Quo vadis Verschlüsselung?
Kryptografie - gestern, heute, morgen
Fortsetzung des Artikels von Teil 1
Von Grenzen...
Das Verschlüsseln großer Datenmengen (Stichwort Big-Data) erfordert einen entsprechend hohen Rechenaufwand. Denn alles, was Unternehmen verschlüsseln, muss schließlich "just-in-time" wieder entschlüsselt werden, um den Arbeitsprozess nicht zu behindern und gleichzeitig den Informationsfluss sicherzustellen. Diesen Overhead müssen Firmen und IT-Abteilungen einkalkulieren, gerade weil nicht alle Unternehmen aus organisatorischer Sicht dies leisten können. In diesem Kontext empfiehlt sich die Zusammenarbeit mit externen Dienstleistern, die auf Verschlüsselungs-Prozesse spezialisiert sind und Unternehmen begleiten. In Unternehmen bestehen für die Kryptografie zwei Schwachstellen: der Mitarbeiter und sein Administrator.
In Bezug auf die Mitarbeiter nutzt die beste Verschlüsselung nichts, solange Passwörter auf Zettel geschrieben werden oder Kryptografie-Schlüssel und Zertifikate auf normalen USB-Sticks verloren gehen. Und dies ist keinesfalls nur ein Thema „normaler“ Mitarbeiter, sondern auch von Führungskräften, die vielfach nicht mit gutem Beispiel vorangehen. Darüber hinaus sind Administratoren eine "Gefahrenquelle". Grundsätzlich ist Kryptografie keine Disziplin, um im Produktionsumfeld zu experimentieren. Kryptografie sollte zielgerichtet und mit einem gewissen fachlichen Grundwissen zum Thema eingesetzt werden. Der Administrator muss auf Meldungen von Herstellern reagieren und seine Verschlüsselung gegebenenfalls Nachsteuern (zum Beispiel mit Sicherheits-Patches), kurzfristig auf kompromittierte Verschlüsselungen reagieren und gegebenenfalls Sofortmaßnahmen treffen. Im Klartext: Es gibt nichts Schlimmeres als eine unsichere Verschlüsselung im Unternehmen und alle Mitarbeiter und auch die Administratoren bemerken dies nicht.
Vielfach sind Unternehmen mit steigender Größe und Komplexität "träge" Supertanker bei denen Kurskorrekturen erst sehr spät und mit großer Verzögerung wirksam werden. Dieser Prozess wird meist nur durch das Prinzip "Lernen durch Schmerz" oder "Verwunderung durch (unangenehme) Tatsachen" beschleunigt. Dabei wäre bereits viel gewonnen, wenn ein Unternehmen eine Grund-Awareness zum Thema IT-Sicherheit aufbauen würde.
...und Gegnern der Kryptografie
Weitere Widerstände gibt es auf politischer Ebene. So darf nicht in jedem Land verschlüsselt werden und Kryptografie unterliegt den jeweiligen Landesbestimmungen. In einigen Ländern ist es schwierig, nicht freigegebene Verschlüsselungsverfahren zu verwenden, wie in China oder den USA. Hinzu kommt das Untergraben staatlicher Initiativen, wie beispielsweise der 2014 postulierten "Digitalen Agenda" des Bundeskabinetts. Darin heißt es: "Damit die Digitalisierung ihr volles Potenzial für Gesellschaft und Wirtschaft in Deutschland entfalten kann, muss auch im Netz Sicherheit und Schutz gewährleistet sein. Das betrifft sowohl Verbraucherinnen und Verbraucher als auch Unternehmen, die sich auf den Schutz ihrer Daten und auf die Integrität und Verfügbarkeit der digitalen Infrastrukturen verlassen können müssen." Doch die Zeiten haben sich im Zuge der Extremismus-Debatte sowie verschärften Wirtschaftskonflikten schnell geändert. Im Grunde fordern staatliche Stellen einen "Nachschlüssel" für den Datenaustausch.
- Kryptografie - gestern, heute, morgen
- Von Grenzen...
- Der Blick nach vorne
Lesen Sie mehr zum Thema
