Datenschutz im Online-Handel – Sicherheit in der Verarbeitung

Die Sicherheit in der Verarbeitung – Was ist das eigentlich?

Die prinzipielle Anforderung an eine sichere Verarbeitung ergibt sich unmittelbar aus den Grundsätzen, die im Artikel 5 „Grundsätze für die Verarbeitung von personenbezogenen Daten“ definiert sind. Hier sieht die DSGVO vor, dass personenbezogene Daten nur entsprechend vertraulich und ausreichend geschützt, bzw. gesichert verarbeitet werden dürfen. Hierzu sind geeignete technische und organisatorische Maßnahmen zu treffen (vgl. Artikel 5 Abs. 1 lit. f DSGVO). Für die Einhaltung dieser Anforderung ist das Unternehmen verantwortlich und muss auch in der Lage sein, aus seiner Rechenschaftspflicht heraus die Einhaltung nachzuweisen.

Der zweite Abschnitt des vierten Kapitels der Verordnung beschäftigt sich mit der Sicherheit personenbezogener Daten, und konkretisiert im Artikel 32 DSGVO die Anforderung und Vorgehensweise an die Ausgestaltung von geeigneten technischen und organisatorischen Maßnahmen. Es ist das Ziel, unter Abwägung von geeigneten Maßnahmen ein, dem Risiko angemessenes Schutzniveau zu erreichen, um eine unbeabsichtigte Veröffentlichung und Beschädigung, oder sogar einen Verlust der Daten entgegenzuwirken (vgl. Artikel 32 Abs. 1, 2 DSGVO).

Damit ist klargestellt, dass derjenige, der als Verantwortlicher oder als Dienstleister, der personenbezogene Daten im Auftrag verarbeitet (Auftragsverarbeiter), für den Schutz dieser Daten verantwortlich ist. Unternehmen haben dafür Sorge zu tragen, dass die Daten der Mitarbeiter, Kunden und Lieferanten vertraulich behandelt werden, nicht verloren gehen können und nicht unberechtigt verändert werden.

Diese gesetzlichen Verpflichtungen gelten für Unternehmen, die gleichzeitig einem stetig anwachsenden Risikopotenzial ausgesetzt sind. Die rasant steigende Zahl von Cyberangriffen führt zu einer äußerst angespannten Situation, die durch immer komplexer werdende IT-Strukturen bei gleichzeitigem Fachkräftemangel weiter verschärft wird. Neben der eigentlichen Verletzung von Persönlichkeitsrechten, bedeuten unbeabsichtigte Veröffentlichungen, Veränderungen oder Verluste von personenbezogenen Daten nicht zuletzt auch enorme wirtschaftliche Auswirkungen und hohe Reparaturinvestitionen, sowie teils nachhaltige Reputationsschäden für die Unternehmen die diese Verletzung verursacht oder ermöglicht haben.

Bedeutung der Datensicherheit – aktuelle Bedrohungslage

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beurteilt die aktuelle Bedrohungslage als angespannt bis kritisch, und misst ein weiterhin allgemeines Anwachsen von Cyberangriffen. Wie stark Unternehmen, unabhängig von der Unternehmensgröße, durch diese Bedrohungslage konkret gefährdet sind, wird dadurch deutlich, dass Cyberangriffe neben Naturkatstrophen und Betriebsunterbrechungen weltweit zu den drei größten Geschäftsrisiken zählen.

Dabei kommen häufig Ransomware-Attacken zum Einsatz, die gezielt Datensysteme verschlüsseln. Erst gegen Zahlung eines Lösegeldes erhält das Unternehmen seine Daten zurück, so jedenfalls lautet das Angebot der Cyberkriminellen. Die Zahlung des Lösegeldes sollte allerdings nicht in Erwägung gezogen werden, denn zum einen kann nicht unbedingt von einer tatsächlichen Freigabe der Daten ausgegangen werden, zum anderen zeigt sich das Unternehmen durch die Zahlung kooperationswillig – nicht selten erfolgt kurz nach diesem Vorgang der nächste Angriff.

Etwa genauso häufig werden Daten gestohlen, und zum Kauf für weitere Verwendungszwecke angeboten. Besonderes Interesse besteht an Daten aus dem Gesundheitswesen, sowie Daten aus dem Online-Handel und natürlich dem Zahlungsverkehr. Diese Daten bieten Cyberkriminellen enorme Möglichkeiten weiterer krimineller Handlungen, bei denen Endkunden teils große finanzielle Verluste zu beklagen haben.

Speziell im Online-Handel sind über 30% der Cyberangriffe auf die Kaperung von Kundenkonten ausgerichtet, bei der im Vorfeld Anmeldeinformationen des Kunden gestohlen werden. Einmal im Kundenkonto angekommen, sperrt der Angreifer den eigentlichen Besitzer aus, und führt Geschäfte und Transaktionen an seiner Stelle durch.

Bei diesen drei Szenarien ist es dem Verantwortlichen offensichtlich nicht gelungen, geeignete technische und organisatorische Maßnahmen zu treffen, die die Sicherheit in der Verarbeitung gewährleisten. Durch diese in der Praxis leider sehr häufig vorkommenden Angriffsszenarien, wird die Bedeutung und die Priorität des risikobasierten Sicherheitsansatzes mehr als deutlich.

Herausforderung für den Online-Handel und für den Zahlungsverkehr

Unternehmen aus Online-Handel und aus dem Zahlungsverkehr sind mit die „beliebtesten“ Ziele für Cyber-Angreifer, denn hier werden Identifikationsdaten von Betroffenen in Kombination mit konkreten Bankdaten, Einkaufsverhalten, Bonitätswerten, Zahlungsverhalten, Vermögenswerten, usw. verarbeitet. Kommt es zu einer Verschlüsselung der Daten mit Lösegeldforderungen, ist der Druck auf das Unternehmen immens hoch. Denn die Wertschöpfung kommt direkt zum Erliegen. Liegt ein Identitätsdiebstahl vor, lassen sich die Daten aufgrund der hohen Nachfrage auf dem (Schwarz-)Markt direkt in bare Münze wandeln. In jedem Fall ist es für den Cyberangreifer ein lohnendes Geschäft.

Die Auswirkungen für die Betroffenen können dramatische Dimensionen annehmen, die von direkten finanziellen Schäden durch gefälschte Transaktionen, bis hin zu nachhaltig negativen Bonitätseinträgen bei Auskunfteien und somit weiteren Reputationsschäden reichen können.

Die Bedrohungslage im Online-Handel ist in den letzten Monaten durch einige Faktoren beschleunigt worden: das allgemeine organische Wachstum der Branche in den letzten Jahren wurde durch das pandemiebedingt geänderte Konsumverhalten noch einmal deutlich vergrößert. Dieses neue Potenzial wird immer stärker durch Cyberkriminelle erkannt und genutzt. Dieser Entwicklung stehen IT-Verantwortliche im Online-Handel gegenüber, die sich immer schneller auf neue Bedrohungslagen einstellen müssen. Die allerdings dringend benötigten personellen Ressourcen, speziell im IT-Sicherheitsbereich, können aufgrund des allgemeinen Fachkräftemangels nicht immer besetzt werden.

An dieser Stelle wird die Herausforderung für das Unternehmen deutlich, unter diesen Umständen durchgängig ein ausreichendes Sicherheitsniveau zu gewährleisten.

Konkretisierung durch Artikel 32 DSGVO

Um die bis hierhin beschriebene Aufgabe im Sinne der DSGVO, aber auch im betriebswirtschaftlichen Interesse des Unternehmens zu lösen, bietet es sich an, die einschlägigen Normen der DSGVO genauer zu betrachten. In zahlreichen Artikeln werden generelle Anforderungen an die Sicherheit gestellt (Artikel 5, 24, 25, ff. DSGVO). Diese werden dann im Artikel 32 DSGVO als Anforderung an die „Sicherheit der Verarbeitung“ komprimiert.

Hiernach werden sowohl Verantwortliche, aber auch Auftragsverarbeiter in die Pflicht genommen, für die Verarbeitungen geeignete, also ausreichend sichere und dem Zweck dienliche, Schutzmechanismen zu definieren. Dabei sollen Aspekte berücksichtigt werden, wie die Kosten der Implementierung, die Verarbeitung als solches und vor allem das Risikopotenzial, das sich für die Betroffenen aus den Verarbeitungen derer Daten ergeben (Angemessenheit).

Aus diesen Anforderungen heraus wird deutlich, dass der Verantwortliche sehr genau die Verarbeitungen von personenbezogenen Daten kennen, und hinsichtlich der jeweiligen Risiken einschätzen muss. Zu ersterem Aspekt liegt es auf der Hand, das in Artikel 30 DSGVO geforderte Verzeichnis von Verarbeitungstätigkeiten zu führen und zu pflegen.

Die Risikobetrachtungsweise stellt in diesem Zusammenhang die Basis dar, um Schutzmaßnahmen auch ausreichend dimensioniert zu definieren. Aus der Betrachtung der Sensibilität der verarbeiteten Daten ist deren Schutzbedarf festzulegen und diesen mit dem jeweils anzunehmenden Risiko, welches sich aus dessen Eintrittswahrscheinlichkeit und der zu befürchtenden Schadenshöhe ergibt, in Einklang zu bringen. Maßgeblich für die Risikobeurteilung sind nicht die Unternehmensrisiken, sondern die drohende Auswirkung für die betroffenen Personen. Kurz auf den Punkt gebracht: je sensibler die Daten sind, je häufiger diese Schaden nehmen können und je negativer die Auswirkungen für den Betroffenen sind, umso höher müssen die Sicherheitsanforderungen an die technischen und organisatorischen Maßnahmen definiert sein.

Zum Aufbau eines Risikomanagement werden u.a. von Datenschutzaufsichtsbehörden und vom Bundesamt für Sicherheit in der Informationstechnik Handreichungen, Orientierungshilfen und Standards angeboten, die hierbei sinnvolle Unterstützung darstellen.

TOM: Technische und organisatorische Maßnahmen

In der Betrachtung der Sicherheit der Verarbeitung kann bis hierhin festgestellt werden, dass ein sehr hohes Gefährdungspotenzial auf die Verarbeitungen von personenbezogenen Daten einwirkt. Und dass Unternehmen gesetzlich verpflichtet, und aus betriebswirtschaftlichen Gründen gefordert sind, geeignete und ausreichend dimensionierte Schutzmaßnahmen zu definieren und selbstverständlich auch zu implementieren.

Hierzu liefert die DSGVO im Artikel 32 bereits eine Auswahl von Anforderungen an mögliche technische und organisatorische Maßnahmen, und nennt dabei ebenfalls die entsprechenden Schutzziele.

Die Empfehlung wird zum einen konkret mit der Pseudonymisierung ausgesprochen, bei der die relevanten Echtdaten gegen Pseudonyme ausgetauscht werden, sodass eine Wiederherstellung des Ursprungs nicht ohne weiteres möglich ist. Hierdurch sind statistische Auswertungen, zum Beispiel zur Messung des online Verhaltens, durch den Marketingbereich möglich, ohne dabei Bezug auf die natürliche Person nehmen zu müssen. Als weiteres explizites Beispiel nennt die DSGVO auch die Verschlüsselung.

Darüber hinaus wird die konkrete Definition von Schutzmaßnahmen anhand von vier genannten Schutzzielen vorgegeben: Die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Belastbarkeit der Systeme und Dienste (vgl. Artikel 32 Abs. 1 lit. b DSGVO). Diese ergeben eine sinnvolle Struktur und lassen den „Schulterschluss“ mit den Grundsätzen der Informationssicherheit erkennen.

Vertraulichkeit

Hierunter sind alle Maßnahmen zu verstehen, die eine unautorisierte Einsichtnahme verhindern. Dazu gehören extern und intern geltende Aktivitäten, wie zum Beispiel:

• Prüfung der Handelsplattformen, bei denen von externer Seite Schwachstellen durch Threat-Analysen und Penetrations-Tests identifiziert werden. Findings, wie zum Beispiel offene Ports, können somit durch schnellwirkende Maßnahmen geschlossen werden.
• Logische, bzw. physische Segmentierung der Netzwerkinfrastruktur, bei der mögliche Eindringlinge zunächst nur einen begrenzten Raum vorfinden, dort allerdings auch bemerkt werden können, und sensiblere Daten in weiteren Schutzzonen gesichert sind.
• Trennung des Administrationsbereiches, bei der die höherberechtigten Userkonten der Administratoren gesondert und getrennt vom System verwaltet werden.
• Konzepte zur Vergabe und Verwaltung von Berechtigungen, bei denen der Berechtigungsantrag z.B. im 4-Augenprinzip gestaltet ist, und bei denen eine regelmäßige Überprüfung der vergebenen Berechtigungen geregelt wurde.
• Anmeldeverfahren für Kundenkonten mit einer Multifaktorauthentifizierung, wobei das Anmeldeverfahren durch Nutzername und Passwort durch ein weiteres Sicherheitsmerkmal (z.B. durch ein OneTimePasswort auf mobilem Gerät) erweitert wird.

Integrität

Hierunter werden alle Maßnahmen geführt, die die Unversehrtheit der personenbezogenen Daten sicherstellen. Wie zum Beispiel

• Festlegung von Änderungsrollen im Berechtigungskonzept,
• Verschlüsselungskonzepte, bei dem verschlüsselte Speicher- und Übertragungsverfahren von personenbezogenen Daten festgelegt werden, insbesondere bei Online-Handelsplattformen,
• Protokollierungen und Logging von Änderungen, Löschungen, Übertragungen,
• interne Schwachstellenuntersuchungen, sog. Vulnerability Scans, die frühzeitig auf Schwachstellen in Betriebssystemen der IT-Infrastruktur reagieren, um so Lücken im Patchmanagement aufzuzeigen,
• Konzepte zur regelmäßigen Plausibilitätsprüfung, also eine stichprobenartige Prüfung von Kundenkonten u. v. m.

Verfügbarkeit

Hiermit ist es zu gewährleisten, dass personenbezogene Daten gegen Zerstörung oder Verlust gesichert sind. Das Schutzziel wird u.a. unterstützt durch:

• Backup- und Recovery Konzepte, durch die im Störungsfall eine rasche Wiederherstellung der Daten gewährleistet ist. Das beinhaltet ebenfalls die Einrichtung einer regelmäßigen Prüfung von Rücksicherungsergebnissen.
• Redundanzkonzepte der Verarbeitung im Datacenter, in der Infrastruktur und im Backup-Konzept, wodurch bei Ausfällen von Strukturen oder Systemen auf ein Alternativszenario zurückgegriffen werden kann.

Belastbarkeit der Systeme und Dienste

Die entsprechenden Maßnahmen haben die Aufgabe die Widerstandskraft von datenverarbeitenden Systemen gegen z.B. Cyberangriffe oder überhöhe Systemlast durch vermehrte Systemanfragen erhöhen. Beispiele hierzu sind:

• Redundanzkonzepte der Serverstrukturen, mit entsprechenden Last-Analysen, Belastungstests und Load-Balancing Systemen
• Threat Analysen und Vulnerability Scans der Systeme
• Härtung der Systeme, insbesondere exponierte Systemeinheiten wie z.B. Webserver

Auch hier bestehen Überscheidungen und Kooperationen mit Konzepten und Standards aus der Informationssicherheit, die u.a. in der ISO 27001, im BSI-IT-Grundschutzkompendium, oder im Kontext des Business Continuity Managements (BCM, BSI Standard 200-4) beschrieben sind.

Datenschutz und Management-Systeme

Die Sicherheit der Verarbeitung von personenbezogenen Daten versteht sich als Prozess, also als eine Methode zum Aufbau und zur Aufrechterhaltung eines Sicherheitsstandards, die einem kontinuierlichen Verbesserungsprozesses unterliegt.

Es ist also die Aufgabe zu erfüllen, die erforderlichen technischen und organisatorischen Maßnahmen sinnvoll zu definieren und im Anschluss zu orchestrieren und zu überwachen, gegebenenfalls weiter verbessern.

Einen Umsetzungshinweis kann dazu aus Artikel 32 Abs. 1 lit. d abgeleitet werden:

Planung (Plan):            Zur Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme werden geeignete technische und organisatorische Maßnahmen definiert.

Umsetzung (Do):         Definierte Maßnahmen werden in Form von Richtlinien und Technik umgesetzt.

Überprüfung (Check): Die Wirksamkeit der Maßnahmen wird regelmäßig geprüft.

Anpassung (Act):         Die Maßnahmen werden erweitert oder angepasst.

Dieser Übertrag der Anforderungen des Artikel 32 DSGVO in den klassischen PDCA-Zyklus veranschaulicht sehr deutlich den Ansatz und die Fähigkeit dieser Norm, in Form eines Managementsystems betrieben zu werden. Gerade vor dem Hintergrund des erörterten Spannungsfeldes durch die steigende Bedrohungslage, komplexere IT-Infrastrukturen und Systeme, und angespannte personelle Ressourcen, erscheint ein Aufbau als oder eine Integration in vorhandene Managementsysteme als sinnvoll und zielführend. Auch wenn die Einführung eines Datenschutz-Managementsystems in der DSGVO nicht wörtlich gefordert wird, sollten die hier gemachten Ausführungen verdeutlichen, dass eine angemessene Umsetzung der Anforderungen der DSGVO, insbesondere im Hinblick auf die Anforderungen an die Sicherheit der Verarbeitung, ohne ein entsprechendes Managementsystem nicht realistisch möglich sein dürfte.

Zum Autor

Lothar Symanofsky ist IT-Betriebswirt und seit einigen Jahren im Beratungsumfeld für Datenschutz tätig. In der Beratung ist es ihm wichtig, Datenschutzprozesse im Unternehmen zu integrieren, die effektiv sind und gleichzeitig ins Unternehmen passen.