Die größte Datenverletzung in der schwedischen Geschichte stammt aus ungeschützten Datenbanken in der Cloud

In dieser Woche machte die schwedische Regierung mit fatalen Neuigkeiten Schlagzeilen: Nicht nur die personenbezogenen Daten über Millionen schwedischer Bürger, sondern auch Daten über die Straßen-, Militär- und Verkehrsinfrastruktur wurden enthüllt.  Der Zwischenfall ereignete sich bereits im Jahr 2015 und die schockierend lange Zeit bis zur Offenlegung diese Woche ist nur die Spitze des Eisbergs in diesem Fall.

Die schwedische Verkehrsagentur hat vor zwei Jahren die Entscheidung getroffen, einige Teile ihres IT- und Datenbank-Managements an Unternehmen in der Tschechischen Republik und in Serbien auszulagern. Das ist an sich keine große Sache ist, das machen Unternehmen heutzutage ständig. In diesem Fall allerdings schon, denn beim Hochladen von Datenbanken in die Cloud wurde einigen Mitarbeitern in beiden Ländern voller Zugang zu den Daten über schwedische Bürger gewährt. Zu diesen Daten gehören Führerscheindaten, persönliche Details von Personen in Zeugenschutzprogrammen, Elite-Militäreinheiten, Jagdpiloten, Fluglotsen, Personen im Polizeiregister sowie Angaben zu Regierungs- und Militärfahrzeugen sowie Schwedens Straßen- und Transportinfrastruktur.

Lassen Sie das eine Minute auf sich wirken.

Mit dieser Art von Informationen könnte eine Person potenzielle, schwedische militärische Verteidigungspläne rekonstruieren oder Daten über die Schwachstellen jedes militärischen Fahrzeugs nutzen – was jeden zukünftigen Einsatz schwedischer Kräfte im In- und Ausland beeinflussen könnte. Darüber hinaus könnten Bürger in Zeugenschutzprogrammen sowie Mitglieder der Armee- und Sondereinsatzkräfte enttarnt werden. Das ist nicht nur eine Datenschutzverletzung. Es ist potenzielle Kriegsführung in den falschen Händen.

Und während dieses Debakel die STA-Generaldirektorin Maria Ågren lediglich die Hälfte ihres monatlichen Gehalts gekostet hat – eine mickrige Strafe im Vergleich zum angerichteten Schaden –, wäre die Geldstrafe um ein Vielfaches höher ausgefallen, wenn die neue EU Datenschutzgrundverordnung (EU-DSGVO) schon in Kraft gewesen wäre. Organisationen des öffentlichen Sektors sollten daher keinen Fehler machen – sie sind nicht von dieser Verordnung ausgenommen. Die EU-DSGVO sieht eine Reihe von standardisierten Datenschutzgesetzen vor und gilt für alle Länder, die Daten über die Bürger der einzelnen Mitgliedstaaten sammeln.

Diese Ereignisse sind häufiger, als man vermuten würde. Der Beweis sind die Datenverstöße der letzten Monate: von der größten Datenpanne in der Geschichte der US-Wahlen bis zum Datenleck bei Verizon, bei dem bis zu 14 Millionen persönliche Datensätze öffentlich gemacht wurden. Beim Umgang mit sensiblen und personenbezogenen Daten gibt es daher eine Faustregel: immer die Daten zu schützen. Das Verschlüsseln der Daten bevor diese in der Cloud gespeichert werden, ist der einzige Weg, um sie vor unberechtigten Dritten zu schützen.

Die Verschlüsselung ist besonders wichtig für alle Daten, die persönlich identifizierbare Informationen über Mitarbeiter, Kunden, Bürger usw. enthalten, die aus dem Unternehmen heraus und in die Cloud gehen. Entscheidend für den Schutz von Daten mit Verschlüsselung ist, dass die Organisation auch die Kontrolle über die kryptografischen Schlüssel behält, um die Integrität ihrer eigenen Daten zu wahren.

Für Organisationen, die eine umfassende Lösung wünschen, ist das eperi Gateway ideal. Seine Open Source-Basis gewährleistet, dass mögliche Hintertüren in der Software beseitigt werden, die von Regierungen oder Staaten genutzt werden könnten. Das eperi Gateway erledigt das gesamte Schlüsselmanagement für die kryptografischen Schlüssel und vor allem wird der Schutz der Daten auch bei der Suche beibehalten. Darüber hinaus können Organisationen jederzeit bestimmen, welche Daten wie geschützt werden sollen. Wichtig ist außerdem, dass jede Organisation kontrollieren kann, wer ihre Daten sieht: Beispielsweise kann der Lesezugriff für externe Administratoren – wie bei den tschechischen und serbischen Drittfirmen im Fall Schweden – gesperrt werden, ohne deren Fähigkeit zu beeinträchtigen, ihre Arbeit zu leisten und die Datenbanken zu verwalten.

Wenn Datenschutz bisher nicht ganz oben auf der Geschäfts-Agenda sämtlicher Organisationen stand, sollte sie es spätestens jetzt.  Niemand will die nächste große Schlagzeile sein, deshalb: Lerne aus den Fehlern der anderen, verschlüssele die Daten!