Am 25. Mai 2018 trat die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Zeit, ein Fazit zu ziehen: Wie läuft die Umsetzung in den Behörden? Wo hakt es? Wo muss nachgebessert werden? Eine weitere Lücke in der EU-DSGVO sehen Kritiker darin, dass Hersteller nicht in die Pflicht genommen wurden, Produkte zu entwickeln, die den Datenschutz fördern.
Keine IT-Verordnung hat Unternehmen und Gesellschaft in den vergangenen Jahren so tiefgreifend beschäftigt wie die EU-DSGVO. Ob Unternehmen, Behörde oder Verein – jede Organisation muss seit dem 25. Mai 2018 die Regeln zum Schutz persönlicher Daten umsetzen. Zumindest ein Ziel wurde damit erreicht: Die EU-DSGVO hat das Thema Datenschutz ganz oben auf die Agenda all derer gesetzt, die personenbezogene Daten speichern oder verarbeiten. Zudem lässt sich die Zahl der real erfolgten Hackerangriffe erstmals ermitteln. Denn Verstöße gegen personenbezogene Daten, die Betroffene schädigen könnten, müssen laut Datenschutzgrundverordnung gemeldet werden. Diese Informationen sind eine wichtige Hilfe im Kampf gegen die Cyberkriminalität.
Aber die EU-DSGVO ist auch ein Mammutprojekt. Vor allem Behörden fühlen sich durch die Vorgaben stark belastet. Ihnen fehlen zeitliche und personelle Ressourcen und das nötige Know-how. Zu diesem Ergebnis kam eine Umfrage, die der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg Mitte 2019 in seinen Gemeinden durchführte.
Neue Fallstricke
Gleichzeitig eröffnet die voranschreitende Digitalisierung der Behörden– Stichwort Onlinezugangsgesetz – immer neue Fallstricke beim Datenschutz. Diese müssen die Behörden laufend berücksichtigen. Denn je mehr Behördengänge die Kommunen online anbieten, desto mehr persönliche Informationen liegen auf den Datenbanken an und werden über das Netz geteilt. Für Hacker ist es relativ einfach, diese Daten abzugreifen. Beispielsweise können sie über die Eingabemaske eines Such- oder Anmeldeformulars einen Befehl an die dahinterliegende Datenbank senden.
Mit einer solchen sogenannten SQL-Injection gewinnen sie Zugriff auf die Daten, können diese stehlen oder löschen. Ein weiterer Schwachpunkt vieler Webservices betrifft die Identifizierung des Nutzers. Wird die Sessions-ID unverschlüsselt vom Server an den Nutzer gesandt, kann ein Hacker sie abgreifen und sich Zugang zum persönlichen Portal des Nutzers verschaffen.
Mit dem elektronischen Personalausweis wurde zwar ein großer Schritt getan, um die Authentifizierung im Internet sicherzustellen. Allerdings eröffnet ausgerechnet er auch neue Sicherheitslücken. Denn um die Daten aus dem Personalausweis abzugleichen, werden spezielle Schnittstellen benötigt. Diese sogenannten Application Programming Interfaces (APIs) sind zunehmend im Visier von Hackern. Die Bedrohung ist vor allem deshalb so groß, weil herkömmliche Netzwerk-Firewalls nicht in der Lage sind, Angriffe auf Webapplikationen und APIs zu stoppen. Kommunen benötigen spezielle Web Application Firewalls, um die Gefahren zu minimieren.
Regulatorische Unklarheiten
Regulatorische Unklarheiten erleichtern diese Digitalisierungsprozesse nicht. Die EU-DSGVO bleibt beispielsweise bei der Einwilligungspflicht für das Setzen von Cookies unkonkret. Inzwischen hat ein EuGH-Urteil Klarheit geschaffen. Tracking-Cookies dürfen nur noch mit ausdrücklicher Einwilligung der Nutzer gesetzt werden.
Eine weitere Lücke in der EU-DSGVO sehen Kritiker darin, dass Hersteller nicht in die Pflicht genommen wurden, Produkte zu entwickeln, die den Datenschutz fördern. Privacy by Design – also das Berücksichtigen des Datenschutzes bei der Produktion eines Gerätes – ist ein wichtiger Baustein für den sicheren Umgang mit Daten. Einige Unternehmen haben bereits begonnen, die Barriere zwischen DevOps und IT-Sicherheit einzureißen, und neuartige Methoden im Sinne von „DevSecOps“ zu etablieren. Der Gesetzgeber muss diese Entwicklung unterstützen, damit datenschutzkonforme Produkte auf dem Markt erhältlich sind.
Neue IT-Sicherheitstechnologien
Ähnliches gilt für das Speichern von Daten in der Cloud. Die marktbeherrschenden Cloud-Anbieter sitzen im Ausland. Die EU-DSGVO wird von den dort geltenden Regelungen nicht selten ausgehebelt. Beispielsweise verpflichtet der „Clarifying Lawful Overseas Use of Data Act“ amerikanische Cloud-Provider, den US-Behörden Zugriff auf nicht in den USA gespeicherte Daten zu gewähren – und unterläuft damit die EU-DSGVO.
Ausländische Cloud-Provider bieten ihren Kunden zwar zunehmend die Möglichkeit, ihre Daten in Deutschland zu speichern. Das löst jedoch das Problem nicht. Um wirklich der EU-DSGVO zu genügen, braucht es stattdessen neue IT-Sicherheitstechnologien, die von Anbietern bereitgestellt werden, welche vollumfänglich europäischer Jurisdiktion unterliegen. Es sollte zudem ein datenzentrischer Ansatz gewählt werden, bei dem alle Daten verschlüsselt werden, die Behörde selbst entscheiden kann, wo die Daten gespeichert werden und die Schlüssel ausschließlich im Besitz des Kunden sind. Damit haben Zugriffsversuche dritter Parteien auf die Daten keine Erfolgschance.
Ausblick
Die EU-DSGVO ist ein Meilenstein auf dem Weg zu mehr Schutz personenbezogener Daten. Nach zwei Jahren zeigt sich: Vieles wurde bereits erreicht und die Umsetzung läuft. Doch die Regelung ist erst ein Anfang. Weitere Vorgaben sind notwendig, um persönliche Daten vollumfänglich zu schützen. Entscheidend für den Erfolg des digitalen Bürgeramtes ist es, dass die persönlichen Daten sicher sind. Die EU-DSGVO gibt dafür die grundlegende Richtung vor – Staat, Gesellschaft und Politik müssen diesen Weg jetzt konsequent weitergehen.
Autor: Dr. Falk Herrmann, CEO von Rohde & Schwarz Cybersecurity
