Verifizierung durch Validierung
In der modernen digitalen Welt sollten Unternehmen sich die Zero-Trust-Vorgehensweise „Vertraue niemandem, verifiziere jeden“ zur Devise machen. Sie müssen davon ausgehen, dass jedes System, jedes Netzwerk, jedes Gerät oder jegliche Anmeldedaten von Mitarbeitern durch böswillige Individuen kompromittiert sein könnten. In einer Cloud-nativen Welt ist Verifizierung zu einer absoluten Notwendigkeit für Unternehmen geworden. Diese mögen daran arbeiten, technische Kontrollmechanismen auf Personal- und IT-Umgebungsebene zu implementieren, aber sehen sich mit Problemen konfrontiert, wenn es um die Sicherung ihrer Anbieter-Ökosysteme geht: Ihnen fehlt die Kontrolle über und der Einblick in die von diesen Anbietern verwendeten Sicherheits- und Datenschutzmaßnahmen. Die meisten Unternehmen verifizieren ihre Anbieter mittels Drittvalidierungsoptionen, wie Audits und Zertifikate.
Auch wenn diese Prozesse nur Garantien für den jeweiligen Zeitpunkt bieten, können Unternehmen sie dazu nutzen, ein Verständnis für die Einstellung ihrer Anbieter zum Thema Sicherheit und Datenschutz zu entwickeln. Sie verfügen zwar über keine Kontrolle über die Anbieter, aber sie können diese Zertifikate verwenden, um einen Einblick in deren Philosophie im Hinblick auf Sicherheit und Datenschutz zu erhalten.
Compliance ist nicht Sicherheit oder Datenschutz
Die meisten IT-Experten sind sich darin einig, dass Compliance nicht das Gleiche wie Sicherheit oder Datenschutz ist. Der Großteil der Compliance-Standards basiert auf einem minimalen Satz von grundlegenden bewährten Datenschutzverfahren.
Im Jahr 2022 aktualisierte die International Organization for Standardization (ISO) den „Code of practice for information security controls“ (Leitfaden für Kontrollmechanismen für Informationssicherheit), kurz ISO 27002. Trotz Änderungen an der Terminologie und einer Umstrukturierung des Dokuments sind eine Vielzahl der Kontrollmechanismen im Prinzip dieselben wie in der Ausgabe aus dem Jahr 2013.
Vergleicht man beispielsweise die Anforderungen an Zugriffskontrollen, richtet ISO 27002:2022 den Fokus auf dieselben Prinzipien wie ISO 27001:2013, wie:
• Die Verwendung der Need-to-know- und Need-to-use-Prinzipien („Kenntnis nur, wenn nötig“ und „Nutzung nur, wenn nötig“)
• Die Aufrechterhaltung von Kontinuität in Bezug auf Zugriffsrechte und Informationsklassifikation
• Die Verwaltung von Zugriffsrechten
• Die Formalisierung der Autorisierung von Zugriffsanfragen
Viele der Änderungen an den Kontrollmechanismen dienen dazu, in der 2013-Ausgabe implizierte Aktivitäten zu formalisieren. So legt ISO 27001:2022 z. B. fest, dass die themenspezifische Richtlinie das Protokollieren von Nutzerzugriffen erwägen sollte, wohingegen das Dokument von 2013 den Fokus auf die Archivierung von Berichten zu bedeutsamen Events bezüglich der Nutzung und Verwaltung von Nutzeridentitäten richtet. Auch wenn die Terminologie der beiden Veröffentlichungen unterschiedlich ist, ist der Grundgedanke in Bezug auf den Kontrollmechanismus konsistent.
Die ISO-Anforderung für Zugriffskontrollen legt den Schwerpunkt auf die Implementierung des besten bewährten Verfahrens: das Prinzip der minimalen Rechtevergabe (Principle of least Privilege, POLP). Unternehmen sollten sich darüber im Klaren sein, wer auf ihre sensiblen Daten Zugriff hat. Sie sollten Kontrolle darüber haben. Und sie sollten diesen Zugriff auf den Need-to-know- und Need-to-use-Prinzipien basierend einschränken.
Anbieter mit Zertifikaten stellen ihre Ernsthaftigkeit unter Beweis
Von einem Sicherheits- und Datenschutzstandpunkt aus betrachtet nutzen Kunden diese Zertifikate, um ihre eigenen Compliance-Auflagen abzuhaken. Sie verwenden sie als Bestandteil ihrer Sorgfaltsplicht-Dokumentation, um so ihren eigenen Compliance-Anforderungen bezüglich Anbieterrisikomanagement nachzukommen.
In einer Bedrohungslandschaft, die sich stets weiterentwickelt, bieten Audits, die lediglich eine Momentaufnahme repräsentieren, nur wenig Rückversicherung. Viele Großunternehmen, denen eine Datenschutzverletzung widerfahren ist, konnten dank ihres Ansatzes bezüglich Sicherheit und Datenschutz eine Drittvalidierung bereitstellen. Für manche Menschen mögen diese Zertifikate jedoch nicht mehr als eine reine Geschäftsanforderung darstellen.
Realistisch betrachtet stellen die Zertifikate – auch wenn sie den Fokus auf die minimalen Grundlagen richten – die Ernsthaftigkeit und Verpflichtung des Anbieters in Hinblick auf Sicherheit und Datenschutz unter Beweis. Der Zertifizierungsprozess erfordert einen beträchtlichen Zeit-, Personal- und Finanzmittelaufwand. So kann z. B. eine Prüfung als Bestandteil der ISO-27000-Zertifizierung einem Unternehmen mit weniger als 50 Mitarbeitern bereits 5000 US-Dollar kosten – was auf bis zu 35.000 US-Dollar für Großunternehmen anschwellen kann. Und auch die meisten anderen Zertifikate machen finanzielle Auslagen in ähnlicher Höhe notwendig.
Dennoch sind diese direkten Kosten nur ein Bruchteil der gesamten finanziellen Investition. Die Vorbereitung auf das Audit bringt zusätzliche Kosten mit sich, einschließlich der Beauftragung eines Beraters und Ausführung einer Lückenanalyse. Darüber hinaus müssen Unternehmen, die in diese Zertifikate investieren, ihre aktuellen Sicherheits- und Datenschutzprogramme möglicherweise um neue Technologien oder Dienstleistungen ergänzen, wie:
• Schulungsprogramme, die den Anforderungen der Zertifikate nachkommen
• Personal, um die Compliance-Initiative zu unterstützen
• Software- und Anwendungslizenzen für Technologien, die Kontrollen implementieren und aufrechterhalten
Nachdem die anfängliche Zertifizierung abgeschlossen wurde, investieren Unternehmen weiterhin in die Aufrechterhaltung von Compliance in Form von internen Prüfungsverfahren und regelmäßigen Audits durch Drittprüfer.
Der Zertifizierungsprozess ist keine einmalige Investition, sondern eine langfristige Verpflichtung.
Über das absolute Minimum hinaus: Das Swiss Digital Trust Label
Die meisten Zertifikate richten den Fokus auf technische und administrative Datenschutzkontrollen. Und nicht selten stellen Kunden weiterhin die Fähigkeit der Anbieter, Informationen zu schützen, in Frage. In Europa versucht das Swiss Digital Trust Label, Rahmenbedingungen festzulegen, die die Wichtigkeit von sozialen und ethischen Verantwortlichkeiten anerkennen.
Anstatt diese humanistischen Elemente als von der Beziehung zu digitalen Anbietern getrennt zu betrachten, erkennt das Swiss Digital Trust Label an, dass technische, soziale und ethische Aspekte mit der Kunden-Anbieter-Beziehung eng verflochten werden müssen.
Das Swiss Digital Trust Label ist darum bemüht, Misstrauen zu reduzieren, indem es den Fokus auf die folgenden Elemente richtet und diese in Hinsicht auf ihre Wichtigkeit im digitalen Ökosystem als gleichwertig betrachtet:
• Transparenz: Klare Kommunikation, einschließlich der Bereitschaft, Fehler einzugestehen
• Verständnis: Die Bereitschaft, für andere Verständnis aufzubringen und Verständnis zu ermöglichen
• Beteiligung: Die Fähigkeit, die Zukunft des digitalen Services mitzugestalten
• Autorität: „Beziehungskapital“, also die Bereitschaft respektierter Instanzen, eine Befürwortung zur Verfügung zu stellen
• Verantwortlichkeit: Die Möglichkeit für Nutzer, digitale Services zur Verantwortung ziehen zu können
• Technologie: Zuverlässigkeit und Nutzerfreundlichkeit
• Infrastruktur und Ökosysteme: Abhängigkeit von vernetzten digitalen Services und Frameworks für Identifikations- und Datentauschzwecke
• Normen: Klare Regeln dazu, wie digitale Services funktionieren sollten
• Foren: Offene und miteinbeziehende Diskussionen zu Normen
• Ökonomie: Geschäftsmodelle, die Kunden eine echte Wahl geben, anstatt nur von ihren Daten zu profitieren
Das Swiss Digital Trust Label ist das erste Zertifikat, das die psychologische Untermauerung von Vertrauen mit den technischen Anforderungen an Datenschutz vereint. Das Zertifikat geht über das absolute Minimum an technischen Anforderungen hinaus und integriert die Philosophie der Anbieter in Bezug auf Datenschutz.
Natürlich kann dieses Zertifikat – genau wie alle anderen Zertifikate – Datenschutzverletzungen nicht komplett verhindern. Jedoch erkennt dieser neue Ansatz an, dass die Verifizierung der technischen Kontrollmechanismen von Unternehmen in der heutigen digitalen Welt nicht ausreicht, um das Vertrauen der Kunden und Vertrauen in Digitalisierung aufzubauen. Vertrauen muss erarbeitet werden, indem die sozialen und ethischen Verantwortlichkeiten, die Anbietern ihren Kunden (Endverbraucher und Firmenkunden) gegenüber haben, anerkannt werden.
Verifizierung durch angemessene Validierung
Das Aufbauen von Kundenvertrauen verlangt mehr als nur die simple Bereitstellung von technischen und administrativen Kontrollen, um die Datenschutzbemühungen des Unternehmens unter Beweis zu stellen. In unserer zunehmend digitalisierten Welt müssen Anbieter sich darüber klar werden, welche Rolle sie im Leben ihrer Kunden spielen. Technologie ist nicht nur geschäftskritisch – sie ist zu einem Bestandteil aller Facetten des Lebens geworden.
Datenschutz ist ein wirtschaftliches Gebot. Technologieunternehmen benötigen robuste technische und administrative Kontrollmechanismen, damit sie widerstandsfähige Geschäftsmodelle entwickeln können. Allzu häufig vergessen Anbieter, dass ihre Produkte existieren, um Menschen zu unterstützen. Wenn sie Menschen aus der Gleichung entfernen, führt dies zu sterilen Richtlinien, Prozessen und Verfahren.
Das Swiss Digital Trust Label vereint die menschlichen Elemente unter dem Dach von Datenschutz. So bietet es Unternehmen die Möglichkeit, mehr als ihre Sicherheitskontrollen und Verpflichtungen zu überprüfen: Es ermöglicht es ihnen, ihre Datenschutzphilosophie zu validieren.
Über den Verfasser:
Szilveszter Szebeni ist Mitgründer und CISO von Tresorit, einem europäischen Sicherheitsunternehmen, das eine Ende-zu-Ende-verschlüsselte Produktivitätslösung anbietet.
Als CISO (Chief Data and Compliance Officer) ist Szilveszter für den reibungslosen Ablauf von Tresorits Informationsmanagement und Compliance verantwortlich. Dank seiner Erfahrung in Geschäftsintelligenz und Datenanalytik ist Szilveszter eine große Unterstützung für alle Abteilungen, indem er Tools für die Entscheidungsfindung kontinuierlich aktualisiert und verbessert. Szilveszter verfügt über einen „Master of Science“-Abschluss in Computerwissenschaft von der Technischen und Wirtschaftswissenschaftlichen Universität Budapest (BME).
