Blockchain und Datenschutz

Viele verbinden mit dem Begriff Blockchain die digitale Währung Bitcoin. Wir verwenden Blockchain als Überbegriff über ein Sammelsurium an Technologien. Dieser Artikel gibt einen ersten Überblick über die Welt der Blockchains.

Blockchain

Einfach ausgedrückt ist eine Blockchain eine Reihe an Datensätzen mit Zeitstempel, die von einer Anzahl an Nodes (Computer) gespeichert werden. Diese Nodes werden nicht von einer einzelnen Entität gesteuert. Diese Datensätze werden in Blöcken gespeichert und mit dem Hashwert des vorangegangenen Blocks verschlüsselt. Daraus entsteht eine Kette an Blöcken. Sobald ein neuer Block gespeichert wird, ist der vorherige Block nicht mehr veränderbar. Jeder Teilnehmer (Node) hält eine Kopie der gesamten Blockchain vor und wird permament aktualisiert. Über einen komplexen Mechanismus einigen sich die Nodes untereinander, wer die Inhalte des aktuellen Blocks festlegen darf.
Die wichtigsten Eigenschaften einer Blockchain sind

  • Unveränderlichkeit
  • Transparenz
  • Dezentralisierung

Unveränderlichkeit

Die Unveränderlichkeit ist zweifellos eines der wichtigsten Merkmale jeder Blockchain. Unveränderlichkeit bedeutet, dass kein Entwickler oder Teilnehmer Daten einfügen oder verändern kann ohne Validierung durch andere Teilnehmer. Wenn eine Transaktion an eine Blockchain übergeben wird, muss eine bestimmte Anzahl Teilnehmer diese Transaktion für valide erklären damit sie in den Block aufgenommen wird. Wenn eine Transaktion in einen Block aufgenommen wird, kann sie nicht mehr verändert werden. Die Teilnehmer, die eine Transaktion validieren können, werden Validatoren genannt. Jede Blockchain hat einen eigenen Mechanismus um die Vertrauenswürdigkeit eines Validatoren zu verifizieren. Überwiegend sind das rein technische Verfahren, wodurch menschliche Unzulänglichkeiten oder Agendas ausgeschlossen werden.

Dezentralisierung

Dezentralisierung bedeutet, dass es keine einzelne Person oder Autorität gibt, die die Kontrolle über die Verarbeitung der Daten hat. Eine herkömmliche Netzwerkinfrastruktur folgt dem Client-Server Model. In diesem Model werden Betrieb und Entwicklung von einer oder mehreren Personen gesteuert, die einer Organisation oder Organisationseinheit zugeordnet werden. Die Regeln werden von der Organisation oder einer übergeordneten Autorität (z.B. einer Regierung) festgelegt.
Eine dezentrale Blockchain löst diese Abhängigkeit auf. Die Teilnehmer (Nodes) sind über die ganze Welt verteilt und kommunizieren verschlüsselt über das Internet. Der Ausfall oder das Abschalten eines Nodes hat keine Auswirkung auf die Blockchain. Keine zentrale Stelle entscheidet über die Teilnahme an der Blockchain, die Teilnahme ist grundsätzlich jedem möglich.

Transparenz

Die gesamte Blockchain ist für alle Teilnehmer einsehbar. Jede einzelne Transaktion, kann nachvollzogen werden. Natürlich enthält eine Transaktion in einer Blockchain sehr stark vereinfachte Daten. Eine Bitcoin Transaktion enthält nur die ID der sendenden und empfangenden Wallet und die Anzahl transferierter Satoshi. Aus der Transaktion geht nicht hervor, wer der Eigentümer der Wallet ist. Der Inhalt der Transaktionen ist abhängig von der Blockchain und dem Zweck der Blockchain. Spezielle Blockchains können auch für die verschlüsselte Ablage von Daten verwendet werden.

Sicherheit

Informationssicherheit zielt auf die Aspekte Vertraulichkeit, Integrität und Verfügbarkeit ab. Diese Aspekte können in einer Blockchain zu einem extrem hohen Grad gewährleistet werden. Die dezentrale Datenhaltung gewährleistet die Verfügbarkeit, da es keine Stellen gibt an denen ein Ausfall Folgen für die gesamte Blockchain hätte. Die Unveränderlichkeit gewährleistet die Integrität gewissermaßen absolut, da ein Angreifer die Mehrheit der Nodes kontrollieren müsste um eine Veränderung zu validieren. Die Vertraulichkeit wird durch Verschlüsselungsverfahren gewährleistet die nach heutigem Standard nicht geknackt werden können. Sie Sicherheit wird durch die verwendeten Verfahren gewährleistet und hängt nicht von einer übergeordneten Stelle ab. Jeder Teilnehmer autorisiert Transaktionen durch die Verwendung eines privaten Schlüssels. Die größte Schwachstelle ist daher die Aufbewahrung des privaten Schlüssels. Das liegt aber in der Verantwortung des Teilnehmers.

Warum Blockchain auf dsgvo-support.de?

Bei uns geht es um die Aspekte Datenschutz und Informationssicherheit. Die großen Herausforderungen sind dabei (neben den rein gesetzlichen Verpflichtungen) die Gewährleistung der obengenannten Sicherheitsaspekte unter Berücksichtigung der Einschränkungen der DSGVO. Ein hohes Sicherheitsniveau zu gewährleisten ist teuer und aufwändig und gerade für kleine Unternehmen oft nicht möglich. Der Einsatz von Dienstleistern bedeutet ein hohes Risiko, da zwar das Sicherheitsniveau angehoben werden kann, aber dafür eine Abhängigkeit von einer externen Stelle besteht. Gerade beim Einsatz von Cloud Anbietern besteht noch zusätzlich das Problem dass der Dienstleister einer anderen Gerichtsbarkeit untersteht und ein Zugriff auf die Daten durch fremde Regierungseinrichtungen nicht ausgeschlossen werden kann.
In den letzten Monaten hat es viele interessante Entwicklungen gegeben, die Blockchains für die Verarbeitung personenbezogener Daten interessant werden lassen. Die meisten dieser Projekte stecken noch in den Kinderschuhen, wir möchten trotzdem frühzeitig darüber berichten, damit diese Entwicklungen auch unseren Lesern zugänglich sind.

Nebenaspekte der Informationssicherheit

video

In dieser Folge geht es um die Nebenaspekte der Informationssicherheit:

  • Authentizität
  • Nicht-Abstreitbarkeit
  • Verantwortlichkeit
  • Verlässlichkeit

Anhand von Praxisbeispielen werden die Aspekte erläutert. Es werden Fragen zur Vorbereitung auf die Zertifizierung gestellt und die Bedeutung der Nebenaspekte erklärt. Auch der Zusammenhang zu den Hauptaspekten wird herausgestellt.

Die Hauptaspekte der Informationssicherheit

video

Die Hauptaspekte der Informationssicherheit sind

  • Vertraulichkeit
  • Integrigät
  • Verfügbarkeit

Vertraulichkeit: Informationen nur solchen Personen/Entitäten zur Verfügung stellen, die auch berechtigt sind, diese Information zu erhalten. Beispiele und Quizfragen dazu im Video.

Integrität: Information davor schützen, dass sie verändert, umsortiert, gelöscht, wiederhergestellt usw. werden. Warum das eine Frage von Leben und Tod sein kann, erkläre ich im Video.

Verfügbarkeit: Information dann verfügbar machen, wenn sie benötigt wird. Wie ergänzen sich Verfügbarkeit und Vertraulichkeit? Ist Verfügbarkeit der wichtigste Aspekt der Informationssicherheit? Antworten gibt es im Video.

In diesem Video gibt es auch Vertiefungsfragen zum Thema und am Schluß ein Schmankerl für Klugscheißer.

Video: Was ist Informationssicherheit?

video

Einleitungsvideo von David Gabel zum Thema “Was ist Informationssicherheit?” Der 1. Teil der Videoreihe beschäftigt sich genau mit dieser Frage.

Informationssicherheit ist die Aufrechterhaltung von

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit

von Information.

Nebenaspekte der Informationssicherheit sind

  • Authentizität
  • Nicht-Abstreitbarkeit
  • Verantwortlichkeit
  • Verlässlichkeit

Grundlagen des Risikomanagements: Assets, Schwachstellen und Bedrohungen.

Das im vorangegangenen Beitrag beschriebene Assetmanagement ist eine grundlegende Voraussetzung für ein funktionierendes Risikomanagement. Wer seine Assets nicht kennt, kann auch kaum Risiken mit Bezug zu diesen Assets identifizieren. Die ISO 27001 ist in diesem Zusammenhang nicht sonderlich hilfreich. In Kapitel 6.1.2 wird nur gefordert einen Prozess zur Informationssicherheitsrisikobeurteilung festzulegen und anzuwenden, der c) die Informationssicherheitsrisiken identifiziert. Dazu muss der Prozess Risiken im Zusammenhang mit dem Verlust der Vertraulichkeit, Integrität und Verfügbarkeit innerhalb des Anwendungsbereichs des ISMS und die Risikoeigentümer identifizieren. Wie das gehen soll, steht da aber nicht.

Read More

Was ist ein Asset?

Diese Frage wird oft diskutiert. Viele finden die Antwort recht schnell in ihrem Inventar oder ihrer CMDB. Tatsache ist, dass die Norm in den Kapiteln 4 – 10, also den Kapiteln, die das Managementsystem beschreiben, keinen direkten Bezug auf Assets liefert. Asset kann frei als „Wert“ übersetzt werden. Also, alles was für eine Organisation von Wert ist, ist ein Asset. Die Norm ISO/IEC 27000, also das Mutterschiff, sagt in Kapitel 3.2.2 ganz klar, dass Information ein Wert ist, der, ebenso wie andere wichtige Unternehmenswerte, zu schützen ist. Dabei muss berücksichtigt werden, dass Information in unterschiedlicher Form vorliegt und auf verschiedenen Medien gespeichert wird. Information kann auf Papier geschrieben werden, auf Magnetbändern archiviert werden oder einfach in den Köpfen der Mitarbeiter vorhanden sein. Information wird häufig auf verschiedenste Weise verarbeitet und hier spielen IT-Systeme eine wichtige Rolle.

Read More

Die Informationssicherheitspolitik

Vorab ein Wort unter uns: Ich finde den Begriff Politik in diesem Zusammenhang nicht besonders gut gewählt. Er ist eine Übersetzung des englischen Begriffs „Policy“, der in der Norm häufig verwendet wird und überwiegend als „Richtlinie“ oder „Leitlinie“ übersetzt wird. Diese Begriffe finde ich besser als Politik und ich habe bislang in meiner Arbeit auch überwiegend den Begriff „Leitlinie“ an dieser Stelle verwendet und darum bleibe ich auch in diesem Blogeintrag dabei.

Die Leitlinie zur Informationssicherheit oder Informationssicherheitsleitlinie (im Folgenden einfach Leitlinie genannt) definiert die Grundlage, die Ziele und die Rahmenbedingungen des Managementsystems. Sie enthält die Absichten und die Motivation des Top Managements zur Etablierung des Managementsystems. Die Veröffentlichung der Leitlinie gilt auch als Startschuss des Managementsystems. Inhaltlich sind die Anforderungen an die Leitlinie schnell erfüllt. Es gibt aber gute Gründe etwas mehr in die Leitlinie zu packen, als nur die Mindestanforderungen.

Read More

Führung und Verpflichtung – Teil 2

Mit Bezug zur Informationssicherheit und dem Informationssicherheits-Managementsystem muss die oberste Leitung, das Top Management, Führung und Verpflichtung zeigen. Die Norm teilt diese Anforderung in 8 Teilaufgaben. Die ersten 4 habe ich im letzten Teil bereits besprochen:

  • Politik und Ziele
  • Integration
  • Ressourcen
  • Bedeutung des ISMS

Aus diesen Teilaufgaben wird bereits deutlich an welcher Stelle und zu welchem Zweck sich das Top Management engagieren muss. Die weiteren Teilaufgaben erfordern ein noch deutlich gesteigertes Engagement des Top Managements.

Read More

Führung und Verpflichtung

Die Norm ISO/IEC 27001 beschreibt ein auf die Erfüllung von Zielen und Anforderungen sowie auf kontinuierliche Verbesserung ausgerichtetes Managementsystem. Die Anforderungen werden von den sogenannten interessierten Parteien bestimmt. Die Ziele werden vom Top Management vorgegeben. Bereits durch diese Vorgehensweise wird klar dass das Managementsystem einen Top-Down Ansatz verfolgt.

Führung und Verpflichtung

Auch die Bezeichnung Managementsystem lässt darauf schließen, denn Management hat die Bedeutung von steuern und lenken. Es muss also dann auch einen Steuerer und Lenker geben. Das kann eine Einzelperson (z.B. Geschäftsführer) oder ein Gremium (z.B. Vorstand) sein.

Read More

Schnittstellen und Abhängigkeiten

Niemand ist eine Insel. Diese Erkenntnis begleitete uns bereits in den vergangen Beiträgen zum Thema Kontext und Geltungsbereich. Bei der Definition des Geltungsbereichs sind neben den internen und externen Themen und den interessierten Parteien auch die Schnittstellen und Abhängigkeiten zu berücksichtigen. In diesem Beitrag geht es ebendiese Schnittstellen und Anhängigkeiten.

Read More