Rutronik News

DSGVO: Was müssen Software- und Hardware-Entwickler wissen?

Erstellt von Bernd Hantsche, Bereichsleiter Embedded & Wireless bei Rutronik |

Am 25. Mai 2018 ist die Frist für die Umsetzung der Europäischen Datenschutz-Grundverordnung (DSGVO) vorüber. Dann müssen praktisch alle Unternehmen, die personenbezogene Daten verarbeiten, umfangreiche Maßnahmen zum Schutz eben dieser Daten umgesetzt haben. Und das betrifft nicht nur europäische Unternehmen! Die DSGVO gilt weltweit für alle Unternehmen mit einer Niederlassung in der EU.

Entscheidende Artikel der DSGVO für Entwickler

Für Hardware- und Softwareentwickler, Produktmanager und Einkäufer sind in erster Linie zwei Artikel entscheidend:

  • Artikel 25 "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen"
  • Artikel 32 "Sicherheit der Datenverarbeitung"

Hier schreibt die Verordnung vor, dass direkt und indirekt personenbezogene Daten verschlüsselt werden müssen. Dabei sind Punkte zu berücksichtigen wie der Stand der Technik, die Implementierungskosten, außerdem Art, Umfang, Umstände und Zwecke der Datenverarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos. Dies lässt allerdings viele Fragen offen, z.B.:

  • Welche Daten sind direkt oder indirekt personenbezogen?
  • Wann entsprechen einzelne Komponenten und Systeme dem 'Stand der Technik'?
  • Welche Art der Verschlüsselung ist nötig? Muss es immer und überall eine asymmetrische Verschlüsselung mit RSA sein oder reicht manchmal auch das AES Verfahren, ECC oder die hybride SSL/TLS Verschlüsselung? Und wenn ja: wann?

Individueller Support statt einfacher Checkliste

Wer in Internet-Foren nach Antworten sucht, bekommt stattdessen allerdings eher Angst, den Vorgaben nicht gerecht zu werden. Viele sehen schon eine Abmahnwelle auf sich zurollen - und die Befürchtung ist nicht ganz aus der Luft gegriffen. Um sich dagegen zu wappnen, hilft jedoch keine Panik, sondern entsprechende Maßnahmen. Doch welche erfüllen die DSGVO?

Das lässt sich nicht mit einfachen Leitfäden oder Checklisten beantworten. Denn bei jeder Applikation und jedem Gerät gibt es andere Bedrohungsszenarien. Individuelle Unterstützung leistet das Rutronik DSGVO-Kompetenzteam.

Die Fachleute aus den Bereichen Speicher, Wireless, Embedded Boards und Embedded Systems, Security Bausteine, Mikrocontroller, Displays und Sensoren beraten Kunden, wie sie die Datenübermittlung, Datenspeicherung und Datenverarbeitung ihrer Anwendungen sicher gestalten können.

Auf Basis der sicherheitskritischen Punkte, der Gefährdungsszenarien und Risiken der jeweiligen Applikation erstellt das Team ein individuelles DSGVO-konformes Systemkonzept. Dies umfasst alle Komponenten und Systeme, die für diese Applikation sicherheitsrelevant sind:

  • Speicher
  • Wireless-Chips und Wireless-Module
  • Embedded Boards
  • Mikrocontroller
  • Stromversorgungen
  • Displays
  • Sensoren
  • spezielle Security Bausteine

Was ist Social Engineering?

Hinzu kommt ein gefährlicher Trend, gegen den es ebenfalls Maßnahmen zu ergreifen gilt: Social Engineering. Dabei spähen Betrüger PIN-Codes oder Passwörter einfach mit einem Fernglas aus, entwenden Schlüssel zum Öffnen von Türen oder klauen RFID-Transponder, um zugangsgeschützte Geräte trotzdem benutzen zu können. So umgehen sie jeden PIN-Code und jedes noch so ausgeklügelte Passwort.

Schutz vor Social Engineering bieten z.B. spezielle Displays mit besonders kleinem Blickwinkel, biometrische Augen- und Fingerabdruck-Sensoren sowie 3D-Kamerasysteme zur Gesichtserkennung. Auch die Wahl des optimalen Funkprotokolls sowie Mechanismen, die Schadcode bereits beim Booten entdecken, erschweren den Betrügern ihre Arbeit erheblich.

Sicherheit über die DSGVO hinaus

Bei jedem Sicherheitskonzept ist es entscheidend, alle Komponenten aufeinander abzustimmen. Denn manche hängen voneinander ab oder erzeugen Wechselwirkungen. Als Broadline Distributor hat Rutronik sowohl die Bauteile und Lösungen als auch das Know-how, um Systeme komplett zu betrachten und umfassende Sicherheitskonzepte zusammen zu stellen - auch über die DSGVO hinaus. Denn Sicherheit ist schließlich auch für Anwendungen in der Industrie 4.0 und dem Internet der Dinge ein Muss!

Sicherheitsaspekte kompakt

Alle wichtigen Aspekte zur Sicherheit und der Umsetzung der DSGVO finden Hardware- und Software-Entwickler, Produktmanager und Einkäufer in dem Whitepaper "Security Aspects - Whitepaper on How to Make State of the Art Electronic Designs". Dazu gehören:

  • die relevanten Artikel der DSGVO
  • Hintergrundwissen zu Kryptografie, Verschlüsselungs- und Wireless-Technologien
  • Erklärungen zu Phänomenen wie Silent Data Corruption, Social Engineering und Ultrasonic Beaconing
  • eine Übersicht über Sicherheitsmerkmale in Standard- und Automotive-Mikrocontrollern
  • Tipps zur Auswahl von sicherheitsrelevanten Produkten und Lösungen: Security-ICs, Mikrocontroller, Wireless-Chips und -Module, Speicher, Prozessoren, Embedded Boards, Software-Lösungen, Stromversorgungen, Fingerabdruckscanner, Lösungen für die Gesichts- und Iris-Erkennung, Zugangssysteme mit RFID-Lesern, RFID-Identitätskarten sowie 3D-Gesichtserkennungssystemen


Sämtliche Komponenten zum Thema Sicherheit sind auf www.rutronik24.de erhältlich.