Rutronik gründet Kompetenzteam Beratung zur europäischen Datenschutz-Grundverordnung

Das neu gegründete Rutronik-DSGVO-Kompetenzteam hilft Kunden mit Sicherheitskonzepten, Komponenten und Beratung bei der Umsetzung der Datenschutz-Grundverordnung.

Am 25. Mai 2018 ist die Frist für die Umsetzung der europäischen Datenschutz-Grundverordnung (EU-DSGVO) – und die daraus folgenden, bislang schärfsten Datenschutzgesetze – vorüber. Dann müssen praktisch alle Unternehmen, die personenbezogene Daten verarbeiten, umfangreiche Maßnahmen zum Schutz dieser Daten umgesetzt haben. »Das stellt Unternehmen vor immense Herausforderungen«, erläutert Bernd Hantsche, Bereichsleiter Embedded & Wireless bei Rutronik. »Denn sie müssen nicht nur die Verordnung und die Auswirkungen auf ihr Unternehmen, ihre Prozesse und Produkte verstehen, sondern auch geeignete Maßnahmen definieren und durchführen – und das ist bei einem so vielschichtigen und komplexen Thema wie der Sicherheit alles andere als trivial.«

Für Hardware- und Softwareentwickler sowie Produktmanager sind in erster Linie die Artikel 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ und Artikel 32 „Sicherheit der Datenverarbeitung“ entscheidend. »Diese Textpassagen lassen viele Fragen offen. Deshalb haben wir ein abteilungsübergreifendes Kompetenzteam ins Leben gerufen, mit dem wir unsere Kunden dabei unterstützen, Antworten auf Fragen wie diese zu finden und umfassende Systemkonzepte zu erarbeiten, die der EU-DSGVO entsprechen«, so Hantsche.

Die Verordnung schreibt unter anderem vor, dass die personenbezogenen Daten verschlüsselt werden müssen unter Berücksichtigung des Stands der Technik und der Implementierungskosten; außerdem sind Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos zu berücksichtigen. »Doch welche Daten sind direkt oder indirekt personenbezogen? Und was bedeutet „Stand der Technik“ für die einzelnen Komponenten und Systeme? Ist immer und überall eine asymmetrische Verschlüsselung mit RSA nötig oder reicht in manchen Fällen auch das AES-Verfahren, ECC oder die hybride SSL/TLS-Verschlüsselung?«, gibt Hantsche zu Bedenken. Ähnliche Unklarheiten bestehen bei den anderen Vorschriften.

»Wer sich in den verschiedenen Internet-Foren zu diesen Themen umschaut, bekommt statt Antworten meist eher die Angst, den Vorgaben nicht gerecht zu werden. Viele sehen schon eine Abmahnwelle auf sich zu rollen. Mit unserem Team können wir unseren Kunden nicht nur fundierte Antworten geben, sondern auch adäquate Lösungen anbieten.«

Im Rutronik-DSGVO-Kompetenzteam arbei-ten Fachleute aus den Produktbereichen Speichermedien, Funkkommunikation, Embedded Boards, Embedded Systems, Security-Bausteine, Mikrocontroller, Displays und Sensorik zusammen. Es berät die Entwickler und Portfoliomanager, wie sich die Datenübermittlung, -speicherung und -verarbeitung sicher gestalten lassen. Hantsche, der das Team leitet, beschreibt, wie das abläuft: »Im Gespräch mit dem Kunden finden wir heraus, welche sicher-heitskritischen Punkte es in der Applikation gibt, welcher Art die möglichen Gefährdungen sein können und wie hoch das jeweilige Risiko einzustufen ist. Sind diese Punkte geklärt, kann unser Team ein passendes DSGVO-konformes Systemkonzept erstellen.«

Dieses Konzept umfasst alle für die Applikation in irgendeiner Art sicherheitsrelevanten Komponenten und Systeme. Diese müssen fein aufeinander abgestimmt sein, da viele voneinander abhängen und Wechselwirkungen erzeugen. Hierfür arbeiten die verschiedenen Experten eng zusammen. Als Broadliner hat Rutronik sowohl die Bauteile und Systeme als auch das Know-how, um solche Konzepte komplett abzudecken und seinen Kunden Gesamtlösungen – „Rundum-sorglos-Pakete“ – anzubieten. Zusätzlich zur persönlichen Beratung erstellt das Kompetenzteam in Zusammenarbeit mit den betreffenden Herstellern derzeit ein umfassendes Kompetenzbuch mit Grundlagenwissen und Praxisbezug zu Bauteilen, Technologien und ganzen Anwendungen.

»Mit den klassischen Aspekten Datenübermittlung, -speicherung und -verarbeitung ist es allerdings nicht getan. So nimmt zum Beispiel Social Engineering immer mehr zu – und Gerätehersteller sollten das unbedingt berücksichtigen.« Beim Social Engineering spähen Betrüger PIN-Codes oder Passwörter einfach mit einem Fernglas aus oder entwenden Schlüssel oder RFID-Transponder zum Öffnen von Türen oder dem Autorisieren zur Benutzung von Geräten. So umgehen sie jeden PIN-Code und jedes noch so ausge-klügelte Passwort. »Doch auch gegen Social Engineering gibt es Abhilfen, z.B. biometrische Augen- und Fingerabdrucksensoren, 3D-Kamerasysteme zur Gesichtserkennung oder zumindest spezielle Displays mit besonders kleinem Blickwinkel«, weiß Hantsche. »Auch die Wahl des optimalen Funkprotokolls sowie Mechanismen, die Schadcode bereits beim Booten entdecken, erschweren den Betrügern ihre Arbeit erheblich.«