Sie verschlusseln Ihre Daten. Aber wer kontrolliert die Schlussel?
Warum die zentrale Souveranitat die Compliance-Lucke ist, die die meisten Unternehmen nie erwarten und wie man sie schlieen kann.
Die meisten Organisationen, die mit regulierten Daten umgehen, haben das Offensichtliche getan. Sie haben ihre Datenbanken verschlusselt. Sie haben Datenverarbeitungsvereinbarungen unterzeichnet. Sie haben die DSGVO-, FINMA- oder HIPAA-Kastchen angekreuzt, die ihnen ihre Rechtsabteilungen gegeben haben.
Dennoch nehmen die Durchsetzungsmanahmen weiter zu. Es fallen immer wieder Geldstrafen an. Prufer entdecken immer wieder Lucken.
Der Grund ist fast immer derselbe: Organisationen verwechseln Datensouveranitat mit Schlusselsouveranitat und gehen davon aus, dass die Verschlusselung von Daten ausreicht, um zu beweisen, dass sie die Kontrolle uber sie haben.
Das ist es nicht.
Verstehen Sie zunachst den Unterschied
Bei der Datensouveranitat geht es darum, wo Ihre Daten physisch gespeichert sind und welche Rechtsordnung sie regelt. Es ist die Frage, die sich die Regulierungsbehorden zuerst stellen: Werden diese Daten in einem zugelassenen Land unter einem genehmigten Rechtsrahmen gespeichert?
Bei der Schlusselsouveranitat geht es darum, wer uber die kryptografischen Schlussel verfugt, die diese Daten lesbar machen. Das ist die Frage, die die meisten Unternehmen vergessen zu stellen: Selbst wenn die Daten am richtigen Ort gespeichert sind, wer kann sie dann tatsachlich entsperren?
Deshalb ist diese Unterscheidung wichtig: Verschlusselte Daten ohne Schlusselsouveranitat sind keine wirklich kontrollierten Daten. Wenn ein Cloud-Drittanbieter uber Ihre Verschlusselungsschlussel verfugt auch im Rahmen eines Modells der geteilten Verantwortung kann er technisch auf Ihre Daten zugreifen. Ihre Regierung kann dies auch unter Vorladung tun. Das Gleiche gilt fur eine falsch konfigurierte IAM-Richtlinie. Das kann auch ein betrugerischer Insider tun.
Sie haben Ihre Daten nicht geschutzt. Sie haben den Anschein gewahrt, Ihre Daten zu schutzen.
Die Compliance-Zahlen werden immer schwerer zu ignorieren
Die Durchsetzung gesetzlicher Vorschriften rund um Verschlusselung und Schlusselverwaltung hat in allen drei groen Rahmenwerken erheblich zugenommen.
Im Rahmen der DSGVO hat der Europaische Datenschutzausschuss bei Durchsetzungsentscheidungen zunehmend unzureichende technische Manahmen einschlielich schlechter Schlusselverwaltungspraktiken angefuhrt. Laut dem CMS DSGVO Enforcement Tracker uberstiegen die gesamten erfassten Bugelder 5,65 Milliarden Euro, wobei bis Anfang 2025 2.245 Bugelder verhangt wurden. Die hochste Einzelstrafe 1,2 Milliarden Euro gegen Meta im Jahr 2023 war speziell auf die rechtswidrige Ubermittlung personenbezogener Daten in die Vereinigten Staaten zuruckzufuhren ohne ausreichenden Schutz. Die Lektion fur die Schlusselverwaltung ist direkt: Wenn auf Ihre Daten unter einer auslandischen Rechtsordnung zugegriffen werden kann, verfugen Sie moglicherweise nicht uber angemessenen Schutz unabhangig von der Verschlusselung.
Im Rahmen der FINMA haben die Schweizer Finanzaufsichtsbehorden mit dem Rundschreiben 2023/1, das am 1. Januar 2024 in Kraft trat, die Messlatte fur die Anforderungen an die betriebliche Belastbarkeit hoher gelegt ausgelagerte IT-Vereinbarungen. In ihrem [Cyberrisiko- und Outsourcing-Bericht 2024] (https://www.finma.ch/de/dokumentation/dossier/dossier-cyberrisiken/cyberrisiken-und-outsourcing-2024/) stellte die FINMA fest, dass im Jahr 2024 jede funfte Bank oder Versicherung wichtige Daten oder Funktionen an Public-Cloud-Anbieter auslagerte und wies auf das dadurch entstehende Konzentrationsrisiko hin. Wenn Schweizer Institute Verschlusselungsschlussel bei Drittanbietern auerhalb der Schweiz gespeichert haben, haben die Aufsichtsbehorden in Frage gestellt, ob die Kundenvertraulichkeitspflichten nach dem Schweizer Bankenrecht sinnvoll eingehalten werden konnen.
Unter HIPAA regelt das US-Gesundheitsministerium die Verschlusselung gema 45 CFR 164.312, das Verschlusselung und Entschlusselung als adressierbare Implementierungsspezifikationen festlegt was bedeutet, dass Organisationen sie implementieren mussen, es sei denn, sie konnen begrunden, warum nicht, und eine Entschadigung dokumentieren mussen Kontrollen, wenn dies nicht der Fall ist. HHS hat immer wieder festgestellt, dass Verschlusselung allein keinen ausreichenden Schutz darstellt, wenn wichtige Verwaltungskontrollen fehlen oder an einen Anbieter ohne angemessene vertragliche Schutzmanahmen delegiert werden.
Das Muster ist konsistent: Die Regulierungsbehorden gehen uber die Frage Sind die Daten verschlusselt? hinaus. zu Wer kontrolliert die Schlussel, wo werden sie gespeichert und unter welcher Rechtsordnung?
Wie grenzuberschreitende Schlusselspeicherung ein echtes Compliance-Risiko schafft
Szenario 1: Die EU-Bank nutzt einen US-Cloud-Anbieter
Eine deutsche Privatkundenbank verlagert ihre Kundendaten auf eine Hyperscale-Cloud-Plattform. Die Daten werden im Ruhezustand verschlusselt. Compliance unterzeichnet.
Was die Bank nicht vollstandig berucksichtigt hat: Der Cloud-Anbieter verwaltet die Verschlusselungsschlussel uber eine Infrastruktur mit Sitz in den USA. Gema dem US CLOUD Act formell Clarifying Lawful Overseas Use of Data Act (2018) konnen amerikanische Behorden in den USA ansassige Anbieter dazu zwingen, irgendwo auf der Welt gespeicherte Daten herauszugeben, sofern der Anbieter im Besitz, in der Obhut oder unter der Kontrolle daruber ist. Wie das eigene Whitepaper des DOJ bestatigt, gilt das Gesetz unabhangig davon, wo die Daten physisch gespeichert sind.
Aus Sicht der DSGVO stellt dies ein Problem dar. Artikel 32 erfordert geeignete technische Manahmen zur Gewahrleistung der Datensicherheit. Artikel 44 schrankt die Ubermittlung personenbezogener Daten in Drittlander ein. Wenn die Schlusselverwaltungsinfrastruktur den US-Behorden den Zugriff tatsachlich ermoglicht, konnten die Aufsichtsbehorden feststellen, dass die Bank in beiden Punkten gescheitert ist obwohl die Daten Frankfurt nie verlassen haben.
Szenario 2: Der Schweizer Gesundheitsdienstleister und die Outsourcing-Regeln der FINMA
Eine Schweizer Privatklinik arbeitet mit einer cloudbasierten Plattform fur Patientenakten zusammen. Die Plattform wird in der Schweiz gehostet. Auf dem Papier sieht alles korrekt aus.
Die Verschlusselungsschlussel der Plattform werden jedoch von einem von Irland aus betriebenen Schlusselverwaltungsdienst verwaltet. Wenn die Prufer der FINMA die Vereinbarung prufen unter Anwendung der Outsourcing-Grundsatze des Rundschreibens 2018/3 neben den Anforderungen an die betriebliche Belastbarkeit des Rundschreibens 2023/1 Sie kommen zu dem Schluss, dass die Klinik keine alleinige Kontrolle uber den Zugriff auf Patientendaten nachweisen kann. Der Schlusselverwaltungsanbieter konnte unter bestimmten rechtlichen Zwangen den Zugang ohne Wissen oder Zustimmung der Klinik ermoglichen.
Das Schweizer Bankgeheimnis und die Schweigepflicht im Gesundheitswesen erfordern, dass der Zugriff auf sensible Kundeninformationen streng unter der Kontrolle des Instituts bleibt. Eine wesentliche Managementabhangigkeit von einem im Ausland betriebenen Dienst schafft eine Lucke, die kein Datenverarbeitungsvertrag vollstandig uberdecken kann.
Szenario 3: Der multinationale Konzern versucht uberall gleichzeitig die Vorschriften einzuhalten
Ein globales Unternehmen fur professionelle Dienstleistungen ist in der EU, der Schweiz und den Vereinigten Staaten tatig. Es verwendet eine zentralisierte Cloud-Plattform mit einem einzigen Schlusselverwaltungsdienst, da dies vom Plattformanbieter empfohlen wurde und der Betrieb einfacher ist.
Das Problem: Die DSGVO verlangt, dass personenbezogene Daten aus der EU nur unter von der EU genehmigten Bedingungen zuganglich sein durfen. Die FINMA verlangt, dass Schweizer Finanzdaten unter schweizerischer Kontrolle bleiben. HIPAA erfordert dokumentierte Kontrollen geschutzter Gesundheitsinformationen. Ein einzelner, zentralisierter Schlusselverwaltungsdienst, der einer Rechtssprechung unterliegt, kann nicht alle drei Rahmenbedingungen gleichzeitig erfullen und der Versuch, ihn so zu nutzen, als ob er dies konnte, ist eine Compliance-Fiktion, die nur darauf wartet, aufgedeckt zu werden.
Was Branchenexperten beobachten
Die Richtung der regulatorischen Entwicklung ist denjenigen klar, die an der Schnittstelle zwischen Verschlusselungsstandards und Compliance-Rahmenwerken arbeiten.
Die Cloud Security Alliance identifizierte in ihrem Bericht Top Threats to Cloud Computing 2024 basierend auf einer Umfrage unter uber 500 Branchenexperten Schwachstellen im Identitats- und Zugriffsmanagement (IAM) zum zweiten Mal in Folge als zweitgrotes Cloud-Sicherheitsrisiko. Ein mangelhaftes kryptografisches Management wurde ausdrucklich als anhaltender Fehler in der IAM-Kategorie genannt. Die CSA behauptet seit langem, dass viele Unternehmen unwissentlich die Kontrolle uber ihre sensibelsten Daten delegieren, indem sie Standardvereinbarungen fur die Schlusselverwaltung von Cloud-Anbietern akzeptieren.
Juristen, die zu grenzuberschreitenden Datenubermittlungen beraten, haben darauf hingewiesen, dass Regulierungsbehorden in der EU und der Schweiz beginnen, nicht nur zu prufen, wo Daten gespeichert werden, sondern auch, wo der Zugriff auf diese Daten erzwungen werden kann was davon abhangt, wo die Schlussel verwaltet werden, und nicht davon, wo die Daten gespeichert sind.
Der sich abzeichnende regulatorische Konsens besteht darin, dass die Schlusselresidenz die rechtliche und physische Zustandigkeit der Verschlusselungsschlusselinfrastruktur im nachsten Regulierungszyklus zu einer expliziten Compliance-Anforderung und nicht nur zu einer Best Practice werden wird.
Das Souveranitatsparadoxon
Hier liegt das Kernproblem, klar ausgedruckt.
Eine Organisation verschlusselt ihre Daten in der Uberzeugung, dass dies ein Beweis fur Kontrolle und Sicherheit sei. Anschlieend ubergibt es die Schlusselverwaltung an einen Cloud-Drittanbieter, da dies praktisch ist und die Dokumentation des Anbieters besagt, dass es sicher ist. Die Daten werden verschlusselt. Die Organisation hat die Kontrolle daruber verloren.
Das ist das Souveranitatsparadoxon: Der technische Akt der Verschlusselung wird genutzt, um eine regulatorische Kontrollanforderung zu erfullen, wahrend gleichzeitig die praktische Fahigkeit, diese Kontrolle auszuuben, delegiert wurde.
Die Regulierungsbehorden beginnen, dies zu durchschauen. Die Frage ist nicht mehr, ob Daten verschlusselt sind. Es geht darum, ob die Organisation, die die Verantwortung fur diese Daten tragt, eine echte, nachweisbare und rechtlich belastbare Kontrolle daruber hat, wer darauf zugreifen kann einschlielich der Kontrolle uber die kryptografischen Schlussel, die den Zugriff regeln.
Wenn die Antwort lautet: Unser Cloud-Anbieter verwaltet die Schlussel und wir vertrauen ihnen, dann ist das keine Souveranitat. Das ist eine als Sicherheit getarnte Abhangigkeit.
Ein Rahmen, um dies richtig zu machen
So schlieen Sie die Lucke systematisch.
Schritt 1: Ordnen Sie Ihre wichtigsten Verwaltungsabhangigkeiten zu
Uberprufen Sie jedes System, das regulierte Daten verarbeitet. Identifizieren Sie fur jeden einzelnen Punkt Folgendes: Wer verwaltet die Verschlusselungsschlussel, wo befindet sich diese Schlusselverwaltungsinfrastruktur physisch und unter welcher Rechtsordnung sie betrieben wird. Dies ist haufig eine unangenehme Ubung. Mach es trotzdem.
Schritt 2: Beurteilen Sie die rechtliche Gefahrdung
Bewerten Sie fur jede Schlusselverwaltungsabhangigkeit, welche rechtlichen Mechanismen den Zugriff auf diese Schlussel ohne die ausdruckliche Zustimmung Ihrer Organisation erzwingen konnten. Dazu gehoren CLOUD Act-Anfragen, Zwangsanordnungen lokaler Behorden und die Vertragsbedingungen, die Ihr Anbieter mit seinen eigenen Regierungen vereinbart hat.
Schritt 3: Verstehen Sie Ihre regulatorischen Verpflichtungen genau
Artikel 32 der DSGVO und Erwagungsgrund 83 erfordern geeignete technische und organisatorische Manahmen. FINMA-Rundschreiben 2023/1 legt explizite Anforderungen fur ausgelagerte Vereinbarungen fest. HIPAAs Sicherheitsregel bei 45 CFR 164.312 spezifiziert Verschlusselung und Entschlusselung als adressierbare Implementierungsspezifikationen. Lesen Sie, was Ihre spezifische Aufsichtsbehorde verlangt und nicht, was Ihnen das Compliance-Team Ihres Anbieters sagt.
Schritt 4: Datenspeicherung von Schlusselverwaltung trennen
Die robustesten Architekturen speichern verschlusselte Daten bei einem Anbieter und verwalten Verschlusselungsschlussel vollig unabhangig vorzugsweise mit einer Infrastruktur unter der direkten Kontrolle der Organisation oder bei einem spezialisierten Schlusselverwaltungsanbieter, dessen Zustandigkeit und rechtliche Gefahrdung fur den jeweiligen Regulierungsrahmen geeignet sind. Dies ist es, was eine echte Bring Your Own Key (BYOK)- oder Hold Your Own Key (HYOK)-Architektur erreicht.
Schritt 5: Wichtige Aufenthaltsrichtlinien festlegen
Definieren Sie explizit, wo sich Verschlusselungsschlussel fur jede Kategorie regulierter Daten befinden mussen. Fur personenbezogene Daten aus der EU gema der DSGVO sollten die Schlussel innerhalb der EU-Gerichtsbarkeit verwaltet werden. Die Schlussel fur Schweizer Finanz- und Gesundheitsdaten sollten innerhalb der Schweizer Gerichtsbarkeit verwaltet werden. Dokumentieren Sie diese Richtlinie, implementieren Sie technische Kontrollen, um sie durchzusetzen, und uberprufen Sie die Einhaltung regelmaig.
Schritt 6: Uberprufen Sie die Vertrage Dritter unter Berucksichtigung des Schlusselmanagements
Ihre Datenverarbeitungsvereinbarungen regeln wahrscheinlich den Standort und die Zugriffskontrollen fur Daten. Sie befassen sich wahrscheinlich nicht mit ausreichender Spezifitat mit den wichtigsten Verwaltungszustandigkeiten und Zugriffsmechanismen. Schlieen Sie diese Lucke vertraglich, und wenn ein Anbieter nicht die erforderlichen Garantien bieten kann, behandeln Sie dies als wesentliches Compliance-Risiko denn das ist es auch.
Schritt 7: Bereiten Sie sich auf die Auditfrage vor, die Ihnen noch nicht gestellt wurde
Die Regulierungsbehorden tendieren dazu, zu verlangen: Beweisen Sie, dass keine andere Partei als Ihre Organisation ohne Ihre ausdruckliche Genehmigung auf diese Daten zugreifen kann. Bereiten Sie jetzt Ihre Antwort vor. Wenn Sie keine klare, technisch fundierte Antwort geben konnen, mussen Sie arbeiten.
Die regionale Landschaft auf einen Blick
| Rahmen | Gerichtsstand | Compliance-Verpflichtungen | Implikationen |
|---|---|---|---|
| DSGVO | Europaische Union | Artikel 32 technische Manahmen; Artikel 44 Ubertragungsbeschrankungen | Schlussel durfen nicht aufgrund nicht-EU-rechtlicher Zwange zuganglich gemacht werden |
| FINMA | Schweiz | Outsourcing-Rundschreiben; Bankgeheimnis; betriebliche Belastbarkeit | Schlussel mussen unter schweizerischer Kontrolle bleiben; Auslandische Schlusselmanager schaffen Outsourcing-Risiko |
| HIPAA | Vereinigte Staaten | Spezifikationen fur die Verschlusselung und Entschlusselung von Sicherheitsregeln; Geschaftspartnervertrage | Wichtige Managementanbieter mussen als Geschaftspartner abgedeckt sein; Zugangskontrollen mussen dokumentiert und uberprufbar sein |
Das Fazit
Datensouveranitat ohne Schlusselsouveranitat ist eine Compliance-Fiktion. Durch die Verschlusselung von Daten bei gleichzeitiger Delegierung der Schlusselverwaltung an einen Dritten unter auslandischer Rechtsprechung erhalten Sie keine Kontrolle. Es vermittelt Ihnen den Anschein von Kontrolle was bei einer Checkbox-Prufung zufriedenstellend ist und bei einer ernsthaften behordlichen Untersuchung zum Scheitern verurteilt ist.
Die Organisationen, die die nachste Welle behordlicher Kontrolle meistern werden, sind diejenigen, die die Schlusselsouveranitat als erstklassige Compliance-Anforderung und nicht als Nebensache betrachten. Sie konnen technisch und rechtlich nachweisen, dass der Zugriff auf ihre regulierten Daten vollstandig durch ihre eigenen Richtlinien und Infrastruktur geregelt wird.
Alle anderen werden einer Regulierungsbehorde ihre wichtigsten Managementabhangigkeiten erlautern.
DuoKey bietet Organisationen die Infrastruktur, um echte Schlusselsouveranitat zu erreichen in DSGVO-, FINMA- und HIPAA-Umgebungen einschlielich einer Mehrparteien-Schlusselverwaltung, die sicherstellt, dass kein einzelner Anbieter, einschlielich DuoKey, einseitig auf Ihre Daten zugreifen kann.
Ahnliche Ressourcen
