End-to-End-Verschlüsselungen
Ziemlich sicher reicht nicht
Immer wieder gelangen vertrauliche geschäftliche Daten wie Ausschreibungsunterlagen oder Konstruktionsdateien, wenn sie per E-Mail übermittelt werden, an den Wettbewerb. Mit einer durchgängigen Datenverschlüsselung lassen sich solche Schreckensszenarien jedoch durchaus verhindern.
Solange es beim Datenaustausch mit Kunden, Lieferanten, Geschäftspartnern oder Interessenten nur um allgemein zugängliche Informationen geht, ist die Welt noch in Ordnung. Ganz anders sieht es bei vertraulichen Unterlagen aus, die unverschlüsselt per E-Mail verschickt werden. Geraten die Daten – beispielsweise durch Diebstahl oder Abfangen – in die falschen Hände, entsteht für Unternehmen schnell ein beträchtlicher materieller Schaden und oft ist dann auch das Image beschädigt. Auch wenn in den vergangenen Jahren beträchtliche Gelder in Firewalls, Virenschutz und Spamfilter investiert wurden, um die IT-Sicherheit zu verbessern, haben viele Anwender die eigentliche Übertragung von Daten, insbesondere den Versand von E-Mails, als Risiko ignoriert.
Informationen schützen
Die oberste Regel lautet daher: Alle sensiblen und vertraulichen Informationen, die das Unternehmen verlassen, müssen optimal geschützt werden. Nach dieser Maxime sollte jedes Unternehmen seine IT-Sicherheitsmaßnahmen aufbauen. Einen hundertprozentigen Schutz gibt es nicht, denn Angreifer haben viele Mittel zur Verfügung, um ihr Ziel zu erreichen. Es gibt heute technische und organisatorische Möglichkeiten, die Hürden höher zu legen und es Angreifern so schwer wie möglich zu machen. Eine der wirksamsten Methoden ist die Verschlüsselung. Sie sollte am Entstehungsort der Daten einsetzen und den gesamten Übertragungsweg mit einschließen – mit anderen Worten: eine Ende-zu-Ende-Verschlüsselung. Wichtig ist, dass Unternehmen eine ganzheitliche Strategie zum Umgang mit ihren Daten entwickeln und diese nahtlos in ihren Geschäftsalltag integrieren.
Daten klassifizieren
Meilensteine bei einer durchgängigen Ende-zu-Ende-Datensicherheit bilden erstens die Klassifikation der Daten, zweitens die Bewertung der Risiken eines Datenverlustes und drittens Maßnahmen zur Minderung dieser Risiken. Ein wirksamer Schutz beginnt mit einer Aufschlüsselung und Einordnung der verwendeten Daten. Zur Klassifizierung der Schutzbedürftigkeit von Daten geht beispielsweise das Bundesamt für Sicherheit in der Informationstechnik (BSI) von einem dreistufigen Modell aus:
existenziell bedrohliches Ausmaß erreichen.
Ein geeigneter Ansatzpunkt zur Erstellung eines Sicherheitskonzeptes besteht darin, Lösungen zunächst dort zu etablieren, wo die Sicherheitsanforderungen am größten sind – bei der Geschäftsleitung, der Personalabteilung und der Produktentwicklung. Strategisch empfiehlt es sich, die Datenverschlüsselung als Brückenköpfe zu nutzen, um von hier aus alle Mitarbeiter für Datensicherheit zu sensibilisieren.
Vom Ende zum Ende
Eine Ende-zu-Ende-Verschlüsselung beginnt auf dem Endgerät des Versenders und erstreckt sich über den gesamten Übertragungsweg bis hin zum Empfänger. Dabei gilt das Zero-Knowledge-Prinzip, das unter Sicherheitsexperten als wirksamstes Mittel gegen Cyberkriminalität und Überwachung gilt. Der Begriff Zero-Knowledge beschreibt die Tatsache, dass nicht einmal der Anbieter einer Verschlüsselungslösung, eines Datentransfer-Systems oder eines Cloud-Speicherdienstes an den zur Entschlüsselung benötigten Key herankommt und so einen Einblick in die Daten seiner Kunden erhalten könnte.
Um die Anforderungen an eine gesicherte Datenübertragung einhalten zu können, spielt die eingesetzte Verschlüsselungstechnologie eine wichtige Rolle. Der Advanced Encryption Standard (AES) ist der Nachfolger des immer noch verbreiteten Data Encryption Standard (DES), dessen Wurzeln bis in die Mitte der 1970er-Jahre reichen. AES kommt beispielsweise in den USA zum Einsatz, wenn staatliche Dokumente mit der höchsten Geheimhaltungsstufe verschickt werden. Mit einer Schlüssellänge von 256 Bits bietet AES-256 einen sehr hohen Schutz. Selbst AES-128 gilt in Expertenkreisen noch als verhältnismäßig sicher.
Mindestens 128-Bit-Schlüssel
Bei der Auswahl einer Lösung für die Ende-zu-Ende-Verschlüsselung sollten Unternehmen darauf achten, dass bereits auf der Seite des Absenders mindestens mit AES-128 verschlüsselt und erst bei einem Empfänger wieder entschlüsselt wird. Eine Lösung wie FTAPI Secutransfer beispielsweise verschlüsselt schon beim Versender die Daten mit AES-256. Der Schutz der Daten wird mit elektronischen Schlüsseln nach dem Public-Private-Key-Prinzip sichergestellt. Die Public Keys sind zentral gespeichert und dienen zur Verschlüsselung der Daten. Person A verschlüsselt eine Nachricht für Person B mit einem Public Key. Person B kann dann die Datei mit ihrem persönlichen Private Key entschlüsseln. Die Private Keys werden ebenfalls verschlüsselt abgelegt und sind nur über das Passwort des jeweiligen Benutzers verfügbar. Der Public Key ist allgemein zugänglich, der Private Key dagegen bleibt geheim beziehungsweise ist nur dem Empfänger zugänglich.
Einfach zu bedienen
Die Ende-zu-Ende-Verschlüsselung von Nachrichten und Dateien war lange Zeit eine sehr komplexe Angelegenheit und erforderte aufwendige Schulungen der Mitarbeiter. Heute gibt es Lösungen, die im Gegensatz zu manch anderen einfach zu handhaben, rasch in bestehende Systeme integrierbar und individuell an die Erfordernisse von Unternehmen anpassbar sind. Ist die Verschlüsselungslösung so einfach zu bedienen wie ein E-Mail-Programm und nahtlos darin integriert, wird sie auch von den Anwendern akzeptiert und verwendet. Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen
Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise
Die von FTAPI entwickelte und auf der Secupass-Technologie basierende Software ermöglicht eine durchgängig verschlüsselte Übertragung von Daten. Der Transfer kann zwischen beliebigen Personen stattfinden, ohne dass dazu aufwendig Schlüssel erstellt oder Zertifikate installiert werden müssen. Die technische Basis dafür bildet ein Server, der nach dem Zero-Knowledge-Prinzip entweder direkt im Unternehmen steht, das die sichere Datenübertragung nutzen möchte, oder im Rechenzentrum seines Dienstleisters. Die Daten des Anwenders werden vor dem Versand automatisch mit einer Kombination der Krypto-Verfahren AES 256 sowie einer RSA-Schlüssellänge von 4.096 Bit verschlüsselt, segmentiert und verschickt. Entscheidend dabei: Auf dem gesamten Transportweg bleiben die Daten verschlüsselt und werden erst beim Empfänger wieder in ein lesbares Format umgewandelt.
Mehrere Sicherheitsstufen
Bei der Lösung können Anwender zwischen vier Sicherheitsstufen wählen:
Nachricht.
Im einfachsten Fall benötigt der Mail-Empfänger keine spezielle Software, um die Nachricht zu öffnen. Der Datenversand ist dadurch geschützt, dass er einen SSL-gesicherten Link zum Verschlüsselungs-Server erhält. Ab Sicherheitsstufe zwei muss er sich beim Verschlüsselungsserver anmelden, um die Datei öffnen zu können. Stufe drei und vier erfordern darüber hinaus noch die Eingabe des Secupass Keys und damit des persönlichen Ende-zu-Ende-Verschlüsselungspassworts. Auf der vierten Stufe ist zunächst keine Nachricht zu sehen, denn hier wird auch der Text der Nachricht verschlüsselt.
Fazit: Überall dort, wo Sicherheit und Nachvollziehbarkeit bei der Übertragung vertraulicher Daten gefragt ist, kommen Unternehmen an einer Ende-zu-Ende-Verschlüsselung der Daten nicht vorbei. Sie sollte so einfach in der Bedienung sein, dass sie einem Benutzer nicht weiter auffällt. Dazu ist erforderlich, dass sie sich nahtlos in nahezu jede vorhandene IT-Umgebung einfügen lässt. Ist sie zudem im Software-as-a-Service-Modell verfügbar, können Benutzer jederzeit und überall von jedem Endgerät aus auf vertrauliche Daten zugreifen.
