EU-Datenschutzgrundverordnung als Wachstumstreiber bei Gemalto: »Wer die Schlüssel nicht im Griff hat, kann sich Verschlüsselung sparen«

Einen hundertprozentigen Schutz vor Angriffen gibt es nicht, weshalb wichtige und vertrauliche Daten verschlüsselt werden sollten. Allerdings gehen viele Unternehmen, aber auch Partner, das Thema nur halbherzig an. Da werde ein Markt verschlafen, warnt der Sicherheitsspezialist Gemalto.

Thorsten Krüger, Director Sales IDP DACH & CEE bei Gemalto
(Foto: Gemalto)

Mit der ab nächstem Mai verpflichtend geltenden EU-Datenschutzgrundverordnung werden die Security-Anforderungen für Unternehmen, die personenbezogene Daten erfassen, speichern und verarbeiten, noch einmal erhöht. Sie müssen diese verschlüsseln, um sie im Falle eines Sicherheitslecks vor Missbrauch zu schützen – etwas, das auch mit anderen Daten getan werden sollte, die einem Unternehmen wichtig sind. Der Schutz am Perimeter reiche nicht, da irgendwer immer durchkomme, warnt auch Thorsten Krüger, Director Sales IDP DACH & CEE bei Gemalto. Der Sicherheitsanbieter, der vor allem als Hersteller von Chip- und Magnetstreifenkarten bekannt ist, bietet über seine Enterprise- und Cybersecurity-Sparte ein umfangreiches Portfolio an Authentifizierungs- und Verschlüsselungslösungen an, das größtenteils aus der Übernahme von Safenet vor knapp drei Jahren resultiert.

Während die Finanzindustrie ihre Hausaufgaben schon sehr früh gemacht habe, seien Technologieunternehmen wie Maschinenbauer noch nicht allzu weit, was die Einführung von Verschlüsselungslösungen angeht, hat Krüger festgestellt: »Die haben ihren Fokus in der Entwicklung und nicht in der IT-Security.« Dazu kommt, dass viele Unternehmen das Thema falsch angehen: Sie führen eine Verschlüsselung ein, kümmern sich aber nicht um Schlüsselverwaltung und Zugriffskontrolle. »Das ist grob fahrlässig«, sagt der Manager, der dieses Verhalten »Checkbox-Mentalität« nennt – Verschlüsselung eingeführt, Haken dran.

»Secure the Breach« hat Gemalto seinen Ansatz getauft, der Daten umfassend schützen soll. Zunächst geht es darum, die schützenswerten Daten zu ermitteln und zu verschlüsseln. Dann muss eine Schlüsselverwaltung implementiert werden, um die Schlüssel von den Daten getrennt aufzubewahren. Oft liegen die Schlüssel einfach auf den Applikationsservern oder beim Cloud-Anbieter, sie landen in Backups oder kursieren an den verschiedensten Stellen im Unternehmen. »Wer die Schlüssel nicht im Griff hat, kann sich die Verschlüsselung auch sparen«, sagt Krüger. Im dritten Schritt geht es schließlich darum, die Zugriffe auf die Daten mithilfe von Authentifizierungslösungen zu kontrollieren.

Übersicht