Beiträge

Kapitel 1 – Einleitung

Die Digitalisierung dringt in die Köpfe der Entscheider – sowohl auf unternehmerischer als auch auf politischer Ebene.

Außer Veränderungen kommt alles einmal aus der Mode. Die Digitalisierung treibt zunehmend mit neuen Technologien den Handel. So verändert zum Beispiel der 3-D-Druck (1.2) nachhaltig die Wertschöpfungsketten. In der Industrie 4.0 stehen intelligente Maschinen, Anlagen und Geräte, kurz cyberphysische Systeme, in Kommunikation und Kooperation mit Menschen, Logistik und Produkten. Ziel dieser Vernetzung durch das IoT (1.14) ist die endverbrauchernahe industrielle Produktion des personalisierten Produkts, am liebsten in Echtzeit. Aber auch die VR- und AR-Technologie (1.4) beschleunigt den Handel und bringt neue Verkaufstechniken mit sich. Mithilfe von Augmented Reality können beispielsweise Möbel in Originalgröße im heimischen Wohnzimmer platziert und auf die restliche Einrichtung abgestimmt werden. Zeitgleich wird das Wissen über den Kunden durch Big-Data-Analysen (1.5) immer wichtiger, um Personalisierungsstrategien zu ermöglichen. Zu den Treibern kommen noch neue Regelungen und Gesetze hinzu, wie zum Beispiel „PSD2“ (1.13), die neue Chancen für den Handel generieren. //

Überarbeitete Richtlinie über Zahlungsdienste (PSD2)

PSD2 löst die Zahlungsdienste-Richtlinie (2007/64/EG) PSD vom 13. November 2007 ab und ist seit dem 13. Januar 2018 gültig.

von Andreas Fuhrich

Am 8. Oktober 2015 verabschiedete das Europäische Parlament den Vorschlag der Europäischen Kommission zur Schaffung sichererer und innovativerer europäischer Zahlungen (PSD2). Die neuen Regeln zielen darauf ab, die Verbraucher besser zu schützen, wenn sie online bezahlen, die Entwicklung und Nutzung innovativer Online- und Mobilfunkzahlungen zu fördern und die grenzüberschreitenden europäischen Zahlungsdienste sicherer zu machen.

Kommissar Jonathan Hill, zuständig für Financial Stability, Financial Services und Capital-Markets-Union, sagte: „Diese Gesetzgebung ist ein Schritt in Richtung eines digitalen Binnenmarktes, der den Verbrauchern und Unternehmen zugutekommt und der Wirtschaft helfen wird.“

Am 16. November 2015 verabschiedete der Rat der Europäischen Union die PSD2, Richtlinie (EU) 2015/2366. Die Mitgliedstaaten haben zwei Jahre Zeit, die Richtlinie in ihre nationalen Gesetze und Vorschriften umzusetzen. Die überarbeitete Richtlinie über Zahlungsdienst wurde in Deutschland mit dem Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie am 13. Januar 2018 umgesetzt. Am 27. November 2017 hat die EU-Kommission Vorschriften zu PSD2 verabschiedet, die elektronische Zahlungen in Geschäften und im Internet sicherer machen sollen. Nach Annahme der technischen Regulierungsstandards durch die Kommission haben das Europäische Parlament und der Rat drei Monate Zeit, um diese zu prüfen. Die neuen Vorschriften werden vorbehaltlich des Prüfungszeitraums im Amtsblatt der EU veröffentlicht. Banken und andere Zahlungsdienstleister haben dann 18 Monate Zeit, um die Sicherheitsmaßnahmen und Kommunikationsinstrumente einzuführen.

Die neue EU-Zahlungsdienste-Richtlinie PSD2 soll Finanz-Start-ups stärken. Die Banken werden verpflichtet, Schnittstellen einzurichten, die Zahlungsdienstleistern den Zugriff auf die Konten der Bankkunden ermöglichen. Allerdings ringen FinTechs und Banken um die richtige Auslegung – und die Frage, wie sie auf Kundendaten zugreifen dürfen. Die Banken beharren darauf, dass künftig nur noch Daten über spezielle Schnittstellen und nicht mehr direkt übers Onlinebanking – im Fachjargon Screen Scraping – abgefragt werden. Über die datenschutzrechtlichen Aspekte des Zugriffs externer Dienstleister, beispielsweise bei Missbrauch der Kundendaten durch Dienstleister, besteht in Deutschland noch keine Einigkeit.

Die Schweiz muss die PSD2-Regulierung der EU nicht umsetzen, dennoch wird diskutiert, ob eine PSD2-äquivalente Regulierung eingeführt werden soll. In der Schweiz gewähren die Banken bereits heute Drittanbietern Zugriff auf Konten und öffnen die Kundenschnittstelle, wenn dies im beidseitigen Interesse von Bank und Kunden ist. Ein gesetzlicher Zwang für die Banken besteht jedoch nicht. Die Schweiz setzt somit auf marktwirtschaftliche Lösungen. Die Schweizerische Bankiervereinigung (SBVg) lehnt eine Regulierung analog zu PSD2 respektive eine gesetzlich erzwungene Öffnung der Zugriffsrechte für Dritte ab. //

Verschlüsselung ist nicht alles

Verbraucherdaten sind zu schützen – Datensicherung und Anonymisierung im Handel

von Dr. Christoph Hönscheid

Aufgrund der EU-Datenschutzgrundverordnung (DSGVO) muss auch der Handel wirksame Maßnahmen zum Schutz von Informationen ergreifen. Gerade in dieser Branche werden Daten häufig in Bereichen verarbeitet, über die das Unternehmen keine Kontrolle hat, so zum Beispiel bei den großen Cloud-Anbietern in den USA. Anonymisierungs-Gateways als „Single Point of Control“ können kritische Daten auf ihrem Weg dorthin „entschärfen“, ohne die Funktionen betroffener Applikationen zu beeinträchtigen.

Der Handel gehört seit Jahren zu den bevorzugten Zielen von Cyberkriminellen: Hier können sie, sofern sie mit ihrem Treiben erfolgreich sind, an große Mengen von Kundendaten kommen, und hier fällt ihnen der Erfolg oft genug recht leicht, weil die Unternehmen ihre Daten weniger gut schützen als beispielsweise in der Industrie, im Finanzsektor oder im Bereich Forschung und Entwicklung. Dabei sind Daten im Handel und besonders im Einzelhandel in hohem Maße „kritisch“ – Verbraucherdaten, vielleicht sogar mit Informationen über Kreditkarten oder Bankverbindungen lassen sich schneller und unkomplizierter monetarisieren als Daten, die in anderen Bereichen abgegriffen wurden.

Mit der EU-Datenschutzgrundverordnung (DSGVO), die ab Mai endgültig in Kraft tritt, ändern sich jedoch auch für den Handel die Rahmenbedingungen der Datensicherheit. Wenn Unternehmen massive Strafzahlungen vermeiden wollen, müssen sie beizeiten wirksame Maßnahmen ergreifen, um für alle Geschäftsanwendungen einen höchstmöglichen Schutz der personenbezogenen Informationen sicherzustellen. Die DSGVO fordert den Schutz personenbezogener Daten über deren gesamten Lebenszyklus hinweg – Unternehmen müssen also jederzeit die volle Kontrolle über diese Daten behalten, von der Erfassung bis zur Archivierung. Das gilt für selbstentwickelte Anwendungen ebenso wie für Standard-Software und natürlich auch für Cloud-Services – es sind also beispielsweise sowohl die Anwender von SAP als auch von Salesforce betroffen.

Auch im Handel lagern ja immer mehr Unternehmen Geschäftsprozesse in die Cloud aus, da Cloud-Services hinsichtlich Flexibilität, Skalierbarkeit und Kosten unübersehbare Vorteile bieten. Die Sicherung von Ge-schäftsdaten – und damit auch Kundendaten – ist aber in Cloud-Anwendungen immer eine besondere Herausforderung. So hat das jewei-lige Unternehmen dann nicht mehr die alleinige und vollständige Kontrolle darüber, wie mit den Daten verfahren wird. Insbesondere aber schreiben regulatorische Vorgaben gerne vor, dass Daten den betreffenden nationalen Geltungsbereich nicht verlassen dürfen. Wer also zum Beispiel die Kundendaten seiner chinesischen Niederlassung mit Salesforce verarbeiten möchte, das wiederum die Daten in einem japanischen Rechenzentrum speichert, hat ein Problem, das sich ohne Verschlüsse-lung oder Verschleierung der Daten nicht beheben lässt. Nur so ist sichergestellt, dass die Daten unkenntlich das Land verlassen und erst wieder lesbar werden, wenn sie zurückkommen.

Insbesondere regulatorische Vorgaben sehen oft vor, dass Daten den jeweiligen nationalen Geltungsbereich nicht verlassen dürfen.

Für die Sicherung sensibler Daten in der Cloud eignet sich besonders eine spezielle Cloud-Data-Protection-Lösung – ein Anonymisierungs-Gateway, das sämtliche sensiblen Informationen verschlüsselt oder verschleiert, bevor sie überhaupt erst an die Cloud-Anwendung übermittelt werden. Wichtig sind dabei die folgenden Anforderungen:

  • Das Gateway sollte so flexibel sein, dass es für eine Vielzahl von Cloud- oder Web-Anwendungen und Datenbanken angepasst werden kann;
  • die Lösung darf die Funktionalität der Anwendungen trotz Veränderung der Daten nicht einschränken; Funktionen wie Suchen, Sortieren und Reporting müssen weiterhin problemlos möglich sein.

Anonymisierungs-Gateways bieten für die Verschleierung der Daten einen „Single Point of Control“, der unabhängig von den Anwendungen und den zu schützenden Daten administriert wird. Die Cloud-Anwendung erhält zu keinem Zeitpunkt Zugriff auf Schlüssel oder Daten im Klartext, denn die Schlüssel verbleiben ausschließlich beim Gateway und damit beim Anwenderunternehmen. Sie werden dort von speziellen Sicherheitsadministratoren verwaltet, die zwar bestimmen, welche Nutzer die Informationen im Klartext lesen dürfen, die aber selbst keinen Zugriff auf Anwendung und Speicherort der Daten haben. Auf diese Weise lassen sich zum Beispiel für Handelsunternehmen komplette Supply-Chains in der Cloud abbilden, ohne dass dadurch die Daten gefährdet werden. Anonymisierungs-Gateways arbeiten mithilfe eines flexiblen Template-Konzepts, das die Möglichkeit zur selektiven Datenverdunklung bietet. Mit anpassbaren Templates können Unternehmen die wirklich kritischen Daten auswählen und diese gezielt so verbergen, dass sie von der Anwendung noch akzeptiert werden.

Grenzen der Verschlüsselung

Unbestritten ist Verschlüsselung für die Bewältigung dieser Aufgabe eine performante und sichere Methode, um die Daten zu schützen. Sie ist aber nicht in jedem Fall die ausreichende Antwort. Verschlüsselte Daten sind ja nicht mehr als kryptische Zeichenketten, die nicht mehr erkennen lassen, dass sie zuvor beispielsweise eine Postleitzahl waren. Genau dies erwarten Anwendungen allerdings und prüfen, ob in das Feld „PLZ“ wirklich eine fünfstellige Zahl eingegeben wird. Außerdem sollte für Auswertungen oder Reports eine Postleitzahl zwar nicht konkret identifizierbar, aber doch weiterhin als Postleitzahl einer Region erkennbar sein.

Diese Anforderungen löst die Technik des Data-Maskings beziehungsweise der Data-Obfuscation (Datenverdunklung): Hier werden die Daten nicht einfach verschlüsselt, sondern so verschleiert, dass ihre Struktur weiterhin erhalten bleibt; eine Postleitzahl sieht also nach wie vor wie eine Postleitzahl aus, lediglich ihr Inhalt wurde so verändert, dass keine Rückschlüsse mehr auf den betreffenden Datensatz möglich sind. Das Gateway löst die Verschleierung beim Abruf der Daten durch berechtigte Personen dann wieder auf. Die betreffenden Anwendungen und Datenbanken funktionieren weiterhin einwandfrei; zugleich ist den Vorschriften Genüge geleistet, denn es gingen keinerlei Klardaten nach draußen.

Handelsunternehmen erfüllen mit einem Anonymisierungs-Gateway gleich mehrere Anforderungen: Sie sichern die Kundendaten und damit ihr wertvollstes Kapital; sie erfüllen die gesetzlichen Vorgaben und vermeiden damit Strafen; sie halten ihre ERP- und CRM-Anwendungen auch in Infrastrukturen, die sie nicht kontrollieren können, trotzdem weiter voll funktionsfähig, sodass sie weiter wettbewerbsfähig agieren können. //

Autorenvita: Dr. Christoph Hönscheid

 

 

Der Text ist unter der Lizenz CC BY-SA 3.0 DE verfügbar.
Lizenzbestimmungen: