IT-Security
Verschlüsselung als tragende Säule einer sicheren Kommunikation
Durch die Schaffung eines kryptographischen Sicherheitsbereichs können Unternehmen ihre digitale Kommunikation durchgängig vor Hackern und neugierigen US-Behörden schützen. Damit sie jederzeit die Datenhoheit behalten, müssen dabei aber hierarchische Verschlüsselungsmethoden zum Einsatz kommen.
Bei der Kommunikation mit E-Mail, Instant Messaging oder Chat werden nicht selten vertrauliche Interna ausgetauscht. Kollegen stimmen sich über Strategien, Budgets oder Entwicklungsprojekte ab; Präsentationen, Tabellen oder Angebote werden an Kunden und Partner verschickt. Vermutlich wird jede einzelne im Unternehmen vorhandene Datei im Laufe ihres Lebens mindestens einmal übermittelt. Damit Interna auch Interna bleiben, ist es für Unternehmen unerlässlich, über die uneingeschränkte Datenhoheit ihrer digitalen Kommunikation zu verfügen. Sie allein müssen über den Zugriff auf die Daten, ihre Verfügbarkeit und ihre Verwertung bestimmen können.
Die traditionelle Herangehensweise vieler Unternehmen ist dabei der Schutz ihrer Netzwerke mit Securitytools wie Firewalls oder Virenscannern. Eine lückenlose und umfassende Absicherung der digitalen Kommunikation ist allein auf Netzwerkebene aber nicht zu erreichen. Dafür gibt es mehrere Gründe. Zum einen gelingt es Cyber-Kriminellen mit ihren Advanced Persistent Threats immer häufiger, diesen klassischen Perimeterschutz zu überwinden und sich damit Zugriff auf sensible Kommunikationsdaten zu verschaffen. Außerdem bietet er keinen Schutz außerhalb des eigenen Netzwerks. Das birgt die Gefahr, dass Hacker die externe Kommunikation im Internet abfangen und auslesen.
Das Grundvertrauen in die Datenströme des Internet ist aber spätestens seit den Snowden-Enthüllungen auch ganz generell zutiefst erschüttert. Man muss wohl fest davon ausgehen, dass transatlantische Kabel von Geheimdiensten und Behörden angezapft werden. Nutzen Unternehmen Cloud-basierte Kommunikationstools von US-amerikanischen Anbietern, müssen sie zudem damit rechnen, dass ihre Daten an die dortigen Behörden weitergegeben werden. Der Wirtschaftsspionage ist damit Tür und Tor geöffnet. Eine weitere Herausforderung ist die zunehmende Mobilität der Mitarbeiter und der Trend zum „Bring your own Device“. Mit diesen Entwicklungen geht eine abnehmende Kontrolle der Unternehmen über die Endgeräte ihre Mitarbeiter einher.
Übertragene und ruhende Daten verschlüsseln
Diese Herausforderungen lassen sich adressieren, indem man den klassischen Security-Perimeter von der Netzwerk- oder Anwendungsebene auf die kleinste schützenswerte Einheit in der digitalen Kommunikation bringt – die einzelnen Datensätze, die ausgetauscht werden. Über durchgängige Verschlüsselung kann ein kryptographischer Sicherheitsbereich geschaffen werden, der alle Daten nur für die jeweils autorisierten Nutzer lesbar macht. „Durchgängig“ bedeutet hierbei, sowohl die Daten in der Übertragung („data in transit encryption“) zu verschlüsseln als auch die Daten, welche auf Servern und Endgeräten liegen („data at rest encryption“).
Übertragung: Asymmetrische Verschlüsselungsverfahren (Public-Key-Verschlüsselung) wie PGP, RSA oder das Signal-Protokoll bieten die ideale Grundlage für sichere Kommunikation. Im Gegensatz zur reinen SSL Transportverschlüsselung lässt sich mit ihnen sicherstellen, dass die übertragenen Daten jeweils nur an ihren Endpunkten entschlüsselt werden können – also ausschließlich beim Sender und Empfänger. Damit können Cyber-Kriminelle, die eine so genannte „Man in the Middle“-Attacke durchführen, oder Behörden, die ein Datenkabel anzapfen, nichts mit den Daten anfangen, die sie potenziell abgreifen. Sie würden nur einen unentschlüsselbaren Datensalat erhalten.
Server: Derselbe Effekt tritt durch die Verschlüsselung der Daten ein, die auf den Servern ruhen. Gelingt es einem Cyber-Kriminellen, in das Netzwerk eines Unternehmens einzudringen und seine Server zu kompromittieren, findet er auch in diesem Fall nur absolut unbrauchbare Daten vor. Nutzt ein Unternehmen die Kommunikationslösung eines Providers im SaaS-Modell, lässt sich durch den Einsatz von hierarchischen Verschlüsselungsmethoden auch ein sogenanntes Provider Shielding und damit absolute Datenhoheit für den Kunden erreichen. Der Provider kann die Daten auf seinen eigenen Servern dann nicht entschlüsseln und dadurch auch keine verwertbaren Daten auslesen und an Behörden oder Geheimdienste weitergeben. Zusätzlich sollten auch wichtige Stamm- und Metadaten nur verschlüsselt abgelegt werden.
Endgeräte: Die Kommunikationsdaten im lokalen Speicher eines Endgeräts – sei es ein Smartphone, ein Tablet oder ein Desktop-PC – sollten ebenfalls verschlüsselt werden beziehungsweise bleiben. Damit sind sie nicht nur für den Fall eines erfolgreichen Cyber-Angriffs geschützt. Wird einem Mitarbeiter ein Mobilgerät gestohlen oder verliert er es, sind seine Kommunikationsdaten auch für den Dieb oder Finder unbrauchbar.
- Verschlüsselung als tragende Säule einer sicheren Kommunikation
- Datenhoheit erfordert Schlüsselhoheit
Lesen Sie mehr zum Thema
