In deutschen Behörden ist die Verschlüsselung von Daten bereits an der Tagesordnung. "Rechtliche Anforderungen unterstützen das", betont Marc Horstmann, Prokurist bei der Governikus KG im Gespräch mit der COMPUTERWOCHE. Sein Unternehmen stellt vielen Ämtern und Behörden maßgeschneiderte Sicherheitslösungen für die Datenverarbeitung zur Verfügung. Hier gehe es in erster Linie um die Einhaltung der Datenschutzgesetze, die die Sicherheit personenbezogener Daten vorsehen, so Horstmann. Das gilt sowohl für die Kommunikation per E-Mail als auch für die Speicherung von Daten auf Servern und Clients.
Foto: Governikus KG
"Der größere Teil der Behörden arbeitet deshalb mit Verschlüsselungs-Gateways innerhalb der eigenen Trust Domain", berichtet er von der besonderen Wichtigkeit der Ende-zu-Ende-Verschlüsselung. Nur diese gewährleiste die absolute Sicherheit der Daten vom Absende- bis hin zum Empfangspunkt und mache die Datensicherheit unabhängig von der Netzinfrastruktur, weil niemand auf dem Transportweg in die Pakete hineinschauen könne.
- Verschlüsselung bei den mobilen Plattformen
Windows Phone 8 kann zwar mittels Bitlocker den Telefonspeicher aber nicht die SD-Cards verschlüsseln. Diese Verschlüsselung kann zudem nur durch einen Administrator mittels ActiveSync-Richtlinie aktiviert werden. - Verschlüsselung ab Android 3.0 möglich
Wie hier unter Android 4.4.2 können zwar die Daten auf dem Tablet verschlüsselt werden – wird die Verschlüsselung aufgehoben, führt das aber zu Datenverlust. - Sophos Secure Workspace
Daten verschlüsselt auf diversen Cloud-Speichern oder auch lokal auf der SD-Karte ablegen: Die Lösung Sophos Secure Workspace (früher Sophos Mobile Encryption) stellt die verschiedenen Möglichkeiten übersichtlich bereit (hier ist auch eine Verbindung zu Microsofts OneDrive eingerichtet). - Verschlüsselt in die Wolke
Wurde Sophos Secure Workspace auf dem Gerät installiert, steht dem Nutzer die Möglichkeit offen, beispielsweise seine Dateien bei einem Upload auf einen Cloud-Speicher zu verschlüsseln. - Privilegien erforderlich
Auch wenn die mit verschlüsselte Datei noch die normale Dateiendung besitzt: Verwenden und auf die Daten darin zugreifen kann nur ein Nutzer, der den entsprechenden Schlüssel besitzt und das Kennwort eingibt. - Boxcryptor
Es ist eher selten, dass Verschlüsselungs-Apps auch für die Windows Phone-Geräte zur Verfügung stehen: Die Lösung "Boxcryptor" ist eine angenehme Ausnahme, die auch unter Windows Phone 8.1 problemlos funktioniert. - Zugriff auf unterschiedliche Cloud-Anbieter
Die meisten Nutzer werden "ihren Cloud-Speicher sicher in der Auflistung der Boxcryptor-App wiederfinden. - Ab in die Cloud
Der Nutzer kann mit Hilfe von Boxcryptor schnell und einfach die Dateien sowohl verschlüsselt als auch offen übertragen. - Sichere WhatsApp-Alternative
Mit der freien App "Signal" können Android-Nutzer sehr sicher verschlüsselte Textnachrichten versenden und empfangen. Mittels eines Passworts werden dazu die lokalen Daten und Nachrichten verschlüsselt. - Verschlüsselt texten
Auch die bereits auf dem Mobil-Gerät vorhandenen SMS-Nachrichten kann Signal (das früher TextSecure hieß) importieren und somit sicher abspeichern. - Verifikation der Nutzer untereinander
Sie können mit Hilfe eines Public Keys sicherstellen, dass die Nachricht tatsächlich vom entsprechenden Anwender stammt. - USB-Sticks sicher verschlüsseln
Die Open-Source-Lösung "SecurStick" verwendet ein zunächst etwas ungewöhnliches Konzept, lässt sich aber ideal auch über Plattformgrenzen hinweg einsetzen. - SecurStick im Einsatz
Nach Eingabe des Passworts werden die Daten aus dem verschlüsselten Bereich mittels WebDAV auf einer montierten Dateifreigabe zur Verfügung gestellt. - Ganze Platte verschlüsseln
Betriebssystempartition verschlüsseln oder auch nur einen USB-Stick sichern? Der freie "DiskCryptor" stellt all diese Möglichkeiten übersichtlich zur Verfügung. - Algorithmische Vielfalt
Besonders beeindruckend bei DiskCryptor: Es werden eine ganze Reihe unterschiedlicher Verschlüsselungsalgorithmen unterstützt. - Die eingebaute Verschlüsselung
Die modernen Microsoft-Betriebssysteme wie Windows 7 und Windows 8 stellen mit der Software Bitlocker bereits in vielen Versionen eine Verschlüsselung bereit, die in der "To Go"-Variante auch für USB-Sticks einzusetzen ist.
Eine Herausforderung ist laut Horstmann die noch immer fehlende Interoperabilität der Systeme und die damit einhergehende Standardisierung der Verschlüsselungs-Infrastruktur. "Uns fehlen die Verzeichnisdienste für den Schlüsselaustausch", sagt der Governikus-Vertreter, der früher als Entwickler gearbeitet hat und die technischen Herausforderungen der Verschlüsselung gut kennt. Vertikal gebe es diese Dienste zwar - beispielsweise für die Justizbehörden oder das DVDV (Deutsche Verwaltungsdiensteverzeichnis) anderer öffentlicher Ämter - aber allgemeine Verzeichnisse, die von einer übergeordneten Zertifizierungsstelle betreut würden, täten Not. "Die Politik ist hier gefordert", sagt Horstmann. Zumindest im Bereich der E-Mail-Verschlüsselung geht es mit dem De-Mail-Projekt zwar in die richtige Richtung, die fehlende Ende-zu-Ende-Verschlüsselung ist aber nicht wegzudiskutieren.
Anwender fürchten den Aufwand
Während sich die Ämter und Behörden bereits mit Fragen der praktischen Umsetzung von Verschlüsselungstechnologie beschäftigen, befinden sich viele private Unternehmen des Service- und Dienstleistungssektors noch mindestens einen Schritt davor. Auf der jüngsten "Business-Cryptoparty", veranstaltet von den IT-Lösungsanbietern Giegerich & Partner (Giepa) und der QGroup, sorgten sich die anwesenden Unternehmensvertreter vornehmlich um die Komplexität und die Sinnhaftigkeit von Verschlüsselung im Allgemeinen.
Giepa-Geschäftsführer Hans-Joachim Giegerich wies darauf hin, dass auch für die deutsche Privatwirtschaft nach gängiger Rechtsprechung eine "Datensicherheitspflicht" besteht, die Unternehmen auf IT-Sicherheit "nach dem aktuellen Stand der Technik" verpflichtet. Das gilt insbesondere für den Bereich der E-Mail-Verschlüsselung. Im Rahmen der Veranstaltung berichtete beispielsweise ein IT-Verantwortlicher für Forderungsmanagement, dass ein Stromversorger eine funktionierende E-Mail-Verschlüsselungslösung zur Bedingungen für eine Zusammenarbeit gemacht habe. "Wir haben uns dann für eine Gateway-basierte Lösung entschieden, bei der die einzelnen Nutzer keine Auswirkungen beim Versand der E-Mails zu spüren bekommen", so der Teilnehmer.
Wegen der häufig fehlenden Akzeptanz der Nutzer tun sich viele Unternehmen aber schwer, Verschlüsselung in einem größeren Rahmen einzusetzen als in dem, der unbedingt notwendig ist. "Wir arbeiten auf die denkbar einfachste Lösung hin, die weder die IT-Abteilung, noch die einzelnen Anwender in ihrer täglichen Arbeit stört. E-Mail-Verschlüsselung als Standard wird es nur geben, wenn die Eintrittsbarriere minimal ist", resümierte Giegerich am Ende der "Business-Cryptoparty".
Ungeklärte Zugriffsrechte
Auch die Handhabung der Verschlüsselung von Daten auf (mobilen) Clients ist nach wie vor komplex - das gibt Hugh Thompson zu bedenken, Chief Security Strategist bei Security-Anbieter Blue Coat Systems. "Die Implementierung ist mittlerweile recht gut vorzunehmen, der Authentifizierungsprozess ist das wirklich Schwierige", sagt er im Gespräch mit der COMPUTERWOCHE. Wie könne sichergestellt sein, dass nur berechtigte Nutzer auf die Schlüssel zugreifen und die verschlüsselten Daten wieder entschlüsseln dürfen? "Wir sehen deshalb weiterhin eine absolute Notwendigkeit der gerätebasierten Verschlüsselung", so Thompson - auch um sich als Unternehmen gegen den Verlust und den Diebstahl von Geräten zu versichern.
Foto: Jeremias Muench - Fotolia.com
Thompson, der auch dem Programmausschuss der RSA Conference vorsteht, der wohl wichtigsten Veranstaltung der IT-Security-Branche, weist zudem darauf hin, dass das grenzenlose Vertrauen in die Entwickler von Verschlüsselungsalgorithmen und -software seine Schattenseiten birgt und neu überdacht gehört. Die NSA-Affäre habe dem Vertrauen in proprietäre Lösungen massiv geschadet. "Wir sollten eine zusätzliche Kontroll-Ebene einbringen, die den Code von Verschlüsselungslösungen prüft und damit dafür sorgt, dass Risiken reduziert werden." In vielen Gesprächen habe er die Erfahrung gemacht, dass sehr viele Unternehmen das für eine gute Idee hielten und sich einbringen würden. Am Ende gehe es ausschließlich darum, dass die Anwender sich auf die verfügbaren Lösungen verlassen könnten - nachträgliches Patching und dauerhaftes Testen von Verschlüsselungs-Systemen sei kostenintensiv und könne vermieden werden, meint Thompson.
Foto: Blue Coat Systems
Je transparenter ein Verschlüsselungs-System ist, desto bessere Argumente hat schließlich auch der Anbieter dessen. Der Blue-Coat-Vertreter empfiehlt gerade Cloud-Providern, Verschlüsselungs-Technologie als einen Baustein auf dem Weg zu sichereren Web-Services anzusehen.
- Boxcryptor
Boxcryptor ermöglicht es, Daten auf Cloud-Laufwerken sicher zu verschlüsseln: Mit der kommenden Version 2.0 (hier das Beta-Release) hat der Anbieter die Lösung deutlich erweitert. - Kompatibel zu Windows 8 Touch
Auch für die Touch-optimierte Windows-8-Oberfläche: Von Boxcryptor existiert eine spezielle Windows-8-Version, die das Arbeiten auf dem neuen System erleichtern soll. - Die nächste Generation
Für den professionellen Einsatz in Firmen: Die kommenden Version 2.0 von Boxcryptor bietet unter anderem die Möglichkeit, die Zugriffe mittels entsprechender Richtlinien genau zu regeln. - easyCrypt
Klar strukturierte Oberfläche und einfache Bedienung: easyCrypt erleichtert es den Anwendern, schnell verschlüsselte Dateien zu erstellen. - Achtung, Häkchen!
Nach dem Verschlüsseln kann die Originaldatei automatisch gelöscht werden. Wer das nicht will, muss diese Option abwählen, da easyCrypt den vorher belegten Speicherplatz in jedem Fall überschreibt. - Integration in Windows Explorer
easyCrypt kann direkt durch einen Rechtsklick über das Kontextmenü erreicht werden. - Wiederherstellungspunkt
Daran denken leider die wenigsten Entwickler: Die Software ArchiCrypt Live kann bei der Installation direkt einen Wiederherstellungspunkt unter Windows erstellen. - Deutsche Hilfe
Einer der unbestrittenen Vorteile von ArchiCrypt Live sind die ausführlichen und informativen Hilfetexte, die komplett in deutscher Sprache zur Verfügung stehen. - Ungewöhnliche GUI
Der Stil der Benutzerschnittstelle von ArchiCrypt Live hält sich nicht an Windows-Konventionen, stellt dem Nutzer aber alle benötigten Zugriffe und Hilfen bereit. - PDFCrypter
Spezielle Lösung für PDF-Dokumente: Der PDFCrypter ermöglicht es auf einfache Art und Weise, auch bereits vorhandene PDF-Dateien sicher zu verschlüsseln, ohne dass Kompatibilitätsprobleme auftauchen. - Outlook-Einsatz
PDFCrypter steht auch als Add-In für Outlook 2013 zur Verfügung. - Streng geheim
Die verschlüsselte PDF-Datei hat den Empfänger erreicht: Selbst im Web-Mailer – wie hier Google Mail – kann er das Dokument ohne das Passwort nicht öffnen und einsehen. - TruPax
Wenn der Einsatz von TrueCrypt zu kompliziert ist und keine Verschlüsselung ganzer Festplatten benötigt wird: Die Freeware TruPax erstellt TrueCrypt-Container schnell und einfach. - Dateiauswahl
Was soll verschlüsselt in einem Container gespeichert werden? TruPax ermöglicht es, sowohl einzelne Dateien als auch gesamte Ordner mitsamt Unterordner hinzuzufügen. - Passwortqualität
Unterstützung für den Anwender: Die Güte des Passwortes wird mit Hilfe eines Farbcodes deutlich angezeigt. - Crypditor
Könnte auf den ersten Blick auch der normale Texteditor der Windows-Systeme sein: Crypditor ist eher unscheinbar, erfüllt aber seine Aufgabe, reine Texte zu verschlüsseln. - Passwortqualität II
Der Passwort-Checker von Crypditor ist weitaus strenger als bei vielen anderen Programmen: Er zeigt dem Nutzer deutlich an, wann ein Passwort eine ausreichende Sicherheitsqualität bietet. - Aber Finger weg für Unternehmensnutzer
Ein Problem, dass den Einsatz von Crypditor in professionellen Mail-Umgebungen und bei vielen Web-Mailern verbietet: Das Programm erzeugt .exe-Dateien, die zumeist aus Sicherheitsgründen nicht als E-Mail-Anhänge zulässig sind.