Ist eine Hardware FireWall laut DSGVO Pflicht oder doch unnötig?
Droht ein Bußgeld, wenn keine FireWall Appliance vorhanden ist?
Seit 25.05.2018 stellen sich Unternehmen immer häufiger die Frage:
Ist meine Technik DSGVO-konform, oder riskieren wir durch Schwachstellen, wie beispielsweise keine oder unzureichende FireWall-Technik, Bußgelder?
Hier würde man sich etwas mehr Transparenz und klarere Vorgaben wünschen. Auch Hersteller von FireWalls halten sich dazu mit Aussagen zu deren Funktionen, die sich auf Grundlage der DSGVO ergeben, bzw. auf diese stützen zurück.
Zu unterschiedlich sind hier die Ansätze von Herstellern, Unternehmer und Gesetzgebern, als das man sich ausschließlich auf Basis der DSGVO für oder gegen eine professionelle FireWall entscheiden muss bzw. kann.
Hinzu kommt, dass in vielen kleineren Unternehmen und Handwerksbetrieben, aufgrund der Anzahl der Mitarbeiter, ohne einen Datenschutzbeauftragten bzw. Sicherheitsbeauftragten Entscheidungen vom Verantwortlichen selbst getroffen werden müssen. Die fachliche Kompetenz der Verantwortlichen liegt hier in ganz anderen Bereichen, als das sie ansatzweise die Sicherheit der Verarbeitungsprozesse nebst vorhandener Technikgestaltung, die lt. DSGVO gefordert werden, beurteilen können.
Zu verlockend klingen hier die Werbeaussagen der Internet Provider, die angeblich alle für Sicherheit garantieren. Zu verbreitet sind Router, deren Verpackungsaufschrift auf viele Funktionen verweist, die zum großen Teil keine Verwendung bei den Verantwortlichen finden oder nichts mit Sicherheit im Sinne einer Applikationskontrolle, die zum Schutz von personenbezogenen Daten und damit der DSGVO zu tun haben.
Ganz ehrlich, für Funktionen wie IP-Telefonie, WLAN, und private Cloud, externer Zugriff über Internet auf einen Terminalserver etc. sollten durchaus mehr als ein einmaliger Kaufpreis von 199,00 € im Budget des Verantwortlichen möglich sein.
BSI Grundschutz, ISO 27001, SDSM und DSGVO enthalten Normen, Vorgaben und Empfehlungen, die es gilt unter einen Hut zu bekommen.
FireWall der nächsten Generation
Muss das wirklich sein?
Ich möchte mich in diesem Blog allerdings auf die in der DSGVO relevanten Artikel beziehen und versuche dabei keine herstellerspezifischen Merkmale bzw. Begrifflichkeiten aus deren Produktkatalogen zu verwenden.
Art. 25 DSGVO
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“
Art. 32 DSGVO
Sicherheit der Verarbeitung
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:...“
Und jetzt die beiden Artikel 25 und 32 konkret betrachtet und analysiert, die einige Hinweise auf eine „FireWallpflicht“ enthalten.
Beginnen wir mit Art. 25:
Stand der Technik, der Implementierungskosten = angemessene Sicherungsmaßnahmen
Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung = Berücksichtigung von Rahmenbedingungen der Verarbeitung
Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken = Verpflichtung zur risikobasierten Vorgehensweise
Kurzpapier Nr. 18 der Datenschutzkonferenz beinhaltet weitere Erläuterungen zu den Themen “Risiko für die Rechte und Freiheiten natürlicher Personen” und “Risikobewertung/Rechtsfolgen”
Hierbei gilt es eine möglichst objektive Sichtweise zum risikobasierten Ansatz einzunehmen. Wie hoch ist das Risiko für die Betroffenen tatsächlich? Setzen Sie sich auf den Stuhl des Betroffenen deren Daten Sie als Verantwortlicher verarbeiten.
Wie man hier außerdem bei genauer Betrachtung feststellt, wird in Art. 25 ausschließlich der Verantwortliche in der Einleitung genannt, der für die Technikgestaltung und datenschutzfreundliche Voreinstellungen (Data Protection per Design) verantwortlich ist. Da wurde evtl. der Auftragsverarbeiter vergessen!?
Des Weiteren heißt es, dass sowohl zum Zeitpunkt der Festlegung der Mittel, also hier konkret schon im Auswahlverfahren der Sicherheitsmaßnahmen (hier interpretiere ich mal eine FireWall rein), als auch bei der eigentlichen Verarbeitung von personenbezogenen Daten, die Sicherheit ein große Rolle spielt.
„…die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen.“
Was sind nun die Datenschutzgrundsätze gem. Art. 5 DSGVO genau:?
a) rechtmäßige Weise, nach Treu und Glauben...
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden..
c) dem Zweck angemessen und erheblich...
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand...
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht...
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);...
Genau in diesem obigen lit. f) sind mehrere Hinweise enthalten, die eine FireWall durchaus zur Pflichtperipherie werden lassen. Die Begrifflichkeit „unbeabsichtigte“ verdient ein besonderes Augenmerk. Eine ZeroDay Attacke ist aus Sicht des Verantwortlichen immer unbeabsichtigt, könnte aber durch NextGeneration FireWall Techniken vermieden werden, wenn dort z.B. Sandboxing (unter Sandstorm bzw. Capture ATP bei einigen Herstellern bekannt) oder Prüfung der HTTPS-Zertifikate (das „Aufbrechen dieser Zertifikate“) von Webseiten zum Einsatz kommen.
Ein ebenso wichtiges Augenmerk sollte auf die menschliche Komponente geworfen werden. Mitarbeiter, die auf Weisung des Verantwortlichen im Verarbeitungsprozess involviert sind, stellen nicht selten ein unkalkulierbares Risiko dar, welches eingedämmt werden sollte.
Weshalb man sich hier auf „unbeabsichtigt“ in der Formulierung geeinigt hat ist mir nicht ganz klar, könnte allerdings durchaus u.U. ein Hinweis auf die menschliche Komponente sein.
Verlust, Zerstörung oder Schädigung von sensiblen Daten ist aus zahlreichen Beispielen jüngerer Vergangenheit in der Öffentlichkeit bekannt geworden. Erpresserische Mails, die Verantwortliche zur Zahlung hoher Lösegelder auffordern, um Zerstörung (Verschlüsselung) bzw. Schädigung zu vermeiden sind keine Seltenheit mehr.
Weiter geht es mit Art. 32 DSGVO
Was hat der Art. 32 DSGVO mit einer FireWall zu tun?
Antwort:
“Genau das sollte sich seit 25.05.2018 in der TOM-Liste eines jeden Unternehmens befinden”
Sicherheit der Verarbeitung
„...treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen“
Auch hier gilt wieder der risikobasierte Ansatz, wie er auch schon in Artikel 25 erwähnt wird.
Allerdings werden jetzt richtigerweise der Verantwortliche und der Auftragsverarbeiter gemeinsam erwähnt um technische Maßnahmen zu ergreifen.
Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle
Die Zutrittskontrolle umfasst Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Genau dort kommt eine FireWall über deren VPN (SSL VPN) Feature zum Einsatz. Der Zugang von externen Usern wird über einen sicheren IPSec Tunnel mit Passphrase und AES256 bzw. 3DES SHA Protokoll gewährleistet.
Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Hier könnte eine FireWall über Regeln den Zugriff auf die entsprechende Schnittstelle (z.B. WAN to LAN an diverse Ports bzw. Services der Firewall) gewähren oder verweigern. Der Zugriff von externen Usern auf den internen Webserver (Port80) oder den MailServer (Port 443) kann somit reglementiert werden.
Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Weitergabekontrolle
Maßnahmen die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Hinsichtlich FireWall kann hier die Weitergabe von Daten auf HTTPS-Verschlüsselten Seiten (wie z.B. Kontaktformularen) mit Einsatz von diversen Zertifikaten der FireWall vermieden bzw. kontrolliert verschlüsselt übertragen werden.
Sandboxing sorgt für cloudbasiertes scannen, prüfen und blockieren durch verhaltensbasierte und patentierte Technologie der Hersteller.
Eingabekontrolle
Maßnahmen die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)
Maßnahmen die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 25 Abs. 1 DSGVO; Art. 32 Abs. 1 lit. d DSGVO)
Datenschutz-Management
Ein Datenschutzmanagementsystem (DSMS), in dem alle Maßnahmen, Verfahren, Tätigkeiten etc. im Bereich Datenschutz abgebildet werden. Das DSMS beinhaltet die wichtigsten datenschutzrechtlichen Vorgaben und eine umfassende Struktur zur Abbildung der Datenschutzmaßnahmen und beinhaltet darüber hinaus einen Maßnahmenplan zur rechtskonformen Umsetzung der EU-Datenschutzgrundverordnung (Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO).
Incident-Response-Management
Ein Helpdesk System (Ticketsystem) zur unverzüglichen Meldung aller Arten von Incidents an die IT ist implementiert. In der Anwenderrichtlinie sind Prozesse und Meldewege mit Vorgehen und Verantwortlichen dokumentiert. Zudem kommen Intrusion-Detection- Systeme zur Anwendung.
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
Auftragskontrolle
Maßnahmen die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)
Entsprechende Verschlüsselungssysteme für Datenträger und mobile Endgeräte implementieren (Bitlocker-Verschlüsselung). Verschlüsselungstechnologien bei der Übermittlung von Daten können ebenfalls schon auf FireWall-Ebene zum Einsatz kommen.
Eine Richtlinie zum Umgang mit (mobilen) Datenträgern kann bei Herstellern wie SonicWall, Watchguard, Sophos, Fortinet oder Baraccuda zur Anwendung kommen.
Auch restriktive Zugriffsrechte beim Zugriff auf externe Server, Datenbanken etc. werden für die Protokolle FTP, HTTP, HTTPS etc. von den obigen Herstellern angeboten.
Fazit:
Nicht alle Funktionen werden beim Anwender und Verantwortlichen durch die Komplexität der Möglichkeiten, und den damit verbundenen administrativen Aufwand, auf offene Ohren stoßen. Eine “nach dem Stand der Technik, und der Art des Umfangs der mit der Verarbeitung verbundenen personenbezogenen Datensicherheit” lässt keinen Zweifel aufkommen, dass eine FireWall hier das Mittel der Wahl darstellt.
Hier bleibt abzuwarten, wie die Aufsichtsbehörden die teilweise sehr “schwammigen Formulierungen” in den Artikeln 25 und 32 dazu verwenden, um Bußgelder durch Verstöße gegen diese zu verhängen.
Ich würde mich sehr über konkrete Handlungsanweisungen freuen, die es den Verantwortlichen erleichtern würden in die richtige - und vor allem aus Sicht der hohen Bußgelder - DSGVO-konforme Technik zu investieren.
Aus Sicht der Datenschützer wäre mehr Transparenz ebenfalls hilfreich um deren Aufgaben nach Art. 39 DSGVO noch besser wahrnehmen zu können.
Für die Hersteller von sog. NextGeneration FireWalls könnte es einiges vereinfachen, wenn diese sich unter Bezug auf diverse Vorgaben des Gesetzgebers bei der Entwicklung der Produkte und Features berufen könnten.