Zu den größten Herausforderungen der zunehmenden Vernetzung von Unternehmen, Menschen, Maschinen und Prozessen gehört die sichere Übertragung von Daten: Wie lässt sich sicherstellen, dass Anwender mit jedem Endgerät Informationen austauschen können und diese trotzdem vor unberechtigten Zugriffen geschützt sind? Die Antwort lautet: Konsequente Verschlüsselung. (Bildquelle: totemo)
Daten sind heute, im Zeitalter der Digitalisierung, permanent in Bewegung. Über unterschiedliche Endgeräte werden sie von einem Punkt zum nächsten transferiert. Ein Grund dafür ist das „Internet der Dinge“ (Internet of Things, IoT). Der Begriff steht für miteinander vernetzte Geräte, die per Fernzugriff Daten liefern oder in Aktionen umsetzen können. Der Zugriff ist beispielsweise mit Hilfe mobiler Geräte jederzeit und überall möglich.
Dass die Mobilität von Anwendern und damit auch von Daten weiterhin steigen wird, zeigen die Einschätzungen von Marktforschern: Die Analysten von IDC gehen davon aus, dass die Zahl der IoT-Geräte von aktuell rund sechs Milliarden auf 28 Milliarden im Jahr 2020 anwachsen wird. Demnach soll allein der Markt für tragbare, intelligente Endgeräte voraussichtlich mit einer durchschnittlichen Wachstumsrate von 60 Prozent pro Jahr auf 20 Milliarden US-Dollar im Jahr 2017 zulegen. Laut einer Studie der Gartner Group wird die Zahl der Tablets 2016 mit 259 Millionen verkauften Einheiten erstmals die Zahl der traditionellen PCs (248 Millionen) überflügeln.
Praktisch – aber auch riskant
Bei aller Euphorie darf nicht vergessen werden, dass Unternehmen durch das Internet der Dinge und die erhöhte Mobilität potenziell auch anfälliger für Cyber-Angriffe werden, zumal gerade bei der Konzeption neuer IoT-Geräte der Mehrwert der neuen Funktionen im Vordergrund steht und Sicherheitsaspekte oft vernachlässigt werden. Außerdem entsprechen zum einen viele der etablierten Abläufe nicht mehr den Anforderungen der heutigen digitalen Arbeitswelt. Werkzeuge und Methoden sind nicht selten veraltet und wenig zeitgemäß. Zum anderen fehlt häufig das Sicherheitsbewusstsein bei den Mitarbeitern, aber auch in den Reihen des Managements: Noch immer verzichten viele Unternehmen auf eine Verschlüsselung bei der Datenübertragung.
Diese Tatsache machen sich Cyberkriminelle zunutze. Mit raffinierten Aktionen stehlen sie gezielt vertrauliche Daten. Objekte der Begierde können Konstruktionspläne, aber auch Informationen über die Produktionsplanung bis hin zu Angeboten oder andere sensible Geschäftsdaten sein. Der Verlust kann ein Unternehmen nachhaltig schädigen. Die Sicherheitsexperten von Kaspersky haben im Jahr 2013 mehr als 5,2 Milliarden Angriffe auf Anwendercomputer und mobile Endgeräte festgestellt. Im Jahr 2014 ist diese Zahl auf 6,2 Milliarden Angriffe gestiegen und die Kurve zeigt weiter nach oben.
Codesalat statt Klartext
Unverschlüsselte E-Mails können im Prinzip von jedermann mitgelesen werden. Daten, die auf diese Weise übermittelt werden, lassen sich also problemlos abfangen. Eine probate Schutzmaßnahme für die Kommunikation via E-Mail ist daher die Ende-zu-Ende-Verschlüsselung. Hierbei bleiben Informationen auf dem gesamten Weg von Absender bis zum Empfänger verschlüsselt. Nur der Berechtigte kann die E-Mails entschlüsseln und anschließend lesen. Unabhängig von Provider und Verbindungsart funktioniert dies auch in ungesicherten Netzen: Versuchen Cyberkriminelle, die Verbindungen anzuzapfen und so an vertrauliche Informationen zu kommen, erbeuten sie lediglich Datenmüll. Das gilt für die Kommunikation zwischen stationären Arbeitsgeräten ebenso wie für mobile Endgeräte.
Ähnlich wie unverschlüsselte E-Mails bietet auch das viel genutzte File-Transfer-Protokoll (FTP) für die Datenübertragung keinen ausreichenden Schutz. Zu den wichtigsten Standards für die sichere Datenübertragung hingegen gehören HTTPS, FTPS sowie SFTP und SCP. Hypertext Transfer Protocol Secure (HTTPS) ist ein sicheres Hypertext-Übertragungsprotokoll. Es wird im Internet als Kommunikationsprotokoll verwendet, um Daten abhörsicher zu übertragen. Das Übertragungsprotokoll eignet sich insbesondere für den Datenaustausch mit Anwendern, bei denen kein spezielles Know-how im Zusammenhang mit Datenübertragung vorausgesetzt wird. HTTPS hat den Vorteil, dass es sich auf jedem Arbeitsplatz und mit jedem – auch mobilen – Betriebssystem einsetzen lässt. Es eignet sich besonders für Datenübertragungen von Mensch-zu-Mensch, da mit der Zahl der Teilnehmer auch die Vielfalt der genutzten Betriebssysteme und Browser steigt.
Demgegenüber stehen Datentransfers von System-zu-System. Von System-zu-System-Datenaustausch spricht man, wenn Systeme oder Anwendungen Daten untereinander austauschen, beispielweise beim Abgleich von Daten intern zwischen unterschiedlichen Netzwerkzonen, geografisch getrennten Standorten sowie der Erstellung automatischer Backups. Auch der Transfer von Daten an Systeme externer Behörden oder Geschäftspartner fällt in diese Übertragungskategorie: In der Regel lösen automatisierte Workflows die Datenflüsse an das Empfängersystem aus. Für diese Übertragungen von Dateien zwischen Applikationen eignen sich am besten die Standards SCP, FTPS und SFTP.
Rechtzeitig in Sicherheit investieren
Die Fülle der Standards erschwert IT-Verantwortlichen häufig den Auswahlprozess. Daher empfiehlt sich im ersten Schritt zunächst die individuellen Anforderungen genau zu definieren und festzulegen, welche Anwendungsfälle abgedeckt werden sollen.
Bei der Bedarfsermittlung und der Realisierung einer passenden Verschlüsselungslösung lohnt sich die Zusammenarbeit mit einem Spezialisten. Denn Faktoren wie die einfache Handhabung entscheiden über die erfolgreiche Einführung und Nutzung – und damit auch über den Unternehmenserfolg: Im Zeitalter der mobilen Anwendungen und globalen Geschäftsbeziehungen spielen Sicherheit und Vertraulichkeit eine immer größere Rolle. Passende Sicherheitslösungen mit Verschlüsselungsfunktion sind dafür ein wesentliches Element.
Gängige Standards für die Datenübertragung auf einen Blick (Auswahl)
- SCP: Bei Secure CoPy (SCP) handelt es sich sowohl um ein Protokoll als auch um ein Programm zur verschlüsselten Übertragung von Daten zwischen zwei Endgeräten, die über ein Netz miteinander kommunizieren.
- FTPS: Um die fehlenden Sicherheitsoptionen von File Transfer Protocol (FTP) auszugleichen und für die Übertragung von Dateien eine gewisse Sicherheit zu bieten, wird der Datenkanal mit SSL (Secure Socket Layer) oder TLS (Transport Layer Security) verschlüsselt. Diese geänderte Version von FTP heißt FTPS.
- SFTP: Das Secure File Transfer Protocol (SFTP) ist eine Alternative zum File Transfer Protocol (FTP), die Verschlüsselung ermöglicht. Im Unterschied zu FTPS begnügt sich SFTP mit einer einzigen Verbindung zwischen Client und Server. Somit kann die Authentifizierung und Verschlüsselung über jedes Verfahren erfolgen.
- HTTPS: Das Kommunikationsprotokoll Hyper Text Transfer Protocol Secure (HTTPS) wird verwendet, um Daten im Internet abhörsicher zu übertragen. Es gewährleistet Vertraulichkeit und Integrität in der Kommunikation zwischen Webserver und Webbrowser (Client) durch Authentifizierung und Verschlüsselung.
Marcel Mock
Marcel Mock ist CTO und Mitbegründer des Schweizer Sicherheitsexperten totemo. Davor war er als Head of Software Development bei WebSemantix AG tätig sowie als Consultant bei IBM Deutschland. Marcel Mock besitzt einen BS in Wirtschaftsinformatik von der staatlichen Studienakademie Glauchau. (Bildquelle: totemo)