Mit Verschlüsselung lassen sich Daten wirksam schützen, dennoch ist schwierig, entsprechende Technologien in Unternehmen und Organisationen einzuführen. Aber warum bereitet die Verschlüsselung so viel Mühe? Lassen Sie uns einen genaueren Blick auf ein Hauptproblem der IT-Sicherheit werden.
Weltweit setzt nur eines von zwei Unternehmen systematisch Verschlüsselungsmaßnahmen als Teil seiner Strategie zum Schutz sensibler Daten ein. Eine Zahl von 50 %, die einer Studie von Entrust entnommen wurde, mag zufriedenstellend erscheinen, sollte aber eigentlich eine Warnung sein. Das bedeutet, dass jedes zweite Unternehmen nicht systematisch eine Strategie zur Verschlüsselung von Daten anwendet...
Ist es heute noch erforderlich, zu erwähnen, dass die Datenverschlüsselung einen der Grundpfeiler jeder IT-Sicherheitspolitik bildet? Sie ist eine einfache und wirksame Methode, um den Schutz von Daten zu gewährleisten, indem sie sicherstellt, dass diese nicht von böswilligen Dritten eingesehen, manipuliert oder gestohlen werden können. Und doch setzen nur wenige Unternehmen diese Methode systematisch ein. Erklärungen.
Datenverschlüsselung im Jahr 2023
Beginnen wir mit der Frage: Was ist Verschlüsselung? Die Verschlüsselung ist eine Technik, die Daten zu ihrem Schutz unlesbar macht. Nur befugte Personen können die Zugangsschlüssel abrufen, um den Inhalt der Daten zu entschlüsseln und zu lesen. Die Verschlüsselung kann großflächig (auf Terminalebene) oder individuell (auf Dateiebene) erfolgen. In diesem Bereich gibt es eine Reihe von bewährten Verfahren, die Unternehmen einsetzen können, wie Guillaume Boisseau, Verantwortlicher für Professional Services bei Stormshield, betont: „Ein gutes Prinzip, das man befolgen sollte, besteht darin, alle sensible Daten zu verschlüsseln, d. h. die Daten, die für das Unternehmen und seinen Betrieb lebenswichtig sind. Hiermit meine ich vertrauliche Daten wie Ausschreibungen sowie alle Arten von Informationen zu Kunden, Lieferanten oder Subunternehmern.“
Mit der zunehmenden Verbreitung der Computertechnologie und des Datenaustauschs ab den 1980er Jahren wurde bei einem Teil der Öffentlichkeit und der Unternehmen das Interesse für Verschlüsselungsmethoden geweckt. In jüngerer Zeit haben neue mobile Nutzungsformen und der massive Einsatz von Tools zur Zusammenarbeit die Frage des Datenschutzes und den Bedarf an Verschlüsselung wieder in den Vordergrund gerückt. Dieses Momentum wurde jedoch durch die Verheißungen einer nativen Verschlüsselung gebremst, die im Zusammenhang mit Messaging-Apps, wie Telegram, Signal und WhatsApp, oder in Tools zur Zusammenarbeit, wie Microsoft 365 und Google Workspace, aufkamen. Wenn „eine Reihe von Akteuren heute native Verschlüsselungslösungen anbieten“, präzisiert Joseph Graceffa, Präsident von CLUSIR Nord de France, „muss man sich vor Augen halten, dass dies auch bedeutet, denselben Akteuren die Zugangsschlüssel anzuvertrauen“. Denn bei der Einrichtung eines Schutzes für sensible Daten kommt dem Zugriff auf diese Informationen die gleiche hohe Bedeutung zu wie den zu schützenden Daten. Sobald die Verwaltung der Zugangsschlüssel einem Dritten anvertraut wird, ist es für Unternehmen unverzichtbar, die Kontrolle darüber zu behalten. Die Kontrolle der Zugangsschlüssel ist umso wichtiger, wenn dieser Dritte auch für die Speicherung der sensiblen zuständig ist, da auch er ungehindert darauf zugreifen könnte. Die Kontrolle über die Verschlüsselungsschlüssel stellt also sicher, dass die Speicherserver weder die Daten im Klartext noch den Schlüssel anzeigen können, der zum Entschlüsseln der Daten erforderlich ist. Unternehmen können simple Konzepte für die digitale Hygiene einsetzen, um die Sicherheit und Vertraulichkeit sensibler Daten zu gewährleisten. Doch in der Praxis bleibt die Verschlüsselung ein heikles Thema für Unternehmen, sowohl im Hinblick auf die verwendeten Plattformen als auch bezüglich der auf Endgeräten und Servern gespeicherten Daten.
Die schwierige Implementierung von Verschlüsselung in Unternehmen
Daten sind heute allgegenwärtig und werden innerhalb und außerhalb eines Unternehmens ausgetauscht. Laut einer Studie von 2021 des Ponemon-Instituts im Auftrag von Entrust hatten nur 50 % der befragten Unternehmen eine umfassende Verschlüsselungsstrategie eingeführt, die im gesamten Unternehmen angewendet wird. 37 % wendeten nur eine auf einige Anwendungen beschränkte Verschlüsselungsrichtlinie an, während 13 % antworteten, dass sie überhaupt keine Datenverschlüsselungsrichtlinie nutzten. Die Widerstände gegen den großflächigen Einsatz von Methoden zur Datenverschlüsselung sind also offenkundig. Aber wie lassen sich diese Vorbehalte gegenüber der Datenverschlüsselung erklären?
Die Gründe für diese geringe Akzeptanz sind eher in organisatorischen und betrieblichen Hindernissen als in der Auswahl der Technologie zu finden. Das erste organisatorische Hindernis besteht in der Festlegung einer Datenverwaltungsrichtlinie, die jedoch für den Schutz der Daten, die Einhaltung der geltenden Vorschriften (CNIL, RGPD...) und sogar für die Kapitalisierung ihrer Analyse von entscheidender Bedeutung ist. Auf der operativen Ebene benötigen unternehmen die richtigen Kompetenzen, um dieses Projekt zu leiten und sogar eine richtige PKI (Public Key Infrastructure, Infrastruktur mit öffentlichen Schlüsseln) zu implementieren. Diese grundlegende Verschlüsselungstechnologie für Unternehmen besteht aus einer Reihe von physischen Komponenten, menschlichen Prozessen und Software zur Verwaltung der Schlüssel von Benutzern/Mitarbeitenden. Diese Verwaltung der Zugriffsschlüssel reicht von der Generierung über die Verteilung und Bereitstellung bis hin zur Kontrolle des Ablaufs und Erneuerung. „Die Anwendung von Tools zur Verwaltung und Nutzung von Schlüsseln steht oft im Mittelpunkt des Problems“, betont Joseph Graceffa. Ergänzend dazu ist die Klassifizierung von Daten ein ernst zu nehmendes Thema für die Erfassung der verschiedenen Stufen der Datensensibilität. Auf organisatorischer Ebene muss die Sensibilisierung der Benutzer mit einem klaren Klassifizierungsprozess einhergehen, denn die Implementierung eines effektiven Datenschutzes beginnt stets bei den Personen, die vertrauliche Daten erzeugen. Und darin liegt die Herausforderung der Benutzersensibilisierung: bei den Benutzern ein Bewusstsein für die richtige Anwendung des Klassifizierungsprozesses zu schaffen. All dies sind unternehmensinterne Fragen, die nicht einmal das Thema Interoperabilität umfassen.
Neben diesen Hindernissen für IT- und Sicherheitsteams hört man häufig auch, dass „die Verschlüsselung von Computerdaten auf dem Altar der Gewohnheit und des Benutzerkomforts geopfert“ werde. Um diese Klippe zu umschiffen, müssen Verschlüsselungslösungen sowohl für Benutzer als auch für Administratoren einfach, unkompliziert und transparent sein. Dazu müssen einerseits CISOs Strategien entwickeln, die es ihren Mitarbeitenden ermöglichen, ein hohes Maß an Sicherheit in ihren Arbeitsalltag zu integrieren – mittels individueller Verschlüsselung über die globale Oberflächenverschlüsselung hinaus. Und andererseits müssen die Softwarehersteller Kunden nicht nur beraten, sondern auch operativ begleiten. „Die Lösung muss sich dem Alltag der Benutzer anpassen, und nicht umgekehrt“, unterstreicht Guillaume Boisseau. Deshalb müssen Teams den Weg der Eliminierung von Reibungspunkten und der Optimierung der Benutzererfahrung einschlagen, um diese neuen Methoden in ihre routinemäßige digitale Hygiene zu integrieren. „Die Tools müssen für Mitarbeitende, die täglich mit sensiblen Daten umgehen, ebenso nutzbar sein wie für gelegentliche Benutzer. Es liegt folglich an den Teams, die für die Entwicklung und Implementierung der Lösung zuständig sind, die richtigen Fragen zu stellen“, betont Guillaume Boisseau. Das Motto anywhere, anytime muss auch hier gelten, und Verschlüsselungslösungen müssen auf allen Endgeräten einsetzbar sein – von der Workstation bis hin zum Laptop oder Tablet-PC.
Deshalb ist das Thema Datenverschlüsselung in Unternehmen vor dem Hintergrund grassierender Cyberbedrohungen besonders akut. Die Unternehmen haben zwar bereits eine Reihe von Methoden implementiert, insbesondere im Hinblick auf geistiges Eigentum, Zahlungsdaten oder Finanzdaten, doch die Verschlüsselung aller sensiblen Daten im Unternehmen ist weiterhin eine große Herausforderung. Zumal sich am Horizont bereits eine noch dringendere Bedrohung andeutet: der Aufstieg des Quantencomputings. Wenn diese technologische Revolution erst einmal in Schwung kommt, wird es nicht länger nur um Verschlüsselung gehen, sondern um Post-Quantum-Verschlüsselung. Bis dahin müssen noch weitere Anstrengungen unternommen werden, um ein optimales Sicherheitsniveau für alle zu gewährleisten.
