loader image

Der Teil III unserer Serie über die Datenresidenz nimmt die Problematik aus den vorhergehenden Teilen I und II auf und thematisiert, in welchen Situationen Verschlüsselung den Informationsschutz verbessert.

Es gibt nur beschränkte Möglichkeiten Daten angemessen zu schützen. Eigentlich sind es nur zwei grundlegende Prinzipien, die den erforderlichen Datenschutz sicherstellen: man schliesst die Daten ein und/oder man verschlüsselt diese. Wir sind allerdings überzeugt, dass nur eine starke, uneingeschränkte Verschlüsselung den erforderlichen Datenschutz gewährt und die Compliance ermöglicht, die uns ruhig schlafen lässt, um als Einzelpersonen, Unternehmen oder öffentlich-rechtliche Institutionen Daten untereinander sicher auszutauschen.

Wie lassen sich Daten schützen? Zwei Möglichkeiten stehen uns dabei grundsätzlich zur Wahl: das «Einschliessen der Daten» und das «Verschlüsseln der Daten». Alle anderen Methoden basieren dann eigentlich nur auf das Vertrauen gegenüber Dritten.

Prinzipien des Informationsschutzes

Starten wir zuerst mit der Null-Lösung. Allen Warnungen und Risiken zum Trotz gibt es heute (noch zu viele) Unternehmen, Institutionen oder Einzelanwender, die der IT Security nicht die notwendige Beachtung schenken. Natürlich, es gibt sie immer, die Möglichkeit nichts zu tun und darauf zu vertrauen, dass schon alles gut kommt. Im Bereich Datenschutz sollte jedoch allen inzwischen klar geworden sein, dass die Null-Lösung eher ein fahrlässiges Warten auf den IT-Security-Vorfall ist. Sind Sie, lieber Leser, liebe Leserin trotzdem Anhänger von blindem Vertrauen, dass genau Sie von der Problematik nicht betroffen sind, auch in Zukunft nicht betroffen sein werden, dann verfügen Sie über ausserordentliche Fähigkeiten der Verdrängung. Ich beglückwünsche Sie zu Ihrem unbeschwerten Leben.

Wir raten jedoch dringend, folgende Prinzipien des Informationsschutzes in Betracht zu ziehen:

Einschliessen der Daten
Solange die schützenswerten Daten den eigenen Tresor (Datacenter) nicht verlassen, sind sie dort gut aufbewahrt. Das hängt natürlich von entsprechenden Schutzmassnahmen z.B. gegen Ransomware und Datenklau ab. Aber grundsätzlich ist das Wegschliessen von Wertgegenständen ein seit Jahrtausenden bewährtes Prinzip.

Verschlüssen der Daten
Das Prinzip des «Einschliessens» ist mit der heutigen Zeit der Cloudifizierung jedoch nicht wirklich vereinbar. Schliesslich basiert das Geschäftsmodell von Cloud Providern (oft mit Sitz im Ausland) auf der Datenhaltung auf Geräten Dritter. Wirklicher Schutz jenseits des eigenen Kontrollbereichs kann nur Verschlüsselung bieten.

Was geht jenseits des eigenen Kontrollbereiches?

Cloudprovider haben kein grundsätzlich neues Universum geschaffen, in welchem andere Regeln gelten. Sie machen etwas in einem beschränkten Bereich sehr gut und bieten dies sehr vielen Kunden an. Es sind also extreme Spezialisten für meist stark eingegrenzte Themen. Deren Systeme müssen allerdings nach wie vor installiert, gewartet und betrieben werden. Tätigkeiten, welche meist noch Menschen erledigen. Diese Provider bieten diese im Grunde leicht zugänglichen und für uns interessanten Services auch nicht an, weil sie grosszügig sind, sondern weil dahinter ein knallhartes Economy-of-Scale-Geschäftsmodell steht. Die Provider wollen also Geld verdienen. Es ist primärer Daseinszweck. Damit diese Firmen also ihren eigenen Zweck mit dem Bedürfnis ihrer Kunden vereinen können, müssen gleich gelagerte Interessen bestehen. In der Regel wird dies dadurch erreicht, dass der Kunde den Provider für eine Dienstleistung bezahlt. Der Kunde bezahlt immer mit irgendetwas. Entweder mit Geld oder mit seinen Daten.

Wirklicher Informationsschutz jenseits des eigenen Kontrollbereichs kann nur die Verschlüsselung der Daten bieten.

Nehmen Sie einmal an, liebe Leserin, lieber Leser, Sie bezahlen Ihren Provider mit Geld und deshalb ist dessen Interesse, Ihre Bedürfnisse zu erfüllen hoch. Ihr Provider ist keine homogene, unteilbare Entität. Er hat Angestellte, Unterlieferanten, Aktionäre, verfolgt Interessen, basiert auf bestimmten Systemen, hat seine Stärken und Schwächen etc. In der Regel ein komplexes Zusammenspiel vieler Produktionsfaktoren und Eigeninteressen. Es ist praktisch sicher, dass sich in einem solchen komplexen System der eine oder andere unvorsichtige oder egoistische Teilnehmer  befindet. Das ist nicht anders, als wenn alles intern abgehandelt würde. Diese Teilnehmer oder System-Komponenten gefährden den Schutz Ihrer Daten. Und ausserhalb Ihres Kontrollbereiches ist die Gefahr noch grösser, dass Ihnen der Schutz Ihrer Daten entgleitet, deshalb hilft nur die Verschlüsselung der Daten. Dadurch ist sichergestellt, dass wer auch immer etwas mit diesen Daten tun will, noch den Schlüssel dazu benötigt. Haben nur autorisierte Nutzer den Schlüssel, ist die Kontrolle wieder hergestellt und die ungewollte Nutzung Ihrer Daten kann verhindert werden.

Wie erwähnt, ist ein Missbrauch überall möglich. Es liegt in der Natur der Sache und des Menschen. Es ergeben sich zwei Zeile:

1. (Cyber-)Kriminelle müssen gestoppt und

2. die Sicherheit und die Privatsphäre des Einzelnen rund um das tägliche Leben in der digitalen Welt müssen geschützt werden 

deshalb Verschlüsselung, sie bietet heute den erforderlichen Informationsschutz und hilft in folgenden Situationen:

  • Sie nutzen einen Cloud Service, welcher in einem anderen Land gehostet ist;
  • Sie nutzen einen Cloud Service aus einem anderen (wirtschafts-)politischen Umfeld (Block);
  • Sie dürfen oder wollen dem Cloud Service nicht vertrauen;
  • Sie verarbeiten sensible Personendaten aus anderen politischen Blöcken, die nicht Ihrer Nationalität entsprechen oder
  • Sie wollen schlicht die Kontrolle darüber behalten, wer auf Ihre Daten zugreift.

Alles gute Gründe, warum Verschlüsselung sowohl in internationalen wie auch in lokalen Szenarien unabdingbar ist.

Erfahren sie im nächsten Trend-Blog unserer Serie «Data Residency», wie das mit der Verschlüsselung genau funktioniert und welche Lösung es da so gibt. Cheers.