Kategorie: KMU


Gastartikel von Dr. Andreas Gabriel, Michael Leuker & Timo Weithöner, Ethon GmbH, Ulm

Verschlüsselung – Notwendiges Übel oder zwingende Notwendigkeit?

Kommen ihnen die folgenden Aussagen bekannt vor? "Verschlüsselung ist umständlich – das machen unsere Mitarbeiter nicht mit", "Wir haben nichts zu verbergen", "Wir werden doch schon seit Jahren abgehört – gegen Geheimdienste haben wir ohnehin keine Chance", … Diese Liste ließe sich um eine ganze Reihe ähnlicher Aussagen erweitern. Im Kern finden wir Angst vor Komfortverlust (man könnte auch "Bequemlichkeit" sagen), ein Gefühl der Ohnmacht und ein fatales Verkennen der tatsächlichen Situation. Legen wir den Komfortaspekt für einen Moment bei Seite und betrachten die anderen beiden Aspekte.

Sind wir ohnmächtig gegen Angreifer, die unsere elektronisch gespeicherten Daten abgreifen möchten? Kommen Geheimdienste ohnehin an alles heran? Ja, natürlich. Vermutlich ist es praktisch unmöglich sich gegen einen Geheimdienst zu schützen der einen gezielt angreift. Aber die Zeiten haben sich geändert. Das Bild des Jägers der einem Bären nachstellt bis er ihn zu Strecke bringt ist nicht mehr zutreffend. Heute arbeiten Dienste wie Schleppnetzfischer. Das ist einerseits übel andererseits heißt es auch, dass nicht jedem Fisch mit beliebig viel Energie nachgestellt wird. Relativ einfache Maßnahmen können helfen, dass das, was im Fangnetz hängen bleibt, nicht auszuwerten ist, so dass die Inhalte geheim bleiben, auch wenn die Daten abgegriffen wurden.

Sie sagen: "Aber vor Geheimdiensten haben wir keine Angst – unser Problem ist doch Industriespionage!" Es ist sicher diskutabel, ob sich das für jedes Land und jeden Dienst klar trennen lässt. Gleichzeitig betreiben aber auch gewöhnliche Kriminelle in großem Umfang IT-Infrastruktur, die für vielerlei Angriffe genutzt werden kann. Botnetze sind hier das Stichwort. Computerspionage hat für den Angreifer große Vorteile: Das persönliche Risiko ist minimal und das Spionagegeschäft lässt sich wunderbar skalieren. Überdenken Sie, ob Sie wirklich kein Ziel sind, wenn Ihr Angreifer nur gewinnen kann.

"Aber der Komfort! Das ist doch alles so kompliziert." Ist Brandschutz komfortabel? Angurten im Auto oder Flugzeug? Macht eine Darmspiegelung Spaß? Manche Dinge sind einfach nötig. Aber keine Angst: Das Handwerkszeug, dass wir im Folgenden vorstellen ist ausgereift, wird vielfach professionell eingesetzt. Wenn Sie die Köpfe Ihrer Mitarbeiter gewinnen, wird Ihnen die Verschlüsselungstechnik nicht im Weg stehen.

Verschlüsselung gespeicherter Daten

Gerade bei Datenträgern ist die Absicherung der hinterlegten Daten für ein angemessenes Maß an Vertraulichkeit und Integrität von entscheidender Bedeutung. Da oft wichtige Daten zu schützen sind, hat Verschlüsselung in diesem Feld bereits weite Verbreitung gefunden, entweder in Form von verschiedenen Anwendungen oder direkt in das Betriebssystem integrierten Funktionen.

Grundsätzlich ist zwischen einer vollständigen Verschlüsselung auf Systemebene oder einer solchen bestimmter Bereiche oder Dateien zu unterscheiden. Beide Verfahren haben Vor- und Nachteile, wobei ersteres oft mehr Sicherheit, letzteres ein höheres Maß an Nutzerfreundlichkeit bietet.

Die Verschlüsselung von USB-Medien ist ebenso möglich, wird aber in vielen Fällen als unkomfortabel und aufwändig angesehen. Eine verpflichtende Verschlüsselung scheitert daher oftmals nicht an den technischen Gegebenheiten sondern wird vom Anwender vermieden bzw. umgangen.

Die vorhandenen Lösungen bieten, richtige Anwendung und Konfiguration vorausgesetzt, ein angemessenes Schutzniveau. Die Anwender müssen aber für eine nachhaltige Umsetzung sensibilisiert werden. Die Verschlüsselung von Datenträgern muss verpflichtend sein und die Richtlinien sowohl von Entscheidungsträgern als auch Anwendern im Arbeitsalltag umgesetzt werden.

Umsetzungsmöglichkeiten: Für die Datenverschlüsselung kann eine Reihe von Tools eingesetzt werden, wobei es sich empfiehlt, auf gängige Algorithmen wie AES oder Twofish (ggf. auch in Kombination) mit mindestens SHA-512 Hashes zu setzen, da diese ausgiebig getestet sind und AES dank entsprechender Erweiterungen in den gängigen Prozessoren oft ohne nennenswerten Verlust an Leistung zum Einsatz kommen kann.

Beispiele:

  • Bitlocker (vollst. Verschlüsselung, Windows)
  • File Vault (vollst. Verschlüsselung, OSX)
  • LUKS (vollst. Verschlüsselung, Linux)
  • DiskCryptor (vollst. Verschlüsselung, Windows)
  • GnuPG (Dateiverschlüsselung)
  • AES Crypt (Dateiverschlüsselung)

Verschlüsselung von Übertragungswegen

Der Siegeszug von Online-Banking und zahlreichen Online-Shops hat dazu geführt, dass eine verschlüsselte Übertragung von Kundendaten über das öffentliche Internet seit langem zum Standard gehört. Deren angemessene Umsetzung stand in kleineren Kreisen bereits vor den Snowden-Enthüllungen im letzten Jahr zur Diskussion, da verschiedene Probleme in diesem Bereich einen umfassenden Schutz grundsätzlich in Frage stellen:

Zum einen kommen nach wie vor veraltete SSL und TLS-Versionen zum Einsatz, zum anderen sind die darauf aufbauenden Anwendungen oft nicht korrekt konfiguriert. Beide Probleme sind sowohl dem Fehlen von qualifizierten Administratoren und entsprechenden Change-Prozessen als auch der konfusen Natur der Protokolle selbst geschuldet. In der Praxis führt das dazu, dass viele Server noch immer für längst bekannte Angriffe verwundbar sind, u. a. auch für den als Super-GAU bekannt gewordenen Heartbleed-Fehler, der ein umfangreiches Abgreifen sämtlicher auf dem Server vorhandener Daten ermöglicht.

Problematisch in Zeiten umfassender NSA-Überwachung ist insbesondere die Wiederverwendung der immer gleichen Schlüssel zur Absicherung von Übertragungen. So ist es möglich, Daten für einen späteren Zeitpunkt zu sichern und bei Kompromittierung des Schlüssels über eine später gefundene Schwachstelle komplett zu entschlüsseln. Die Lösung heißt Perfect Forward Secrecy, also die Verwendung von neuen Schlüsseln mit jeder neu aufgebauten Verbindung. Selbst wenn ein Angreifer sämtliche Daten vorhält, benötigt er den Schlüssel zu jeder einzelnen Sitzung, um diese einsehen bzw. in Nachhinein auswerten zu können.

Es ist zu erwarten, dass sich die Sicherheit der grundlegenden Softwarekomponenten (hauptsächlich OpenSSL) in den nächsten Jahren umfassend verbessert; dies entbindet die Anbieter von Web-Diensten allerdings keinesfalls von der Pflicht, Ihre Angebote entsprechend zu sichern und nachhaltig zu aktualisieren.

Verschlüsselung bei Zugriff auf Firmenressourcen

Gerade in der heutigen Zeit gehört es für jedes größere Unternehmen zum Standard, wenigstens einem Teil der Belegschaft weltweiten Zugriff auf die zentrale Firmen-Infrastruktur zu gestatten, um ein effizientes Arbeiten zu ermöglichen.

Dieser Zugriff ist in der Regel ausschließlich über eine sichere Verbindung möglich. Gerade weil Anwender keine Alternative zu dieser Vorgehensweise haben und die Technologie einfach zu bedienen ist, haben sich VPNs zum Standard entwickelt.

Umsetzungsmöglichkeiten: Neben der Unterstützung von PPTP- und IPSec-VPN Verbindungen im Betriebssystem bieten zahlreiche Anbieter Tools für den Aufbau von sicheren Übertragungswegen, teilweise in Kombination mit entsprechender Hardware, teilweise als reine Softwarelösung.

Beispiele:

  • OpenVPN (Windows / OSX / Linux)
  • Cisco VPN Client (Windows / OSX)
  • Vidalia (Windows / OSX)

Verschlüsselung von E-Mails

Für eine Verschlüsselung des Mailverkehrs sind bereits seit vielen Jahren Technologien verfügbar, die den Übertragungsweg absichern. Leider hat sich im Gegensatz dazu die Ende-zu-Ende Verschlüsselung von Nachrichten in den letzten 15 Jahren nie durchsetzen können. Grundsätzlich sind in diesem Szenario zwei Fälle zu unterscheiden:

1. Firmeninterne Kommunikation:

Das firmeninterne Verschicken von E-Mails kann relativ einfach abgesichert werden, da in der Standardkonfiguration der Mail-Programme z. B. die Verwendung von SSL bei der Datenübertragung zwischen Client und Server eingestellt werden kann. Dies schließt auch mobile Geräte wie Smartphones ein, so dass ein sicherer Datenaustausch mit den unter Punkt 3. angesprochenen Einschränkungen bereits heute gewährleistet ist. Zu bedenken ist allerdings, dass ohne Ende-zu-Ende Verschlüsselung, die Mails auf dem Server selbst unverschlüsselt abgelegt werden und dieser so für Angreifer ein durchaus lohnendes Ziel darstellt.

2. Kommunikation mit Dritten:

Pro Minute werden weltweit mehr als 200 Millionen E-Mails verschickt. Sobald der Datenaustausch über öffentliche Netze erfolgt, sind die Inhalte potentiell ungeschützt, da die Sicherheit des Übertragungsweges zwar für den eigenen Server, nicht jedoch für den des Adressaten gewährleistet werden kann – man spricht daher auch von einer "Postkarte im Internet".

Sobald wichtige Informationen übertragen werden, müssen diese demnach angemessen geschützt – also Ende-zu-Ende verschlüsselt übertragen werden, um sicherzustellen, dass wirklich nur Absender und Adressat den Inhalt lesen können.

Mit Verfahren wie S/MIME oder PGP existieren zwar brauchbare Ansätze, für deren Verwendung im Arbeitsalltag die breite Masse der Anwender jedoch bis heute nicht gewonnen werden konnte. S/MIME scheitert dabei vor allem an den Unzulänglichkeiten des PKI-Modells, PGP, wenn überhaupt bekannt, an komplizierter Konfiguration und fehlender Unterstützung von bzw. schlechter Nutzbarkeit auf diversen Mobilgeräten.

Gerade weil E-Mails nach wie vor einen wesentlichen Bestandteil unserer Kommunikation darstellen, ist in diesem Umfeld dringend Handlungsbedarf geboten.

Umsetzungsmöglichkeiten: Der sichere Versand von E-Mails mit S/MIME wird von fast jedem Client nativ unterstützt. Für PGP stehen zahlreiche Tools und PlugIns sowohl native Mailprogramme als auch für eine Anzahl Webmailer zur Verfügung.

Beispiele:

  • GnuPG (Windows / OSX / Linux)
  • Enigmail (Windows / OSX / Linux)
  • GPGMail (OSX) APG (Android)
  • Mailvelope (Browser-Erweiterung)
  • Proton-Mail (Service)

Verschlüsselung mobiler Kommunikation

Die Absicherung von Telefonaten ist bereits heute möglich, wird aber zu Unrecht nicht als wesentlicher Bestandteil einer Sicherheits-Strategie angesehen. Denn im Arbeitsalltag werden häufig wichtige Informationen fernmündlich übertragen, entweder über das Festnetz, oder über eine Mobilverbindung. Gerade die Abhörskandale der vergangenen Monate haben gezeigt, wie einfach ein Mitschneiden und Auswerten von Telefonaten und Textnachrichten ist und wie wichtig es ist, dieses Einfallstor zu schließen.

Wie auch beim Mailversand geht es dabei zum einen um die Sicherheit der Übertragungswege Client/Server, zum anderen um die Sicherheit des Gespräches zwischen zwei Teilnehmern. Sowohl die Verbindungsdaten als auch das Gespräch selbst müssen geschützt werden. Soll der Server nicht zum lohnenden Angriffsziel für sämtliche Daten werden, ist auch in der Echtzeitkommunikation eine Ende-zu-Ende Verschlüsselung von Gesprächen und Textnachrichten unabdingbar.

Umsetzungsmöglichkeiten: Es sind verschiedene Apps und Services vorhanden, mit denen die Kommunikation über das (mobile) Internet abgesichert werden kann. Die Programme bieten dabei entweder Sprachkommunikation, Textnachrichten oder beides an.

Beispiele:

  • etaPhone (Android, iOS, Windows)
  • Jabber mit OTR (alle Plattformen)
  • Silent Phone (Android, iOS, Windows, OSX)

Probleme und Fallstricke

Neben den angesprochenen technischen Problemen sind auch einige organisatorische Schwierigkeiten zu nennen:

  1. Die Anwender sollten gerade bei Sprach- und Mailkommunikation Ende-zu-Ende Verschlüsselung verwenden und sich damit bewusst für einen sicheren Datenaustausch entscheiden. Dafür ist ein angemessenes Maß an Sensibilisierung notwendig.
  2. Die Einrichtung und Benutzung sicherer E-Mail-Kommunikation ist noch immer nicht so gelöst, dass Anwender sie als komfortabel bewerten. Das schreckt ab und lähmt eine nachhaltige Umsetzung.
  3. Die Verwendung von Kryptographie kann dazu führen, dass etablierte Prozesse überarbeitet und angepasst werden müssen. Diese Veränderungen schrecken leider noch immer ab und werden als störend empfunden.
  4. Bei der Verschlüsselung von Datenträgern muss ein zusätzliches Passwort verwendet werden, das lang und komplex ist (10-15 Zeichen, bestehend aus Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen). Die wenigsten Anwender können sich damit anfreunden. Durch Einsatz von Biometrie oder einer 2-Faktor-Authentifizierung (z. B. mit einer PKI-Karte) kann dieses Problem gelöst werden.
  5. Die Einführung von Verschlüsselungs-Software ist mit Kosten verbunden – für Lizenzen, einen Mehraufwand an Administration, Schulung der Anwender etc. Dieser Mehraufwand stellt ein großes Hindernis dar.
  6. Noch immer haben einige Länder bei ihren Einreisebestimmungen strenge Regelungen bezüglich der Einführung verschlüsselter Geräte. Dies kann dazu führen, dass Mitarbeiter bei der Einreise dazu gezwungen werden, den Datenträger (z. B. das Notebook) zu öffnen und die Inhalte zu vorzuzeigen. Für diese Situation müssen angemessene Verhaltensregeln definiert werden.

Fazit

Das Thema der Verschlüsselung ist immens wichtig für Unternehmen auf der ganzen Welt, da die vertraulichen und geheimen Daten umfassend geschützt werden müssen. Unabhängig von den genannten Problemen und Aufwendungen darf eine Einführung nicht zur Diskussion stehen – eine angemessene Umsetzung im Rahmen der aufgewiesenen Möglichkeiten ist heutzutage für jedes Unternehmen umsetzbar und tragbar.


Ereignishorizont Digitalisierung, Logo

Unser Themen-Blog rund um das Thema "Digitalisierung und Digitale Transformation“

Die Digitalisierung überrennt Gesellschaft, Unternehmen und jeden Einzelnen von uns mit unvorstellbarer Dynamik und Wucht. Während manche Auswirkungen in unserem Alltag sichtbar und spürbar sind, bleibt vieles andere vage und im Verborgenen. Das Bild eines Eisbergs beschreibt diese Situation treffend. Wir sehen v. a. das, was über der Wasseroberfläche zu erkennen ist. Das jedoch, was unterhalb des Wasserspiegels verbleibt, ist weitestgehend unbekanntes Land. Dieses unbekannte Land greift das Blog „Ereignishorizont Digitalisierung“ auf. Es geht um Neuland-Missverständnisse, Gar-Nicht-So-Weit-Weg-Zukunftsfantasien und What-the-Fuck-Momente. Sicher selektiv. Immer auch subjektiv! Besondere Zielgruppe sind Entscheider und Gestalter der Digitalisierung und Digitalen Transformation.


Zum Blog