DE | Deutsch
IT-Sicherheit 20.12.2019

Verschlüsselung: Mit Datensalat gegen Cyberspione.

Verschlüsselung ist eine der ältesten Schutztechniken vor Angriffen und Ausspähaktionen. Doch gerade im Internetzeitalter stößt die Technologie bei Unternehmen auf wenig Gegenliebe. Lediglich 28 Prozent der kleinen und mittelständischen Firmen verschlüsseln beispielsweise ihre E-Mail-Kommunikation. Ein Fehler …

Artikel teilen

 

    Steve Böhmer
    Product Manager Workplace Security

    Wenn wir eines von James Bond gelernt haben – abseits seiner (Über-)Lebenskultur-, dann, dass auch der britischste aller Top-Agenten nicht immun gegen Datenklau ist und sich Verschlüsselung immer wieder als die einzig wahre Technik erweist, um Gegner auf (Wissens-)Abstand zu halten. Parallel dazu sehen wir, wie sich die Technologie im Lauf der Zeit verändert hat: Von der aktenkoffergroßen Chiffriermaschine in „Liebesgrüße aus Moskau“ hin zu einer polymorph verschlüsselten Festplatte im Westentaschenformat in „Skyfall“.

     

    Dieses Wettrennen zwischen sicherem Verschlüsseln von Informationen und Knacken der Geheimcodes ist schon seit den alten Ägyptern in vollem Gange und gehört in der modernen Wirtschaftswelt zum Tagesgeschäft. Doch im Gegensatz zu den Krypto-Anfängen lassen sich heute Daten über Menschen aus jeder denkbaren Quelle ziehen: Eine Kreditkarte verrät nicht nur den Namen einer Person, sondern auch ihre Adresse, ihr Kaufverhalten, Arbeitgeber, Gehalt und vieles mehr. Trotzdem setzen Anwender und besonders Unternehmen zu wenig auf „kryptischen Datensalat“, um Informationen vor Angreifern abzuschotten.

      Verloren. Geklaut.

      Vor allem Systeme außerhalb des Unternehmens stehen im Fokus von Kriminellen. Sie können leicht gestohlen, kompromittiert oder einfach physisch „vergessen“ werden. Eine gute Verschlüsselung in Kombination mit Funktionen wie einer sicheren Datenlöschung minimiert Risiken.

      Mit Krypto-Technik die Datenhoheit wahren.

      Gerade in Zeiten von Big Data wächst der Berg an „Kronjuwelen“ täglich – ganz unabhängig von der Größe einer Firma. Parallel dazu reißen die Meldungen über Datenpannen und Sicherheitslecks nicht ab, was IT-Verantwortliche und Datenschutzbeauftragte häufig an den Rand der Verzweiflung bringt – erst recht mit der Anforderung, der EU-Datenschutz-Grundverordnung gerecht zu werden. Trotz gebetsmühlenartig wiederholter Forderungen ihrerseits nach weitreichenderen Schutzmaßnahmen bei der Zugangs-, Zugriffs- und Weitergabekontrolle, stoßen sie bei Entscheidern häufig auf wenig Resonanz.

       

      Das Problem: Mit einer klassischen Antivirensoftware oder Insellösungen lassen sich Daten und Netzwerke kaum noch gegen moderne, ausgefeilte Cyberangriffe schützen. Dann ist es nur noch eine Frage der Zeit, bis Kriminelle einen Weg finden, die gängigen Abwehrmechanismen auszuhebeln. Sind sie schließlich in der Lage, alle implementierten Hürden wie etwa Firewall oder den Angriffsschutz zu überwinden, erweist sich eine gute Verschlüsselungslösung als letztes uneinnehmbares Bollwerk. Unter Einsatz dieser Technologie „gewinnen“ Kriminelle selbst bei einem erfolgreichen Malware-Angriff nichts als Datenschrott. Verschlüsselte Informationen lassen sich nur schwer zu Geld machen und sind für die Angreifer wertlos. Hinzu kommt, dass Daten im DSGVO-Kontext bei Verlust oder Diebstahl nicht als verloren gelten und die Meldepflicht binnen 72 Stunden bei einem Sicherheitsvorfall entfällt.

        Unbemerkte Angriffe.

        Untersuchungen belegen, dass erfolgreiche Cyberangriffe im Durchschnitt sechs Monate unbemerkt bleiben. Gefühlt eine halbe Ewigkeit, in der Kriminelle in aller Ruhe das Unternehmensnetzwerk bis in den letzten Winkel ausspionieren, große Datenmengen stehlen und gewinnbringend verkaufen können.

        Spagat zwischen Mensch und Technik.

        Der bisher mäßige Einsatz hat verschiedene Gründe – angefangen beim hohen IT-Aufwand über Probleme mit der Nutzbarkeit bis hin zur Frage nach dem praktischen Nutzen und der Alltagstauglichkeit. Immer noch gilt in den meisten Fällen die Maxime: Komfort über Sicherheit. Dieses Bewusstsein sollte sich im Zeitalter der Digitalisierung, „denkender Systeme“ und der DSGVO schleunigst ändern. Denn auf Knopfdruck lassen sich ganz einfach vertrauliche und personenbezogene Kunden- und Mitarbeiterinformationen, geheime Fabrik- und Produktionsdaten rund um den Globus versenden.

         

        Der Schnellzugriff eröffnet zum einen neue Ressourcenräume, indem Informationen im Handumdrehen genau dort landen, wo sie benötigt werden. Zum anderen wächst durch den vermehrten Zugriff die Gefahr von Malware-Befall, Datenverlust und unbefugtem Netzwerkzugang. Hinzu kommt, dass auch das mobile und leistungsfähigere Arbeiten viele sensible Daten erzeugt, die nicht in fremde Hände gelangen dürfen. Laut aktueller Studie des Ministeriums für Wirtschaft und Energie hinken KMU den „Großen“ beim Thema Verschlüsselung deutlich hinterher. Nicht einmal jedes Dritte setzt auf diese Schutztechnologie. Dabei verlangt zum Beispiel die offene Architektur der E-Mail regelrecht nach einem Sicherheitsmechanismus, der Vertraulichkeit garantiert.

         

        Verschlüsselungs-Check für Unternehmen.

        Die Möglichkeiten für umfassenden Daten- und Informationsschutz sind vielfältig und werden mit den unterschiedlichen organisatorischen wie technischen Maßnahmen umgesetzt. Entscheidend bei der Integration einer ganzheitlichen IT-Sicherheitsstrategie ist die Interaktionsfähigkeit zwischen den Technologien und die Option, sie für Mitarbeiter im Sinne von „Security by default“ unterstützend und anwenderfreundlich einzusetzen. Das gilt auch für den Datenschutz, der bereits in den Voreinstellungen „mitgedacht“ und entsprechend im Unternehmen angepasst sein sollte. Nur so lässt sich sicherstellen, dass der Daten- und Informationsschutz von allen Mitarbeitern praktiziert wird.

          Personenbezogene Daten.

          Nach Artikel 32 der Verordnung liefert die Chiffrierung personenbezogener Daten ein „angemessenes Schutzniveau“. Denn mit verschlüsselten Datensätzen bleibt die Vertraulichkeit gewahrt, das gilt für Mitarbeiter im Außendienst, Partner und Lieferanten. In diesem Fall entfällt laut Artikel 34, Absatz 3a bei einer Datenpanne auch die Meldepflicht binnen 72 Stunden an Betroffene und Aufsichtsbehörde.

          Anstatt also erst bei einem Sicherheitsvorfall die schweren Geschütze aufzufahren, um den Schaden möglichst gering zu halten, sollten IT-Verantwortliche ihre Systeme strategisch und frühzeitig auf Angriffe vorbereiten. So lassen sich auch viele Schwachstellen im Vorfeld ausschließen. ESET gibt Tipps, wie sichere Verschlüsselung erfolgreich in Unternehmen funktioniert:

          • Sicherheit einfach gestalten, nicht kryptisch: Verschlüsselung sorgt für zusätzlichen Schutz – aber nur, solange sie auch genutzt wird. Und das wiederum wird sie dann, wenn die Bedienung Mitarbeiter weder von der täglichen Arbeit abhält oder IT-Sicherheit sogar noch komplizierter macht.
          • Verschlüsselung als Teil der IT-Security-Strategie betrachten: Die Krypto-Strategie sollte sich nahtlos in das IT-Security-Konzept einfügen lassen und die Compliance nicht unnötig aufblähen oder erschweren. Greifen Endpoint-Security, Zwei-Faktor-Authentifizierung und Verschlüsselung ineinander, entsteht eine ganzheitliche Sicherheitsstrategie, die Malware-Angriffe und Ausspähaktionen verhindert und vertrauliche Firmendaten schützt.
          • Kompetenz von außen einholen: Bei der Einführung oder Implementierung von Verschlüsselungsstrategien ist es ratsam, externe Profis ins Boot zu holen – einerseits zur Entlastung der (häufig wenigen) internen Ressourcen, andererseits lässt sich Verschlüsselung mit professioneller Expertise nutzerfreundlich und datenschutzkonform umsetzen.
          • Auswahl der Verschlüsselung nach „Security by Design“: Als IT-Verantwortlicher und Datenschutzberater empfiehlt es sich, eine Verschlüsselungslösung am Markt zu finden, in der bereits bei der Entwicklung der Lösung Sicherheit „mitgedacht“ wurde. So wird auch der Faktor Mensch weniger zum Risiko.
          • Mitarbeiter auf allen Ebenen einbeziehen: Verschlüsselung funktioniert nur so gut wie der Mitarbeiter. Umso wichtiger ist es, sie frühzeitig in interne Prozesse und Infrastrukturen zu integrieren und gezielt für das Thema und seine Vorteile zu sensibilisieren und zu schulen. Sind sie mit der implementierten Lösung überfordert oder greifen verschiedene Technologien nicht perfekt ineinander, laufen Schutzmechanismen schnell ins Leere.