Ein Plädoyer für die Ende-zu-Ende-Verschlüsselung Sichert endlich Eure Daten!

Autor / Redakteur: Volker Oboda* / Elke Witmer-Goßner

„Der verschlüsselte Versand von beruflichen E-Mails bleibt die große Ausnahme“, resümiert der Bitkom Ende Juni 2014 seine jüngste Erhebung zum Thema Verschlüsselung. Rund zwei Drittel, also 65 Prozent, der vom Branchenverband befragten Berufstätigen könnten an ihrem Arbeitsplatz demnach keine Verschlüsselung für die dienstliche Kommunikation nutzen.

Firmen zum Thema

Datenschutz und Verschlüsselung sind heikle Themen in Unternehmen. Einfache Technik und klare Regeln helfen, die Mitarbeiter für das Thema Sicherheit zu sensibilisieren.
Datenschutz und Verschlüsselung sind heikle Themen in Unternehmen. Einfache Technik und klare Regeln helfen, die Mitarbeiter für das Thema Sicherheit zu sensibilisieren.
(Bild: Michael Schütze, Fotolia)

Ein Jahr später, im Mai 2015, vermeldet der Telekommunikationsanbieter QSC Tools nach einer eigenen Erhebung, dass im deutschen Mittelstand Lösungen zur Datenverschlüsselung weit verbreitet sind: Rund zwei Drittel der Unternehmen nutzten aktuell Werkzeuge für die Verschlüsselung von E-Mails.

Ist also alles gut im Markt? Kein Anlass zur Sorge? Weit gefehlt! Laut der Studie von QSC stellen zwar zwei Drittel der Unternehmen Verschlüsselungslösungen bereit. Dennoch nutzen lediglich die Hälfte der Mitarbeiter diese Tools. Immerhin ist das schon eine deutliche Verbesserung zu den 2014 vom Bitkom ermittelten 19 Prozent, die die im Unternehmen vorhandene technische Verschlüsselungsinfrastruktur grundsätzlich nicht einsetzen wollten.

Datenschutz ist Trumpf

Das Problem ist, Verschlüsselung hat ein mieses Image. Sie gilt als aufwändig, wenig anwenderfreundlich und technisch zu kompliziert für den täglichen Gebrauch - egal ob es um den beruflichen oder privaten Alltag geht: Bitkom zufolge kennen sich 65 Prozent der hiesigen Internetnutzer nicht mit Verschlüsselungsprogrammen aus. Für 24 Prozent ist die Sicherheitsmaßnahme grundsätzlich zu aufwändig. Elf Prozent nutzen laut BITKOM Proxies oder Dienste wie Tor; weit abgeschlagen dagegen ist die Nutzung von Verschlüsselungsprogramme für Dateien, E-Mails oder VPN-Verbindungen.

Im Gegensatz zu Anti-Viren-Programmen und Firewalls kann also von einem sorgfältigen Umgang mit besonders schützenswerten oder sensiblen Daten weder im privaten noch im geschäftlichen Umfeld kaum die Rede sein: Selbst Skandale wie PRISM und die anlasslose Überwachung von BND und NSA haben nicht überdurchschnittlich zur breiten Akzeptanz von Verschlüsselungslösungen beitragen können. Was der Deutsche nicht kennt, das nutzt er nicht. Und was scheinbar zu umständlich klingt bzw. zu anstrengend scheint, das nutzt er schon gar nicht. Für Unternehmen bedeutet das: Sie könnten eigentlich auch gleich die Tür zum Server-Raum einsparen oder ihre Büros unverschlossen lassen.

Dabei liegen die Vorteile für eine sichere Kommunikation auf der Hand: Daten werden vom Zugriff unbefugter Dritter geschützt. Egal, ob asymmetrisch oder symmetrisch verschlüsselt wird und unabhängig von der gewählten Verschlüsselungsmethode (Server-to-Server, Client-to-Server, Client-To-Server und Server-To-Server kombiniert und Ende-zu-Ende-Verschlüsselung) ist diese insbesondere beim cloud-basierten, kollaborativen Arbeiten unabdingbar. Immerhin nutzen bereits 44 Prozent der hiesigen Unternehmen Cloud Computing, zeitgleich befürchten knapp zwei Drittel einen unberechtigten Zugriff auf sensible Daten.

Das macht einmal mehr deutlich, dass das Thema Verschlüsselung einen prominenten Platz auf der Agenda der Digitalisierungsstrategie deutscher Unternehmen verdient. Dennoch gaben 37 Prozent der vom Branchenverband Bitkom Befragten an, dass sie noch nicht wüssten, wie sie den digitalen Wandel überhaupt bewerkstelligen möchten. Paradoxerweise nutzen gleichzeitig 71 Prozent der Berufstätigen in Deutschland privat angeschaffte Geräte wie Computer, Smartphone oder Tablet für ihren Job und haben so Zugang zu wichtigen Programmen oder Daten.

Laut Statista ist das Thema Datenschutz bei 68 Prozent der ITK-Unternehmen in der Geschäftsführung angesiedelt. Gleichzeitig sieht knapp die Hälfte von ihnen Mobile Computing, Cloud Computing und vernetzte kritische Infrastrukturen als größte Treiber für Veränderungen in der IT-Sicherheit. Allein, die Umstellung auf neue Standards ist ohne ausreichende Information müßig: Es nützt wenig, wenn die IT-Abteilung auf Verschlüsselung drängt, Software dafür angeschafft wird - und in den restlichen Abteilungen niemand etwas davon mitbekommt und die Geschäftsführung trotzdem aus Bequemlichkeit oder „weil es mal schnell gehen muss“ unverschlüsselt Excel-Listen hin- und hermailt.

BYOD nur mit klaren Regeln

Unternehmen, die ihren Beschäftigten durch alle Hierarchieebenen keine detaillierten Leitfäden an die Hand geben, ihre Mitarbeiterinnen und Mitarbeiter nicht oder nicht ausreichend für das Thema sensibilisieren oder schulen, handeln also grob fahrlässig. Entscheiden sich Unternehmen für die Einführung einer BYOD-Regelung, müssen sie bedenken, dass sie damit vom Grundsatz abweichen, dass Arbeitgeber ihren Arbeitnehmerinnen und -nehmern alle erforderlichen Arbeitsmittel bereitstellen. Es lohnt zu klären, wie etwaige Kosten für Providergebühren, Software-Updates, Reparaturen oder für die Arbeit notwendige kostenpflichtige Apps erstattet werden. Mitarbeiterinnen und Mitarbeiter müssen dafür sensibilisiert werden, dass private und geschäftliche Daten strikt voneinander getrennt werden. Zusätzlich muss entschieden werden, ob proprietäre Software des Unternehmens auf den privaten Geräten laufen darf oder bestimmte Lizenzen bereitgestellt werden sollen.

Die Einrichtung des Anwendungsschutzes beim Smartphone oder Tablet mit einer PIN oder einem Passwort ist ebenso empfehlenswert wie eine Hardwareverschlüsselung der Festplatte oder die Softwareverschlüsselung einer Partition einer Festplatte bei Desktop-Rechnern. Unternehmensintern muss dafür gesorgt werden, dass private Geräte in das interne Netzwerk eingebunden werden. Das hat zur Folge, dass Unternehmen spezielle Vorgaben entwerfen müssen: Ein sicherer Zugang zum Netzwerk mit Hilfe von aktuellen digitalen Zertifikaten ist ebenso notwendig wie die Organisation von technischem Support oder auch Vorgaben für die unterstützten bzw. erlaubten Gerätetypen. Außerdem braucht es Regelungen, wie mit Daten verfahren wird, wenn ein Mitarbeiter das Unternehmen verlässt.

Für grundsätzliche Sicherheit bei der Übertragung von Daten sollten Unternehmen also dafür Sorge tragen, dass der E-Mail-Verkehr zumindest mit externen Empfängern verschlüsselt stattfindet. Ist dies als Richtlinie festgesetzt, kann das bei der Akzeptanz von Verschlüsselung helfen. Im Gegensatz dazu hängt die Durchsetzung von Richtlinien für die manuelle Verschlüsselung viel stärker vom Grad der Sensibilisierung des Einzelnen ab. Außerdem sollten Unternehmen die Vielzahl der verwendeten Endgeräte und Nutzertypen denken: Mit der verbreiteten Nutzung von Cloud-Diensten und mobilen Geräten steigt auch der Wunsch nach flexiblen und vor allen einfach zu nutzenden Verschlüsselungslösungen – schließlich werden E-Mails auch von unterwegs oder im Home-Office bearbeitet.

Jede noch so durchdachte Richtlinie steht und fällt jedoch mit der eigenen Bequemlichkeit: Auch 2015 führen laut ZDNet die Passwörter „password“, gefolgt von „123456“ bzw. „12345678“. Entsprechend sind die am häufigsten gehackten Passwörter auch keine große Überraschung: „123456“, „password“ und „12345“. Gut die Hälfte aller Unternehmen in Deutschland ist in den vergangenen zwei Jahren Opfer von digitalen Angriffen geworden.

Fazit

Gerade in der Forschung und Entwicklung ist wegen der besonders sensiblen Daten die Nachfrage nach Ende-zu-Ende-Verschlüsselung unabhängig von der Branche hoch. Um die Akzeptanz bei den Mitarbeitern zu gewährleisten, sollte eine möglichst unkomplizierte Nutzung der Verschlüsselungslösung im Vordergrund stehen. Entscheidet sich ein Unternehmen für einen Anbieter von Verschlüsselungssoftware, ist damit aber nicht automatische Sicherheit gewährleistet: Viele Anbieter verfügen über einen zentralen Schlüssel zum Entschlüsseln der Daten.

Auch eine Transportverschlüsselung mit SSL/HTTPS ist nicht zwingend ausreichend und die Speicherung von Daten in deutschen Rechenzentren bedeutet nicht automatisch Sicherheit: Amerikanische Unternehmen wie Amazon unterliegen immer noch dem Patriot Act, müssen also auf Verlangen der US-Regierung die Daten herausgeben. Es empfiehlt sich daher die Kombination von verschiedenen Ende-zu-Ende-Verschlüsselungsverfahren – selbst wenn der Anbieter die Daten herausgeben müsste, wären diese noch immer verschlüsselt. Derzeit sicherste Variante: Die Kodierung mit einer Kombination aus AES-256-Algorithmus und RSA 2048/3072.

Volker Oboda, TeamDrive.
Volker Oboda, TeamDrive.
(Bild: TeamDrive)
* Der Autor Volker Oboda ist Geschäftsführer und Gründer von TeamDrive.

(ID:43485304)