Datenhoheit – Was bedeutet es eigentlich, „Herr seiner Daten“ zu sein?

Autor: Franziska Kliemann
Veröffentlicht am 14. März 2019

Begrifflichkeiten wie Datenschutz und Verschlüsselung gehören längst zum Einmaleins des digitalen Zeitalters und ihr Verständnis ist gerade für Unternehmen unabdingbar. Aber wie steht es um das umfassendere Konzept der Datenhoheit? Was genau steckt dahinter? Wie hängen Datenhoheit und Datenschutz zusammen? Und warum ist es so wichtig, wirklich „Herr seiner Daten“ zu sein?  Gerade wenn Sie Cloud-Dienste in Ihrem Unternehmen einsetzen, sind das die Fragen, die Sie sich vorab stellen sollten. Daher haben wir hier einen Überblick für Sie zusammengestellt:

Inhalt:

  1. Datenhoheit – Definition & Bedeutung
  2. Vermeintliche Sicherheit – wann die Datenhoheit gefährdet ist
  3. Wirtschaftliche Gefahren für Unternehmen
  4. Was müssen Unternehmen tun, um die Datenhoheit zu wahren und „Herr ihrer Daten“ zu sein?
  5. Vorteile der Datenhoheit
  6. Fazit & Zusammenfassung für Eilige

Datenhoheit – Definition & Bedeutung

Datenhoheit ist auf den ersten Blick ein sehr abstrakter Begriff, der großen Spielraum für Interpretationen lässt. Sobald man sich mit dem Thema aber näher auseinandersetzt, werden die Bedeutung und Relevanz – gerade im Bereich der Informationssicherheit – sehr schnell klar. Datenhoheit gewährleistet die volle Kontrolle darüber, wer welche Dateien, Nachrichten und Informationen lesen und bearbeiten darf. Für Sie als Unternehmen bedeutet das: Sie allein haben Zugriff auf Ihre Daten bzw. können den Zugriff anderen ermöglichen und bei Bedarf jederzeit wieder entziehen. Diese Kontrolle muss gewährleistet sein, egal wo sich die Daten befinden – sei es auf dem Transportweg (z. B. beim Versenden von Nachrichten), auf dem Server eines Cloud-Anbieters oder auf den Endgeräten Ihrer Mitarbeiter. Mit der vollen Datenhoheit ist außerdem gewährleistet, dass der Anbieter eines Cloud-Services keinerlei Verfügungsgewalt über Ihre Daten hat – weder im Zugriff noch in der Weitergabe an Dritte.

Damit ist die Datenhoheit eine wichtige Grundvoraussetzung, um vertrauliche Daten ausreichend zu schützen – ob es sich dabei um spezielles Know-how, wertvolles Datenkapital oder um sensible Daten Ihrer Kunden und Geschäftspartner handelt. Geben Sie Ihre Datenhoheit auf, ohne sich vorab sämtlicher Konsequenzen bewusst zu sein oder besitzen Sie diese gar nicht erst, gehen sie damit immer ein Risiko ein.

Vermeintliche Sicherheit – wann die Datenhoheit gefährdet ist

Damit Sie als Kunde auch in der Cloud die volle Datenhoheit behalten, bedarf es verschiedener Mechanismen, wobei die Verschlüsselung eine bedeutende Rolle spielt. Versprechen wie die „Ende-zu Ende-Verschlüsselung“ bei Kommunikationsdiensten suggerieren oft ein hohes Maß an Sicherheit – immerhin werden Ihre Daten dann verschlüsselt übertragen und landen daher nur verschlüsselt auf den Server des Anbieters. Oft hat dieser jedoch auch die Möglichkeit, auf den Endgeräten der Nutzer auf Klartextdaten zuzugreifen – und somit trotz Ende-zu-Ende-Verschlüsselung Ihre Datenhoheit auszuhebeln. Natürlich könnten Sie auf die Integrität Ihres Dienstleisters vertrauen, sofern dieser DSGVO-konform aufgestellt ist. Doch wer kann ausschließen, dass dort einmal ein Datenleck entsteht und so jemand Drittes Zugriff auf Ihre Unternehmensdaten bekommt? Oder dass gar eine Backdoor für Regierungsdienste existiert? Gegen diese Risiken sind Sie nur dann geschützt, wenn auch die ruhenden Daten auf den Endgeräten verschlüsselt werden.

Wirtschaftliche Gefahren für Unternehmen

Fernab der Frage nach den gesamtgesellschaftlichen Auswirkungen stellt sich gerade für Unternehmen ein sehr konkretes Problem: Ist eine Verschlüsselung nicht einwandfrei sichergestellt, können sensible Unternehmensdaten in die falschen Hände gelangen und dort erheblichen wirtschaftlichen Schaden anrichten. Um also Mitarbeiter, Kunden und natürlich das bestehende Geschäftsmodell bestmöglich zu schützen, sollten Organisationen um Dienste, bei denen die Gefahr einer Backdoor besteht, einen weiten Bogen machen.

Doch nicht nur gegenüber Cloud-Anbietern, auch gegenüber den eigenen Mitarbeitern sollten Sie als Unternehmen Ihre Datenhoheit wahren. Dies bedeutet zum einen, deren Zugriffsrechte auf ein Mindestmaß zu reduzieren: So dringt im Zweifelsfall nur ein begrenzter Teil der Daten nach außen – sei es im Fall eines Insider-Angriffs oder wenn Zugangsdaten in die Hände von Hackern fallen.

Zum anderen müssen Sie sich den Zugriff auf die Daten sichern für den Fall, dass Mitarbeiter z. B. unvorhergesehen das Unternehmen verlassen. Liegt dann nämlich der Schlüssel zu den Daten nur auf deren Geräten, ist kein zentraler Zugriff auf die unverschlüsselten Inhalte möglich. Somit geht Ihnen als Unternehmen wichtigen Daten und Informationen verloren.

Was müssen Unternehmen tun, um die Datenhoheit zu wahren und damit „Herr ihrer Daten“ zu sein?

Um den zentralen Zugriff auf die Daten zu wahren, ist die sogenannte hierarchische Verschlüsselung ein empfehlenswerter Mechanismus. Hier besitzen Sie als Unternehmen einen sogenannten Master-Key, der Ihnen Zugriff auf alle Inhalte gibt. Darüber hinaus können untergeordnete Zugänge eingerichtet werden. So haben Sie als Schlüsselherr immer die volle Kontrolle, wer auf welche Inhalte zugreifen kann. Auch der Dienstanbieter hat keinerlei Zugriff auf unverschlüsselte Inhalte auf seinen Servern ("Provider Shielding") – denn sämtliche Schlüssel zu den verschiedenen Zugriffsebenen liegen allein bei Ihrem Unternehmen bzw. bei authentifizierten Nutzern.

Darüber hinaus sollte der von Ihnen genutzte Dienst – ob Cloud-Service oder Messenger – über eine Möglichkeit verfügen, Gastzugänge für Kunden und Geschäftspartner einzurichten. Andernfalls kann es schnell passieren, dass Ihre Mitarbeiter der Einfachheit halber andere Kanäle für den Informationsaustausch nutzen. Sie selbst haben dann keinerlei Kontrolle mehr darüber, welche Daten an wen weitergegeben werden – und verlieren so trotz der Investition in eine sichere Lösung die Hoheit über Ihre Daten. Hinzu kommt, dass Sie sich vermehrt mit den Herausforderungen einer Schatten-IT auseinandersetzen müssen.

Vorteile der Datenhoheit

Wenn Sie bei der Nutzung externer Dienste darauf achten, stets die alleinige Datenhoheit zu behalten, profitieren Sie von den folgenden Vorteilen:

  • Optimale Voraussetzungen, um den Anforderungen der DSGVO gerecht zu werden
    Die personenbezogenen Daten Ihrer Kunden können Sie natürlich dann am zuverlässigsten schützen, wenn Sie die volle Kontrolle darüber haben. Mit der alleinigen Datenhoheit, basierend auf einer hierarchischen Verschlüsselung, haben unberechtigte Dritte keinerlei Zugriff, und selbst bei eventuellen Datenlecks über Endgeräte Ihrer Mitarbeiter hält sich der verursachte Schaden in überschaubaren Grenzen.
  • Mehr Sicherheit für vertrauliche Daten
    Natürlich sind nicht nur die sensiblen Daten Ihrer Kunden, Geschäftspartner und Mitarbeiter geschützt, sondern auch ihr firmeneigenes Datenkapital und Spezialwissen. Eine zusätzliche Absicherung also gegenüber Firmenspionage und anderen Risikofaktoren.

  • Einfache & lückenlose Archivierung
    Mit der vollen Verfügungsgewalt über die in der Cloud oder innerhalb eines Tools verwendeten (Klartext-)Daten können Sie den gesetzlichen Pflichten zur Archivierung einfach nachkommen und haben auch für interne Zwecke alle wesentlichen Informationen zentral verfügbar.

  • Wichtiger Schritt in Richtung digitale Souveränität
    Für Individuen, Institutionen und auch gesamtgesellschaftlich wird digitale Souveränität – also „die Summe aller Fähigkeiten und Möglichkeiten […], ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können“* – eine immer wichtigere Rolle spielen. Die Wahrung der eigenen Datenhoheit gehört mit zu den grundlegenden Schritten dorthin.

Fazit & Zusammenfassung für Eilige

Bei der Nutzung externer Dienste sollten Sie immer „Herr Ihrer Daten“ bleiben – also Sie als Unternehmen haben die volle und alleinige Kontrolle darüber, wer wann und in welchem Umfang Zugriff auf die betreffenden Daten erhält. So hilft Ihnen die Datenhoheit beim Datenschutz, bei der Wahrung von internem Wissen und bei der lückenlosen Archivierung geschäftsrelevanter Daten.

Darüber hinaus ist sie ein wesentlicher Schritt in Richtung digitale Souveränität – und damit nicht nur für Individuen und Instanzen, sondern auch gesamtgesellschaftlich relevant.

Bei der Auswahl des Dienstes sollten Sie daher auf folgende Voraussetzungen achten:

  • Alleiniger Besitz des Master-Keys liegt stets bei Ihnen im Unternehmen.
  • Der Anbieter des Cloud-Dienstes hat keinerlei Möglichkeit, auf die Daten zuzugreifen – weder auf dem eigenen Server noch auf den Endgeräten der Nutzer.
  • Darüber hinaus sinnvoll: Möglichkeit von Gastzugängen, um Schatten-IT zu vermeiden.

Auf diese Weise schaffen Sie eine ideale Basis für den wirklich vertraulichen Umgang mit den sensiblen Daten  Ihres Unternehmens – auch wenn Sie den Schritt in die Cloud machen.

* Publikation "Digitale Souveränität" vom Kompetenzzentrum Öffentliche IT