung sehr großer Zahlen mit der heutigen Hardware und den vorhandenen Rechenressourcen extrem aufwendig ist. RSA ist populär geworden, da es die Vertraulichkeit, Integrität, Authentizität und Nichtabstreitbarkeit von Daten gewährleistet. Die Schlüssellängen in RSA sind mit 1024 oder 2048 Bit sehr lang, was ein weiterer Grund für die Stärke des Standards ist. Aufgrund dieser Schlüssellängen ist der Algorithmus jedoch relativ langsam. Daher wird RSA unter anderem zur Schlüsselverschlüsselung anstelle der direkten Datenverschlüsselung eingesetzt. Eine weitere Einschränkung von RSA besteht darin, dass mit zunehmender Rechenleistung immer längere Schlüssel benötigt werden, um Brute-Force-Angriffe auf die Primfaktorzerlegung zu verhindern.
Elliptische Kurvenkryptographie (ECC):
ECC etabliert sich aufgrund seiner Vorteile hinsichtlich Geschwindigkeit, kleinerer Schlüssellängen und kryptografischer Effizienz als beliebte Alternative zu RSA. ECC eignet sich aufgrund seines geringeren Bedarfs an Rechenleistung und Akkuverbrauch auch gut für mobile Geräte. Der Algorithmus basiert auf algebraischen Gleichungen, die elliptische Kurven beschreiben. Die mit diesem Verfahren generierten Schlüssel sind mathematisch um mehrere Größenordnungen sicherer als die durch Primfaktorzerlegung erzeugten Schlüssel von RSA. Beispielsweise besitzt ein 256-Bit-ECC-Schlüssel die gleiche Sicherheit wie ein 3072-Bit-RSA-Schlüssel.
SSL/TLS:
Das Secure Sockets Layer (SSL) Protokoll und dessen Nachfolger, Transport Layer Security (TLS)SSL/TLS-Verschlüsselung ist mittlerweile weit verbreitet, Webserver und Browser sind hierfür typische Anwendungsbeispiele. Da personenbezogene Daten (PII) häufig über das Netzwerk zwischen Client und Server, zwischen Anwendungen und Servern übertragen werden, ist die Verschlüsselung der Kommunikationskanäle mittels SSL/TLS unerlässlich, um Man-in-the-Middle-Angriffe zu verhindern. Kernstück von SSL/TLS ist ein Handshake-Protokoll zwischen den beiden Endpunkten, das durch asymmetrische Verschlüsselung gesichert wird. GeheimschriftDabei wird ein Sitzungsschlüssel generiert, der nur für diese Kommunikationssitzung gültig ist. Die restliche Kommunikation über den Kanal wird mit symmetrischer Kryptografie verschlüsselt, wobei dieser Sitzungsschlüssel von beiden Endpunkten verwendet wird. Das SSL/TLS-Protokoll gewährleistet sowohl Sicherheit als auch Leistung und hat sich zum De-facto-Standard für die Verschlüsselung von Daten während der Übertragung entwickelt – nicht nur zwischen Webbrowser und Server, sondern zwischen beliebigen Endpunkten.
Schlüsselverwaltung:
Der letztendliche Erfolg einer jeden Datenverschlüsselungstechnologie hängt nicht von den verwendeten Algorithmen, der Hardware und der Software ab, sondern davon, wie gut die für die Verschlüsselung verwendeten privaten Schlüssel verwaltet werden. Die grundlegende Voraussetzung für Schlüsselverwaltung besteht darin, die verschlüsselten Daten und die Verschlüsselungsschlüssel an verschiedenen physischen Orten zu trennen. Optionen für die Schlüsselverwaltung sind Hardware-Sicherheitsmodule (HSM), virtuelle Appliances und Cloud-Schlüsselverwaltungsdienste.
Wichtige Erkenntnisse
Jedes Unternehmen, das personenbezogene Daten von Verbrauchern verarbeitet, ist auch für deren Schutz verantwortlich. Datenpannen bergen drei wesentliche Geschäftsrisiken für jede Organisation: Vertrauensverlust bei den Verbrauchern, direkte finanzielle Auswirkungen sowie rechtliche und regulatorische Konsequenzen und Strafen. Verschlüsselungstechnologien bieten Unternehmen eine bewährte Möglichkeit, personenbezogene Daten zu schützen und alle drei Risiken zu minimieren.
