peshkova - Fotolia

Verschlüsselung als Sicherheitskonzept für Unternehmen

Per Verschlüsselung lassen sich Gefahren vieler Angriffsvektoren eindämmen. Die IT sollte bei der Umsetzung aber immer den Nutzer im Blick haben.

IT-Fachkräfte haben mittlerweile vermutlich eine Art Immunität gegen Schlagzeilen in Bezug auf Cyberattacken entwickelt. Die Tatsache, dass Kriminelle digital aufrüsten und Experten neue Statistiken zur veränderten Gefahrenlage veröffentlichen, schockiert nicht mehr. Stattdessen stecken IT-Verantwortliche mitten im Aufbau und der Anpassung an bestehende und kommende Bedrohungen – dabei ist der Stressfaktor hoch.

Im aktuellen Lagebericht lobt das Bundesamt für Sicherheit in der Informationstechnik (BSI)  kryptografische Mechanismen als Lieferant für „grundsätzlich ausgezeichnete Sicherheitsgarantien“, sieht aber auch einen unzureichenden Einsatz von entsprechenden Technologien in Deutschland. Zwar verzeichne man in der Sparte der Mobilkommunikation „punktuelle Verbesserungen im Bereich der Verschlüsselung“, erkenne jedoch die Bedrohungslage wegen der hohen Zahl von schädlichen Apps und anderen Faktoten als sehr ernst an.

Verschlüsselung als Teil eines mehrschichtigen Sicherheitskonzepts

In der Tat hat Kryptografie großes Potenzial und die Möglichkeit, Gefahren durch zahlreiche Angriffsvektoren einzudämmen. Allerdings regen sich aus Sicht der meisten IT-Verantwortlichen bei Thema Verschlüsselung gemischte Gefühle. Sie kann einerseits einen großen Beitrag zur Absicherung von digitalen Informationen beitragen und ist in bestimmten Bereichen sogar unabdingbar. Andererseits gilt die Umsetzung von entsprechenden Konzepten als aufwändig, da Daten über ihren kompletten Lebenszyklus geschützt werden müssen. Zudem ist Verschlüsselung kein Allheilmittel, sondern muss immer als Teil eines mehrschichtigen Sicherheitskonzeptes verstanden werden.

IT-Bausteine wie Firewall, Antivirussoftware und Intrusion-Detection-Systeme gehören zum Standard-Equipment und sind meistens relativ einfach zu verwalten. Zunehmend gehören auch Tools oder Mechanismen zum Patch-Management zu den Grundlagen, da IT-Abteilungen sich der Wichtigkeit von zeitnahen Sicherheits-Updates bewusst werden. Um den Faktor Mensch beim End-User ebenfalls für das Thema IT-Sicherheit zu sensibilisieren, führen Organisationen zudem regelmäßige Sicherheitsschulungen durch.

Damit sind IT-Abteilungen bereits gut ausgelastet, allerdings braucht es eine Gesamtlösung, die alle Bereiche umfasst. Die genannten Mechanismen schützen nur einzelne Segmente. Es ist nur eine Frage der Zeit, bis die Angreifer Möglichkeiten zur Umgehung finden. Hier besticht Verschlüsselung durch Beständigkeit: Das Prinzip von verschlüsselter Kommunikation besteht schon seit Anbeginn der Menschheit. Bereits die alten Ägypter und in der griechischen Antike wurden Texte chiffriert. Glücklicherweise befindet sich die Kryptografie nicht mehr auf dem Stand des Altertums, trotzdem bedarf es der richtigen Planung, um eine durchgehende Verschlüsselung nutzerfreundlich und sicher zu gestalten. 

Theoretisch hört sich das alles gut an, trotzdem sollte die Empfehlung des BSI richtig angegangen werden: Neben den Bedenken der Belegschaft sollten auch die IT-Administratoren bei der Umsetzung von Sicherheitsstrategien einbezogen werden, um Komplikationen zu vermeiden. Für IT-Fachkräfte sind eine granulare Anpassungsfähigkeit und eine einfache Verwaltung in der Praxis wichtig. Verschlüsselungsstrategien müssen sich in das Gesamtsicherheitskonzept integrieren lassen und dabei die Einhaltung von Richtlinien über verschiedene Bereiche hinweg gewährleisten.

Überforderte Nutzer oder inkompatible (Teil-) Systeme können eine Strategie schnell ins Leere laufen lassen. Wird beispielsweise ein bestimmtes Betriebssystem nicht unterstützt oder Bedarf es einem hohen Personalaufwand für ein einzelnes Segmente, entstehen neue Risikobereiche. Fühlen Nutzer keine Unterstützung oder wird ihr Arbeitsalltag behindert, werden sie zudem nach Workarounds suchen, um Weiterarbeiten zu können – Im Zweifelsfall deaktivieren oder umgehen sie dazu Schutzmechanismen.

Praktische Umsetzung: Simply make it work

Die erfolgreiche Umsetzung von Verschlüsselung ist nicht neu und es gibt gute Tools, um diese Herausforderung zu meistern. Ein erster wichtiger Punkt ist die strikte Trennung und richtige Verwaltung von Schlüsseln und verschlüsselten Daten. Schlüssel und Chiffrat sollten niemals auf denselben Systemen gespeichert werden, da Angreifer nach einem Eindringen direkt mit der Entschlüsselung beginnen könnten. Zusätzlich muss Zugang und Nutzung des Schlüsselmaterials abgesichert werden.

Sicherheitsverantwortliche brauchen Mechanismen, die Zugriffsrechte für Schlüssel jederzeit genau nachvollziehen lassen. Zugang zu Daten darf nur bestimmten Personen gewährt werden und muss flexibel wieder entzogen werden können. Oftmals fehlt Organisationen hier der Überblick. Dies ist nicht nur ein Risikofaktor, sondern kann auch zur Verletzung von Sicherheitslinien führen. Neben der Freigabe für Personen sollten Unternehmen zudem klar definierte Strategien über das Schlüssel-Management und den Lebenszyklus der Schlüssel einführen.

Logins und starke Authentifizierung lassen sich auf Basis von Zertifikaten sehr gut absichern, diese müssen aber auch entsprechend geprüft und verwaltet werden. Ein hohes Maß an Sicherheit bietet Zwei-Faktor-Authentifizierung (2FA). Dort haben sich neben den klassischen Smartcards und Tokens neue Möglichkeiten etabliert. Beispielsweise sind One-Time-Password-Verfahren (OTP) bei Online-Überweisungen bereits seit langem im Einsatz und eignen sich auch für andere Bereiche. Zudem werden Push-Verfahren mit mobilen Endgeräten zur die Bestätigung von Transaktion immer häufiger eingesetzt.

Sicherheitsanbieter haben im Bereich 2FA in den letzten Jahren viel Innovation gezeigt. Das Prinzip blieb aber immer gleich: Zusätzlich zu den gängigen Login-Daten, wie Username und Passwort, wird ein weiteres Merkmal abgefragt (zeitlich oder Event-abhängige Autorisierung) oder sogar ein zweiter Kanal aufgebaut, etwa über ein Mobiltelefon, der eine zusätzliche Abfrage generiert. Erst die Kombination aus etwas das man weiß (Passwort) und etwas was man hat (Besitz) geben Login oder Transaktion frei.

Entscheidend für ein wirksames Key- und Key-Lifecycle-Management ist zudem, dass der digitale Schlüssel in den Händen des Unternehmens verbleibt. Dafür eignen sich Hardware Security Module (HSM) und/oder Smartcards oder Tokens, die das Schlüsselmaterial in einer sicheren Hardwareumgebung aufbewahren und auch nur dort verwenden. Dadurch kann das beschriebene Dilemma von gemeinsamer Speicherung von verschlüsselten Daten und passendem Schlüssel vermieden werden.

Generierung, Nutzung und Löschung einzelner Schlüssel finden geschützt in der Umgebung des HSM statt. Neben der sicheren Aufbewahrung unterstützt ein professionelles Key-Management auch die Vergabe neuer Schlüssel sowie die Authentifizierung legitimer Nutzer und Administratoren. Damit ist es möglich, beispielsweise einem bestimmten Maschinenpark den Zugriff auf einen dedizierten Bereich im HSM zu erlauben, der zuvor von bestimmten Personen freigegeben wurde und auch nur für autorisierte Nutzer und Systeme zugänglich ist – innerhalb des HSM wird das Schlüsselmaterial nicht nur durch Berechtigungen geschützt, sondern kryptografisch separiert.

Hinzu kommen feste Vorgehensweisen für den Entzug von Zugriffsberechtigungen: Sicherheitsoptionen innerhalb des HSM erlauben es, Schlüssel remote zu löschen, zu erneuern sowie deren Nutzung temporär oder dauerhaft zu beschränken. Große Stärken zeigt ein HSM nicht zuletzt auch in Verbindung mit der Cloud. Solange die „Root of Trust“ im Unternehmen verbleibt, ist es sogar möglich, den Key-Manager als virtuelle Maschine in der Wolke zu betreiben: Das HSM gewährleistet, dass die Schlüssel selbst dann hinter Schloss und Riegel bleiben, wenn der Key-Manager kompromittiert wurde.

Deutschland als Verschlüsselungsstandort

Entsprechende Technologien erlauben eine einfache Verschlüsselung in Unternehmen, ohne eine Überlastung der IT-Abteilungen zu riskieren. Gleichzeitig empfinden Anwender die Sicherheitsvorkehrungen nicht als unnütze Belastung – je transparenter die Lösung im Alltag, desto größer ist die Akzeptanz. In Deutschland hat das Thema Verschlüsselung einen vergleichsweise hohen Stellenwert. Daher ist die Empfehlung des BSI kein Alleingang, sondern ein wichtiger Ratschlag.

Neben den strategischen Stellschrauben macht die Behörde im Lagebericht klar, dass besonders persönliche Informationen richtig geschützt werden müssen: „Passwörter ihrer Kunden werden von Unternehmen oftmals nur mit unzureichenden Hashverfahren oder unzureichend verschlüsselt gesichert. Ein erfolgreicher Diebstahl vom Server liefert somit oft mehrere Millionen von verwertbaren Datensätzen.“

Viele Sicherheitsbeauftragte wissen um die Vorteile von Verschlüsselung, allerdings müssen entsprechende Ansätze richtig integriert werden. Anwenderinnen und Anwender sind keine Krypto-Experten und erwarten volle Usability ohne extra Aufwand für Sicherheitsmechanismen. Dies zeigt auch eine neue Studie, bei der Anwender aus Australien, Benelux, Frankreich, Deutschland, Russland, UAE, Saudi Arabien, Indien, Japan, UK und USA befragt wurden. Nur 16 Prozent gaben an, dass sie die Funktion von Verschlüsselung verstehen.  In der Umfrage wird die Sonderrolle Deutschlands deutlich, da hierzulande die Teilnehmer deutlich häufiger Verschlüsselung einsetzen. Beispielweise greifen 44 Prozent bewusst auf Verschlüsselung beim Online-Banking zurück – global sind es nur 31 Prozent.

„IT-Abteilungen sollten bei der Planung und Implementierung immer die User im Auge behalten.“

 Christopher Meyer, Gemalto

 xxx

Eigentlich sind beide Zahlen zu niedrig, allerdings muss man die Relation zur vorherigen Frage beachten: Viele nutzen Verschlüsselung, ohne zu wissen, wie diese genau funktioniert. Darum müssen IT-Verantwortliche ihre Sicherheitsstrategie so auslegen, dass Verschlüsselung und User Experience sich nicht gegenseitig beeinflussen. Sie stehen vor der Herausforderung, strategische Empfehlung in handhabbare Konzepte umzusetzen.

Fazit

Das Thema Verschlüsselung scheint den meisten IT-Fachkräften bekannt und sollte genau deshalb erneut aus der Schublade geholt werden. Die veränderte Bedrohungslage und neue Trends wie IoT sorgen für neue Angriffsvektoren und deutlich mehr Traffic. Mit den richtigen Mechanismen können verschlüsselte Informationen Attacken ins Leere laufen lassen, selbst wenn die Angreifer schon tief in das Netzwerk eingedrungen sind.

Verschlüsselung ist deutlich flexibler und nutzerfreundlicher geworden, da der technologische Fortschritt bessere Authentifizierungsmethoden erlaubt. Zum Beispiel kann eine Zwei-Faktor-Authentifizierung durch unterschiedlichste Möglichkeiten realisiert werden. Zudem gibt es passende Lösungen für die Verwaltung von Schlüsseln und Zertifikaten, die besonders auf kleine und mittelständische Unternehmen zugeschnitten sind.

IT-Abteilungen sollten bei der Planung und Implementierung immer die User im Auge behalten. Entsprechende Konzepte dürfen die Anwender nicht überlasten, falsche Ansätze führen schnell zur Überarbeitung der IT-Administratoren und wirken sich zudem noch negativ auf die IT-Sicherheit aus.

Über den Autor:
Christopher Meyer ist Pre-Sales Manager DACH bei Gemalto.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Verschlüsselung: Hintertüren führen ins Nichts

PKI-Verschlüsselung mit PowerShell 5.0 und Windows Server 2016

Sicherheitskonzepte mit Bedacht planen

Einen Cybersicherheitsplan für Unternehmen aufstellen

Artikel wurde zuletzt im Mai 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Risk-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close