Anwenderdaten vom RZ bis zur App sichern
Datenschutz in der Reisebranche
Wie gut sind Daten von Geschäftsreisenden und Touristen in Zeiten von Abhöraffären geschützt? Um ausreichende Sicherheit zu bieten, sollten Unternehmen und Dienstleister der Reiseindustrie strenge Sicherheitsstandards erfüllen und diese regelmäßig überprüfen und überprüfen lassen. Die Maßnahmen und Regeln lassen sich auch auf andere Branchen übertragen."Schließen Sie die Sicherheitsgurte und stellen Sie Ihre Rückenlehne senkrecht." Wenn dieser Satz im Flugzeug ertönt, ist zwar für die Sicherheit der Passagiere an Bord gesorgt, für die Sicherheit ihrer Daten sind aber schon viel früher Maßnahmen notwendig. Hintergrund ist, dass im Zusammenhang mit Reisen viele sensitive persönliche Daten zu verarbeiten sind. Hat ein Geschäftsreisender beispielsweise ein Hotelzimmer garantiert gebucht, musste er neben seinem Namen, seiner Telefonnummer und seiner Adresse auch Kreditkartendetails an das Hotel übermitteln. Wenn ein interkontinentaler Flug ansteht, waren noch weitere Daten und Reisepass- und Visa-Informationen offenzulegen. Die Reisebüros und Unternehmen der Reisebranche arbeiten mit einem zentralen System, das die Angebote und Vakanzen verschiedener Anbieter bündelt und vergleichbar macht. Erfolgt eine Buchung, übermittelt es die erforderlichen, lokal gespeicherten Daten aus dem Profil des Reisenden an die Systeme der beteiligten Fluglinien, Mietwagengesellschaften, Hotelketten und weiteren Anbietern. Aus Sicht der IT-Sicherheit ist diese Situation speziell, da verschiedene Buchungs- und Abrechnungs-Systeme sensible per-sönliche Daten verarbeiten und eine Vielzahl von Schnittstellen existieren. Die Tatsache, dass auch im Reise-Management Cloud-basierende Systeme und Browser-gestützte GUIs Einzug halten, erfordert es teilweise, dass persönliche Daten über öffentliche Netzwerke wandern. Wie können Touristen und Geschäftsreisende also wissen, dass ihre Daten diskret behandelt und nicht missbraucht werden? Wie können die bei Dienstreisen verantwortlichen Unternehmen die Daten ihrer Mitarbeiter schützen, wie es zum Beispiel die EU Privacy Directive 95/46/EC und lokale Gesetze vorschreiben? Die Einhaltung von Vertraulichkeits- und Sicherheitsstandards auf allen Ebenen ist hier das A und O und sollte ein wichtiges Kriterium bei der Auswahl eines Partners für das Reise-Management sein. Schutz vor Hackerangriffen ist Pflicht Rechenzentren, auf deren Systemen personenbezogene Daten gespeichert und verarbeitet werden, sind immer wieder Ziel von Hackerangriffen. Um diesen zu trotzen, sind wirkungsvolle Maßnahmen zur Sicherheit auf Netzwerk-, Server- und Applikationsebene zu ergreifen. Diese beginnen bei der Festlegung einer geeigneten Systemarchitektur, die konsequent auf mehrstufigen Firewalls und getrennten Systemschichten (Web-Server, Applikations- und Datenebene) basieren muss. Eine besondere Herausforderung dabei ist die Tatsache, dass Reisenden immer mehr auch ein mobiler Zugriff auf ihre Reiseinformationen ermöglicht wird, eine gewisse Öffnung des Datenzugriffs also unerlässlich ist. Ein Beispiel dafür ist die App Tripit, mit der Nutzer Reisepläne und aktuelle Fluginformationen via Smartphone und Tablet abrufen können. Innerhalb des privaten Netzwerks des Anbieters müssen die bekannten Sicherheitsmaßnahmen wie Intrusion Detection, Virenscanner, gehärtete Server-Konfigurationen und regelmäßige Sicherheits-Updates für die verwendete Software konsequent umgesetzt sein. Darüber hinaus können - gewissermaßen als vorderste Verteidigungsfront vor dem privaten Netzwerk - verteilte Web Application Firewalls zum Einsatz kommen, die durch die Verteilung des eingehenden Netzwerkverkehrs auf Zehntausende im Internet platzierte Server auch Denial-of-Service-Angriffe abwehren können. Auch bei der Implementierung der Reise-Management-Systeme ist bereits an Sicherheit zu denken. Sie muss so erfolgen, dass die in der von der OWASP-Community (Open Web Application Security) regelmäßig veröffentlichten Liste der häufigsten Bedrohungen die aufgeführten Angriffe wirkungsvoll unterbunden werden. Zur Unterstützung können Scan-Tools zum Einsatz kommen, die den Applikationscode statisch und während der Ausführung analysieren und es so ermöglichen, mögliche Schwachstellen zu erkennen und zu beseitigen. Server und Datenbanken mit sensiblen Daten sind durch die genannten Maßnahmen komplett von Zugriffen über das Internet abgeschirmt und vor unautorisierten Zugriffen "von außen" geschützt. Vertraulichkeit schützen mit Verschlüsselung Für den Fall, dass trotz aller Vorsicht personenbezogene Daten entwendet werden, sollten diese immer sicher verschlüsselt sein. Concur, ein Unternehmen, das Software-as-a-Service-Lösungen (SaaS) im Bereich des Reise-Managements anbietet, verschlüsselt beispielsweise alle personenbezogene Daten, bevor es sie speichert. Besonders sicherheitskritische Daten werden mit 256 Bit starken Schlüsseln codiert, die für jedes Datum individuell sind. Selbst wenn es einem Hacker also gelingen sollte, an sensible Daten aus der Datenbank zu kommen, wären diese unbrauchbar, da es keinen "Master-Key" gibt, mit dem sich alle Daten entschlüsseln ließen. Gilt es, persönliche Daten aus dem privaten Netzwerk des Reise-Management-Anbieters an externe Buchungssysteme zu übertragen, sind besondere Maßnahmen zur Verschlüsselung unerlässlich. Dedizierte VPN-oder SSL/TLS-Verbindungen, wirkungsvolle Verschlüsselung der übertragenen Daten mittels PGP 2048Bit oder anderen sicheren Verschlüsselungsverfahren sind Pflicht. Organisatorische Maßnahmen zur Datensicherheit Der "Faktor Mensch" spielt bei allen Sicherheitsüberlegungen eine nicht zu vernachlässigende Rolle, da trotz aller technischen Sicherheitsmaßnahmen immer auch Lücken durch nachlässiges oder vorsätzliches Handeln von Service-Personal drohen. Grundlegend sollte daher die physische Sicherheit in einem Rechenzentrum vorrangig sein. Dazu ist der Zugang zu Server-Umgebungen kontinuierlich zu kontrollieren - und zwar mithilfe von elektronischen Zutrittssystemen, Videoüberwachung und Alarmanlagen. Empfehlenswert ist Sicherheitspersonal, das rund um die Uhr vor Ort anwesend ist. Damit lässt sich die zentrale Überwachung des gesamten Rechenzentrums sicherstellen. Bei Concur hat darüber hinaus selbst das Personal, das für die Wartung und den Betrieb der SaaS-Lösung autorisiert ist, keinen Zugriff auf unverschlüsselte Kundendaten. Selbst deren verschlüsselte Speicherung auf Arbeitsplatzrechnern und Speichermedien ist strikt untersagt. Alle neuen Mitarbeiter von Concur erhalten darüber hinaus Trainings zum Thema Sicherheitsbewusstsein. Ausgewählte Mitarbeiter erhalten diese Schulung jährlich, Entwickler unterziehen sich regelmäßig Trainings für die Entwicklung sicherer Software. Vor Einstellung erfolgt ein sogenannter "Background Check", der sicherstellt, dass kein Service-Personal mit "einschlägiger Historie" eingestellt wird und dann Zugriff auf Kundendaten erhält. Für den Umgang mit Kundendaten gibt es darüber hinaus Arbeitsanweisungen, deren Kenntnis und Einhaltung Mitarbeiter bestätigen müssen. Das heißt: Alle sicherheitsrelevanten Abläufe sind festzulegen und regelmäßig zu kontrollieren. Die Kriterien für die Konformität der Datenverarbeitung müssen außerdem für Mitarbeiter nachvollziehbar und eindeutig festgelegt sein. Internationale Standards geben Sicherheit Die beschriebenen Sicherheitsmaßnahmen sind sehr aufwändig umzusetzen und von Unternehmen und besonders von Reisenden schwer einzuschätzen. Vorgaben dazu wie Anbieter persönliche Anwenderdaten sicher speichern und verarbeiten sollen, sind in Form von Sicherheitsstandards auf internationaler Ebene etabliert. Sie bilden für Softwarehersteller und -betreiber Rahmenwerke, die unabhängige Stellen regelmäßig prüfen können. Zertifizierung nach ISO und SOC1 Concurs Sicherheitsmaßnahmen sind beispielsweise nach ISO27001 und SOC1 (SSAE16) zertifiziert, die Speicherung und Verarbeitung von sensiblen Daten entspricht darüber hinaus dem Standard PCI DDS, den die Kreditkartenindustrie für Unternehmen entwickelt hat, die solche Transaktionen abwickeln. Beruft sich ein Anbieter auf derartige Zertifizierungen, ist dies aber keine alleinige Garantie für Sicherheit. Der wesentliche Grund ist, dass die in den Normen geforderte kontinuierliche Einhaltung und Weiterentwicklung von Sicherheitsmaßnahmen nur dann gewährleistet ist, wenn sie in regelmäßigen Abständen umgesetzt und auch nachgewiesen wird. Daher ist auch auf die regelmäßige Wiederholung der Zertifizierung zu achten. Ein Beispiel: Concur lässt die Einhaltung dieser Standards regelmäßig zweimal pro Jahr von externen Auditoren überprüfen und bestätigen.
Lesen Sie mehr zum Thema
