Privacy By Design

Sam Curry, CSO bei Cybereason kommentiert das Urteil des Europäischen Gerichtshofs zum EU-US Privacy Shield, das hat einige Schockwellen ausgelöst hat.

Vor kurzem hat der Europäische Gerichtshof das EU-US Privacy Shield-Abkommen außer Kraft gesetzt, und damit ein mittleres Erdbeben ausgelöst. Das Abkommen diente US-Unternehmen als rechtliches Instrumentarium, um datenschutzrelevante Daten verarbeiten und nutzen zu können, nachdem ein ähnliches Urteil aus dem Jahr 2015 das Safe Harbor-Abkommen gekippt hatte. Die Auswirkungen des jüngsten Urteils sind umfänglich und weitreichend.

In seiner Folge werden Firmen aus allen Branchen sich verstärkt bemühen, Compliance mit Standardvertragsklauseln oder kurz SCC nachzuweisen. Diese Standardvertragsklauseln sind vom Urteil unberührt geblieben und stellen sicher, dass datenschutzbezogene Daten korrekt behandelt werden. Das ist nicht ganz trivial, weil viele Unternehmen auf Software-as-a-Service und die dahinterstehenden Rechenzentren zurückgegriffen haben. Es stellt sich nun die dringende Frage, wie CIOs und CISOs Datenautonomie gewährleisten und wie sie erkennen sollen, welche Anbieter den Umstieg rechtzeitig geregelt bekommen und welche nicht. Allein, um drohende Bußgeldzahlungen zu vermeiden. Mit anderen Worten, welche Anbieter arbeiten nach einem Privacy-by-Design-Prinzip und welche nicht.

Ein Begriff, von dem wir viel hören werden, ist der Terminus Datenhoheit. Dabei handelt es sich um das Prinzip, dass Daten in der nationalen oder sogar regionalen physischen Gerichtsbarkeit verbleiben sollten, um sicherzustellen, dass die Gesetze und Praktiken der Region die letztendliche Autorität bilden. Der Begriff der Datenhoheit ist eng verwandt, aber nicht identisch mit dem Begriff der Datenautonomie. Bei Datenautonomie geht es, vereinfacht ausgedrückt, um Autorität und Kontrolle hinsichtlich der betreffenden Daten. Sie selbst entscheiden, wo diese Daten aufbewahrt und wie sie verwendet werden, wer die Daten ansehen kann und wie sie gegebenenfalls korrigiert werden können. Und nicht zuletzt entscheiden Sie darüber, dass die von Ihnen vorgegebenen Richtlinien so umgesetzt werden, wie Sie es wünschen. Es gibt Überschneidungen zwischen den beiden Konzepten der Datenhoheit und der Datenautonomie, aber sie sind nicht zu 100 % deckungsgleich.

Die SCC sind weit mehr als Formulierungen, die Teil eines Vertrags sind. Sie setzen die Maßstäbe, die sich in der technischen Infrastruktur und den geschäftlichen Praktiken widerspiegeln. Unternehmen müssen in der Lage sein, die Datenautonomie technisch zu gewährleisten, und die geschäftlichen Prozesse müssen so beschaffen sein, dass sie die Vorgaben für die Weiterverwendung von Daten, die Bearbeitung von Ansprüchen und Absichtserklärungen sicherstellen. Wenn Datenstrukturen, Anwendungen, Speicherpraktiken, Anwendungsfälle und andere Interaktionen mit Daten nicht dem Private-by-Design-Konzept entsprechen, wird es schwierig, dem Begriff der Datenhoheit zu entsprechen.


„Wer Privacy-by-Design für sich reklamieren will, der muss gute, umfassende Sicherheitsanforderungen umgesetzt haben. Dazu gehört es auch, Datenautonomie und Datenhoheit frühzeitig mit einzubeziehen.“

Sam Curry

Wir sprechen nun schon seit Jahrzehnten vom Prinzip eines Secure-by-Design: Software sollte so nah wie möglich an der Quelle entwickelt und kodiert werden, um starke Kryptographie verwenden, Identität und Zugriffsberechtigungen sowie Updates und Patches berücksichtigen zu können. Wer Privacy-by-Design für sich reklamieren will, der muss gute, umfassende Sicherheitsanforderungen umgesetzt haben. Dazu gehört es auch, Datenautonomie und Datenhoheit frühzeitig mit einzubeziehen. Es nachträglich zu tun ist nicht nur teuer, sondern auch ausgesprochen schwierig.  

Im Gegensatz dazu ist es vergleichsweise simpel Geschäftsprozesse zu verändern. Die richtigen Mitarbeiter auf die richtigen Positionen zu setzen, Richtlinien zu erstellen und Betriebsabläufe anzupassen – all das bedeutet Arbeitsaufwand, aber der lässt sich innerhalb von einigen Wochen bewältigen. Die zugrunde liegende Architektur zu verändern, kann Jahre dauern. Tut man das erst zu einem späten Zeitpunkt, führt das zu Leistungseinbußen, zu Problemen bei der Verfügbarkeit, zu Funktionseinschränkungen und zu Ansprüchen, die schwer nachzuweisen und schwer zu überprüfen sind. Audits sind erwiesenermaßen gerade dann besonders schmerzhaft, wenn alles auf Hochtouren läuft.

Wenn die interne Überprüfung der Daten abgeschlossen ist, sollte in den Sitzungssälen und im Dialog bewertet werden, welche Daten von Mitarbeitern, Kunden und Partnern in Rechenzentren von Dritten gespeichert sind, die nicht zum Unternehmen selbst gehören. Können Sie mit Gewissheit sagen, wo sich diese Daten befinden und was mit ihnen passiert? 

Dann wird es Zeit für die wirklich schwierigen Gespräche. Anbieter müssen Zeitpläne für eine SCC-Compliance vorlegen. Derzeit sind die Zeichen noch unklar, was genau man brauchen wird, ob Big Data oder maschinelles Lernen (oder sogar KI) die Zusammenführung von Daten erfordert (was nicht der Fall ist) oder ob man versuchen wird, Daten neu zu definieren. Am Ende gibt es immer Ausreden; aber jetzt ist es an der Zeit, sicherzustellen, dass Sie Datenautonomie haben und Datenhoheit durchsetzen können. Datenschutzbeschränkungen und Datenschutzvorgaben werden auf den Prüfstand gestellt werden. Anbieter, unabhängig von ihrem Tätigkeitsbereich, die für die erforderlichen Nachweise keine klaren Zeitvorgaben liefern, sind in Bezug auf den Datenschutz nicht zukunftssicher.

Daten sind kein Besitzrecht. Es ist ein Privileg, mit ihnen zu interagieren. Das EU-Modell wird an Einfluss gewinnen. Selbst wenn wir Privacy Shield 2.0 (Safe Harbor 3.0?) bekommen, wird das IT- und Sicherheitsanbietern, die riesige Datenmengen sammeln, nur vorübergehend Aufschub gewähren. Das Urteil ist ein Weckruf, um sicherzustellen, dass Daten tatsächlich für den Zweck verwendet werden, für den sie erhoben wurden, und nicht für Geschäftsmodelle hinter den Kulissen. Die Datenschutzrevolution geht weiter, und die jüngsten EU-Urteile sind nicht das Ende des Buches. Höchstens das Ende eines Kapitels einer längeren Geschichte. Wir sollten uns bei allem, was wir tun, von den Prinzipien des Privacy-by-Designs leiten lassen. Gerade in einer Welt, in der mehr und mehr Cloud-Dienste und Rechenzentren von Drittanbietern zum Einsatz kommen.

Über Sam Curry

Sam Curry ist seit vier Jahren als Chief Security Officer für Cybereaosn tätig, verfügt über mehr als 25 Jahre Erfahrung in der IT-Sicherheitsbranche und ist Visiting Fellow am National Security Institute. Zuletzt war Sam Curry als CTO, CSO und GM bei Arbor Networks tätig. Zuvor war er mehr als sieben Jahre bei RSA (der Sicherheitsabteilung von EMC) in verschiedenen leitenden Managementpositionen tätig, unter anderem als CTO, SVP of Product und Leiter der RSA Labs. Neben anderen Medien produziert er Security All-In, einen Podcast, der sich auf die persönlichen Geschichten und die Entwicklung von Sicherheitsleuten konzentriert. Sam hatte auch leitende Managementpositionen bei Microstrategy, Computer Associates und McAfee inne und war Mitbegründer und erster Mitarbeiter von zwei erfolgreichen Sicherheits-Startups.

https://www.cybereason.com/