Greifen Anwender zu Verschlüsselungs-Software, entstehen eine Menge Fragen. Sollten E-Mails "Ende zu Ende" verschlüsselt werden? Was ist mit mobilen Geräten? Wie sieht die Rechtslage aus? Wir haben uns umgehört.
In deutschen Behörden ist die Verschlüsselung von Daten bereits an der Tagesordnung. "Rechtliche Anforderungen unterstützen das", betont Marc Horstmann, Prokurist bei der Governikus KG im Gespräch mit der COMPUTERWOCHE. Sein Unternehmen stellt vielen Ämtern und Behörden maßgeschneiderte Sicherheitslösungen für die Datenverarbeitung zur Verfügung. Hier gehe es in erster Linie um die Einhaltung der Datenschutzgesetze, die die Sicherheit personenbezogener Daten vorsehen, so Horstmann. Das gilt sowohl für die Kommunikation per E-Mail als auch für die Speicherung von Daten auf Servern und Clients.
"Der größere Teil der Behörden arbeitet deshalb mit Verschlüsselungs-Gateways innerhalb der eigenen Trust Domain", berichtet er von der besonderen Wichtigkeit der Ende-zu-Ende-Verschlüsselung. Nur diese gewährleiste die absolute Sicherheit der Daten vom Absende- bis hin zum Empfangspunkt und mache die Datensicherheit unabhängig von der Netzinfrastruktur, weil niemand auf dem Transportweg in die Pakete hineinschauen könne.
Tools für die mobile Verschlüsselung -
Verschlüsselung bei den mobilen Plattformen Windows Phone 8 kann zwar mittels Bitlocker den Telefonspeicher aber nicht die SD-Cards verschlüsseln. Diese Verschlüsselung kann zudem nur durch einen Administrator mittels ActiveSync-Richtlinie aktiviert werden.
Verschlüsselung ab Android 3.0 möglich Wie hier unter Android 4.4.2 können zwar die Daten auf dem Tablet verschlüsselt werden – wird die Verschlüsselung aufgehoben, führt das aber zu Datenverlust.
Sophos Secure Workspace Daten verschlüsselt auf diversen Cloud-Speichern oder auch lokal auf der SD-Karte ablegen: Die Lösung Sophos Secure Workspace (früher Sophos Mobile Encryption) stellt die verschiedenen Möglichkeiten übersichtlich bereit (hier ist auch eine Verbindung zu Microsofts OneDrive eingerichtet).
Verschlüsselt in die Wolke Wurde Sophos Secure Workspace auf dem Gerät installiert, steht dem Nutzer die Möglichkeit offen, beispielsweise seine Dateien bei einem Upload auf einen Cloud-Speicher zu verschlüsseln.
Privilegien erforderlich Auch wenn die mit verschlüsselte Datei noch die normale Dateiendung besitzt: Verwenden und auf die Daten darin zugreifen kann nur ein Nutzer, der den entsprechenden Schlüssel besitzt und das Kennwort eingibt.
Boxcryptor Es ist eher selten, dass Verschlüsselungs-Apps auch für die Windows Phone-Geräte zur Verfügung stehen: Die Lösung "Boxcryptor" ist eine angenehme Ausnahme, die auch unter Windows Phone 8.1 problemlos funktioniert.
Zugriff auf unterschiedliche Cloud-Anbieter Die meisten Nutzer werden "ihren Cloud-Speicher sicher in der Auflistung der Boxcryptor-App wiederfinden.
Ab in die Cloud Der Nutzer kann mit Hilfe von Boxcryptor schnell und einfach die Dateien sowohl verschlüsselt als auch offen übertragen.
Sichere WhatsApp-Alternative Mit der freien App "Signal" können Android-Nutzer sehr sicher verschlüsselte Textnachrichten versenden und empfangen. Mittels eines Passworts werden dazu die lokalen Daten und Nachrichten verschlüsselt.
Verschlüsselt texten Auch die bereits auf dem Mobil-Gerät vorhandenen SMS-Nachrichten kann Signal (das früher TextSecure hieß) importieren und somit sicher abspeichern.
Verifikation der Nutzer untereinander Sie können mit Hilfe eines Public Keys sicherstellen, dass die Nachricht tatsächlich vom entsprechenden Anwender stammt.
USB-Sticks sicher verschlüsseln Die Open-Source-Lösung "SecurStick" verwendet ein zunächst etwas ungewöhnliches Konzept, lässt sich aber ideal auch über Plattformgrenzen hinweg einsetzen.
SecurStick im Einsatz Nach Eingabe des Passworts werden die Daten aus dem verschlüsselten Bereich mittels WebDAV auf einer montierten Dateifreigabe zur Verfügung gestellt.
Ganze Platte verschlüsseln Betriebssystempartition verschlüsseln oder auch nur einen USB-Stick sichern? Der freie "DiskCryptor" stellt all diese Möglichkeiten übersichtlich zur Verfügung.
Algorithmische Vielfalt Besonders beeindruckend bei DiskCryptor: Es werden eine ganze Reihe unterschiedlicher Verschlüsselungsalgorithmen unterstützt.
Die eingebaute Verschlüsselung Die modernen Microsoft-Betriebssysteme wie Windows 7 und Windows 8 stellen mit der Software Bitlocker bereits in vielen Versionen eine Verschlüsselung bereit, die in der "To Go"-Variante auch für USB-Sticks einzusetzen ist.
Eine Herausforderung ist laut Horstmann die noch immer fehlende Interoperabilität der Systeme und die damit einhergehende Standardisierung der Verschlüsselungs-Infrastruktur. "Uns fehlen die Verzeichnisdienste für den Schlüsselaustausch", sagt der Governikus-Vertreter, der früher als Entwickler gearbeitet hat und die technischen Herausforderungen der Verschlüsselung gut kennt. Vertikal gebe es diese Dienste zwar - beispielsweise für die Justizbehörden oder das DVDV (Deutsche Verwaltungsdiensteverzeichnis) anderer öffentlicher Ämter - aber allgemeine Verzeichnisse, die von einer übergeordneten Zertifizierungsstelle betreut würden, täten Not. "Die Politik ist hier gefordert", sagt Horstmann. Zumindest im Bereich der E-Mail-Verschlüsselung geht es mit dem De-Mail-Projekt zwar in die richtige Richtung, die fehlende Ende-zu-Ende-Verschlüsselung ist aber nicht wegzudiskutieren.
Anwender fürchten den Aufwand
Während sich die Ämter und Behörden bereits mit Fragen der praktischen Umsetzung von Verschlüsselungstechnologie beschäftigen, befinden sich viele private Unternehmen des Service- und Dienstleistungssektors noch mindestens einen Schritt davor. Auf der jüngsten "Business-Cryptoparty", veranstaltet von den IT-Lösungsanbietern Giegerich & Partner (Giepa) und der QGroup, sorgten sich die anwesenden Unternehmensvertreter vornehmlich um die Komplexität und die Sinnhaftigkeit von Verschlüsselung im Allgemeinen.
Giepa-Geschäftsführer Hans-Joachim Giegerich wies darauf hin, dass auch für die deutsche Privatwirtschaft nach gängiger Rechtsprechung eine "Datensicherheitspflicht" besteht, die Unternehmen auf IT-Sicherheit "nach dem aktuellen Stand der Technik" verpflichtet. Das gilt insbesondere für den Bereich der E-Mail-Verschlüsselung. Im Rahmen der Veranstaltung berichtete beispielsweise ein IT-Verantwortlicher für Forderungsmanagement, dass ein Stromversorger eine funktionierende E-Mail-Verschlüsselungslösung zur Bedingungen für eine Zusammenarbeit gemacht habe. "Wir haben uns dann für eine Gateway-basierte Lösung entschieden, bei der die einzelnen Nutzer keine Auswirkungen beim Versand der E-Mails zu spüren bekommen", so der Teilnehmer.
Wegen der häufig fehlenden Akzeptanz der Nutzer tun sich viele Unternehmen aber schwer, Verschlüsselung in einem größeren Rahmen einzusetzen als in dem, der unbedingt notwendig ist. "Wir arbeiten auf die denkbar einfachste Lösung hin, die weder die IT-Abteilung, noch die einzelnen Anwender in ihrer täglichen Arbeit stört. E-Mail-Verschlüsselung als Standard wird es nur geben, wenn die Eintrittsbarriere minimal ist", resümierte Giegerich am Ende der "Business-Cryptoparty".
Ungeklärte Zugriffsrechte
Auch die Handhabung der Verschlüsselung von Daten auf (mobilen) Clients ist nach wie vor komplex - das gibt Hugh Thompson zu bedenken, Chief Security Strategist bei Security-Anbieter Blue Coat Systems. "Die Implementierung ist mittlerweile recht gut vorzunehmen, der Authentifizierungsprozess ist das wirklich Schwierige", sagt er im Gespräch mit der COMPUTERWOCHE. Wie könne sichergestellt sein, dass nur berechtigte Nutzer auf die Schlüssel zugreifen und die verschlüsselten Daten wieder entschlüsseln dürfen? "Wir sehen deshalb weiterhin eine absolute Notwendigkeit der gerätebasierten Verschlüsselung", so Thompson - auch um sich als Unternehmen gegen den Verlust und den Diebstahl von Geräten zu versichern.
Thompson, der auch dem Programmausschuss der RSA Conference vorsteht, der wohl wichtigsten Veranstaltung der IT-Security-Branche, weist zudem darauf hin, dass das grenzenlose Vertrauen in die Entwickler von Verschlüsselungsalgorithmen und -software seine Schattenseiten birgt und neu überdacht gehört. Die NSA-Affäre habe dem Vertrauen in proprietäre Lösungen massiv geschadet. "Wir sollten eine zusätzliche Kontroll-Ebene einbringen, die den Code von Verschlüsselungslösungen prüft und damit dafür sorgt, dass Risiken reduziert werden." In vielen Gesprächen habe er die Erfahrung gemacht, dass sehr viele Unternehmen das für eine gute Idee hielten und sich einbringen würden. Am Ende gehe es ausschließlich darum, dass die Anwender sich auf die verfügbaren Lösungen verlassen könnten - nachträgliches Patching und dauerhaftes Testen von Verschlüsselungs-Systemen sei kostenintensiv und könne vermieden werden, meint Thompson.
Je transparenter ein Verschlüsselungs-System ist, desto bessere Argumente hat schließlich auch der Anbieter dessen. Der Blue-Coat-Vertreter empfiehlt gerade Cloud-Providern, Verschlüsselungs-Technologie als einen Baustein auf dem Weg zu sichereren Web-Services anzusehen.
Sicher ver- und entschlüsseln -
Boxcryptor Boxcryptor ermöglicht es, Daten auf Cloud-Laufwerken sicher zu verschlüsseln: Mit der kommenden Version 2.0 (hier das Beta-Release) hat der Anbieter die Lösung deutlich erweitert.
Kompatibel zu Windows 8 Touch Auch für die Touch-optimierte Windows-8-Oberfläche: Von Boxcryptor existiert eine spezielle Windows-8-Version, die das Arbeiten auf dem neuen System erleichtern soll.
Die nächste Generation Für den professionellen Einsatz in Firmen: Die kommenden Version 2.0 von Boxcryptor bietet unter anderem die Möglichkeit, die Zugriffe mittels entsprechender Richtlinien genau zu regeln.
easyCrypt Klar strukturierte Oberfläche und einfache Bedienung: easyCrypt erleichtert es den Anwendern, schnell verschlüsselte Dateien zu erstellen.
Achtung, Häkchen! Nach dem Verschlüsseln kann die Originaldatei automatisch gelöscht werden. Wer das nicht will, muss diese Option abwählen, da easyCrypt den vorher belegten Speicherplatz in jedem Fall überschreibt.
Integration in Windows Explorer easyCrypt kann direkt durch einen Rechtsklick über das Kontextmenü erreicht werden.
Wiederherstellungspunkt Daran denken leider die wenigsten Entwickler: Die Software ArchiCrypt Live kann bei der Installation direkt einen Wiederherstellungspunkt unter Windows erstellen.
Deutsche Hilfe Einer der unbestrittenen Vorteile von ArchiCrypt Live sind die ausführlichen und informativen Hilfetexte, die komplett in deutscher Sprache zur Verfügung stehen.
Ungewöhnliche GUI Der Stil der Benutzerschnittstelle von ArchiCrypt Live hält sich nicht an Windows-Konventionen, stellt dem Nutzer aber alle benötigten Zugriffe und Hilfen bereit.
PDFCrypter Spezielle Lösung für PDF-Dokumente: Der PDFCrypter ermöglicht es auf einfache Art und Weise, auch bereits vorhandene PDF-Dateien sicher zu verschlüsseln, ohne dass Kompatibilitätsprobleme auftauchen.
Outlook-Einsatz PDFCrypter steht auch als Add-In für Outlook 2013 zur Verfügung.
Streng geheim Die verschlüsselte PDF-Datei hat den Empfänger erreicht: Selbst im Web-Mailer – wie hier Google Mail – kann er das Dokument ohne das Passwort nicht öffnen und einsehen.
TruPax Wenn der Einsatz von TrueCrypt zu kompliziert ist und keine Verschlüsselung ganzer Festplatten benötigt wird: Die Freeware TruPax erstellt TrueCrypt-Container schnell und einfach.
Dateiauswahl Was soll verschlüsselt in einem Container gespeichert werden? TruPax ermöglicht es, sowohl einzelne Dateien als auch gesamte Ordner mitsamt Unterordner hinzuzufügen.
Passwortqualität Unterstützung für den Anwender: Die Güte des Passwortes wird mit Hilfe eines Farbcodes deutlich angezeigt.
Crypditor Könnte auf den ersten Blick auch der normale Texteditor der Windows-Systeme sein: Crypditor ist eher unscheinbar, erfüllt aber seine Aufgabe, reine Texte zu verschlüsseln.
Passwortqualität II Der Passwort-Checker von Crypditor ist weitaus strenger als bei vielen anderen Programmen: Er zeigt dem Nutzer deutlich an, wann ein Passwort eine ausreichende Sicherheitsqualität bietet.
Aber Finger weg für Unternehmensnutzer Ein Problem, dass den Einsatz von Crypditor in professionellen Mail-Umgebungen und bei vielen Web-Mailern verbietet: Das Programm erzeugt .exe-Dateien, die zumeist aus Sicherheitsgründen nicht als E-Mail-Anhänge zulässig sind.