Eine Reihe von Vorurteilen hindert Unternehmen weiterhin daran, Verschlüsselungslösungen zum Schutz ihrer Daten zu nutzen. Diese Vorbehalte können diese in Zeiten von massiven Datenlecks allerdings teuer zu stehen kommen. Analyse 5 hartnäckiger Klischees rund um Datenverschlüsselung.
„Datenverschlüsselung ist ein zusätzlicher Kostenfaktor ohne praktischen Nutzen.“
Das Verschlüsseln von Daten ist mit einem Versicherungsvertrag vergleichbar. Erst wenn ein Problem auftritt, wird man sich des Nutzens bewusst. Dabei sprechen die Zahlen für sich. Laut der „2018 Cost of a Data Breach Study: Global Overview“, die das Ponemon Institute im Auftrag von IBM durchführte, belaufen sich die durchschnittlichen Kosten eines Datendiebstahls in Frankreich auf 3,54 Millionen Euro, was einem Anstieg von 8,2 % im Vergleich zum Jahr 2017 entspricht.
Wie im Whitepaper von Stormshield „Wie steht es beim digitalen Wandel der Unternehmen um die Sicherheit bestellt?“ [engl. Version] nachzulesen sorgen mobile Mitarbeiter, Dokumentenaustausch über die Cloud und immer mehr vernetzte Objekte für neue Schwachstellen, die man nicht außer Acht lassen sollte, da diese unter Umständen richtig teuer werden könnten.
„Die Einrichtung der Verschlüsselung ist viel zu kompliziert.“
Middleware, PKI und kryptographische Karten sind nur einige Beispiele für den Einsatz von Zertifikaten zur Verschlüsselung. Noch bis vor einigen Jahren erschlug die Flut und Komplexität von Datenschutzverfahren selbst die tapfersten Zeitgenossen.
Mittlerweile haben Softwareanbieter jedoch Lösungen im Sortiment, die ohne die Installation einer hochkomplexen Infrastruktur auskommen. Diese neuen Lösungen ermöglichen sowohl dem Endnutzer als auch dem Administrator eine transparentere Einrichtung und Verwaltung des jeweiligen Verschlüsselungssystems. So können zum Beispiel durch eine SaaS-Lösung aufgrund einer günstigeren Infrastruktur und Wartung zusätzlich Kosten in signifikanter Höhe eingespart werden.
„Es gibt Alternativen zur Verschlüsselung, die genauso wirksam sind.“
Oftmals verbindet man Datenverschlüsselung mit dem Einsatz von virtuellen privaten Netzwerken (VPN), die gut geeignet sind, um Datenströme im Internet zu schützen. Ein solcher Schutz stellt jedoch nicht die Integrität der Daten sicher, wenn beispielsweise das Gerät gestohlen wird.
Neben VPNs, Firewalls und der Einrichtung von Zugangsrechten eröffnet die Festplattenverschlüsselung eine weitere Methode. Bei diesem Ansatz wird das Gerät selbst geschützt, um diesem Problem Abhilfe zu schaffen. Dieser Schutz greift dann jedoch nicht beim Datenaustausch.
Diese Lösungen können und sollten sogar als Ergänzung einer Datenverschlüsselungslösung berücksichtigt werden, um einen dreifachen Schutz für die IT-Sicherheit zu erzeugen. Damit kann nur noch der Nutzer, der über die Verschlüsselungsrechte verfügt, die Daten verwenden, auch wenn andere Nutzer Zugriff auf den Rechner, den Server, das Netzwerk oder die Cloud haben.
„Ich habe keine Verschlüsselung nötig. Cyberangriffe passieren sowieso nur anderen.“
„Das betrifft mich nicht.“ „Ich habe keine schützenswerten sensiblen Daten.“ … Diese Art von Bemerkungen hört man häufiger, als man glauben mag, und zwar nicht nur aus dem Mund von Vertretern von Verbänden und Gebietskörperschaften. Die Verantwortung, die eigenen Daten zu schützen, obliegt jedoch nicht allein eher gefährdeten Sektoren. Die Datenschutz-Grundverordnung (DSGVO) macht nochmals darauf aufmerksam, dass jeder für den Schutz der Daten anderer mit Verantwortung trägt.
So verhängte die französische Datenschutzbehörde CNIL im Juni 2018 ein Bußgeld in Höhe von 250.000 € gegen Optical Center, da das Unternehmen die Daten seiner Kunden nur unzureichend gesichert hatte: Fahrlässigkeit hat ihren Preis. Dabei lauern die Gefahren überall. Vor kurzem war das große Technologie-Beratungsunternehmen Altran Zielscheibe eines Cyberangriffs.
„Wenn ich meine Daten verschlüssele, kann ich später vielleicht nicht mehr darauf zugreifen.“
Die Befürchtung, Daten zu verlieren, weil man sein Passwort vergessen hat oder ein ehemaliger Mitarbeiter seines dem Unternehmen vor dem Weggang nicht übermittelt hat, wird häufig geäußert. Es gibt jedoch technische Verfahren, um diese Art von Ärgernis zu vermeiden, wie eine Datenwiederherstellung, bei der eine oder zwei Personen im Unternehmen in absoluten Ausnahmefällen dazu berechtigt sind, auf die entsprechenden Daten zuzugreifen. Eine weitere Möglichkeit ist das sogenannte Escrow-Verfahren, bei dem alle Verschlüsselungsschlüssel des Unternehmens in einer – natürlich verschlüsselten – Datenbank hinterlegt werden.
Abschließend lässt sich sagen, dass Unternehmen heute keine Ausrede mehr vorschützen sollten, um nicht auf eine angemessene Datenverschlüsselung zurückgreifen zu müssen, und zwar aus mehreren Gründen: 1. Die Folgen eines Datendiebstahls sind um einiges kostspieliger als die Investition in Schutzvorrichtungen. 2. Die Komplexität der Verfahren hat stark abgenommen. 3. Niemand ist gegen das Risiko immun. 4. Datenverschlüsselung bietet mit den wirksamsten Schutz.
