Verschlüsselung – sensible Daten richtig schützen#Verschlüsselung – sensible Daten richtig schützen

Auf einen Blick: Verschlüsselung

Schon immer sind Menschen bemüht, Wissen vor Unbefugten zu schützen. Durch geheime Schlüssel wird ein Klartext zum Geheimtext (Chiffre) und kann von Dritten nicht mehr gelesen werden. Diese Kryptografie (Wissenschaft der Verschlüsselung) ist sehr alt und Beweise für ihre Existenz gehen bis in das dritte Jahrtausend v. Chr. im alten Ägypten zurück.

Genauso alt sind aber auch die Bemühungen der Dritten, an die Schlüssel zu gelangen oder sie zu knacken. Deshalb werden stets neue Methoden der Verschlüsselung und stärke Schlüssel entwickelt, um Informationen und Daten zu schützen.

Das Internet beschleunigt den Datenaustausch und macht Informationen kontinuierlich zugänglich. Hierdurch steigt die Wichtigkeit einer guten Verschlüsselung. Unternehmen sollten daher genau analysieren, wo Daten ausgetauscht und abgelegt werden, um mögliche Angriffspunkte von Dritten durch eine Verschlüsselung zu schützen.

Bedrohungs- bzw. Gefährdungslage

Angreifer nutzen verschiedene Angriffsvektoren, um an geheime Informationen wie z. B. Unternehmensgeheimnisse oder personenbezogene Daten zu gelangen. Häufig werden ungeschützte Kommunikationskanäle genutzt, um Daten abzuhören. Auch Systeme wie z. B. Festplatten oder externe Speichermedien können bei einer fehlenden Verschlüsselung sehr einfach von Dritten ausgelesen werden, wenn sie Zugriff auf die Medien gewinnen (bspw. durch Verlust oder Diebstahl). Für Unternehmen stellen diese Angriffe einen Bruch der Vertraulichkeit dar, so dass die IT-Sicherheitsschutzziele nicht mehr gewahrt werden können.

Die IT-Sicherheitsschutzzeile werden grundlegend durch die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität gekennzeichnet (VIVA-Prinzip). Die Verschlüsselung kann aber auch verschiedene Schutzziele positiv beeinflussen. So können bezogen auf Integrität nur vollständige und unveränderte Daten sinnvoll entschlüsselt werden. Bei der Authentizität sind durch Verschlüsselungsmethoden (Signierung) die Urheber und Absender der Daten eindeutig identifizier- und nachprüfbar.

Maßnahmen und Lösungsansätze

In Unternehmen sind besonders folgende Systeme und Prozesse durch Verschlüsselung zu schützen:

• Datenaustausch und -ablage mit mobilen Endgeräten sowie Datenträgern
• E-Mail-Kommunikation bzw. Datenübertragungen an Dritte
• Datensicherungen
• Webseiten mit Dateneingaben
• Mobiler Zugriff auf Unternehmensdaten

Möglichkeiten zur Verschlüsselung sind sehr unterschiedlich und beruhen auf verschiedenen Verschlüsselungsverfahren. Wichtig ist es, möglichst lange Schlüssel zu verwenden und bei den Verfahren stets aktuellste Varianten (AES, RSA) zu nutzen. Ältere Verfahren wie z. B. RC4 stellen heute keinen ausreichenden Schutz mehr dar. Häufig bieten Boardmittel von Betriebssystemen (z. B. Bitlocker bei Windows) die Möglichkeit an, feste und mobile Datenträger zu verschlüsseln. Bei der Kommunikation über externe Software (z. B. Videokonferenzen) ist ebenfalls darauf zu achten, dass eine Verschlüsselung eingestellt ist. Ein Zugriff auf Unternehmensdaten sollte ferner nur dann von außen möglich sein, wenn diese durch verschlüsselte VPN (Virtual Private Network)-Tunnel abgesichert sind. Webseiten sollten bei einem Datenaustausch auf HTTPS (Hypertext Transfer Protocol Secure) setzen.

Herausforderungen

Die unzureichende Planung oder Vorbereitung der Prozesse sowie Systeme der Verschlüsselung können für Unternehmen und Mitarbeitende zu Mehraufwänden führen. Ein gutes Beispiel ist dabei der regelmäßige Datenaustausch zwischen Unternehmen, die nur einzelne schützenswerte Dateien per Mail (z. B. Gehaltsdaten) austauschen wollen. Möglich wäre hier der Einsatz von verschlüsselten Container- oder Archiv-Dateien (wie z.B. ZIP-Archive).

Der Austausch und die Nutzung von dazugehörigen Passwörtern ist jedoch mit einem Mehraufwand verbunden. Anwendende greifen daher häufig auf den einfachen bzw. ungeschützten Weg zurück und versenden die Daten unverschlüsselt per Mail. In diesem Szenario würde eine automatische Verschlüsselung der E-Mails Abhilfe schaffen, hierzu müssen jedoch beide Unternehmen einen gegenseitigen Schlüsselaustausch vornehmen. In den weiterführenden Links finden Sie Anleitungen dafür sowie Informationen zur E-Mailverschlüsselung (z. B. in MS Outlook).

Weiterführende Informationen

• Bundesamt für Sicherheit in der Informationstechnik: Datenverschlüsselung
• Bundesamt für Sicherheit in der Informationstechnik: Arten der Verschlüsselung
• Outlook Blog: E-Mail in Outlook verschlüsseln
• Universität Osnabrück: Signieren und Verschlüsseln von E-Mails mit Outlook 2016

Verwandte Beiträge

• Künstliche Intelligenz und IT-Sicherheit
• NIS-2-Richtlinie – was Unternehmen wissen müssen
• NIS-2 Richtlinie – Was Unternehmen jetzt wissen müssen
• Schwachstellen in Netzwerken identifizieren
• Datenschutz und IT-Sicherheit von Beginn an mitdenken