Verschlüsselung von 100 Prozent aller Web-Applikationen mit REST-Protection
Pfungstadt, 01. Juni 2024 – Während die klassische Security dafür Sorge trägt, dass Cyberkriminelle keinen Zugang zu Netzwerken und Dateien bekommen, ist der Datenschutz vielmehr um die Inhalte von vertraulichen und sensiblen Informationen besorgt. Personenbezogene Informationen, geheime Unternehmenspläne, Finanz- und Geschäftsdaten, Entwicklungsinformationen und vieles mehr dürfen weder intern noch extern in unbefugte Hände gelangen.
Daher ist der Datenschutz eine der wichtigsten Disziplinen für Organisationen – nicht nur um Bestimmungen und Gesetzen zu genügen, sondern um das Unternehmen vor Reputationsschäden, Strafen oder gar Spionage zu schützen. Die Schwierigkeit beim Datenschutz besteht darin, dass die sensiblen Informationen nicht einfach weggeschlossen werden können, denn Unternehmen wollen mit den Daten arbeiten. Daher müssen sie berechtigtem Personal geschützt zur Verfügung stehen. Mit einer REST-basierten Datenverschlüsselung ist sowohl dem Datenschutz als auch der Möglichkeit, mit den Daten ungehindert zu arbeiten, genüge getan. Wie das funktioniert, erklärt Ömer Tekin, Technical Project Manager bei eperi.
Herr Tekin, die Datenverschlüsselung an sich klingt nach einer vernünftigen, nicht allzu komplexen Lösung, um den Datenschutz zu realisieren. Welche Herausforderungen haben Organisationen mit der Datenverschlüsselung?
Das stimmt, der Datenschutz ist mit verschlüsselten Daten vollumfänglich erfüllt. Absolut keiner außerhalb der Organisation, die über die Schlüssel verfügt, kann die Informationen einsehen. Und genau hier ist das Problem. Denn mit Daten, die man nicht lesen kann, kann nicht gearbeitet werden – das ist in der heutigen digitalen Wirtschaft natürlich keine Option.
Vielmehr muss eine moderne Datenverschlüsselung – ob on-premises oder in einer Private beziehungsweisen Public Cloud – die Interaktion mit den Applikationen einbeziehen. Und dafür eignet sich eine Datenschutzlösung mit Verschlüsselung, die auf dem REST-Protokoll aufsetzt.
Weshalb ist ausgerechnet diese Technologie das Schlüsselelement für den Datenschutz?
Die Schwierigkeit bei einer funktionserhaltenden Datenverschlüsselung, also einem Schutz der Informationen bei gleichzeitiger Möglichkeit, mit den Daten sinnvoll arbeiten zu können, sind die vielen unterschiedlichen Technologien, mit denen eine Anwendersoftware erstellt wurde. Man kann nicht einfach in den Code hunderter Applikationen eingreifen, um die zuvor verschlüsselten Daten darin wieder sichtbar zu machen.
Der Vorteil einer REST-basierten Verschlüsselung ist, dass rund 80 Prozent der Web-Applikationen auf diesem Kommunikationsstandard aufbauen. Damit haben wir die Möglichkeit, mit einem Verschlüsselungs-Gateway die Daten zu verschlüsseln und gleichzeitig das Arbeiten in der Applikation weiterhin zu ermöglichen.
Wie kann man sich diesen Datenschutz in der praktischen Anwendung vorstellen?
An erster Stelle ist es wichtig, dass der gesamte Prozess der REST-Protection-Lösung mit Verschlüsselung, Tokenisierung und integriertem Key- &-Encryption-Management völlig unauffällig im Hintergrund läuft und weder vom Anwender bemerkt wird noch vom Administrator eine ständige Überwachung erfordert. Sensible Daten, die beispielsweise in Applikationen für Online-Reservierungen, Online-Shopping oder aber auch bei Cloud-Anwendungen wie HubSpot, HRworks, Personio oder ServiceNow verwendet werden, sind mittels REST-Protection nahtlos geschützt. Dazu ist weder zusätzlicher Entwicklungsaufwand erforderlich, noch müssen bestehende Applikationen aufwendig umprogrammiert werden. Die Verschlüsselungs-Policies lassen sich zentral und unkompliziert für jeden beliebigen Endpunkt definieren und für unterschiedliche Applikationen skalieren. Entsprechend diesen Vorgaben werden die Daten verschlüsselt oder tokenisiert, bevor sie in den nativen REST-Prozess eintauchen. Auf diese Weise können auch XML-Bodies und Daten innerhalb von CSV-Dateien, sowie andere Anhänge geschützt werden. Es ist sogar möglich, Dateien wie etwa .docx, .xlsx, .pdf, .csv, etc., als Ganzes zu verschlüsseln.
Und damit halten Unternehmen und Organisationen die Vorgaben für den Datenschutz ein?
Den Datenschutz mit Hilfe der REST-Technologie zu realisieren, ist eine Möglichkeit, ihn vorschriftskonform zu gestalten. Darüber hinaus kann im Gateway auch eine funktionserhaltende Datenverschlüsselung für nicht REST-basierte Applikationen mit sogenannten Templates erreicht werden – etwa für Microsoft 365. Das Wichtigste - egal ob mit REST oder mit Verschlüsselungstemplates – ist, dass sensible Daten außerhalb der durch das Unternehmen kontrollierten Umgebung nie im Klartext vorliegen.
Welche zusätzlichen Empfehlungen würden Sie Unternehmen mit auf den Weg geben, die den Datenschutz mit einer Verschlüsselungstechnologie erreichen wollen?
Wichtig ist, dass die Verschlüsselung der Daten in jedem Zustand gewährleistet ist, insbesondere dann, wenn die Informationen das Unternehmen auf dem Weg in die Cloud verlassen. Zweitens ist es essenziell, dass trotz einer Verschlüsselung das Arbeiten mit den Daten möglich bleibt.
Ein besonderer Aspekt, den wir noch nicht angesprochen haben, ist die absolute Hoheit über die Verschlüsselung. Der Datenschutz ist nur dann garantiert, wenn die Schlüssel und der Prozess der Verschlüsselung ausschließlich beim Unternehmen liegen. Es hilft also nichts, wenn ein IT-Dienstleister, ein Verschlüsselungsanbieter oder gar ein Cloud-Provider ebenfalls auf die Schlüssel zugreifen kann. Das wäre so, als wenn man seine Haustüre abschließt und den Zweitschlüssel einem nicht vertrauenswürdigen Nachbarn gibt.
Danke für das Gespräch Herr Tekin und die die spannenden Einblicke in den Datenschutz mit einer REST-Protection-Lösung.
Über die Eperi GmbH:
Wir glauben, dass Datenschutz ein grundlegendes Menschenrecht ist. Unser Ziel ist es, dass Menschen und Unternehmen zu jeder Zeit die Kontrolle über ihre Daten behalten. Ohne Kompromisse und mit der besten Technologie. Mit dem Fokus auf die Sicherheit seiner Kunden hat eperi eine Lösung geschaffen, die für den Benutzer unsichtbar ist und gleichzeitig die höchsten Sicherheitsstandards erfüllt.
Mit der eperi Lösung profitieren Unternehmen von allen Vorteilen der Cloud-Nutzung, wie beispielsweise einer effizienten unternehmensweiten Kollaboration, und bleiben dabei rechtssicher gemäß weltweiter Datenschutzgesetze. eperi besitzt mehrere internationale Patente für seine innovative Multi-Cloud-Technologie, die einen konkurrenzlosen Datenschutz für SaaS Anwendungen, individuelle Applikationen und Dateien bietet. Der Kunde behält die alleinige Kontrolle über alle sensiblen Daten, da keine unverschlüsselten Daten in die Cloud gesendet werden.
Wir ermöglichen die Cloud – einfach, sicher, individuell, DSGVO-konform.
Über die Swiss IT Security Group
Als führende Unternehmensgruppe in Europa bündeln wir das Know-how unserer Partner und bieten unseren Kunden ein umfassendes Dienstleistungsportfolio an. Unsere Expertise erstreckt sich über unterschiedliche Branchen und von mittelständischen oder Großunternehmen über öffentliche Einrichtungen bis hin zu Schulen oder Krankenhäusern. Ob strategische Beratung, Prozessoptimierung oder Implementierung von Services – wir binden alle Unternehmensbereiche ein und gehen mit spezialisierten Lösungen gegen Cyberkriminalität vor.
Pressekontakt eperi
Eperi GmbH
Sabine Jost
Gutenbergstraße 4-6
64319 Pfungstadt
Tel: +49 (0)6157 95639 16
E-Mail: sabine.jost@eperi.com
Web: www.eperi.com
Pressekontakt Agentur
TC Communications
Thilo Christ
Tel: +49 171 6220610
Alexandra Schmidt
Tel: +49 170 3871064
E-Mail: eperi@tc-communications.de