Verschlüsselung kommt heute immer dann zum Einsatz, wenn Transaktionen über unsichere Kommunikationskanäle wie das Internet abgewickelt werden sollen. Meist sind sich die Anwender dessen jedoch gar nicht bewusst. In diesem Artikel erklärt Szilveszter Szebeni, CISO bei Tresorit, wie Verschlüsselung grundsätzlich funktioniert.
Um die eigenen Daten effizient und vor allem zuverlässig zu schützen, ist Verschlüsselung das Mittel der Wahl. Verschlüsselung bringt Nutzern klare Vorteile: Sie bietet Vertraulichkeit, indem die Inhalte einer Nachricht verschlüsselt werden; Authentifizierung, indem ihr Ursprung verifiziert wird; Integrität, indem bewiesen wird, dass sie seit dem Versenden unverändert geblieben ist, sowie Nonrepudiation, indem der Sender nicht leugnen kann, dass er die Nachricht versendet hat. Auf dem Markt gibt es deshalb eine Vielzahl digitaler Services, die damit werben, Verschlüsselung direkt integriert zu haben. Ob sie aber für ein angemessenes Maß an Datensicherheit sorgen, ist von Fall zu Fall verschieden. Wichtige Begriffe aus dem Bereich zu kennen und grundsätzlich zu verstehen, wie Verschlüsselung funktioniert, ermöglicht deshalb auch Nicht-Fachleuten, einzuschätzen, welches Sicherheitslevel ein Service wirklich bietet.
Wie funktioniert Verschlüsselung?
Verschlüsselung wandelt Informationen in einen Geheimcode um und bringt sie so in eine für Unbefugte nicht mehr lesbare Form. Die Fachsprache bezeichnet unverschlüsselte Daten als Klartext, während verschlüsselte Daten Geheimtext genannt werden. Wenn der vorgesehene Empfänger die Nachricht öffnet, werden die Informationen in ihr ursprüngliches Format zurückübersetzt. Dies nennt sich Entschlüsselung. Die zur Ver- und Entschlüsselung von Nachrichten angewendeten Formeln sind als Verschlüsselungsalgorithmen oder Chiffre bekannt.
Um nun auf die Inhalte einer Nachricht zugreifen zu können, müssen sowohl der Sender als auch der Empfänger den passenden Schlüssel beziehungsweise Verschlüsselungscode verwenden. Dabei handelt es sich um eine mittels Algorithmen zufällig generierte Zahlenreihe. Verschlüsselungssysteme, die für die Ver- und Entschlüsselung nur einen einzelnen Schlüssel einsetzen, werden als symmetrisch bezeichnet. Im Gegensatz dazu verwenden asymmetrische Verschlüsselungssysteme zwei Schlüssel: einen öffentlichen (Public Key), der zwischen Nutzern zum Verschlüsseln der Nachricht geteilt wird, und einen privaten Schlüssel (Private Key) für die Entschlüsselung, der nicht geteilt wird. Asymmetrische Verschlüsselungssysteme haben den Vorteil, dass sie ein höheres Maß an Sicherheit bieten, weil die privaten Schlüssel nicht übertragen oder offengelegt werden. Dies ist allerdings insofern gleichzeitig ihr Nachteil, weil die komplexeren Verschlüsselungsberechnungen, die hier nötig sind, mehr Ressourcen auf den Servern verbrauchen und deshalb unter Umständen eine längere Wartezeit entsteht, bis die Daten entschlüsselt wurden als bei symmetrischer Verschlüsselung.
Die Betrachtung einer Tür oder eines Tresors als traditionelles Beispiel für Verschlüsselung macht den Begriff besser verständlich: Nehmen wir einmal an, Sie sind auf Geschäftsreise. Ein Hotel, in dem ein Schlüssel die Türen zu mehreren Zimmern öffnet, würde nicht in Frage kommen. Sie entscheiden sich für ein seriöses Hotel mit soliden Sicherheitsvorkehrungen. Nach Ihrer Ankunft checken Sie ein, machen sich fertig und lassen Ihre Kamera und einige Geschäftsunterlagen in Ihrem Zimmer, bevor Sie die Tür schließen und zu einem Meeting eilen. Sie tun dies völlig sorglos, da Sie davon ausgehen, dass alles an genau demselben Platz sein wird, an dem Sie es zurückgelassen haben. Denn Sie haben volles Vertrauen in das Hotelpersonal und das Türschloss an Ihrer Zimmertüre.
In diesem Beispiel:
- stellen Kamera und Unterlagen die privaten Informationen dar, die Sie in die Cloud hochladen
- ist das Zimmer Ihr Konto
- ist das Türschloss das Verschlüsselungssystem zum Schutz Ihrer Daten
- ist der Schlüssel zum Schloss Ihr Passwort
- ist das Hotel Ihr Serviceanbieter
Was passiert jedoch, wenn ein Dieb oder Hacker das Schloss nicht knackt, sondern sich Zugriff auf den Generalschlüssel verschafft? Dann müsste der Nutzer im Beispiel sich wohl nach einer neuen Kamera umsehen und vertrauliche Informationen wären öffentlich zugänglich. In der digitalen Welt und sehen sich Anwender in diesem Fall mit einer Datenschutzverletzung sowie der damit oftmals einhergehenden Umsatz- und Rufschädigung konfrontiert. Diese Gefahr besteht allerdings nicht, wenn Serviceanbieter Zero-Knowledge-Verschlüsselung einsetzt. Denn diese haben keinerlei Kenntnis über Daten oder Passwörter – ein Hacker bekommt somit nur „Datensalat“ der keinen Sinn erfüllt. Es gehen auch bei einem digitalen Einbruch keine Daten verloren. Wichtig ist, dass ein Back-up der Daten existiert.
Der Weg der Daten oder Ansatzpunkte für Verschlüsselung
Heute lagern Daten nicht mehr nur auf einem Rechner, sie werden stetig hin- und hergeschickt, geteilt und weitergegeben. Das bedeutet auch: Umfassender Datenschutz darf Daten nicht nur schützen, wenn sie auf einem bestimmten Server lagern, er muss sie auch schützen, wenn sie sich “bewegen”.
Die zwei wichtigsten Formen von Datenzuständen sind deshalb:
- In-Transit-Daten: Verschlüsselung spielt eine zentrale Rolle beim Schutz von Daten bei der Übertragung (englisch Data in Transit, auch Data in Motion oder Data in Flight). Verschlüsselung bei der Übertragung schützt Informationen, falls Unbefugte diese abhören oder -fangen. Beispiele hierfür sind das Abheben von Geld an einem Bankautomaten, das Aufgeben einer Online-Bestellung, das Hochladen von Fotos vom Smartphone sowie das Versenden einer E-Mail.
- At-Rest-Daten: Wenn Daten ihr Ziel erreicht haben, werden sie zu Data at Rest. Das bedeutet, dass Nutzer sie in einer Datenbank, einem Archiv, einem Cloud-Back-up oder auf einem USB-Stick speichern. Diese Kategorie beinhaltet keine Daten, die gerade verwendet werden (englisch Data in Use), also zum Beispiel über ein Netzwerk übertragen oder zur Ansicht oder Bearbeitung geöffnet werden.
Wenn sichergestellt werden soll, dass Informationen ausschließlich für befugte Nutzer zugänglich sind, ist Verschlüsselung aller oben genannten Dateitypen unerlässlich für eine wasserdichte Datenschutzstrategie von Unternehmen.
Sicherheit plus: Zero-Knowledge-Verschlüsselung
Ende-zu-Ende-Verschlüsselung (E2EE) wird oftmals als Goldstandard für sichere Kommunikation bezeichnet. Mit ihr werden Nachrichten verschlüsselt, bevor sie gesendet werden, und erst dann entschlüsselt, wenn sie auf dem Gerät des Empfängers angekommen sind. Das bedeutet, dass niemand zwischen diesen beiden Endpunkten die Daten lesen oder bearbeiten kann, da keiner über den Private Key verfügt, mit dem dies möglich ist.
Was jedoch, wenn es nur um die Daten geht und keine zwei Endpunkte oder Kommunikationen vorliegen – wie beispielsweise bei einem Cloudspeicher? An dieser Stelle kommt Zero-Knowledge-Verschlüsselung ins Spiel: diese macht es selbst für Serviceanbieter unmöglich, den Verschlüsselungscode der Nutzer oder die auf den Servern gespeicherten oder verarbeiteten Daten einzusehen. Alles, was Anwender dort tun oder aufbewahren, wird verschlüsselt, bevor die Daten auf den Servern ankommen, ohne dass dem Serviceanbieter jemals der Verschlüsselungscode bekannt ist.
Für Unternehmen hat Zero Knowledge vor allem drei zentrale Vorteile:
- Keine Kompromisse oder Abhängigkeiten, was Sicherheit betrifft. Anbieter von Zero-Knowledge-Lösungen Wissen nichts über die Daten ihrer Kunden, was Zugriffe durch unbefugte Personen unmöglich macht.
- Keine Gefahr, dass Unbefugte auf vertrauliche Daten zugreifen können. Selbst wenn Daten gehackt werden, müssen sich Nutzer keine Sorgen machen. Sollten verschlüsselte Informationen offengelegt werden, sind sie für unbefugte Nutzer einschließlich Hackern weiterhin unlesbar.
- Verbesserte Compliance vor allem für Branchen, für die Datenschutz gesetzlich vorgeschrieben ist. Dazu zählen beispielweise das Gesundheitsversicherungsübertragbarkeits- und Verantwortungsgesetz (Health Insurance Portability and Accountability Act, HIPAA) oder Regelwerke wie der Payment Card Industry Data Security Standard (PCI-DSS).
Sichere Cloudzusammenarbeit dank Verschlüsselung
Viele Nutzer haben nach wie vor Vorbehalte gegen Datenspeicherung in der Cloud. Eine Umfrage des Marktforschungsunternehmens Civey (Mai/ Juni 2022) unter IT-Fachkräften ergab, dass mehr als die Hälfte (55,5 Prozent) große Bedenken bezüglich der Datensicherheit in der Cloud haben. Gleichzeitig gaben 69,9 Prozent an, beruflich Clouddienste zu nutzen. Verschlüsselung bietet die Lösung für diesen Konflikt.
Cloudverschlüsselung ist eine proaktive Verteidigungsmaßnahme gegen Datenschutzverletzungen sowie Cyberattacken. Sie ermöglicht es Unternehmen, die Vorzüge von Cloud Collaboration Services voll auszuschöpfen, wie etwa verbesserte Arbeitsabläufe oder die Erfüllung gesetzlicher Auflagen, ohne dass Daten unnötigen Risiken ausgesetzt werden.
Wer also in der modernen Arbeitswelt, sowohl auf digitale Zusammenarbeit als auch auf verlässliche Datensicherheit nicht verzichten will, muss sichergehen, dass Onlinedienste durch Verschlüsselung geschützt sind. Bei der Auswahl einer geeigneten digitalen Sicherheitslösung ist Ende-zu-Ende-Verschlüsselung nach dem Zero-Knowledge-Prinzip der Goldstandard.