Clientseitige- vs. serverseitige- und Transport-Verschlüsselung Verschlüsselung ist nicht gleich Verschlüsselung

Von Octavio Simone,

In Zeiten, in denen die Sicherheit von (Cloud)-Lösungen für Unternehmen wichtiger ist denn je, fällt es Firmen gerade beim Thema Verschlüsselung schwer zu unterscheiden, welche Art der Verschlüsselung angemessen ist, um ihre Daten zu schützen. Hier gilt es, das Bewusstsein für die Gefahr unzureichender Verschlüsselung zu schärfen und sich mit den unterschiedlichen Technologien auseinanderzusetzen.

Firmen zum Thema

Verschlüsselung ist nicht gleich Verschlüsselung. Denn gängige Technologien greifen bei Datenschutz und IT-Security oft zu kurz.
Verschlüsselung ist nicht gleich Verschlüsselung. Denn gängige Technologien greifen bei Datenschutz und IT-Security oft zu kurz.
(© VideoFlow - stock.adobe.com)

Der Schutz der eigenen Daten sowie Kundendaten ist, genauso wie die Aufrechterhaltung eines hohen IT-Sicherheitsstandards, für Unternehmen überlebenswichtig. Denn oft sind Angriffe von Cyberkriminellen, aber auch der unbeabsichtigte Abfluss von Informationen, für Betriebe geschäftskritisch, da die Kosten und Imageschäden oft massiv sind. Das gilt besonders in Zeiten, in denen weiterhin viele Mitarbeiter von Zuhause aus arbeiten. Die Tatsache, dass Remote Work auch nach der Pandemie ein fester Bestandteil der Arbeitswelt sein wird, zeigte eine BSI-Studie aus dem April. Hier gaben 58 Prozent der befragten deutschen Unternehmen an, das Angebot auch nach der Pandemie bestehen lassen zu wollen. Es scheint also, als sei die „Neue Normalität“ längst Realität. In diesem Zusammenhang warnt das BSI davor, dass sich hier die Angriffsfläche deutlich vergrößert, denn laut der Behörde kommen derzeit täglich 329.000 Schadprogramme hinzu, die Angreifer werden noch professioneller.

Gerade vor diesem Hintergrund ist es besonders wichtig für Unternehmen, die IT-Security und Datenschutz zur obersten Priorität zu machen und sich nicht von vermeintlicher Sicherheit blenden zu lassen. Dies gilt zum Beispiel bei der Anschaffung neuer Lösungen im Bereich Cloud, etwa Enterprise File Services zur Modernisierung der IT-Infrastruktur. Besonders beim Thema Verschlüsselung sollten Betriebe hier aufpassen, denn sie ist der Grundpfeiler der Cybersicherheit, wenn es um den Austausch und allgemein die Verarbeitung von Daten geht. Worauf sollten Unternehmen also achten und was hat es mit der weit verbreiteten Transportverschlüsselung, beziehungsweise der serverseitigen Verschlüsselung auf sich?

Das Bewusstsein schärfen

Unternehmen, die über die Implementierung einer Cloud-Lösung nachdenken, die ihnen zum Beispiel dabei hilft, leichter Homeoffice für alle Mitarbeiter von überall aus zu ermöglichen, sollten sich im ersten Schritt gut informieren. Hier gilt es, das Risikobewusstsein zu schärfen. Entscheider sollten sich also die Frage stellen: „Welches Risiko gehe ich potenziell ein, wenn bestimmte kritische Firmendaten nicht ausreichend geschützt sind?“.

Im zweiten Schritt ist es ratsam, sich wirklich mit dem Thema Verschlüsselung und den verschiedenen Angeboten in diesem Bereich vertraut zu machen. Fragen wie „Was bedeutet Verschlüsselung für Unternehmen allgemein?“ und „Wie schütze ich Firmendaten DSGVO-konform und unter Berücksichtigung der Unternehmens-Policies?“ stehen hier im Vordergrund. Bei der Recherche werden Verantwortliche unweigerlich auf Begriffe stoßen wie:

  • Transportverschlüsselung
  • Serverseitige Verschlüsselung
  • symmetrische Verschlüsselung
  • asymmetrische Verschlüsselung
  • clientseitige Verschlüsselung

Es ist wichtig, diese verschiedenen Ansätze zu verstehen, um dann eine informierte Entscheidung treffen zu können.

Gängige Verschlüsselungsmethoden greifen zu kurz

Wenn Entscheider sich über die verschiedenen Ansätze und Möglichkeiten informieren, sollte schnell klar werden, dass serverseitige Verschlüsselung und Transportverschlüsselung nicht ausreichend vor Datenabfluss und den Gefahren durch hochprofessionelle Angreifer schützen. Werden diese Begriffe genutzt, sollten Unternehmen aufhorchen, denn sie suggerieren oft eine Sicherheit, die faktisch nicht da ist.

Denn serverseitige Verschlüsselung und Transportverschlüsselung für sich genommen reichen hier nicht aus. Bei ersterem Ansatz werden die Daten zwar serverseitig verschlüsselt, aber der Key zur Entschlüsselung liegt in diesem Fall trotzdem auf dem Server und somit dem Betreiber der Cloud vor. Häufig wird hier die Protokollierung als Schutz angeführt, mit dem jederzeit auditiert werden kann, wer auf den Schlüssel zugegriffen hat. Doch dieser bietet keine wirkliche Absicherung, denn Administratoren können auch diese Maßnahme faktisch deaktivieren oder umgehen. Grundsätzlich besteht immer ein Problem, wenn der Schlüssel dem Cloud-Anbieter bekannt ist und von diesem eingesehen werden kann. Hier ist potenziell ständig das Risiko gegeben, dass Anbieter auf den Schlüssel zugreifen – in der Konsequenz hat das Unternehmen nicht die volle Datenhoheit über die gespeicherten Informationen.

Ähnlich sieht es bei der Transportverschlüsselung aus. Diese ist mittlerweile Standard und stellt mehr eine absolute Mindestanforderung für Lösungen und Web-Dienste dar. Zum Beispiel bei Internetbrowsern, die warnen, wenn Nutzer auf Seiten zugreifen wollen, die Informationen sammeln, ohne dafür HTTPS zu nutzen. Der Ansatz bedeutet nur, dass die Daten vom Benutzer bis hin zum Server verschlüsselt sind, aber am Server selbst werden sie dann wieder entschlüsselt und liegen schließlich wieder im Klartext vor. Aus diesem Grund bietet die Transportverschlüsselung alleine keinen wirklichen Schutz vor Datenverlust.

Clientseitige Verschlüsselung – der „Goldstandard“?

Anders verhält es sich bei der clientseitigen Verschlüsselung, denn hier werden die Daten auf dem jeweiligen Gerät des Benutzers verschlüsselt, auf den Server hochgeladen und dort liegen sie dann ebenfalls verschlüsselt. Möchte der Empfänger auf die Informationen zugreifen, muss dieser sie wieder entschlüsseln. Dies ist dann nur auf dem Endgerät möglich. Die Verschlüsselung und die Schlüsselpaargenerierung erfolgen hier am Gerät des entsprechenden Nutzers.

Konkret verwenden einige Anbieter hier ein hybrides Verschlüsselungsverfahren, bei dem für die reine Verschlüsselung der Dateien die symmetrische Verschlüsselung genutzt wird, und für den Zugriff auf den dabei verwendeten Schlüssel dann die asymmetrische Verschlüsselung (über ein sogenanntes Schlüsselpaar, nämlich Public Key und Private Key). Vereinfacht gesagt bietet so ein Ansatz das Beste aus zwei Welten: die Kombination zwei moderner, sicherer Technologien.

In solchen Fällen wurde mit der symmetrischen Verschlüsselung das Standardverfahren genutzt, gleichzeitig wurde aber auch ein Verfahren eingesetzt, um den Zugriff auf den Schlüsselds so zu konzipieren, dass der Prozess immer in der Kontrolle des Benutzers ablaufen kann, über das asymmetrische Schlüsselpaar. Dieses Schlüsselpaar kann dann in verschlüsselter Form beim Cloud-Anbieter gespeichert werden. Durch den verfügbaren öffentlichen Public Key können andere berechtigte Benutzer somit ebenfalls auf die Daten zugreifen. Das heißt, der Schlüssel, mit dem die Dateien verschlüsselt werden, wird mit dem öffentlichen Key verschlüsselt und die Entschlüsselung findet schließlich immer über die Eingabe eines Kennworts durch den Benutzer mittels seines Private Keys statt.

Somit sind die Daten vom Versender zum Empfänger zu jeder Zeit maximal geschützt. Rein technisch gesehen und einfach formuliert ist der wichtigste Punkt, auf den Verantwortliche achten sollten. Denn solange die Verschlüsselung und Entschlüsselung der Daten auf Client-Seite stattfindet, liegen sie zu jeder Zeit in der Kontrolle des Nutzers.

Zukunftsfähigkeit und Transparenz

Ein weiterer Punkt, auf den Firmen bei der Anschaffung von Cloud-Lösungen achten sollten, ist die Tatsache, dass die eingesetzten Verschlüsselungstechnologien allgemein auf dem neuesten Stand sind. Das BSI sieht etwa Schlüssellängen von 2048 Bit bei asymmetrischen Verschlüsselungsverfahren bis Ende 2023 als nach wie vor sicher an, empfiehlt danach aber eine Erhöhung der Schlüssellänge auf mindestens 3000 Bit. Der Grund: Es ist nicht auszuschließen, dass bis Ende 2023 deutlich leistungsfähigere Computer mit entsprechender Rechenleistung verfügbar sein werden, mit denen Schlüssellängen unter 3000 Bit wahrscheinlich innerhalb akzeptabler Zeitspannen geknackt werden können. Einige Anbieter übertreffen diese Forderung schon jetzt und setzen auf Schlüssellängen jenseits der 4000 Bit. Dies ist von Vorteil, da es garantiert, dass die Lösung auch in Zukunft neuen Cybersicherheitsrisiken standhalten kann.

Des weiteren spielt es für die IT-Sicherheit eine große Rolle, dass die Verschlüsselung open source bereitgestellt wird und es sich nicht um ein Blackbox-Verfahren handelt. Einige Anbieter haben in ihrem GitHub SDKs (Software Development Kits), mit denen andere Entwickler diese Verschlüsselung auch jederzeit selbst implementieren können. Hier ist klar nachvollziehbar, in welcher Form wie etwas und an welcher Stelle verschlüsselt und entschlüsselt wird.

Ein ganzheitlicher Sicherheitsansatz sorgt für Vertrauen

Abschließend ist das Thema „Zertifizierungen und Testate“ noch wichtig zu nennen, auch wenn dies nicht direkt etwas mit Verschlüsselung zu tun hat. Es ist aber trotzdem ein Anzeichen für ein hohes Sicherheitsniveau des Anbieters. Ein wichtiges Zertifikat, über das Hersteller verfügen sollten, ist das BSI C5 Typ 2, ebenso sollte auch die Richtlinie ISO 27001 erfüllt werden. Schließlich ist das Thema IT-Security im besten Fall ein holistisches Konzept, also es wird im gesamten Produktlebenszyklus berücksichtigt.

Anerkannte Zertifizierungen und Testate untermauern noch einmal, dass ein Anbieter hohen Ansprüchen in diesem Bereich genügt. Auch sollten Ansätze wie Security by Design und Security by Default zu den Grundpfeilern des Produkts gehören. Besonders in Zeiten von Homeoffice ist es wichtig, dass Lösungen genutzt werden, die von Haus aus bereits benutzer- und datenschutzfreundlich konzipiert sind. Werden diese Ansätze verfolgt, entsteht gar nicht erst die Möglichkeit, dass wichtige Daten abfließen. So werden personenbezogene Daten korrekt verarbeitet.

Fazit

Die clientseitige Verschlüsselung bietet Unternehmen ein Maximum an Datenschutz und IT-Sicherheit. Betriebe sollten bei der Anschaffung neuer Lösungen, besonders in Zeiten von Remote Work, keine Kompromisse eingehen. Leider sind unsichere Verschlüsselungsmethoden weiterhin sehr verbreitet. Auf der anderen Seite ist es erfreulich, dass immer mehr Anbieter die steigende Bedrohungslage und das Bedürfnis der Kunden nach Datensouveränität erkennen und eine hochsichere, clientseitige Verschlüsselung anbieten, und diese idealerweise open-source bereitstellen. Zeitgemäße Schlüssellängen, anerkannte Zertifizierungen und die Verfolgung der Philosophie Security by Design, beziehungsweise by Default, sorgen für zusätzliche Sicherheit.

Über den Autor: Octavio Simone ist Director Customer Services bei Dracoon.

(ID:47904536)