Zum Inhalt springen Zur Navigation springen
Motivationen und Hemmnisse beim Einsatz von Verschlüsselung

Motivationen und Hemmnisse beim Einsatz von Verschlüsselung

Die Verschlüsselung der eigenen Daten ist zentraler Bestandteil einer datenschutzkonformen Unternehmensführung. In diesem Artikel befassen wir uns daher mit der Verschlüsselung, den Unterarten und was für die Verschlüsselung von Daten spricht und welche Hemmnisse Unternehmen im Weg stehen können.

Was versteht man unter Verschlüsselung?

Vereinfacht kann Verschlüsselung als eine Methode beschrieben werden, welche lesbare Daten in ein Format verwandelt, welches nur mit einem passenden Entschlüsselungs-Tool (Key) wieder lesbar gemacht werden kann.

Einsatz findet die Verschlüsselung in allen Bereichen des täglichen Lebens. Ob eine Privatperson ihre Festplatte zum Schutz vor Datendiebstahl sichert, ein Unternehmen besondere Verschlüsselungsverfahren für vertrauliche E-Mails verwendet oder Internetprovider dafür sorgen, dass verschlüsseltes WLAN als Standard gilt. Alle haben eins gemein: Den Schutz von Daten vor Missbrauch.

Verschlüsselung in Theorie und Praxis

Während in der Theorie Verschlüsselung ein Standardwerkzeug beim Schutz von Daten sein sollte und die meisten IT-Spezialisten einem Unternehmen beliebiger Größe dazu raten würden, Verschlüsselung in allen möglichen Bereichen einzusetzen, hat sich dies in der Praxis noch nicht ganz durchgesetzt.

Das Bundesministerium für Wirtschaft und Energie (BMWK) hat dazu 2018 in einer Studie die bestehenden Motivationen und Hemmnisse beim Einsatz elektronischer Verschlüsselung bei kleinen und mittleren Unternehmen erfasst und Handlungsempfehlungen zur Senkung von Umsetzungsschwellen und zur gezielten Förderung des Einsatzes von elektronischen Verschlüsselungslösungen erstellt.

Laut Studie waren zwar 94% aller kleinen und mittleren Unternehmen der Auffassung, dass die Verschlüsselung von Daten heutzutage zu den Grundsätzen einer ordnungsgemäßen Unternehmensführung gehört, die konkrete Umsetzung hingegen – der Einsatz von Verschlüsselungslösungen – war vielerorts noch ausbaufähig. So zeigte sich, dass die Übertragung von Daten bei 27,9% aller befragten Unternehmen noch unverschlüsselt erfolgte und immer noch 24,3% ihren Speicher nicht verschlüsselt hatten.

Die 2022 Global Encryption Trends Study vom Ponemon Institute, bei der nur mittleren bis großen internationalen Unternehmen ähnliche Fragen gestellt wurden, ergab, dass der Anteil von Unternehmen, die Verschlüsselung fest integriert haben, weltweit in den letzten 5 Jahren von 40 % auf ganze 62 % gestiegen ist. Länderspezifisch betrachtet haben 73 % der deutschen Unternehmen angegeben, dass sie einen Plan zur Verschlüsselung integriert haben. Das deckt sich relativ gut mit den Ergebnissen der Umfrage von 2018 und spricht dafür, dass obwohl die allgemeine Motivation für Verschlüsselung weiter steigt, besonders in Deutschland noch Nachholbedarf besteht.

Datenschutz (k)ein Hauptantrieb?

Des Datenschützers Herz wird noch schwerer, wenn er dann auch noch lesen musste, dass laut der BMWK Studie nicht etwa der Datenschutz der Hauptantrieb für die Anwendung von Kommunikationsverschlüsselung ist, sondern die schnöde Differenzierung gegenüber Wettbewerbern. Zumindest ist es nicht mangelnder Wille, der Unternehmen vor dem Einsatz von Verschlüsselung abhält, sondern meistens der hohe technische Aufwand. Ist diese Hürde aber erstmal übersprungen, entstehen bei den meisten kleinen und mittleren Unternehmen keine Komfort- oder Produktivitätseinbußen.

Doch wohl auch wegen den Schlagzeilen über immer größere Datenlecks und den anschließenden Bußgeldern hat sich bei mittleren bis großen Unternehmen hier etwas in den letzten Jahren getan. Dort geben 2022 53 % der Befragten als einen von drei Hauptgründen für die Verschlüsselung den Schutz personenbezogener Daten von Kunden an. 50 % nennen den Schutz der Daten vor spezifischen, identifizierten Bedrohungen und 48 % den Schutz von geistigem Eigentum als Motivation Verschlüsselung einzusetzen. Immerhin schon 43 % der internationalen Unternehmen sehen Verschlüsselung als Weg, um den Anforderung von Datenschutzgesetzen gerecht zu werden.

Data in transit: Informationen durch Verschlüsselung absichern

Grundlegend existiert Verschlüsselung von Daten auf drei Ebenen:

  1. Data at Rest (Daten auf Speichermedien)
  2. Data in Transit (Daten bei der Übertragung)
  3. Data in Use (Daten im Gebrauch)

Während sowohl Data at Rest-, als auch Data in Use-Encryption wichtige Pfeiler der allgemeinen Datensicherheit sind, liegt ein besonderes Augenmerk auf der Data in Transit-Encryption. Daten, die über Netzwerke (ob globales Internet oder lokales Firmennetz) und von Gerät zu Gerät weitergegeben werden, sind besonders vielen Gefahren ausgesetzt. Ein unbefugter Zugriff oder eine Manipulation kann hier an zahlreichen Stellen erfolgen, weswegen die Verschlüsselung eine besonders große Rolle spielt. Einige gängige Beispiele der Verschlüsselung sind folgende:

E-Mail-Verschlüsselung

Besonders beliebt fürs Phishing, Spoofing und andere Arten von externen Angriffen sind E-Mails. Obwohl die E-Mail immer noch das Top-Medium für die Geschäftskommunikation darstellt, erfüllt die herkömmliche E-Mail keine IT-Sicherheitseigenschaften zum Schutz vor Einblicken Unbefugter. Abhilfe sollen hier GNUPG/PGP und S/MIME schaffen. Während die kostenfreie Verschlüsselungssoftware GNUPG/PGP (Pretty Good Privacy) sich bei kleineren Unternehmen immer mehr als Standard durchsetzt, findet bei größeren Unternehmen die kostenpflichtige S/MIME (Secure / Multipurpose Internet Mail Extensions) Einsatz.

Verschlüsselung bei VoIP Telefonie oder Messaging-Diensten

Nach wie vor ist das Telefon ein beliebtes Mittel der Bürokommunikation. Allerdings wird die klassische ISDN-Telefonie heutzutage größtenteils durch IP-basierte Sprachkommunikation (das sogenannte Voice-over-IP, VoIP) ersetzt. So praktisch die VoIP-Technologie ist, sie bringt leider neue Schwachstellen, welche es vorher nicht gab. Um einen Angreifer vom erfolgreichen Abhören abzuhalten, bedarf es auch bei der VoIP-Telefonie der Verschlüsselung. Praktischerweise bieten die meisten VoIP-Anbieter bereits standardmäßig ein Protokoll an, welches die Sprachdaten bereits vor der Übertragung verschlüsselt. Dieses sogenannte Secure Real-Time Transport Protocol (SRTP) nutzt eine AES-Verschlüsselung.

Auch gängige Messaging-Dienste, wie Microsoft Teams, benötigen in der Regel Verschlüsselung, damit vertrauliche Informationen ähnlich wie bei E-Mails nicht abgefangen werden können. Praktischerweise bieten große Anbieter immer häufiger eine integrierte Ende-zu-Ende-Verschlüsselung an.

Kollaborationsplattformen

Kollaborationsplattformen, wie WebEx, Citrix, GoToMeeting, sind eine hervorragende Lösung, um trotz räumlicher Trennung miteinander arbeiten zu können. Besonders beim Teilen von Bildschirminhalten, dem Austausch von Dateien oder bei Besprechungen ist eine Verschlüsselung der Verbindung und der jeweiligen Daten angezeigt. Wird eine cloudbasierte Kollaborationsplattform genutzt, so besteht in den meisten Fälle die Möglichkeit einer Ende-zu-Ende Verschlüsselung bei one-on-one Calls.

Unternehmenswebsite

Auch bei der Unternehmenswebsite lässt sich eine Vielzahl an Schwachstellen ausnutzen, wenn die Übertragung der Daten nicht verschlüsselt stattfindet. Heutzutage kommt in der Regel das Transport Layer Securit Protocol (TLS) zum Einsatz, um das Ausnutzen genau dieser Schwachstellen zu verhindern. Das Protokoll sorgt dafür, dass anhand von Sicherheitszertifikaten die Identität von Dienst oder Server bestätigt wird, sodass Daten wie etwa Login-Credentials oder andere Eingaben nicht abgefangen und manipuliert werden können. Unterstützt wird das ganze jedoch auch von der Applikationsschicht und dem sich darauf befindenden Protokoll HTTPS (Hypertext Transfer Protocol Secure), welches für die verschlüsselte Übertragung der Daten verantwortlich ist.

Zugang zum Firmennetzwerk

Homeoffice und mobiles Arbeiten haben in den letzten Jahren nicht nur aufgrund der Pandemie an Bedeutung gewonnen. Damit aber auch Zuhause oder unterwegs sichergestellt ist, dass auf alle notwendigen Dienste im Firmennetzwerk zugegriffen werden kann, braucht es eine sichere und verlässliche Verbindung in genau dieses. Das kann erreicht werden, indem ein sogenanntes Virtual Private Network (VPN) verwendet wird, welches eine direkte Verbindung über das Internet zum Arbeitscomputer bzw. zum Unternehmensnetzwerk aufbaut. Neben einer softwarebasierten Lösung existiert auch eine hardwarebasierte VPN-Lösung (VPN-Gateway). Beide unterscheiden sich grundlegend in Anschaffungskosten und in der Unternehmensgröße.
Während Software-VPNs in der Regel frei zugänglich sind und sich für kleinere Unternehmen eignen, da die Hardware auf Servern läuft, wo auch andere Prozesse die Ressourcen beanspruchen, werden VPN-Gateways eher in größeren Unternehmen genutzt, da sich erst ab einer gewissen Anzahl von Verbindungen der hohe Aufwand und die Anschaffungskosten rentieren.

Data at rest: Gespeicherte Informationen vor Angriffen schützen

Wie bereits oben erwähnt, ist auch der Schutz von gespeicherten Daten (Data at Rest) wichtig, da sie zahlreichen Gefahren ausgesetzt sind. Etwa kann Ransomware, sobald sie ein System befallen hat, die Daten verschlüsseln und damit unbrauchbar machen bis das Lösegeld für einen Schlüssel gezahlt wurde. Auch können gespeicherte Daten entweder digitalem Datenabfluss oder physischem Datendiebstahl zum Opfer fallen. Daher sollte auch bei ruhenden, sensiblen Daten immer sichergestellt werden, dass diese verschlüsselt sind. Doch wie erreicht man Verschlüsselung von Data at Rest?

Geräte- und Datenträgerverschlüsselung

Eine Verschlüsselung von gesamten Computersystemen bzw. Datenträgern ist eine effektive und in vielen Fällen notwendige Methode zum Schutz von gespeicherten Daten. So versteht man unter Geräteverschlüsselung, dass Informationen auf einem Gerät samt aller Datenträger in Gänze nur in verschlüsselter Form gespeichert werden. Zur Entschlüsselung wird dann ein Passwort und/oder ein Authentifizierungstoken benötigt. Die Abfrage findet vor jedem Start bzw. jedem Nutzerlogin statt.

Es ist auch ratsam einzelne Datenträger zu verschlüsseln. Massenspeicher, wie etwa USB-Sticks oder externe Festplatten, die besonders einfach physisch entwendet und gelesen werden können, sollten im Unternehmenskontext immer verschlüsselt sein, um sensible Daten vor Unbefugten zu sichern.

Ergänzend dazu ist Mobile Device Management das Stichwort, unter dem sich die Einrichtung und Konfiguration von mobilen Endgeräten verbirgt. Damit lassen sich Gerätefunktionen aller dem Unternehmen zugehöriger Endgeräte zentral steuern und Einstellungen wie systemeigene Verschlüsselung zur Default-Einstellung erklärt werden. Des Weiteren lässt sich bei Verlust oder Diebstahl eines Endgerätes die Löschung sensibler Daten aus der Ferne vornehmen.

Dateiverschlüsselung

Hat jedoch jemand das Benutzerpasswort und damit den Zugriff auf die Festplatte, ist die Verschlüsselung ausgehebelt und er hat Zugriff auf alle sich darauf befindlichen Dateien.

So ist es ratsam, auch gezielt einzelne Dateien, Ordner oder Verzeichnisse zu verschlüsseln. Sensible Daten können hier selektiv gewählt und verschlüsselt werden, was zwar einen erhöhten Aufwand des Schlüsselmanagements mit sich zieht, dafür jedoch das Sicherheitsniveau deutlich hochstuft.

Cloud-Speicher

Da bei Nutzung von Cloud-Speicher das Schützen der Daten prinzipiell in der Verantwortung des Anbieters liegt und dieser in den meisten Fällen Verschlüsselung per Default berücksichtigt, bleibt dem Endnutzer gar nicht viel Spielraum. Sollen jedoch hochsensible Daten in der Cloud aufbewahrt werden, so kann der Endnutzer bereits vor dem Hochladen der Dateien Software zum Verschlüsseln nutzen. Natürlich bringt auch dieser Schritt wieder einen Mehraufwand durch das Managen der Verschlüsselungskennwörter. Oft bietet extra für die Verschlüsselung in die Cloud ausgelegte Software direkt ein eingebautes Kennwortmanagement an.

Gründe für die Nichtanwendung von Verschlüsselung in der Praxis

Doch welche Gründe gibt es, dass viele Unternehmen trotz des guten Schutzes vor vielen Gefahren Verschlüsselung in der Praxis dennoch nicht einsetzen?

Betrachten wir dazu die Ergebnisse der Studie des BMWK. In dieser wurden die teilnehmenden Unternehmen, welche angaben, keiner Verschlüsselungsstrategie nachzugehen, nach den Gründen dafür befragt. Als Hauptgrund wurden bei Data in Transit fehlende Voraussetzungen bei Kommunikationspartnern benannt, dicht gefolgt von geringen Kenntnissen von Anwenderseite und damit verbundenen Kosten für Schulungen. Auch das geringe Bewusstsein für IT-Sicherheit auf Entscheiderebene zählte zu den Top drei Antworten.

Fasst man die 10 Top-Antworten zusammen, so kristallisiert sich heraus, dass die Hemmnisse vor allem dadurch erklärbar sind, dass die Unternehmen insgesamt noch Nachholbedarf in der Digitalisierung und dem Bewusstsein für IT-Sicherheit haben, aber auch dass der Markt für Verschlüsselungssoftware nicht sehr präsent oder transparent ist.

Wie kann Verschlüsselung künftig schmackhaft gemacht werden?

Zwar hat das Bewusstsein für die Wichtigkeit von Verschlüsselung und damit auch für IT-Sicherheit und Schutz von Daten seit der BMWK Studie insgesamt weltweit zugenommen. Bezogen auf Deutschland lässt sich jedoch kein großer Fortschritt erkennen. Dabei gibt es mittlerweile eine Vielzahl von Verschlüsselungsmöglichkeiten, die Daten in ihren verschiedenen Zuständen vor Angriffen schützen können. Auch kleine und mittlere Unternehmen sollten sich unbedingt mit deren Vor- und Nachteilen auseinandersetzen und für sie passende Lösungen einführen, auch wenn das bedeutet, dass Investitionen getätigt und Personal geschult werden muss. Nur so lassen sich größere Sicherheitsvorfälle verhindern und personenbezogene sowie vertrauliche Geschäftsdaten effektiv schützen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.