:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Clientseitige- vs. serverseitige- und Transport-Verschlüsselung Verschlüsselung ist nicht gleich Verschlüsselung
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
In Zeiten, in denen die Sicherheit von (Cloud)-Lösungen für Unternehmen wichtiger ist denn je, fällt es Firmen gerade beim Thema Verschlüsselung schwer zu unterscheiden, welche Art der Verschlüsselung angemessen ist, um ihre Daten zu schützen. Hier gilt es, das Bewusstsein für die Gefahr unzureichender Verschlüsselung zu schärfen und sich mit den unterschiedlichen Technologien auseinanderzusetzen.
Der Schutz der eigenen Daten sowie Kundendaten ist, genauso wie die Aufrechterhaltung eines hohen IT-Sicherheitsstandards, für Unternehmen überlebenswichtig. Denn oft sind Angriffe von Cyberkriminellen, aber auch der unbeabsichtigte Abfluss von Informationen, für Betriebe geschäftskritisch, da die Kosten und Imageschäden oft massiv sind. Das gilt besonders in Zeiten, in denen weiterhin viele Mitarbeiter von Zuhause aus arbeiten. Die Tatsache, dass Remote Work auch nach der Pandemie ein fester Bestandteil der Arbeitswelt sein wird, zeigte eine BSI-Studie aus dem April. Hier gaben 58 Prozent der befragten deutschen Unternehmen an, das Angebot auch nach der Pandemie bestehen lassen zu wollen. Es scheint also, als sei die „Neue Normalität“ längst Realität. In diesem Zusammenhang warnt das BSI davor, dass sich hier die Angriffsfläche deutlich vergrößert, denn laut der Behörde kommen derzeit täglich 329.000 Schadprogramme hinzu, die Angreifer werden noch professioneller.
Gerade vor diesem Hintergrund ist es besonders wichtig für Unternehmen, die IT-Security und Datenschutz zur obersten Priorität zu machen und sich nicht von vermeintlicher Sicherheit blenden zu lassen. Dies gilt zum Beispiel bei der Anschaffung neuer Lösungen im Bereich Cloud, etwa Enterprise File Services zur Modernisierung der IT-Infrastruktur. Besonders beim Thema Verschlüsselung sollten Betriebe hier aufpassen, denn sie ist der Grundpfeiler der Cybersicherheit, wenn es um den Austausch und allgemein die Verarbeitung von Daten geht. Worauf sollten Unternehmen also achten und was hat es mit der weit verbreiteten Transportverschlüsselung, beziehungsweise der serverseitigen Verschlüsselung auf sich?
Das Bewusstsein schärfen
Unternehmen, die über die Implementierung einer Cloud-Lösung nachdenken, die ihnen zum Beispiel dabei hilft, leichter Homeoffice für alle Mitarbeiter von überall aus zu ermöglichen, sollten sich im ersten Schritt gut informieren. Hier gilt es, das Risikobewusstsein zu schärfen. Entscheider sollten sich also die Frage stellen: „Welches Risiko gehe ich potenziell ein, wenn bestimmte kritische Firmendaten nicht ausreichend geschützt sind?“.
Im zweiten Schritt ist es ratsam, sich wirklich mit dem Thema Verschlüsselung und den verschiedenen Angeboten in diesem Bereich vertraut zu machen. Fragen wie „Was bedeutet Verschlüsselung für Unternehmen allgemein?“ und „Wie schütze ich Firmendaten DSGVO-konform und unter Berücksichtigung der Unternehmens-Policies?“ stehen hier im Vordergrund. Bei der Recherche werden Verantwortliche unweigerlich auf Begriffe stoßen wie:
- Transportverschlüsselung
- Serverseitige Verschlüsselung
- symmetrische Verschlüsselung
- asymmetrische Verschlüsselung
- clientseitige Verschlüsselung
Es ist wichtig, diese verschiedenen Ansätze zu verstehen, um dann eine informierte Entscheidung treffen zu können.
Gängige Verschlüsselungsmethoden greifen zu kurz
Wenn Entscheider sich über die verschiedenen Ansätze und Möglichkeiten informieren, sollte schnell klar werden, dass serverseitige Verschlüsselung und Transportverschlüsselung nicht ausreichend vor Datenabfluss und den Gefahren durch hochprofessionelle Angreifer schützen. Werden diese Begriffe genutzt, sollten Unternehmen aufhorchen, denn sie suggerieren oft eine Sicherheit, die faktisch nicht da ist.
Denn serverseitige Verschlüsselung und Transportverschlüsselung für sich genommen reichen hier nicht aus. Bei ersterem Ansatz werden die Daten zwar serverseitig verschlüsselt, aber der Key zur Entschlüsselung liegt in diesem Fall trotzdem auf dem Server und somit dem Betreiber der Cloud vor. Häufig wird hier die Protokollierung als Schutz angeführt, mit dem jederzeit auditiert werden kann, wer auf den Schlüssel zugegriffen hat. Doch dieser bietet keine wirkliche Absicherung, denn Administratoren können auch diese Maßnahme faktisch deaktivieren oder umgehen. Grundsätzlich besteht immer ein Problem, wenn der Schlüssel dem Cloud-Anbieter bekannt ist und von diesem eingesehen werden kann. Hier ist potenziell ständig das Risiko gegeben, dass Anbieter auf den Schlüssel zugreifen – in der Konsequenz hat das Unternehmen nicht die volle Datenhoheit über die gespeicherten Informationen.
Ähnlich sieht es bei der Transportverschlüsselung aus. Diese ist mittlerweile Standard und stellt mehr eine absolute Mindestanforderung für Lösungen und Web-Dienste dar. Zum Beispiel bei Internetbrowsern, die warnen, wenn Nutzer auf Seiten zugreifen wollen, die Informationen sammeln, ohne dafür HTTPS zu nutzen. Der Ansatz bedeutet nur, dass die Daten vom Benutzer bis hin zum Server verschlüsselt sind, aber am Server selbst werden sie dann wieder entschlüsselt und liegen schließlich wieder im Klartext vor. Aus diesem Grund bietet die Transportverschlüsselung alleine keinen wirklichen Schutz vor Datenverlust.
Clientseitige Verschlüsselung – der „Goldstandard“?
Anders verhält es sich bei der clientseitigen Verschlüsselung, denn hier werden die Daten auf dem jeweiligen Gerät des Benutzers verschlüsselt, auf den Server hochgeladen und dort liegen sie dann ebenfalls verschlüsselt. Möchte der Empfänger auf die Informationen zugreifen, muss dieser sie wieder entschlüsseln. Dies ist dann nur auf dem Endgerät möglich. Die Verschlüsselung und die Schlüsselpaargenerierung erfolgen hier am Gerät des entsprechenden Nutzers.
Konkret verwenden einige Anbieter hier ein hybrides Verschlüsselungsverfahren, bei dem für die reine Verschlüsselung der Dateien die symmetrische Verschlüsselung genutzt wird, und für den Zugriff auf den dabei verwendeten Schlüssel dann die asymmetrische Verschlüsselung (über ein sogenanntes Schlüsselpaar, nämlich Public Key und Private Key). Vereinfacht gesagt bietet so ein Ansatz das Beste aus zwei Welten: die Kombination zwei moderner, sicherer Technologien.
In solchen Fällen wurde mit der symmetrischen Verschlüsselung das Standardverfahren genutzt, gleichzeitig wurde aber auch ein Verfahren eingesetzt, um den Zugriff auf den Schlüsselds so zu konzipieren, dass der Prozess immer in der Kontrolle des Benutzers ablaufen kann, über das asymmetrische Schlüsselpaar. Dieses Schlüsselpaar kann dann in verschlüsselter Form beim Cloud-Anbieter gespeichert werden. Durch den verfügbaren öffentlichen Public Key können andere berechtigte Benutzer somit ebenfalls auf die Daten zugreifen. Das heißt, der Schlüssel, mit dem die Dateien verschlüsselt werden, wird mit dem öffentlichen Key verschlüsselt und die Entschlüsselung findet schließlich immer über die Eingabe eines Kennworts durch den Benutzer mittels seines Private Keys statt.
Somit sind die Daten vom Versender zum Empfänger zu jeder Zeit maximal geschützt. Rein technisch gesehen und einfach formuliert ist der wichtigste Punkt, auf den Verantwortliche achten sollten. Denn solange die Verschlüsselung und Entschlüsselung der Daten auf Client-Seite stattfindet, liegen sie zu jeder Zeit in der Kontrolle des Nutzers.
Zukunftsfähigkeit und Transparenz
Ein weiterer Punkt, auf den Firmen bei der Anschaffung von Cloud-Lösungen achten sollten, ist die Tatsache, dass die eingesetzten Verschlüsselungstechnologien allgemein auf dem neuesten Stand sind. Das BSI sieht etwa Schlüssellängen von 2048 Bit bei asymmetrischen Verschlüsselungsverfahren bis Ende 2023 als nach wie vor sicher an, empfiehlt danach aber eine Erhöhung der Schlüssellänge auf mindestens 3000 Bit. Der Grund: Es ist nicht auszuschließen, dass bis Ende 2023 deutlich leistungsfähigere Computer mit entsprechender Rechenleistung verfügbar sein werden, mit denen Schlüssellängen unter 3000 Bit wahrscheinlich innerhalb akzeptabler Zeitspannen geknackt werden können. Einige Anbieter übertreffen diese Forderung schon jetzt und setzen auf Schlüssellängen jenseits der 4000 Bit. Dies ist von Vorteil, da es garantiert, dass die Lösung auch in Zukunft neuen Cybersicherheitsrisiken standhalten kann.
Des weiteren spielt es für die IT-Sicherheit eine große Rolle, dass die Verschlüsselung open source bereitgestellt wird und es sich nicht um ein Blackbox-Verfahren handelt. Einige Anbieter haben in ihrem GitHub SDKs (Software Development Kits), mit denen andere Entwickler diese Verschlüsselung auch jederzeit selbst implementieren können. Hier ist klar nachvollziehbar, in welcher Form wie etwas und an welcher Stelle verschlüsselt und entschlüsselt wird.
Ein ganzheitlicher Sicherheitsansatz sorgt für Vertrauen
Abschließend ist das Thema „Zertifizierungen und Testate“ noch wichtig zu nennen, auch wenn dies nicht direkt etwas mit Verschlüsselung zu tun hat. Es ist aber trotzdem ein Anzeichen für ein hohes Sicherheitsniveau des Anbieters. Ein wichtiges Zertifikat, über das Hersteller verfügen sollten, ist das BSI C5 Typ 2, ebenso sollte auch die Richtlinie ISO 27001 erfüllt werden. Schließlich ist das Thema IT-Security im besten Fall ein holistisches Konzept, also es wird im gesamten Produktlebenszyklus berücksichtigt.
Anerkannte Zertifizierungen und Testate untermauern noch einmal, dass ein Anbieter hohen Ansprüchen in diesem Bereich genügt. Auch sollten Ansätze wie Security by Design und Security by Default zu den Grundpfeilern des Produkts gehören. Besonders in Zeiten von Homeoffice ist es wichtig, dass Lösungen genutzt werden, die von Haus aus bereits benutzer- und datenschutzfreundlich konzipiert sind. Werden diese Ansätze verfolgt, entsteht gar nicht erst die Möglichkeit, dass wichtige Daten abfließen. So werden personenbezogene Daten korrekt verarbeitet.
Fazit
Die clientseitige Verschlüsselung bietet Unternehmen ein Maximum an Datenschutz und IT-Sicherheit. Betriebe sollten bei der Anschaffung neuer Lösungen, besonders in Zeiten von Remote Work, keine Kompromisse eingehen. Leider sind unsichere Verschlüsselungsmethoden weiterhin sehr verbreitet. Auf der anderen Seite ist es erfreulich, dass immer mehr Anbieter die steigende Bedrohungslage und das Bedürfnis der Kunden nach Datensouveränität erkennen und eine hochsichere, clientseitige Verschlüsselung anbieten, und diese idealerweise open-source bereitstellen. Zeitgemäße Schlüssellängen, anerkannte Zertifizierungen und die Verfolgung der Philosophie Security by Design, beziehungsweise by Default, sorgen für zusätzliche Sicherheit.
Über den Autor: Octavio Simone ist Director Customer Services bei Dracoon.
(ID:47904536)
:quality(80)/images.vogel.de/vogelonline/bdb/1947100/1947163/original.jpg "E-Mail-Verschlüsselung birgt ein Problem für die IT-Sicherheit: Ist der Inhalt einer Mail korrekt verschlüsselt, ist er nicht nur für Dritte, sondern auch für Sicherheitslösungen nicht mehr lesbar. (sdecoret)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883500/1883553/original.jpg "Damit E-Mail-Verschlüsselung auch genutzt wird, muss das komplexe Thema so umgesetzt werden, dass sich die Verschlüsselung leicht in den täglichen Betrieb integrieren lässt. (peterschreiber.media - stock.adobe.com)")