Im Interview: Ömer Tekin, Technical Project Manager bei eperi.„Es braucht eine Verschlüsselung von 100 Prozent aller Web-Applikationen mit REST-Protection“
12. Juni 2024
Während die klassische Security dafür Sorge trägt, dass Cyber-Kriminelle keinen Zugang zu Netzwerken und Dateien bekommen, ist der Datenschutz vielmehr um die Inhalte von vertraulichen und sensiblen Informationen besorgt. Personenbezogene Informationen, geheime Unternehmenspläne, Finanz- und Geschäftsdaten, Entwicklungsinformationen und vieles mehr dürfen weder intern noch extern in unbefugte Hände gelangen.
Der Datenschutz gilt als eine der wichtigsten Disziplinen für Organisationen – nicht nur um Bestimmungen und Gesetzen zu genügen, sondern um das Unternehmen vor Reputationsschäden, Strafen oder gar Spionage zu schützen. Die Schwierigkeit beim Datenschutz besteht darin, dass die sensiblen Informationen nicht einfach weggeschlossen werden können, denn Unternehmen wollen mit den Daten arbeiten.
Daher müssen sie berechtigtem Personal geschützt zur Verfügung stehen. Mit einer REST-basierten Datenverschlüsselung ist sowohl dem Datenschutz, als auch der Möglichkeit, mit den Daten ungehindert zu arbeiten, genüge getan. Wie das funktioniert, erklärt Ömer Tekin, Technical Project Manager bei eperi im Interview mit Line-of.biz (LoB).
LoB: Die Datenverschlüsselung an sich klingt nach einer vernünftigen, nicht allzu komplexen Lösung, um den Datenschutz zu realisieren. Welche Herausforderungen haben Organisationen mit der Datenverschlüsselung?
Tekin: Das stimmt, der Datenschutz ist mit verschlüsselten Daten vollumfänglich erfüllt. Absolut keiner außerhalb der Organisation, die über die Schlüssel verfügt, kann die Informationen einsehen. Und genau hier ist das Problem. Denn mit Daten, die man nicht lesen kann, kann nicht gearbeitet werden – das ist in der heutigen digitalen Wirtschaft natürlich keine Option. Vielmehr muss eine moderne Datenverschlüsselung – ob on-premises oder in einer Private beziehungsweisen Public Cloud – die Interaktion mit den Applikationen einbeziehen. Und dafür eignet sich eine Datenschutzlösung mit Verschlüsselung, die auf dem REST-Protokoll aufsetzt.
LoB: Weshalb ist ausgerechnet diese Technologie das Schlüsselelement für den Datenschutz?
Tekin: Die Schwierigkeit bei einer funktionserhaltenden Datenverschlüsselung, also einem Schutz der Informationen bei gleichzeitiger Möglichkeit, mit den Daten sinnvoll arbeiten zu können, sind die vielen unterschiedlichen Technologien, mit denen eine Anwendersoftware erstellt wurde. Man kann nicht einfach in den Code hunderter Applikationen eingreifen, um die zuvor verschlüsselten Daten darin wieder sichtbar zu machen. Der Vorteil einer REST-basierten Verschlüsselung ist, dass rund 80 Prozent der Web-Applikationen auf diesem Kommunikationsstandard aufbauen. Damit haben wir die Möglichkeit, mit einem Verschlüsselungs-Gateway die Daten zu verschlüsseln und gleichzeitig das Arbeiten in der Applikation weiterhin zu ermöglichen.
LoB: Wie kann man sich diesen Datenschutz in der praktischen Anwendung vorstellen?
Tekin: An erster Stelle ist es wichtig, dass der gesamte Prozess der REST-Protection-Lösung mit Verschlüsselung, Tokenisierung und integriertem Key- &-Encryption-Management völlig unauffällig im Hintergrund läuft und weder vom Anwender bemerkt wird noch vom Administrator eine ständige Überwachung erfordert. Sensible Daten, die beispielsweise in Applikationen für Online-Reservierungen, Online-Shopping oder aber auch bei Cloud-Anwendungen wie HubSpot, HRworks, Personio oder ServiceNow verwendet werden, sind mittels REST-Protection nahtlos geschützt. Dazu ist weder zusätzlicher Entwicklungsaufwand erforderlich, noch müssen bestehende Applikationen aufwendig umprogrammiert werden. Die Verschlüsselungs-Policies lassen sich zentral und unkompliziert für jeden beliebigen Endpunkt definieren und für unterschiedliche Applikationen skalieren. Entsprechend diesen Vorgaben werden die Daten verschlüsselt oder tokenisiert, bevor sie in den nativen REST-Prozess eintauchen. Auf diese Weise können auch XML-Bodies und Daten innerhalb von CSV-Dateien, sowie andere Anhänge geschützt werden. Es ist sogar möglich, Dateien wie etwa .docx, .xlsx, .pdf, .csv, etc., als Ganzes zu verschlüsseln.
LoB: Und damit halten Unternehmen und Organisationen die Vorgaben für den Datenschutz ein?
Tekin: Den Datenschutz mit Hilfe der REST-Technologie zu realisieren, ist eine Möglichkeit, ihn vorschriftskonform zu gestalten. Darüber hinaus kann im Gateway auch eine funktionserhaltende Datenverschlüsselung für nicht REST-basierte Applikationen mit sogenannten Templates erreicht werden – etwa für Microsoft 365. Das Wichtigste – egal ob mit REST oder mit Verschlüsselungstemplates – ist, dass sensible Daten außerhalb der durch das Unternehmen kontrollierten Umgebung nie im Klartext vorliegen.
LoB: Welche zusätzlichen Empfehlungen würden Sie Unternehmen mit auf den Weg geben, die den Datenschutz mit einer Verschlüsselungstechnologie erreichen wollen?
Tekin: Wichtig ist, dass die Verschlüsselung der Daten in jedem Zustand gewährleistet ist, insbesondere dann, wenn die Informationen das Unternehmen auf dem Weg in die Cloud verlassen. Zweitens ist es essenziell, dass trotz einer Verschlüsselung das Arbeiten mit den Daten möglich bleibt. Ein besonderer Aspekt, den wir noch nicht angesprochen haben, ist die absolute Hoheit über dieVerschlüsselung. Der Datenschutz ist nur dann garantiert, wenn die Schlüssel und der Prozess der Verschlüsselung ausschließlich beim Unternehmen liegen. Es hilft also nichts, wenn ein IT-Dienstleister, ein Verschlüsselungsanbieter oder gar ein Cloud-Provider ebenfalls auf die Schlüssel zugreifen kann. Das wäre so, als wenn man seine Haustüre abschließt und den Zweitschlüssel einem nicht vertrauenswürdigen Nachbarn gibt. (rhh)
