Die Notwendigkeit der (zusätzlichen) Verschlüsselung von (personenbezogenen, schützenswerten) Daten richtet sich nach:
- dem Speicherort und
- der Schutzstufe der Daten (gemäß dem Schutzstufenkonzept LfD Niedersachsen)
Für LUH-(Cloud-)Dienste als Speicherort, die aus dem Internet (direkt) zugreifbar sind (z.B. LUH-Cloud-Seafile), gilt:
- Daten der Schutzstufe A-B: Verschlüsselung nicht notwendig
- Daten der Schutzstufe C: Verschlüsselung nicht notwendig, kann aber sinnvoll sein
- Daten der Schutzstufe D-E: Verschlüsselung notwendig
Die Verschlüsselung sollte so erfolgen, dass der Dienst-Betreiber ohne Schlüssel nicht auf die Daten zugreifen kann (das Geheimnis (Schlüssel, Passwort o.ä.) sollte nur den zugriffsberechtigen Personen vorliegen). Geeignete technische Möglichkeiten werden auf den Seiten der IT-Sicherheit beschrieben (Empfehlenswert: z.B. Cryptomator oder verschlüsselte 7Zip-Dateien. Nicht empfohlen wird die Nutzung der in Seafile eingebauten Funktionalität der verschlüsselten Bibliotheken).
Die Anforderungen an die Verschlüsselung für dienstlich genutzte mobile Speicherträger als Speicherort der Daten werden im dazugehörigen Rundschreiben erläutert.
Für andere Speicherorte sind die o.g. "Faustregeln" ebenso eine gute Herangehensweise.