Die DSGVO braucht digitale Zertifikate

1-Jahr-DSGVO

Seit einem Jahr ist die Datenschutzgrundverordnung (DSGVO) in Kraft. Doch noch immer sind vor allem kleine und mittlere Unternehmen unsicher, ob ihre zwischenzeitlich getroffenen Maßnahmen ausreichen, um die Bestimmungen der DSGVO abzudecken. So müssen etwa Kontaktformulare mittels digitaler Zertifikate verschlüsselt werden, um die darin angegebenen personenbezogenen Daten zu schützen. Digitale Zertifikate sind ein wesentlicher Baustein für mehr Vertrauen in digitale Dienste.

DSGVO: Vertrauen in die digitale Welt stärken

Ziel der Europäischen Kommission war es, mit der DSGVO den Stellenwert des Themas Vertrauen in digitale Dienste zu betonen. Die Verordnung stärkt die Rechte von Verbrauchern beim Datenschutz und scahfft eine europaweit gültige Rechtssituation. „Mit der DSGVO hat die EU zudem eine internationale Strahlwirkung erzeugt. Globale Konzerne orientieren sich ebenso daran wie wichtige Handelspartner“, sagt Bitkom-Präsident Achim Berg1.

Heute erfolgt die Kommunikation mit Kunden, Kollegen oder Geschäftspartnern weitgehend elektronisch. Um einen vertrauensvollen Informationsaustausch zu gewährleisten, muss deshalb die elektronische Kommunikation vor allem sicher und rechtlich verbindlich gestaltet werden. Digitale Zertifikate sind die Grundlage für Vertrauen in der digitalen Welt. Fast alle modernen Verfahren für sichere Authentifizierung, Verschlüsselung und elektronische Signatur basieren auf Zertifikaten. Sie schützen vor Fälschung und Manipulation. Auf Basis aktuellster Kryptotechnologie sind sie für die Sicherheit von Internettransaktionen – wie beim Online-Banking, eCommerce oder in sozialen Netzwerken – unerlässlich.

Zertifikate belegen digitale Identitäten

Digitale Zertifikate belegen digitale Identitäten. Das können sowohl die Identitäten von Personen, Organisationen und Systemen als auch von vernetzten Objekten sein. Wenn etwa vernetzte Maschinen manipuliert werden, kann der Schaden für Unternehmen schnell groß werden. In der Smart Factory agieren Maschinen selbstständig und tauschen Daten untereinander aus. Umso wichtiger ist eine Absicherung ihrer Identitäten. Diese stellen sicher, dass eine Maschine auch tatsächlich diejenige ist, für die sie sich ausgibt. Insbesondere wenn Maschinen über Unternehmensgrenzen hinweg mit anderen Systemen kommunizieren, ist die unabhängige Bestätigung der Identität durch einen qualifizierten Vertrauensdiensteanbieter notwendig.

Andrea Voßhoff, von 2014 bis 2019 Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, sagte bei der Einführung der DSGVO: „Die EU-Datenschutz-Grundverordnung stärkt mit Zertifizierungsverfahren […] den Datenschutz auf europäischer Ebene. Die Zertifikate […] sollen deutlich machen, dass der geprüfte Auftragnehmer die Sicherheit der verarbeiteten Daten gewährleisten kann. Eine regelmäßige Erneuerung der Zertifikate ist dabei ebenso unerlässlich wie der Entzug bei fehlenden Voraussetzungen. Auch die Zertifizierungsstellen selbst müssen sich regelmäßig akkreditieren, um einen hohen Standard zu gewährleisten."2

Die Zertifikate […] sollen deutlich machen, dass der geprüfte Auftragnehmer die Sicherheit der verarbeiteten Daten gewährleisten kann.
Andrea Voßhoff, ehemalige Bundesdatenschutzbeauftragte

Zertifikate werden von qualifizierten Vertrauensdiensteanbietern (VDA), wie etwa D-TRUST, ausgestellt. Der VDA übernimmt dabei die Rolle einer vertrauenswürdigen dritten Instanz und bürgt dafür, dass sich Kommunikationspartner auf der Grundlage von Zertifikaten gegenseitig identifizieren können. „Qualifizierte Vertrauensdiensteanbieter sind die europäische Antwort auf die Frage: Wie lässt sich Vertrauen und Sicherheit in unsicheren Netzen herstellen?“, sagt Dr. Kim Nguyen, Geschäftsführer von D-TRUST, einem von zwei zertifizierten Vertrauensdiensteanbieter in Deutschland.

Mit SSL-Zertifikaten Datenübertragung absichern

SSL-Zertifikate für eingetragene Organisationen und Behörden dienen dazu, Datenübertragungen von Server-to-Server oder Client-to-Server abzusichern und werden von allen aktuellen Browsern und Betriebssystemen unterstützt. Google und andere Anbieter von Internetbrowsern forcieren den Einsatz sogenannter SSL-Zertifikate. Diese ermöglichen einen verschlüsselten Datentransfer zwischen dem Computer des Internetnutzers und Webseiten.

So warnt der Google-Browser Chrome vor unverschlüsselten Seiten mit dem Hinweis „Nicht sicher“. Umso wichtiger wird es für Unternehmen und Behörden, die eigenen Webseiten mit SSL-Zertifikaten zu schützen oder bestehende Zertifikate zu aktualisieren. Zahlreiche Zertifizierungsstellen (Certification Authorities, abgekürzt: CA) bieten Varianten von SSL-Zertifikaten an. Im behördlichen und geschäftlichen Umfeld empfehlen Sicherheitsexperten Zertifikatstypen mit Identitätsnachweis. „Eine Webseite ist erst dann vertrauenswürdig und sicher, wenn die Identität des Inhabers geprüft und bestätigt wurde”, so Nguyen.

Ein wichtiges Anwendungsgebiet qualifizierter Webseitenzertifikate liegt im Umfeld der neuen EU-Zahlungsrichtlinie PSD2. Laut deren Ausführungsbestimmungen müssen neue Dienste, etwa FinTechs, und die kontoführende Stelle – in der Regel eine Bank – ihre digitale Kommunikation mit qualifizierten Webseitenzertifikaten und einem elektronischen Siegel absichern. Auch die Kunden von Online-Händlern mit qualifizierten Webseitenzertifikaten profitieren zweifach: Sie können sich erstens sicher sein, dass der Händler tatsächlich derjenige ist, für den er sich ausgibt. Zweitens ist sichergestellt, dass der Datenverkehr verschlüsselt abläuft. Bei öffentlichen Ausschreibungen sind die Webseiten der Behörde und des teilnehmenden Unternehmens mit einem Zertifikat authentifiziert und so wird die Identität des jeweiligen Ansprechpartners bestätigt.

Signieren, verschlüsseln und Zertifikate managen

Mit Personenzertifikaten können Unternehmen und Behörden ihren gesamten elektronischen Mailverkehr digital signieren und bei Bedarf verschlüsseln. In modernen Industrie 4.0-Umgebungen sowie beim Internet of Things spielen Zertifikate ebenfalls eine entscheidende Rolle. Mit Maschinenzertifikaten wird eine sichere Machine-to-Machine-Kommunikation (M2M) ermöglicht und die Grundlage für Vertrauen in der vernetzten Industrie geschaffen.

Self-Management-Portale, sogenannte Managed-PKI-Lösungen, helfen dabei, Zertifikate automatisiert zu beantragen, zu verteilen und zu verwalten. So lassen sich Kosten und Zeitaufwände minimieren.

Praxistipp: bei DSGVO ganzheitlich denken

Unternehmen und Behörden sollten Datenschutz ganzheitlich denken und etablieren. Datenschutz ist Aufgabe jedes Mitarbeiters, Teilziel jedes Projekts und Führungsaufgabe jedes Unternehmens und jeder Behörde. Um die Ziele umzusetzen, sind ausreichende Ressourcen sinnvoll. Zudem kann eine Expertenschulung dabei helfen, noch vorhandene Lücken bei der Umsetzung zu entdecken und zu schließen.

Digitale Sicherheit

Kommission baut EU zu digitalem Vertrauensraum aus

Digitale Sicherheit

EU-Datenschutz-Grundverordnung umsetzen

Dirk Clemens, Datenschutzbeauftragter der Bundesdruckerei, informiert Sie in 10 Fakten über die wichtigsten Inhalte der EU-Datenschutz-Grundverordnung (EU-DSGVO) und leitet aus seiner Praxiserfahrung wichtige Tipps für die Umsetzung ab.

Digitale Sicherheit

Fünf Merkmale einer vertrauenswürdigen Zertifizierungsstelle

Der Markt für Zertifikate befindet sich im Umbruch. Mehr und mehr Certificate Authority (CA)-Anbieter trennen sich von ihrem Zertifikate-Geschäft. Lesen Sie hier die fünf wichtigsten Qualitätsmerkmale einer vertrauenswürdigen Zertifizierungsstelle.