Was wäre wenn?

Die bevorstehenden Änderungen der europäischen Datenschutzgesetzgebung - insbesondere im Bereich Datenverletzung - können erhebliche Auswirkungen auf sämtliche Unternehmen haben, die persönliche Daten (im Sinne von Informationen, mit denen die Identifizierung eines Individuums möglich ist) verarbeiten. Speichert Ihr Unternehmen Informationen, mit denen die Identifizierung eines Individuums möglich ist? Dann könnten auch Sie von der neuen Regelung betroffen sein.

Was ist eine Datenverletzung?

Die europäischen Datenschutzgesetze sehen vor, dass Organisationen, welche persönliche Daten verarbeiten, verpflichtet sind, entsprechende technische und organisatorische Maßnahmen zur Verhinderung von nicht autorisierten Zugriffen zu ergreifen. Beispiele für Datenverletzungen sind das physische Anzapfen von Glasfasern, um auf Daten während der Übertragung zuzugreifen, die Nutzung von IT-Sicherheitslücken, um sich in gesicherte Systeme einzuhacken, oder auch eine Unvorsichtigkeit, wie das unbewachte Liegenlassen eines nicht verschlüsselten Laptops in einem öffentlichen Raum.

Was hat sich geändert?

In Mai 2018 wird eine neue Richtlinie - die Datenschutz-Grundverordnung (kurz DSGVO) - in der gesamten europäischen Union in Kraft treten. Die DSGVO ersetzt die bisherigen nationalen und europäischen Datenschutzrichtlinien und harmonisiert sie für alle 28 Mitgliedsstaaten. Unternehmen müssen dann die zuständigen Behörden innerhalb von 72 Stunden nach der Entdeckung einer Datenschutzverletzung informieren. In schweren Fällen müssen auch die von den Daten betroffenen direkt Personen informiert werden. Nur wenige EU-Staaten, darunter die Niederlande, haben schon heute Gesetze, welche diese neuen Anforderungen widerspiegeln und sind für die DSGVO vorbereitet.  Großbritannien wird beim Inkrafttreten der DSGVO im Mai 2018 noch ein EU-Mitgliedsstaat sein, daher wird diese auch in Großbritannien Gültigkeit erlangen. Zudem müssen Unternehmen, die ihren Firmensitz nicht in der EU haben, aber Waren und Dienstleistungen dorthin liefern, die DSGVO ebenfalls einhalten.

Warum ist das wichtig?

Aufgrund einer Reihe von Vorfällen, darunter das Hacking des Democratic National Committee während des US-Wahlkampfs, haben Datenverletzungen einen hohen Stellenwert in der Medienberichterstattung erlangt. Bei solchen Vorfällen geschehen unerlaubte Zugriffe sowie oftmals eine Weitergabe und Veröffentlichung von persönlichen Daten. Unter der heutigen Gesetzgebung beträgt die maximale Strafe für persönliche Datenverletzungen 500.000 €. Mit Inkrafttreten der DSGVO werden die Strafen für Datenverletzungen persönlicher Daten empfindlich erhöht, und zwar auf 10.000.000 € oder 2 % des gesamten weltweiten Umsatzes, je nachdem, welcher Wert höher liegt.

Welche Auswirkungen hat dies auf Sie?

Die möglicherweise empfindlichen Strafen der neuen DSGVO führen dazu, dass sich auch Unternehmensvorstände mit Datenverletzungen befassen, besonders bei Unternehmen mit endverbraucherorientierten Geschäftsfeldern wie bei Banken, in der Gesundheitsvorsorge und im Einzelhandel. Unternehmen müssen nachweisen, dass sie angemessene technische und organisatorische Maßnahmen ergreifen, um solche Datenverletzungen zu verhindern beziehungsweise deren Auswirkungen zu minimieren.

Aufgrund des zunehmenden Risikos des Anzapfens von Glasfasernetzen, um auf Daten während der Übertragung zuzugreifen, wird es immer wichtiger, die möglichen Schäden von Datenverletzungen durch Verschlüsselung der übertragenen Daten im Netz zu minimieren. Dies gilt für Firmendaten ebenso wie für persönliche Daten.

Dieses Video von Ciena zeigt, dass es möglich ist, sich in Glasfasern einzuhacken.

Die Lösung

Die Ciena WaveLogic Encryption Solution bietet überzeugenden Schutz:

a) Die permanent laufende: Verschlüsselung eliminiert das Risiko eines menschlichen Fehlers durch mangelhafte Bedienung.

b) Durchsatz: Ciena WaveLogic Encryption ist eine hardware-basierte Layer-1-Lösung und bietet einen Durchsatz von 100 %. Dies ist besonders wichtig bei Verbindungen mit hohen Bandbreiten, da Anwendungen durch die Verschlüsselung im Netz erheblich verlangsamt werden können. So kann beispielsweise der IPsec-Durchsatz je nach zu verschlüsselnden Daten auf 50 % oder weniger sinken.

c) Latenzzeit: Die hardware-basierte Layer-1-Lösung bietet extrem niedrige Latenzzeiten mit einer zusätzlichen Verzögerung von weniger als 1 Mikrosekunde. Die Zeit, welche der Datentransport über den Link benötigt, ist für Datenverbindungen extrem wichtig, da die meisten Applikationen Signale austauschen, um die Genauigkeit der Übertragung zu garantieren. Wenn dies zu lange dauert, kann das die Übertragung verlangsamen oder sogar ganz zum Stillstand bringen. Latenzzeiten können auch die Kundenerfahrung beeinträchtigen.

d) Einhaltung von Normen: Ciena WaveLogic Encryption erfüllt die strengen US Federal Information Processing Standards (FIPS) (z. B. die FIPS 197-zertifizierte AES-256 Engine; die FIPS 140-2 Level 2/3 zertifizierte Lösung);

  • Elliptic Curve Cryptography (ECC);
  • X.509 zertifikatbasierte Authentifizierung für die nahtlose Integration in vorhandene Public Key Infrastructures (PKIs); und
  • Weitere Sicherheitsfunktionen wie beispielsweise schnelle, automatische Schlüsselrotation und unabhängige Schlüsselsets, die das Knacken erschweren.

e) Protokoll-agnostisch: WaveLogic Encryption verschlüsselt unterschiedliche Protokolle auf der gleichen Wellenlänge der Glasfaser.

f) Dediziertes Verschlüsselungsmanagement: Diese Lösung bietet die Möglichkeit zur Aufteilung des Netzmanagements, wodurch das Sicherheitsteam des Endkunden die vollständige Kontrolle über die Sicherheitseinstellungen erhält, während der Netzbetreiber die Funktionalität des Netzwerks managt. Nur der Endkunde hat Zugriff auf die Verschlüsselung und kann die Parameter der Verschlüsselungsservices mit dem MyCrypto Online-Portal ändern.

g) Erfahrung bei der Implementierung: Ciena verfügt über eine umfassende, nachweisbare, weltweite Erfahrung mit der Implementierung von Verschlüsselungsservices bei bedeutenden Serviceprovidern sowie Finanzinstitutionen, Rechenzentrumsbetreibern, Gesundheitsdienstleistern, Behörden und Energieversorgern.

Virtuelle Verschlüsselungslösungen

Für kleinere Standorte oder Rechenzentren, bei denen Bandbreiten und Latenzzeiten kein so großes Problem darstellen und die Verbindung über eine Standleitung eines Serviceproviders erfolgt, kann die virtuelle Verschlüsselung mit Schlüsselmanagement durch den Endkunden für Datensicherheit sorgen.

Die auf Virtual Network Function (VNF) basierende Lösung von Ciena setzt den 3906 ein, der einen integrierten Server-Steckplatz bietet, und Certes, ein Blue Orbit Ecosystem-Partner, stellt die Verschlüsselung als VNF bereit.