Verschlüsselung ist eine der ganz wenigen Maßnahmen zum Schutz personenbezogener Daten, die die DSGVO ausdrücklich benennt. Im zweiten Teil unserer Serie zeigen wir, welche Möglichkeiten Ihnen die in Device Contol integrierten Verschlüsselungssoftware EasyLock USB-Sticks bietet und wie Sie die Wechseldatenträger damit gewissermaßen veredeln und den Zugriff darauf absichern können.
Anforderung 2: Verschlüsseln von USB-Sticks mit EasyLock (EL)
Obwohl jeder weiß, dass USB-Speicher zu den hauptsächlichen Abflusspunkten für sensible Daten zählen, sind sie ein sehr beliebtes, weil enorm praktisches Medium für den Datentransport. Häufig werden sie als mobile Arbeitsumgebung genutzt, aber auch, wenn etwa Mitarbeiter mangels VPN Unterlagen zum Weiterarbeiten nach Hause mitnehmen oder zur Präsentation bei Kunden.
Allerdings sind viele USB-Sticks nicht verschlüsselt. Zwar verfügen sehr viele Unternehmen über Verschlüsselungslösungen, aber die Benutzung scheitert häufig an der mangelnden Akzeptanz der Anwender. Eine komfortable, mit wenigen Arbeitsschritten zu bedienende Lösung erhöht die Wahrscheinlichkeit, dass sie tatsächlich verwendet wird. Aber trotz Verschlüsselungslösung, Mitarbeiterschulung und Sicherheitsrichtlinien kann es vorkommen, dass Daten unverschlüsselt auf den Sticks gespeichert werden. Geht ein solcher Datenträger verloren oder wird gestohlen, können nicht befugte Dritte auf die Daten zugreifen, unter denen auch personenbezogene Daten sein können.
Der Verlust oder Diebstahl eines USB-Sticks ist folglich ein Verstoß gegen die DSGVO und somit meldepflichtig. Die Meldepflicht entfällt, falls der Verstoß „voraussichtlich nicht zu einem Risiko“ für die Rechte der betroffenen Personen führt. Bei der Verwendung von USB-Sticks lässt sich dieses Risiko durch eine Zwangsverschlüsselung der Daten beim Transfer auf den Stick de facto ausschließen.
In Endpoint Protector erledigt dies die Komponente EasyLock. Sie setzt auf der Device-Control-Funktionalität von EPP auf und macht die standardmäßige Verschlüsselung zu einer Funktion der Gerätekontrolle. Die Verschlüsselung muss nicht von den Anwendern initiiert werden; EasyLock sorgt ohne Ausnahme für die Verschlüsselung, wann immer eine Datei auf einen Stick übertragen wird. Die Verschlüsselung nach AES 256bit CBC entspricht den aktuellen militärischen Standards. Als echte Cross-Plattform-Lösung unterstützt die Software die Betriebssysteme macOS und Windows. Die Daten können beispielsweise auf einem Windows-PC verschlüsselt und auf einem Apple-Rechner gelesen werden und umgekehrt.
Zudem bietet EasyLock die Möglichkeit, im Unternehmen bereits vorhandene handelsübliche USB-Sticks in sichere Datenträger mit passwortgeschütztem Verschlüsselungs-Container umzuwandeln. Dafür steht eine Auto-Rollout-Funktion zur Verfügung. Der Administrator stellt EasyLock so ein, dass Daten von verschlüsselten USB-Sticks nur an IT-Systemen gelesen werden können, die mit der Komponente Device Control überwacht werden. Von einem Rechner, der nicht zum Firmennetz gehört, kann nicht auf die Daten zugegriffen werden. Damit wird verhindert, dass Mitarbeiter Firmendaten beispielsweise an privaten, nicht vom Unternehmen kontrollierten Rechnern nutzen. Beim Verlust oder Diebstahl eines Sticks kann der Administrator remote einzelne Dateien oder den ganzen Container löschen.
Im kommenden Beitrag gehen wir auf die Inhaltskontrolle ein. Sie stellt sicher, dass Dateien mit sensiblen Informationen wie personenbezogenen Daten über browserbasierte Anwendungen aller Art nicht übertragen werden können.
