Die Verschlüsselung von Daten ist ein wichtiger Bestandteil jeder Datenschutz-Strategie. Konsequent umgesetzt ist Ende-zu-Ende-Verschlüsselung in der Cloud eine solide Sicherheitsvorkehrung gegen Spionage und den Verlust von sensiblen Unternehmensinformationen.
Aufgrund der stetig ansteigenden Menge an Daten, die in Unternehmen anfallen, und der Erwartung von permanenter Verfügbarkeit, werden diese immer häufiger in der Cloud abgelegt. Das ist sinnvoll, denn die Speicherung von Daten in der Cloud bietet einige Vorteile. Da wären zum einen die stark reduzierten Kosten durch die Einsparung von Hardware und zum anderen der flexible Zugriff auf die Dateien, da sie nicht an ein Gerät gebunden sind. Dies begünstigt eine effiziente Zusammenarbeit in Unternehmen. Doch oft bestehen Bedenken, was den Datenschutz in der Cloud betrifft.
Die Anbieter von Cloud-Speicherdiensten bieten einen hohen physischen Schutz. Die Rechenzentren, in denen Daten gespeichert werden, stellen zahlreiche Maßnahmen zur Absicherung bereit. So werden die Server gut bewacht, um unbefugten Dritten den (physischen) Zugang auf die Daten zu verwehren. Dieses Schutzniveau kann kaum ein Unternehmen leisten. Doch gleichzeitig geben sie ihre Unternehmensdaten in die Hände von Fremden.
Irrtum 1: Kein Mensch (Unternehmen) interessiert sich für meine Daten
Viele Unternehmer wiegen sich in der Sicherheit, dass ihr Unternehmen kein interessantes Ziel für Hacker und Angreifer sei. Doch das Ziel von Cyberangriffen ist es in den meisten Fällen nicht, streng geheime Daten abzugreifen. Heutzutage besteht ein hohes finanzielles Interesse daran, selbst scheinbar langweilige Daten zu sammeln. Jegliche Informationen über Ihr Unternehmen, die Arbeitsweise oder Ihre Kunden verschafft Dritten einen Vorteil. Sobald die Möglichkeit besteht, Informationen Ihres Unternehmens auszulesen, wird jemand dies tun.
Zum einen geht es dabei ganz allgemein um Wissen und Erkenntnisse, die man aus einem großen Datenpool gewinnen kann. Zum anderen gibt es Dritte, die ganz speziell Ihre Daten auslesen möchten. Das können Strafverfolgungsbehörden, Hacker oder Konkurrenten sein, die Daten eines ganz bestimmten Unternehmens suchen. Den meisten Menschen ist dabei nicht bewusst, wie viele Informationen aus einzelnen Daten abgeleitet werden können.
Verschlüsseln Sie Ihre Daten mit Ende-zu-Ende-Verschlüsselung, nehmen Sie Unbefugten die Möglichkeit, auf die Daten in Klartext zuzugreifen. Ausschließlich dazu befugte Personen können die Daten lesen. Laut DS-GVO sind Sie tatsächlich auch dazu verpflichtet, personenbezogenen Daten besonders zu sichern.
Irrtum 2: Verschlüsselung – Das ist doch alles viel zu kompliziert
Das muss nicht sein. Für die Verschlüsselung Ihrer Daten gibt es Software, die Ihnen dabei hilft, Ihre Daten zu jedem Zeitpunkt wirkungsvoll zu verschlüsseln und zugleich eine hohe Nutzerfreundlichkeit gewähren. Sobald der initiale Workflow aufgesetzt ist, läuft die Chiffrierung im Hintergrund ab, sodass der normale Arbeitsablauf nicht verändert werden muss.
Auch bieten Ihnen solche Verschlüsselungs-Tools in der Regel die Möglichkeit, die Daten nicht nur in einem Cloud-Speicher, sondern bei verschiedenen Anbietern, auf einem NAS und auch lokal auf dem Rechner zu verschlüsseln.
Irrtum 3: Mein Cloud-Anbieter verschlüsselt die Daten bereits
Cloud-Speicheranbieter haben selbst verschiedene Arten von Verschlüsselung zum Schutz Ihrer Daten eingerichtet. Üblicherweise werden die Dateien während der Übertragung (auf dem Weg in die Cloud) und im Ruhezustand (in der Cloud) verschlüsselt. Generell gilt jedoch, dass Ihre Daten durchgehend verschlüsselt sein sollten. Wenn Sie sich ausschließlich auf die Verschlüsselung des Cloud-Anbieters verlassen, ist dies nicht der Fall. Der Anbieter der Verschlüsselung (in diesem Fall der Anbieter der Cloud) besitzt die Schlüssel und kann theoretisch jederzeit auf Ihre Inhalte und Dateien zugreifen.
Nutzen Sie zum Beispiel den Cloud-Speicher Microsoft OneDrive for Business, werden Ihre Daten durch Standardtechnologien während der Übertragung und im Ruhezustand verschlüsselt. Das Problem ist, dass Sie letztendlich niemals alleiniger Besitzer Ihrer Schlüssel sind, da Microsoft die Schlüssel zu Ihren Unternehmensdaten erstellt und verwaltet. Auch wenn Microsoft diese Schlüssel nicht nutzen sollte, um auf Ihre Informationen zuzugreifen, steht die Möglichkeit im Raum, dass die US-Regierung oder Sicherheitsbehörden (dazu juristisch befugt durch den CLOUD-Act) Zugriff auf Daten anfordern. Der Cloud-Anbieter, selbst wenn er dies nicht möchte, müsste die Informationen herausgeben.
Schutz bietet hier nur durchgehende Ende-zu-Ende-Verschlüsselung oder Verschlüsselung mit Zero-Knowledge-Standard. Diese garantiert aufgrund der technischen Voraussetzungen, dass ausschließlich die Eigentümer der Daten die Schlüssel in der Hand halten. Selbst der Anbieter der Verschlüsselung kann nicht auf die Daten zugreifen. Unbefugte Dritte sowie der Cloud-Anbieter selbst werden zuverlässig ausgeschlossen.
Die Verschlüsselung Ihrer Daten in der Cloud, wie auch an anderen Speicherorten, hilft Ihnen, den Datenschutz deutlich zu erhöhen. Achten Sie dabei jedoch auf die Schlagwörter Ende-zu-Ende-Verschlüsslung, Zero-Knowledge-Standard, oder durchgängige Verschlüsselung. Nur diese sorgt dafür, dass ausschließlich Sie und die Personen, die von Ihnen befugt wurden, Zugriff erhalten. So wird potenzieller Schaden für ihr Unternehmen effektiv abgewehrt.