Page 268 - Handbuch Digitalisierung (2. Ausgabe)
P. 268
Kapitel 3.12 / Datenschutz, Compliance, Risikomanagement HANDBUCH DIGITALISIERUNG 268 ten. Systeme, die personenbezogene Daten ver- arbeiten, müssen den aktuellen Anforderungen des Datenschutzes genügen. Verstöße sind kein Kavaliersdelikt mehr. Entsprechende So ware, Webseiten oder Server müssen deshalb dem Stand der Technik entsprechen. Des Weiteren werden mit dem IT-Sicherheits- gesetz Betreiber kritischer Infrastrukturen ver- p ichtet, ihre IT nach dem Stand der Technik abzusichern (KRITIS). Das schweizerische Bundesgesetz über die elektronische Signatur (ZertES) und die europäische Verordnung über elektronische Identi zierung und Vertrauens- dienste für elektronische Transaktionen (eI- DAS) stellen hohe Anforderungen an digitale Identitäten im Kontext elektronischer Transak- tionen (E-Business, E-Government etc.). Damit der elektronische Geschä sverkehr au- ßerdem zuverlässig und sicher funktioniert, bedarf es mehrerer Bausteine: Standards und Vorgaben für Kryptographie und Schlüsselmaterial Die ISO-Norm 27001 verlangt interne Richt- linien für Kryptographie und die Verwaltung von Schlüsselmaterial. Zerti kate und private Schlüssel sind elementare Bausteine der IT-Si- cherheit und Vertrauensbildung. Die Einsatzbereiche von Zerti katen sind viel- fältig, z.B. Verschlüsselung und Signatur von E-Mails, digitale Unterschri en, Multifaktor- Authenti kation oder die Absicherung von of- fenen APIs (B2B-Webservices). Allgemein be- kannt ist das Verschlüsselungsprotokoll „Trans- port Layer Security“ (TLS) / „Secure Socket Layer“ (SSL). TLS bietet Sicherheit im Internet und ist an einem Schloss oder der Zeichenfol- ge „https“ zu Beginn der Internet-Adresse zu erkennen. Etwa 80 Prozent des Web-Verkehrs sind heute durch TLS abgesichert, Tendenz steigend. Zerti kate in hoher Qualität In den letzten Jahren hat sich eine fast schon durchgehende Verschlüsselung des Internet- Datenverkehrs durchgesetzt, nicht zuletzt we- gen gratis verfügbarer Zerti kate wie z. B. von Let‘s Encrypt, bei denen (nur) der Domain- Name überprü wird. Die Schattenseite ist, dass domainvalidierte Zerti kate aufgrund ihrer einfachen Verfügbarkeit potenziell auch von Phishing-Sites verwendet werden. Ein auf Sicherheit und Datenschutz bedachter Benut- zer sollte deshalb darauf achten, relevante Da- ten nur auf Websites einzugeben, die vertrau- enswürdig abgesichert sind. Wie wird dieses Vertrauen erzeugt? Bei TLS- Zerti katen vertraut man als normaler Be- nutzer üblicherweise den CA-Zerti katen, welche vom Browser (oder Betriebssystem) „mitgeliefert werden. Auch wenn es im De- tail Unterschiede gibt, folgen die Hersteller dabei den Vorgaben des CA/Browser (CAB) Forums (http://www.cabforum.org, das Gre- mium der Browser-Hersteller und Zerti zie- rungsstellen). Zerti kate und private Schlüssel sind elementare Bausteine der IT- Sicherheit und Vertrauensbildung. “