Sollten Unbefugte zu den gespeicherten Daten durchdringen, ist noch nicht alles verloren: Eine Datenverschlüsselung verhindert, dass Daten nicht einfach so ausgelesen werden können. Doc Storage erklärt die verschiedenen Verschlüsselungsmethoden und die Verschlüsselungsstrategie in vier Schritten.
Teil 3 unserer Serie zu Daten- oder Speichersicherheit: Sollte die Zugriffskontrolle überwunden werden, bildet die Datenverschlüsselung die zweite Verteidigungslinie. Sie verhindert, dass unbefugte Personen die Daten einfach so lesen und verarbeiten können. Doc Storage erklärt die sieben gängigsten symmetrischen und asymmetrischen Verschlüsselungs-Methoden.
Antwort Doc Storage:
Verschlüsselung ist ein wichtiges Werkzeug, um Daten zu schützen, Vertrauen aufzubauen bzw. aufrecht zu erhalten, und die Einhaltung gesetzlicher Vorschriften zu gewährleisten. Sichtbar oder nicht, Verschlüsselung wird heute in fast jeder digitalen Geschäftsinteraktion verwendet. Klickt man beispielsweise auf einen Link, um eine Seite im Internet zu öffnen, verwenden Webbrowser höchstwahrscheinlich eine Form von Verschlüsselung, um die Sicherheit der Verbindung zu garantieren. Die meisten auch DV-Mitarbeiter in Unternehmen wissen kaum, wie man von Verschlüsselung profitieren kann. Nach aktuellen Umfragen gibt fast ein Viertel des DV-Personals an, unverschlüsselte Daten seien eine der größten Sicherheitslücken, mit denen Unternehmen konfrontiert sind.
Datenverschlüsselung ist ein Sicherheitsmechanismus, der Klartextdaten und direkt zu öffnende Dateien in nicht lesbare, verschlüsselte Informationen umwandelt. Diese kryptischen Texte oder Dateien können nur mit einem eindeutigen Schlüssel entschlüsselt werden, der zum Zeitpunkt der Verschlüsselung bereitgestellt wird. Verschlüsselung kann sowohl für Daten während der Übertragung als auch für gespeicherte Daten verwendet werden. Die Sicherheitsmechanismen lassen sich mit Authentifizierungsdiensten kombinieren – hiermit lässt sich sichergestellt, dass nur autorisierte Benutzer auf schützenswerte Daten zugreifen können.
Symmetrische & asymmetrische Verschlüsselung
Generell existieren zwei Arten von Verschlüsselung. Die symmetrische Verschlüsselung verwendet einen einzigen symmetrischen Schlüssel zum Verschlüsseln und Entschlüsseln von Daten, also denselben auf beiden Seiten. Der Schlüssel wird mit allen berechtigten Benutzern geteilt, um den Datenzugriff zu ermöglichen. Die asymmetrische Verschlüsselung verwendet zwei separate Schlüssel zum Verschlüsseln und Entschlüsseln von Daten. Einer dieser Schlüssel wird öffentlich gemacht, also mit allen Benutzern geteilt, der andere privat gehalten, ist also nur dem Erzeuger des Schlüssels bekannt. Der öffentliche Schlüssel wird genutzt, um Daten zu verschlüsseln, der private Schlüssel, um sie zu entschlüsseln.
Verschiedene Verschlüsselungs-Methoden basieren auf der Art der verwendeten Schlüssel, der Länge des Verschlüsselungs-Schlüssels und der Größe der verschlüsselten Datenblöcke. Hier eine Liste der gängigsten Verschlüsselungs-Methoden, um vertrauliche Daten zu schützen:
- Rivest-Shamir-Adleman (RSA) ist ein asymmetrischer Verschlüsselungs-Algorithmus, der auf der Faktorisierung des Produkts zweier großer Primzahlen basiert. Nur jemand, der diese Zahlen kennt, kann die Nachricht erfolgreich entschlüsseln. RSA wird häufig verwendet, um die Datenübertragung zwischen zwei Kommunikationspunkten zu sichern. Allerdings lässt die Effizienz bei der Verschlüsselung großer Datenmengen nach. Dennoch ist dieses Verschlüsselungsverfahren aufgrund seiner ausgeprägten mathematischen Eigenschaften und Komplexität sehr zuverlässig bei der Übertragung vertraulicher Daten.
- Advanced Encryption Standard (AES) ist ein symmetrischer Verschlüsselungs-Algorithmus, der Datenblöcke von jeweils 128 Bit verschlüsselt. Es verwendet Schlüssel von 128, 192 und 256 Bit Länge, um zu verschlüsseln. Der 256-Bit-Schlüssel verschlüsselt Daten in 14 Runden (rounds), der 192-Bit-Schlüssel in zwölf Runden und der 128-Bit-Schlüssel in zehn Runden. Jede Runde besteht aus mehreren Schritten des Ersetzens, der Transposition und des Mischens von Klartext. AES kann für Sicherheit in kabellosen Netzen, Verschlüsselung mobiler Anwendungen, Dateiverschlüsselung und Secure-Sockets-Layer/Transport-Layer-Security (SSL/TLS) verwendet werden. Wahrscheinlich verwendet der Webbrowser gerade AES, um die Verbindung zu dieser Website zu verschlüsseln.
- Triple Data Encryption Standard (Triple DES) ist eine symmetrische Verschlüsselungstechnik und eine fortgeschrittenere Form des Data Encryption Standard (DES)-Verfahrens, das Datenblöcke mit einem 56-Bit-Schlüssel verschlüsselt. Triple DES wendet den DES-Verschlüsselungsalgorithmus dreimal auf jeden Datenblock an. Triple DES wird häufig für Geldkarten-PINs und UNIX-Passwörter verwendet. Weit verbreitete Anwendungen wie Microsoft Office und Mozilla Firefox verwenden ebenfalls Triple DES.
- Blowfish wurde ursprünglich als Ersatz für DES entwickelt und ist ein symmetrischer Algorithmus, der Nachrichten in 64-Bit-Segmente unterteilt und diese einzeln verschlüsselt. Blowfish ist vor allem schnell, universell einsetzbar und gilt landläufig als »unzerbrechlich«. Blowfish ist Open-Source und lässt sich daher kostenlos verwenden, was seiner Verbreitung noch weiterhilft. Hauptsächliche Anwendungsfelder für Blowfish sind Transaktionen auf E-Commerce-Plattformen, die Sicherung von E-Mail-Verschlüsselungs-Werkzeugen, Passwortverwaltung oder Backup-Anwendungen.
- Twofish ist ein symmetrisches, lizenzfreies Verschlüsselungsverfahren, welches Datenblöcke von jeweils 128 Bit verschlüsselt. Es ist ein vielseitigerer Nachfolger von Blowfish und Threefish. Twofish verschlüsselt Daten immer in 16 Runden (rounds), unabhängig von der Größe des verwendeten Schlüssels. Obwohl es deutlich langsamer als AES ist, kann Twofish verwendet werden, um unter anderem Datei- und Ordnerverschlüsselung durchzuführen.
- Format Preserving Encryption (FPE) ist ein symmetrischer Algorithmus, der das Format sowie die Länge von Daten bei der Codierung beibehält. Werden beispielsweise Telefonnummern verschlüsselt, ändert FPE sie in eine andere von gleichem Format und Länge. Nur die Zeichen werden geändert, um die ursprünglichen Daten zu schützen. FPE findet hauptsächlich Verwendung, um Cloud-Verwaltungs-Software und -werkzeuge abzusichern. So benutzen Amazon Web Services (AWS) und Google Cloud diese Methode zur Verschlüsselung.
- Elliptic Curve Cryptography (ECC) ist eine neuere Art der Public-Key-Kryptographie, die vielfach als stärker als RSA angesehen wird. Sie verwendet kürzere Schlüssel, was sie schneller macht. ECC ist asymmetrisch, kann also für SSL/TLS-Protokolle verwendet werden, um die Sicherheit von Kommunikation über Netze zu erhöhen. Darüber hinaus kann ECC für die Einwegverschlüsselung von E-Mails oder für digitale Signaturen in Kryptowährungen wie Bitcoin Einsatz finden.
Verschlüsselungsstrategie in 4 Schritten
Das Erstellen und Implementieren einer Verschlüsselungsstrategie sollte eine gemeinsame Strategie der DV-, Betriebs- und Management-Abteilungen darstellen. Diese Strategie kann in vier einfachen Schritten eingeführt werden.
- Daten klassifizieren: Der erste Schritt besteht darin herauszufinden, welche Daten es zu verschlüsseln gilt und wie schützenswert diese Daten sind. Die verschiedenen Arten von Daten, die gesendet und gespeichert werden (z.B. Kreditkartennummern, Kundeninformationen, unternehmenseigene Daten), müssen verstanden und gruppiert werden. Dies immer basierend darauf, wie sensibel diese Daten sind, wie oft man sie verwendet und welchen Regularien sie unterliegen.
- Identifikation der richtigen Verschlüsselungslösung. Hierfür sollten einschlägige Werkzeuge Verwendung finden, um Datenbanken oder einzelne Dateien zu verschlüsseln, die vertrauliche Informationen enthalten. Natürlich kann auch auf Standardanwendungen und -werkzeuge für E-Mail-Sicherheit, Transaktions-Gateways und Cloud-Sicherheit zurückgegriffen werden. Diese enthalten meist auch Datenbank-Verschlüsselungsfunktionen, die zum Schutz sensibler Daten erforderlich sind.
- Streng überwachte Verfahren zur Verwaltung der verwendeten Schlüssel sind einzuführen. Die Schlüssel müssen immer und jederzeit im Auge behalten werden, Unbefugte dürfen auf keinen Fall an diese und damit an die gesicherten Daten gelangen. Dies ist auch für den Fall zu sichern, dass einzelne Schlüssel in falsche Hände geraten. Hier hilft es ein Schlüssel-Management einzuführen. Entsprechende Lösungen verwalten und sichern die Schlüssel entsprechend.
- Natürlich müssen sich alle Beteiligten auch mit den Schwächen und Einschränkungen von Verschlüsselungslösungen vertraut machen. Eine Verschlüsselung hilft nur, sensible Daten vor unberechtigtem Zugriff zu schützen. Darüber hinaus ist es allerdings genauso wichtig, starke Cybersicherheitsmaßnahmen wie Firewalls und Endgeräteschutz einzuführen.
Die hier aufgelisteten Datenverschlüsselungsmethoden gehören zu den am weitesten verbreiteten im DV-Betrieb. Der Schutz von Daten wird natürlich weiter gestärkt, wenn das IT-Team nicht nur eine, sondern mehrere dieser Methoden implementiert. Kriminelle werden nicht aufhören, nach neuer Beute zu suchen, und im Gegensatz zu uns haben sie meist alle Zeit der Welt, sich mit der Überwindung der von uns aufgestellten Hürden zu beschäftigen.
Gruß
Doc Storage
Weiterführende Links
- Doc Storage: Datensicherheit durch Zugriffskontrolle
- Doc Storage: Unterschied zwischen Daten- und Speichersicherheit
- Doc Storage: Vor-/Nachteile von Scale-up- & Scale-Out-Infrastrukturen
- Doc Storage: Problemfall Datenmigration