Dritter Verarbeiter verwendet unverschlüsselte Daten: Italiens größte Bank von Datendiebstahl betroffen

Das größte Kreditinstitut Italiens, UniCredit, war in den letzten 10 Monaten von zwei Datendiebstählen betroffen. Verantwortlich dafür ist offenbar ein dritter Datenverarbeiter, betroffen sind 400.000 Kunden.

UniCredit erklärte diese Woche, dass Angreifer offenbar im vergangenen Jahr in zwei separaten Attacken den IT-Schutz der Bank geknackt und Daten von etwa 400.000 Kunden entwendet hatten. Das Kreditinstitut gibt einem nicht genannten dritten Provider, höchstwahrscheinlich einem Datenverarbeiter, die Schuld an dem Vorfall. Die kompromittierten Informationen umfassen unter anderem internationale Bankkontonummern (IBAN) und persönliche Kundendaten.

Dieser Vorfall zeigt beispielhaft, welche Sicherheitsvorfälle Unternehmen, die EU-Datenschutzgrundverordnung (EU-DSGVO) vor Augen, nicht mehr ignorieren können. Diese fordert in Artikel 25 Datenschutz by Design für sensible Daten „in Motion“, „at Use“ und „at Rest“, besonders wenn diese mit dritten Datenverarbeitern geteilt werden. Das soll die Integrität der Daten und ihren Schutz in jeder Stufe der Datenverarbeitung sicherstellen.

Der typische Weg, um diesen Schutz zu erreichen, ist das Verschlüsseln der Daten, bevor diese an den Datenverarbeiter übermittelt werden. Das passiert normalerweise auf zwei Arten: Entweder durch Datenverschlüsselung, welche die Informationen für Anwendungsfunktionen wie Suche, Sortieren, Filtern oder Reportings unbrauchbar macht – damit ist der Datenverarbeiter in seiner Funktion stark eingeschränkt. Die zweite Option ist das Verwenden einer Verschlüsselungsfunktion, die durch den Cloud-Provider angeboten wird. Das Problem dabei: Der Provider hat Zugriff auf die kryptografischen Schlüssel, was nicht compliant mit den „Security by Design“-Prinzipien ist.

Um spezifische DSGVO-Anforderungen zu erfüllen, werden fortgeschrittene Cloud-Datenschutzlösungen wie das eperi Gateway benötigt. Dieses stellt sicher, dass die Daten bei Diebstahl nicht entschlüsselt werden können und trotzdem für autorisierte Nutzer verarbeit- und durchsuchbar bleiben.

Wären die sensiblen Daten von UniCredit verschlüsselt worden, bevor sie das Netzwerk der Bank verlassen, und hätte UniCredit die Kontrolle über die kryptografischen Schlüssel komplett in der eigenen Hand behalten, wären die gestohlenen Datensätze nutzlos für die Angreifer. Die Daten  können nur von denen entschlüsselt werden, die die kryptografischen Schlüssel besitzen. Weil diese komplett innerhalb der Bank verwaltet würden, hätten Angreifer nur Zugriff auf unlesbare Informationen.

Sensible personenbezogene Daten zu verschlüsseln hat unter der EU-DSGVO weitere Vorteile: wenn eine „Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“, könnte nach Artikel 33 § 1 und Artikel 34 § 3a eine Meldung an die zuständige Aufsichtsbehörde und betroffenen Nutzer nicht mehr nötig sein. Artikel 34 nennt Verschlüsselung explizit als ausreichende Datenschutzmaßnahme.

Das ist die Kernbotschaft an alle Unternehmen, die SaaS-Anwendungen wie Office 365, Salesforce oder Microsoft Dynamics einsetzen: Dieses sind alle Datenverarbeiter nach der DSGVO. Die meisten Unternehmen nutzen sie, um regelmäßig sensible Daten wie Kunden- oder Mitarbeiterinformationen zu verarbeiten. Mit einem eperi Gateway als Cloud-Datenschutzlösung schützen Unternehmen ihre sensiblen Daten und implementieren die „Security by Design“-Prinzipien der EU-DSGVO korrekt.