Blog: Warum es wichtig ist, sich über interne Verschlüsselung Gedanken zu machen

10.12.2014

Die Verschlüsselung der internen Kommunikation ist entscheidend, um Ihr Unternehmen vor Innentätern zu schützen.

Wenn es um den Schutz von sensiblen und vertraulichen Informationen geht, richten die meisten Unternehmen ihre Aufmerksamkeit darauf, diese Informationen vor Hackern ausserhalb des Unternehmensnetzwerkes zu schützen.

Und das ist verständlich. In den letzten Jahren hat sowohl der Umfang als auch die Raffinesse von Hackerattacken signifikant zugenommen. So zeigen neue Zahlen von Kaspersky Labs, dass 38 Prozent aller Computer im Jahr 2014 das Ziel von mindestens einem Hackversuch geworden sind, und die Anzahl bösartiger Attacken um eine Milliarde im Vergleich zu 2013 angestiegen ist.

Gleichzeitig bestehen Ängste in Bezug auf Spionage durch Organisationen wie der NSA in den Vereinigten Staaten oder GCHQ in Grossbritannien, viele Unternehmen arbeiten noch daran, wie sie mit den aus den Veröffentlichungen von Edward Snowden resultierenden Informationen umgehen sollen.

Aber darauf alleine sollten Unternehmen sich nicht konzentrieren wenn es um den Schutz ihrer Kommunikation geht. Tatsächlich kommen viele Gefahren, denen Unternehmen ausgesetzt sind, von innen – daher müssen sie Massnahmen ergreifen, um sich gegen interne Bedrohungen zu schützen.

Unterschiedliche Gefahren

Es gibt eine ganze Reihe von Gründen warum die interne Kommunikation genauso stark geschützt werden muss wie die externe. So gibt es innerhalb eines Unternehmens eventuell Gruppen, die über sensible Themen kommunizieren, die vom Rest des Unternehmens abgeschirmt werden sollten.

Ein Beispiel dafür ist die Geschäftsleitung, die vertrauliche Finanzinformationen austauscht, oder aber die Personalabteilung, die mit persönlichen Mitarbeiterdaten zu tun hat. Je nachdem wo eine Firma ihren Sitz hat, können auch bestimmte Gruppen hinzukommen, wie zum Beispiel der Betriebsrat in vielen deutschen Unternehmen.

Ein anderes – oft gravierenderes – Problem kann durch böswillige Mitarbeiter im Innern der Firma entstehen. Diese könnten sensible Daten stehlen, um sie weiterzuverkaufen. Dagegen vorzugehen kann besonders knifflig sein, aber es handelt sich dabei um einen der häufigsten Gründe für eine Datenschutzverletzung.

So zeigen neuere Zahlen von Forrester Research aus einem Artikel des SC Magazine, dass Innentäter in den letzten 12 Monaten der massgebliche Grund für Verstösse gegen den Datenschutz waren, genannt von 25 Prozent der befragten Personen als häufigster Grund für einen Vorfall.

Hinzukommt, dass diese Attacken viel schwerwiegender sein können als externe Hackerangriffe. Der Grund dafür liegt in der Art der Daten, auf die Insider typischerweise Zugriff haben. In der Tat zeigen Daten der Open Security Foundation aus dem bereits erwähnten Artikel, dass Innentäter zwar nur für knapp 20 Prozent aller Vorfälle verantwortlich sind, aber diese Vorfälle etwa 67 Prozent aller offengelegten Informationen ausmachen.

Herausforderung Verschlüsselung

Es scheint daher offensichtlich, dass der Schutz der internen Kommunikation genauso wichtig sein sollte wie die Absicherung gegen externe Attacken. Oft haben Unternehmen jedoch keine Lösung dafür parat.

Herkömmliche Verschlüsselungslösungen schützen Nachrichten nur ab dem Gateway, auf dem Weg vom Unternehmensnetzwerk zum externen Empfänger. Eingehende Mails werden entsprechend am Gateway entschlüsselt, bevor sie den E-Mail-Client des einzelnen Empfängers erreichen. Diese Methode ist hocheffektiv, um die Kommunikation mit Dritten zu schützen, bedeutet aber dass grosse Datenmengen im internen Netzwerk unverschlüsselt übertragen werden.

Das kann es den falschen Leuten einfach machen, die E-Mails abzufangen und zu lesen und zeigt, wie wichtig eine Ende-zu-Ende-Verschlüsselung für Unternehmen ist. Wobei viele Firmen in dieser Art der Verschlüsselung ein Problem sehen, da viele herkömmliche Lösungen zusätzliche Softwarekomponenten benötigen, auf proprietären E-Mail-Protokollen basieren oder den Austausch von Schlüsseln und Zertifikaten der Kommunikationspartner erfordern.

Alles Aspekte, die sowohl die Kosten als auch die Komplexität in die Höhe treiben und zur Frustration der Nutzer führen. Mit der Folge, dass diese zur Vermeidung der Unannehmlichkeit das System ganz umgehen. Das bedeutet im Endeffekt eine Verschwendung der erfolgten Investitionen, zudem verliert die IT die Kontrolle über das Netzwerk.

Daher ist es wichtig, dass Unternehmen Lösungen implementieren, die so einfach wie möglich zu nutzen sind und keine aufwendigen Zusatzschritte oder Trainings erfordern. Indem die Verschlüsselung automatisiert und im gesamten Unternehmen konsequent eingesetzt wird, kann möglichen Bedrohungen durch Innentäter entgegengewirkt werden bevor sie zum Problem werden.


von Marcel Mock, CTO

Marcel