„Der Einsatz von Verschlüsselungslösungen beispielsweise für E-Mails und Datenträger ist ein wichtiger Faktor, um die IT-Sicherheit von Unternehmen zu erhöhen und Gefahren durch Angriffe entscheidend zu minimieren. Obwohl die erforderlichen Lösungen alle auf dem Tisch zu liegen scheinen, kommt der flächendeckende Einsatz nicht recht voran. Insbesondere bei den kleinen und mittleren Unternehmen herrscht noch Nachholbedarf.“ Mit diesen Worten präsentierte Bundeswirtschaftsministerin Brigitte Zypries die Studie zur Datenverschlüsselung in KMU.
Gerade einmal drei Viertel der KMUs setzen auf Verschlüsselung. Im Hinblick auf die anstehende Datenschutzgrundverordnung im Mai führt jedoch kein Weg an kryptographischen Verfahren vorbei. Doch viele Entscheider zweifeln noch. Die folgenden Gedanken gehören ins Reich der digitalen Mythen:
"Hintertüren für mehr Kontrolle von Regierungen und Überwachungsdienste"
Der Ruf nach Software-Hintertüren vor allem auf politischer Ebene wird bekanntlich größer. „Mehr Sicherheit“ ist in diesem Sinn das groß ausgerufene Ziel. Diese Hintertüren sind Codeschnipsel, die es erlauben, unbemerkt Daten zu erhalten. Das betrifft nicht nur Kommunikations-, sondern auch Datei-Inhalte.
Die Justiz sieht darin den Vorteil, Kriminelle zu entlarven, Telefone zu überwachen und sie per Metadaten und GPS-Signalen zu orten. Doch Kryptologen verneinen, dass diese Überwachung generell möglich ist. Verschlüsselte Services, die zudem ihren Code unter Open-Source-Lizenz stellen, verhindern, dass Dritte unbemerkt an diese Informationen gelangen können.
Die erhöhte Kontrolle durch Hintertüren für Regierungen und Überwachungsdienste ist folglich ein Mythos.
"Keine Ressourcen und kein Bedarf"
Auch die Themen Zeit, Ressourcen und Bedarf spielen bei der Einführung sicherer Verschlüsselungstechnologien eine wesentliche Rolle. Aber sie sind hinfällig. Der Faktor Sicherheit wird in Zukunft zum Wettbewerbsvorteil, und Unternehmen sowie deren Branchen erkennen diese Relevanz noch nicht.
Im medizinischen Sektor ist beispielsweise gerade sehr viel Bewegung im Zuge der digitalen Transformation, Schlagwort: Telemedizin. Dabei schrecken Unternehmen vor allem an den hohen Implementierungskosten zurück und sehen nicht die Vorteile, die ein sicherer, vertrauensvoller Service für den Endverbraucher umgehend bietet. Ihnen fehlt daher die Motivation, Zeit sowie Ressourcen dafür einzusetzen und damit das Produkt besser zu machen.
Dass Bedarf besteht, zeigen viele besorgniserregende Hacker-Angriffe der letztenn Zeit, wie die Sicherheitspanne bei Equifax und jüngst der Vorfall bei MyFitnessPal, der bis heute untersucht wird. Oft reicht es aber, einfach auf sichere Technologie Dritter zu vertrauen.
"Die Implementierung nimmt viel Zeit in Anspruch"
Es muss nicht immer eine komplette Neu-Implementierung sein Möglich ist auch, dass Entscheider auf Dritt-Anbieter-Software vertrauen. Wichtig hierbei: Whitepaper, Open-Source und regelmäßige Sicherheits-Audits sollten beim Softwareanbieter einsehbar und analysierbar sein, um den eigenen Sicherheitsbedarf zu evaluieren.
Natürlich wird dieser Prozess Zeit in Anspruch nehmen. Jedoch ist dies ein vertretbares Maß im Vergleich zu einer kompletten Neu-Implementierung und es ist ein effektiver und effizienter Weg, um Datensicherheit zu garantieren.
Vorteil bei der eigenen Implementierung: Intern besteht komplette Transparenz über die Vorgänge bei der Datenverschlüsselung.
Nachteil: Mit scheidendem Personal verlässt die Krypto-Expertise das Unternehmen, eine Einarbeitung in die IT-Infrastruktur kostet Zeit und wiederum Geld.
„Militärische Verschlüsselung ist der höchstmögliche Sicherheitsstandard“
Immer wieder werben Services mit und IT-Berater für Verschlüsselung militärischen Grades. Doch ist diese “Technologie” tatsächlich sicher?
Nein. In der IT-Sicherheits-Community hat sich dieser Begriff als irreführend und eher als vielversprechende Marketing-Maßnahme herausgestellt. Der Grund dafür ist, dass diese Bezeichnung keinerlei Information über die technischen Details preisgibt. Gute Services und Unternehmen geben detailliert Auskunft über deren verwendete Verschlüsselungstechnologie.
Im Bereich Kommunikation ist die E-Mail das bekannteste Beispiel aus dem Alltag, wo kryptische Verfahren vermehrt zum Einsatz kommen. So lange jedoch die technologischen Hintergründe bekannt sind, ist der elektronische Brief lesbar wie eine Postkarte.
Für das Kommunizieren per Messenger entscheidet u.a. die TLS-Schicht hinsichtlich sicherer Datenübertragung. Die Nachrichten werden zwischen dem eigenen Endgerät und dem Server verschlüsselt, daraus resultiert aber auch der Fakt, dass Dritte auf den Server Zugriff erhalten und sensible Daten einsehen könnten.
Stand heute: Einzig Ende-zu-Ende-Verschlüsselung wahrt den erhofften Standard „militärischer Verschlüsselung“, denn hier werden die Nachrichten auf den jeweiligen Endgeräten verschlüsselt und können erst wieder auf den Endgeräten des Empfängers entschlüsselt werden. Die Server haben dabei keinen Zugriff auf die verwendeten Schlüssel. Kommunikation, die über einen Server stattfindet, kann nur auf dem Empfänger- und Sender-Device eingesehen werden.
„Militärische Verschlüsselung“ muss also kein vielversprechender Marketing-Begriff sein. Ende-zu-Ende-Verschlüsselung bietet die Möglichkeit, ein hohes Maß an IT-Sicherheit zu gewährleisten.
„Die Datenschutzgrundverordnung erschwert das Finden sicherer Lösungen“
In der neuen Datenschutzgrundverordnung steht nichts zum Thema Ende-zu-Ende-Verschlüsselung. Sie soll die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Instanzen vereinheitlichen. Unternehmen müssen konkret und flexibel angeben können, wie und wo Daten verarbeitet oder mit Dritten geteilt werden.
Ende-zu-Ende-Verschlüsselung garantiert, wie beschrieben, dass Dritte keine Einsicht in sensible Informationen erhalten, sei es die Kommunikation oder der Dateitransfer. Das vereinfacht es für Unternehmen, Auskunft hinsichtlich übermittelter Informationen zu geben und schließt eine Weitergabe der Daten aus.
Schon allein die neue Datenschutzgrundverordnung setzt einen wichtigen Impuls für die Wirtschaft und überlässt es damit dem Entscheider, die Mythen hinsichtlich Verschlüsselungstechnologien zu hinterfragen.
Das Thema Datenschutz und im Speziellen Ende-zu-Ende-Verschlüsselung werden in Zukunft eine entscheidende Rolle für den Wettbewerb spielen und ihn folglich auch beleben – in positiver Hinsicht für Unternehmen – und Verbraucher. (PC-WELT)
Lesetipp: Die 10 besten Tipps für eine sichere E-Mail-Verschlüsselung