Grundlagen der Verschlüsselung
Wer mit vertraulichen Daten zu tun hat, sollte sich auch mit Verschlüsselungsverfahren auskennen und wissen, welche technischen und juristischen Anforderungen dabei zu beachten sind.
Das Future Lab hat in seiner letzten Ausgabe über die zunehmenden Fälle von Datendiebstahl berichtet. Wir haben untersucht, mit welchen Verschlüsselungsverfahren in mehreren Ländern versucht wird, unbefugtes Eindringen in Gebäude zu verhindern. Dabei haben wir auch gezeigt, wie durch mobile Geräte die Gefahr wächst, dass Daten und Passwörter in die falschen Hände geraten.
Viele Anwender sind nicht mit den Grundlagen der Verschlüsselung vertraut. Sie wissen nicht, was Verschlüsselung ist und woher sie stammt. Warum spielt die Verschlüsselung heute bei Unternehmen eine wichtigere Rolle als noch vor wenigen Jahren? Welche Verschlüsselungsverfahren gibt es? Mit welchen technischen und gesetzlichen Vorgaben sollte ein Anwender vertraut sein, wenn er sich mit der aktuellen oder künftigen Datenverschlüsselungsstrategie oder Gebäudezugangssteuerung seines Unternehmens auseinandersetzen will?
„Verschlüsselung“ ist ein Oberbegriff für die Umwandlung eines lesbaren Texts (Klartext) in unlesbaren Text (Geheimtext). Der Empfänger des Geheimtexts kann den verschlüsselten Text mit Hilfe von Entschlüsselungsanweisungen (Schlüssel) wieder lesbar machen. Bei der sogenannten Public-Key-Verschlüsselung, die wichtigen Internet-Protokollen (z.B. TLS und PGP, s.u.) zu Grunde liegt, kommt ein asymmetrisches Schlüsselpaar zum Einsatz. Ein Schlüssel bleibt geheim („private key“), während ein zweiter Schlüssel allgemein zugänglich ist („public key“). Die Public-Key-Verschlüsselung wird oft bei digitalen Signaturen im Onlinebanking angewandt.
Die Foundations of Cryptography beschreibt die Entwicklung der Verschlüsselung, die auf eine lange Tradition zurückblicken kann. Das Verschlüsseln von Informationen war früher vor allem in der Politik und im Militär wichtig, wo der Geheimhaltung schon immer eine große Bedeutung zukam. Heute werden dagegen meist digitale Personen- und Firmendaten verschlüsselt:
„Von der einfachsten Form der Verschlüsselung, dem Austauschen von Buchstaben, bis zur mathematisch nachweisbar sicheren Verschlüsselung der Gegenwart, hat sich die Kryptografie erheblich weiterentwickelt. Die Verschlüsselung wird bei immer mehr Anwendungen eingesetzt. Sie erlaubt den sicheren Versand von Daten auch über unsichere Netzwerke. Sie schützt private Nutzerdaten auf dem Computer vor neugierigen Blicken Fremder. Und vor Autodiebstahl schützen elektronische Fahrzeugschlüssel mit ihren verschlüsselten Funksignalen.“
Die PGP Corporation, die ihren Namen dem Kryptoprogramm „Pretty Good Privacy“ verdankt, gehört zu den führenden Anbietern von Verschlüsselungssoftware für E-Mails und Daten. Das Unternehmen bietet auf seiner Website Verschlüsselungsprogramme an und fördert Präsentationen und Whitepapers wie „The Critical Need for Encrypted Email and File Transfer Solutions“, das von Michael Osterman und Linda Leung verfasst wurde und bei Osterman Research erhältlich ist.
Wenn Ihre Firma in den USA Geschäfte macht, sollten Sie wissen, so Osterman und Leung, dass es nur noch 5 Bundesstaaten gibt, in denen Datendiebstahl nicht meldepflichtig ist, und dass „es immer mehr US-Bundesgesetze zum Schutz vertraulicher Daten gibt. Das gilt auch für viele andere Länder.“ Dazu zählen Gesetze wie HIPAA (Schutz medizinischer Daten), GLBA (Schutz von Finanzdaten), Regulation S-P (Verbraucherschutz), PCI DDS (Datenschutz für Geld- und Kreditkarten) sowie PIPEDA (Datenschutz in Kanada). Diese und viele andere Gesetze müssen Sie kennen, wenn Sie mit Finanzdienstleistern zusammenarbeiten wollen oder wenn Ihr Unternehmen Kreditkartendaten verarbeitet. Der aktuelle Stand der Verschlüsselungsvorschriften in anderen Ländern wird in den kostenlosen Ponemon-Berichten beschrieben.
Osterman und Leung beschreiben in ihrem Bericht mehrere Verschlüsselungsverfahren, die Sie kennen sollten, auch wenn Sie in Ihrem Unternehmen nicht direkt für die Verschlüsselung zuständig sind:
Sie sind jetzt mit einigen Grundlagen der Verschlüsselung vertraut. Wissen Sie auch, welche der geschilderten Verfahren in Ihrem Unternehmen zum Einsatz kommen? Sind Ihre Verschlüsselungsverfahren ausreichend robust? Könnte es neue Sicherheitsrisiken geben, wenn sich das Verschlüsselungsmanagement ändert? Fragen Sie das zuständige Management in Ihrem Unternehmen!
Von Derek Scheips
* Pflichtfeld
Related images
