Intelligenter Ansatz für Datensicherheit

Der Schutz personenbezogener Informationen ist ein wichtiges Anliegen in der modernen digitalen Welt, in der praktisch niemand auf die Kosten-, Bequemlichkeits- und Sicherheitsvorteilen der digitalen Technologie verzichten möchte. Für viele von uns ist RFID (Radio Frequency Identification) Technologie ein unverzichtbarer Bestandteil des Alltags geworden.

Kontaktlose Smartcards auf Basis eines RFID-fähigen Chips sind nur eine dieser Anwendungen, die erkennbare Auswirkungen auf das Geschäftsleben haben. Immer mehr Organisationen erkennen das Potenzial dieser Technologie, ihre Unternehmen effizienter und das Leben ihrer Mitarbeiter sicherer und komfortabler zu gestalten. In dieser Zeit, in der das Kostenbewusstsein eine immer wichtigere Rolle spielt, findet die Smartcard-Technologie mit ihrer Fähigkeit, die betriebliche Effizienz zu steigern und Kosteneinsparungen voranzutreiben, bei vielen Unternehmen verständlicherweise großen Anklang.

Unternehmen, die beim Einsatz von sicheren Corporate ID Cards die Nase vorn haben, verwenden für Management und Schutz ihrer Vermögenswerte einen auf zwei Faktoren beruhenden Ansatz. Der User muss nicht nur einen Hardware-Token eingeben, sondern auch einen geheimen Code (wie zum Beispiel einen PIN-Code), um so die allgemeine Sicherheit der Anmeldung auf dem Desktop zu verbessern.  Noch vorteilhafter ist, dass derselbe Token (kontaktlose Smartcard) dazu verwendet werden kann, den physischen Zugang in die Firmengebäude zu kontrollieren, was eine derartige Lösung zu einer der effektivsten Möglichkeiten zur Gewährleistung der Arbeitsplatzsicherheit macht. Die auf drei Faktoren beruhende Authentifizierung, die eine PIN und eine zusätzliche Sicherheitsmaßnahme wie einen biometrischen Scan verwendet, geht einen Schritt weiter.

Die Vorteile für Unternehmen und Mitarbeiter sind kaum in Abrede zu stellen. Datenschützer befürchten jedoch, dass diese ausgeklügelte Technologie auch die Sicherheit personenbezogener Daten gefährden könnte. Sie befürchten weiter, dass es die Chips auf den Zutrittskontrollkarten in der Tasche ihres Inhabers ermöglichen könnten, dessen Aufenthalt ohne sein Wissen und gegen seinen Willen zu verfolgen.

Diese Bedenken beruhen größtenteils auf falschen Vorstellungen darüber, wie RFID-Technologien funktionieren. Tatsache ist, dass die für diese Karten verwendeten berührungslosen Zutrittskontrolltechnologien auf RFID-Frequenzen betrieben werden, die aus der Ferne nicht gelesen werden können. Außerdem speichern oder verwenden die meisten dieser Anwendungen keine personenbezogenen Daten. Die Privatsphäre des Benutzers wird geschützt, indem anstelle von personenbezogenen identifizierbaren Daten (personally identifiable information – PII) ein eindeutiger Identifikator verwendet wird. Dadurch werden etwaige Risiken für personenbezogene Daten minimiert. Am wichtigsten aber ist, dass die Benutzer kontrollieren können, wann ihre Berechtigungen (Transponder) gelesen werden, indem sie selbst entscheiden, wann sie sie für physischen oder logischen Zugang direkt einem Lesegerät präsentieren.

Doch unabhängig von der Legitimität dieser Bedenken ist der Schutz der Privatsphäre von höchster Bedeutung. Obwohl die Wahrnehmung von Privatsphäre in verschiedenen Regionen und sogar in benachbarten Ländern kulturbedingt sehr verschieden sein kann, bildet die Einhaltung grundlegender Datenschutzprinzipien doch einen guten Ausgangspunkt. Im Herzen der meisten Datenschutzrichtlinien stehen Grundsätze wie Benachrichtigung, Wahlfreiheit, Zustimmung und minimale Datenerfassung.

Im Mai 2009 führte die EU eine Rahmenrichtlinie zum Datenschutz speziell für Anwendungen ein, die RFID Technologie verwenden. Die Empfehlungen der EU dienen zur Festlegung von Best Practices für den Datenschutz bei RFID-Implementierungen. Nach eingehenden Beratungen mit wichtigen Stakeholder-Gruppen wurden Empfehlungen abgegeben, die eine öffentliche Diskussion über Privatsphäre und Sicherheit ins Rollen gebracht haben, eine Diskussion, die von allen begrüßt wird, die in dieser Branche tätig sind.

Die neuen Richtlinien wurden von Konsumentenschutzverbänden und Herstellern als wichtiger Schritt auf dem Weg zur Verbesserung der Transparenz und zur Gewährleistung von Datenschutz und Privatsphäre des Einzelnen begrüßt. Sie haben jedoch weitreichende Auswirkungen auf alle in der Branche Tätigen und direkte Auswirkungen auf alle Firmen, die berührungslose Smartcards für sichere Zutrittskontrollanwendungen einsetzen. Wenn man bedenkt, dass Zutrittskontrolldatenbanken oft personenbezogene Daten enthalten, die geschützt werden müssen – obwohl sie auf den Smartcards selbst nicht gespeichert sind – ist klar, dass Lösungsanbieter und Nutzer diese Auswirkungen berücksichtigen müssen, wenn sie Systeme installieren und aktualisieren.

Privacy Impact Assessment (PIA), ein System zur Beurteilung der Auswirkungen auf die Privatsphäre, wurde von den Empfehlungen der EU als eine praktische Methode hervorgehoben, um festzustellen, inwieweit personenbezogene Daten in einem Zutrittskontrollsystem verwendet werden. Laut Meinung von Brancheninsidern verlangt die Best Practice, immer einen PIA durchzuführen, wenn personenbezogene Daten im Spiel sind. Es gibt jedoch viele RFID Anwendungen, die keinerlei personenbezogene Daten verwenden. In diesen Fällen wäre die Durchführung eines PIA nicht sinnvoll und würde nur zu einer Flut von unnötigen Schreibarbeiten führen.

Der PIA untersucht, wer Zugriff auf die Daten hat, welche Daten erfasst werden, wie lange diese Daten gespeichert werden und wie sie innerhalb der Organisation verwendet werden. Er sorgt auch dafür, dass genau definierte Maßnahmen vorhanden sind, um einen nicht autorisierten Zugriff zu unterbinden, darunter genaue Protokolle und Aktionspläne im Fall einer Verletzung.

Doch der PIA ist nur der erste Schritt zum Schutz der Privatsphäre. Arbeitgeber sollten ihre Mitarbeiter über die Datenschutzpolitik ihres Unternehmens und über die entsprechenden Richtlinien informieren. Solche Richtlinien sollten in einer klaren Sprache verfasst sein, so dass die Mitarbeiter verstehen, warum ihre Daten erfasst werden und wofür sie verwendet werden. Die Mitarbeiter sollten auch die Möglichkeit haben, Bedenken zu äußern, wenn sie das Gefühl haben, dass an ihrem Arbeitsplatz Datenschutzrisiken bestehen. Abschließend ist zu sagen, dass alle im Zuge der Mitarbeiterüberwachung erfassten Daten auf legitimen geschäftlichen Rechtfertigungen beruhen sollten und dass eine schriftliche Zustimmung der Mitarbeiter zu ihrer Erfassung einzuholen ist.

Derzeit handelt es sich bei den EU-Empfehlungen um freiwillige Konsensvereinbarungen. Aber wenn die Unternehmen bis Mai 2012 nicht beweisen, dass sie sie ernst nehmen, könnte die EU entscheiden, zwingende Gesetze zu erlassen. Da Organisationen weltweit verstärkt Technologie einsetzen, um ihre Geschäftsprozesse zu optimieren und das Arbeitsleben ihrer Mitarbeiter sicherer und praktischer zu gestalten, müssen Datenschutz und Datensicherheit einen noch höheren Stellenwert erhalten. Dazu kommt, dass sich Unternehmen, die Sicherheits- und Datenschutzfragen keine Beachtung schenken, einer Fülle von geschäftlichen, rechtlichen und Reputationsrisiken aussetzen.

Die portablen und sicheren Smartcards entwickeln sich rasant zu einem wertvollen Instrument zum Schutz der physischen Sicherheit und der Sicherheit sensibler elektronischer Informationen. Mit der Entwicklung der Smartcard-Technologie müssen sich auch die Praktiken und Prozesse zu ihrer Regelung entwickeln. Durch den proaktiven Umgang mit Datenschutzfragen und die vorbeugende Minimierung von Risiken können Unternehmen dazu beitragen, etwaige Bedenken auszuräumen und ihren Mitarbeitern, Aktionären und Kunden in Eigeninitiative zeigen, dass ihnen der Schutz und die Sicherheit personenbezogener Daten wichtig sind.

Tatsächlich werden Unternehmen, die vorausblickend genug sind, die EU-Empfehlungen frühzeitig umzusetzen, die Nase vorn haben, wenn es um die Antizipation kritischer geschäftlicher Probleme geht, und unter den Ersten sein, die die Technologie zu ihrer Lösung verstehen.

Zur Autorin
Kathleen Carroll ist Director of Government Relations, HID Global. Das Unternehmen ist Anbieter für sichere Lösungen zur Identitätsprüfung. HID Global bietet Lösungen für physische und logische Zutrittskontrolle, Kartenpersonalisierung, E-Government, bargeldlose Zahlung und Industrie und Logistik.