Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

10.07.2014 - 

Reality Check

Aktuelle Fragen zur Verschlüsselung

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Greifen Anwender zu Verschlüsselungs-Software, entstehen eine Menge Fragen. Sollten E-Mails "Ende zu Ende" verschlüsselt werden? Was ist mit mobilen Geräten? Wie sieht die Rechtslage aus? Wir haben uns umgehört.

In deutschen Behörden ist die Verschlüsselung von Daten bereits an der Tagesordnung. "Rechtliche Anforderungen unterstützen das", betont Marc Horstmann, Prokurist bei der Governikus KG im Gespräch mit der COMPUTERWOCHE. Sein Unternehmen stellt vielen Ämtern und Behörden maßgeschneiderte Sicherheitslösungen für die Datenverarbeitung zur Verfügung. Hier gehe es in erster Linie um die Einhaltung der Datenschutzgesetze, die die Sicherheit personenbezogener Daten vorsehen, so Horstmann. Das gilt sowohl für die Kommunikation per E-Mail als auch für die Speicherung von Daten auf Servern und Clients.

Marc Horstmann beobachtet einen steigenden Einsatz von Verschlüsselungslösungen im Behördenumfeld - ihm fehlen jedoch noch immer übergreifende Standards.
Marc Horstmann beobachtet einen steigenden Einsatz von Verschlüsselungslösungen im Behördenumfeld - ihm fehlen jedoch noch immer übergreifende Standards.
Foto: Governikus KG

"Der größere Teil der Behörden arbeitet deshalb mit Verschlüsselungs-Gateways innerhalb der eigenen Trust Domain", berichtet er von der besonderen Wichtigkeit der Ende-zu-Ende-Verschlüsselung. Nur diese gewährleiste die absolute Sicherheit der Daten vom Absende- bis hin zum Empfangspunkt und mache die Datensicherheit unabhängig von der Netzinfrastruktur, weil niemand auf dem Transportweg in die Pakete hineinschauen könne.

Eine Herausforderung ist laut Horstmann die noch immer fehlende Interoperabilität der Systeme und die damit einhergehende Standardisierung der Verschlüsselungs-Infrastruktur. "Uns fehlen die Verzeichnisdienste für den Schlüsselaustausch", sagt der Governikus-Vertreter, der früher als Entwickler gearbeitet hat und die technischen Herausforderungen der Verschlüsselung gut kennt. Vertikal gebe es diese Dienste zwar - beispielsweise für die Justizbehörden oder das DVDV (Deutsche Verwaltungsdiensteverzeichnis) anderer öffentlicher Ämter - aber allgemeine Verzeichnisse, die von einer übergeordneten Zertifizierungsstelle betreut würden, täten Not. "Die Politik ist hier gefordert", sagt Horstmann. Zumindest im Bereich der E-Mail-Verschlüsselung geht es mit dem De-Mail-Projekt zwar in die richtige Richtung, die fehlende Ende-zu-Ende-Verschlüsselung ist aber nicht wegzudiskutieren.

Anwender fürchten den Aufwand

Während sich die Ämter und Behörden bereits mit Fragen der praktischen Umsetzung von Verschlüsselungstechnologie beschäftigen, befinden sich viele private Unternehmen des Service- und Dienstleistungssektors noch mindestens einen Schritt davor. Auf der jüngsten "Business-Cryptoparty", veranstaltet von den IT-Lösungsanbietern Giegerich & Partner (Giepa) und der QGroup, sorgten sich die anwesenden Unternehmensvertreter vornehmlich um die Komplexität und die Sinnhaftigkeit von Verschlüsselung im Allgemeinen.

Giepa-Geschäftsführer Hans-Joachim Giegerich wies darauf hin, dass auch für die deutsche Privatwirtschaft nach gängiger Rechtsprechung eine "Datensicherheitspflicht" besteht, die Unternehmen auf IT-Sicherheit "nach dem aktuellen Stand der Technik" verpflichtet. Das gilt insbesondere für den Bereich der E-Mail-Verschlüsselung. Im Rahmen der Veranstaltung berichtete beispielsweise ein IT-Verantwortlicher für Forderungsmanagement, dass ein Stromversorger eine funktionierende E-Mail-Verschlüsselungslösung zur Bedingungen für eine Zusammenarbeit gemacht habe. "Wir haben uns dann für eine Gateway-basierte Lösung entschieden, bei der die einzelnen Nutzer keine Auswirkungen beim Versand der E-Mails zu spüren bekommen", so der Teilnehmer.

Wegen der häufig fehlenden Akzeptanz der Nutzer tun sich viele Unternehmen aber schwer, Verschlüsselung in einem größeren Rahmen einzusetzen als in dem, der unbedingt notwendig ist. "Wir arbeiten auf die denkbar einfachste Lösung hin, die weder die IT-Abteilung, noch die einzelnen Anwender in ihrer täglichen Arbeit stört. E-Mail-Verschlüsselung als Standard wird es nur geben, wenn die Eintrittsbarriere minimal ist", resümierte Giegerich am Ende der "Business-Cryptoparty".

Ungeklärte Zugriffsrechte

Auch die Handhabung der Verschlüsselung von Daten auf (mobilen) Clients ist nach wie vor komplex - das gibt Hugh Thompson zu bedenken, Chief Security Strategist bei Security-Anbieter Blue Coat Systems. "Die Implementierung ist mittlerweile recht gut vorzunehmen, der Authentifizierungsprozess ist das wirklich Schwierige", sagt er im Gespräch mit der COMPUTERWOCHE. Wie könne sichergestellt sein, dass nur berechtigte Nutzer auf die Schlüssel zugreifen und die verschlüsselten Daten wieder entschlüsseln dürfen? "Wir sehen deshalb weiterhin eine absolute Notwendigkeit der gerätebasierten Verschlüsselung", so Thompson - auch um sich als Unternehmen gegen den Verlust und den Diebstahl von Geräten zu versichern.

Wer hat den Schlüssel? Liegen Daten verschlüsselt vor, muss vorher schon klar sein, wer wann und warum Zugriff darauf bekommt.
Wer hat den Schlüssel? Liegen Daten verschlüsselt vor, muss vorher schon klar sein, wer wann und warum Zugriff darauf bekommt.
Foto: Jeremias Muench - Fotolia.com

Thompson, der auch dem Programmausschuss der RSA Conference vorsteht, der wohl wichtigsten Veranstaltung der IT-Security-Branche, weist zudem darauf hin, dass das grenzenlose Vertrauen in die Entwickler von Verschlüsselungsalgorithmen und -software seine Schattenseiten birgt und neu überdacht gehört. Die NSA-Affäre habe dem Vertrauen in proprietäre Lösungen massiv geschadet. "Wir sollten eine zusätzliche Kontroll-Ebene einbringen, die den Code von Verschlüsselungslösungen prüft und damit dafür sorgt, dass Risiken reduziert werden." In vielen Gesprächen habe er die Erfahrung gemacht, dass sehr viele Unternehmen das für eine gute Idee hielten und sich einbringen würden. Am Ende gehe es ausschließlich darum, dass die Anwender sich auf die verfügbaren Lösungen verlassen könnten - nachträgliches Patching und dauerhaftes Testen von Verschlüsselungs-Systemen sei kostenintensiv und könne vermieden werden, meint Thompson.

Hugh Thompson rät Unternehmen, genau hinzuschauen, bevor sie sich für eine Verschlüsselungslösung entscheiden - auch Open Source müsse immer von mehreren Seiten geprüft werden.
Hugh Thompson rät Unternehmen, genau hinzuschauen, bevor sie sich für eine Verschlüsselungslösung entscheiden - auch Open Source müsse immer von mehreren Seiten geprüft werden.
Foto: Blue Coat Systems

Je transparenter ein Verschlüsselungs-System ist, desto bessere Argumente hat schließlich auch der Anbieter dessen. Der Blue-Coat-Vertreter empfiehlt gerade Cloud-Providern, Verschlüsselungs-Technologie als einen Baustein auf dem Weg zu sichereren Web-Services anzusehen.

Newsletter 'Produkte & Technologien' bestellen!