Schützen Sie Ihr Unternehmen durch Verschlüsselung vor Ausspähversuchen
15. Juni 2018
Angesichts steigender Zahlen bei den Angriffen auf die IT-Systeme von Unternehmen ist Datenverschlüsselung heute wichtiger denn je. In der Praxis gilt es zu unterscheiden zwischen dem Verbergen vertraulicher und unternehmenskritischer Daten, der Verschlüsselung des E-Mail-Verkehrs, dem Schutz der Daten in der Cloud und der Verschlüsselung von Daten auf ihrem Weg durchs Netz.
Die europäische Datenschutzgrundverordnung (DSGVO) verlangt von Unternehmen unter anderem den bestmöglichen Schutz der bei ihnen verwendeten personenbezogenen Daten. Da genügt es häufig nicht, den Zugriff auf bestimmte Personen und Gruppen zu beschränken. Es muss auch Sorge getragen werden, dass die Daten im Falle eines Diebstahls für Unbefugte nicht lesbar sind.
Die Lösung dafür lautet Verschlüsselung, und zwar auf mehreren Ebenen. So sollten etwa die Festplatten von Notebooks, auf denen Vertriebsmitarbeiter Notizen und Kundendaten speichern, ebenso geschützt werden wie die Server der IT-Abteilung. Falls Daten zu einem Cloud-Dienst ausgelagert werden, müssen sie dort ebenfalls verschlüsselt werden – die Cloud-Anbieter versprechen zwar einen Schutz vor Datenverlusten und der Einsichtnahme durch fremde Personen, speichern die Dateien jedoch oft frei lesbar in ihren Rechenzentren. Sollte es einem Angreifer etwa gelingen, den Zugang zum Cloud-Speicher auszuspähen, kann er problemlos Einsicht nehmen.
Ebenso wichtig ist der Schutz der E-Mail-Kommunikation. Die elektronischen Nachrichten durchlaufen auf ihrem Weg vom Sender zum Empfänger mehrere Stationen, sowohl innerhalb der Firma als auch extern. Jede dieser Stationen ist potenziell in Gefahr, ausgespäht zu werden. Außerdem könnten sich Außenstehende mit ihren Rechnern in den E-Mail-Strom einklinken und mitlesen.
PCs und Notebooks verschlüsseln
Es gibt mehrere freie und kostenpflichtige Software-Pakete, mit denen sich einzelne Dateien und Ordner verschlüsseln lassen. Ihr Nachteil ist, dass man schnell die Übersicht verliert, welche Daten nun genau verschlüsselt sind und welche nicht. Einfacher und vor allem für Notebooks im mobilen Einsatz zu empfehlen, ist eine Verschlüsselung der kompletten Festplatte. Sie fordert gleich beim Start des Computers die Eingabe einer PIN oder eines Passworts an, wahlweise kann auch ein USB-Stick mit einer Schlüsseldatei bestückt werden.
Erst nach Eingabe des Codes beziehungsweise dem Anschluss des Sticks gibt die Software den Zugriff auf die Daten frei und lässt den Rechner zur Anmeldung booten.
Seit Windows Vista ist in den Ultimate- beziehungsweise Pro- sowie den Enterprise-Versionen des Betriebssystems die Festplatten-Verschlüsselung BitLocker kostenlos integriert.
Sie gilt bei den Experten als sicher und verfügt zudem über einen Schutz gegen Änderungen an der Hardware. Es ist daher nicht möglich, etwa die Festplatte auszubauen und die Verschlüsselung an einem anderen Computer durch schnelles Ausprobieren von Tausenden Passwörtern zu knacken.
Eine Alternative zu Bitlocker ist das kostenlose Open-Source-Programm VeraCrypt. Auch diese Software gilt als sicherer Schutz gegen Hacker-Angriffe und ist zudem flexibler einsetzbar als BitLocker. Sie kann neben kompletten Festplatten auch einzelne Dateien, Ordner und Partitionen verschlüsseln und geschützte Container anlegen (siehe nächsten Abschnitt). BitLocker ist besser in Windows integriert als VeraCrypt, das letztgenannte Programm verschlüsselt dafür aber auch Apple- und Linux-Rechner.
Cloud-Verschlüsselung
Um Firmendaten auf einem Cloud-Server vor fremden Blicken zu schützen, bieten sich zwei Verfahren an: Entweder man verschlüsselt die Daten bereits, bevor man sie hochlädt, dazu eignet sich beispielsweise das bereits erwähnte VeraCrypt. Oder man legt auf dem Cloud-Speicher eine Container-Datei an, manchmal auch Tresor genannt. Alle Dateien, die man anschließend in diesen Container kopiert, werden automatisch verschlüsselt. Zudem ist von außen nicht sichtbar, wie viele Dateien in welcher Verzeichnisstruktur im Container liegen und welche Namen sie tragen.
Solche Container lassen sich ebenfalls mit VeraCrypt anlegen. Besser geeignet sind jedoch Spezialprogramme wie Boxcryptor oder Cryptomator, die beide von deutschen Herstellern stammen. Boxcryptor ist für den Unternehmenseinsatz kostenpflichtig, Cryptomator hingegen als Open-Source-Software grundsätzlich kostenfrei. Gebühren werden lediglich für den Support und kundenspezifische Anpassungen fällig.
E-Mail-Verschlüsselung
Für die E-Mail-Verschlüsselung existieren zwei große Standards, die sich in Konzept und Sicherheit nicht wesentlich voneinander unterscheiden, S/MIME und Pretty Good Privacy (PGP). Sie sind gerade ins Gerede gekommen, weil sie in vielen E-Mail-Programmen doch nicht so sicher arbeiten, wie viele bislang geglaubt haben. Doch das Bundesamt für Sicherheit in der Informationstechnik (BSI) steht weiterhin zu den Technologien – sie müssen nur unbedingt richtig installiert und konfiguriert sein. Beide Verschlüsselungsstandards arbeiten mit einer asymmetrischen Verschlüsselung, die auf einem System von privaten und öffentlichen Schlüsseln basiert. Die beiden Verfahren sind jedoch leider nicht kompatibel zueinander.
Die Verfahren funktionieren wie folgt: Jeder Teilnehmer an einer E-Mail-Kommunikation besitzt einen privaten Schlüssel, den er sicher verwahrt und nicht aus der Hand gibt, und einen öffentlichen Schlüssel, den er an seine E-Mail-Partner übermittelt. Diese verwenden den öffentlichen Schlüssel, um ihre Nachrichten an den Besitzer zu verschlüsseln. Öffnen und lesen lassen sich diese Mails nur mit dem privaten Schlüssel. Will man andererseits selbst eine verschlüsselte Nachricht an jemanden schicken, benötigt man dazu ebenfalls den öffentlichen Schlüssel des Empfängers. Das Verfahren hört sich kompliziert an, ist in der Praxis jedoch gut anwendbar. Man spricht dabei auch von Ende-zu-Ende-Verschlüsselung, da die Daten auf den Endgeräten der beiden Kommunikations-Partner verschlüsselt werden und nicht erst auf einem zwischengeschalteten Server.
S/MIME ist bereits in Microsoft Outlook und die meisten anderen E-Mail-Clients integriert und muss lediglich konfiguriert werden. Pretty Good Privacy (PGP) ist in Form von OpenPGP als Open Source verfügbar und lässt sich in nahezu jedes Mail-Programm einfach installieren. Wenn alles richtig eingerichtet ist, genügt in einer neuen Mail der Klick auf einen Button, um sowohl den Text der Nachricht wie auch die Dateianhänge zu schützen. Damit eine E-Mail auf dem Weg über die verschiedenen Server den richtigen Empfänger erreicht, bleiben jedoch die Kopfzeilen grundsätzlich unverschlüsselt. Sie enthalten unter anderem den Namen des Absenders, die Uhrzeit und die IP-Adresse. Lediglich einige spezielle E-Mail-Anbieter verzichten zumindest auf die Angabe der Adresse.
Netzwerk-Verschlüsselung
Die Datenübertragung im Unternehmensnetzwerk ist oftmals Lauschangriffen ausgesetzt. Kabelgebundene Ethernet-Verbindungen übertragen die Daten unverschlüsselt, mit spezieller sogenannter Sniffer-Software lässt sich einfach verfolgen, wer welche Inhalte wohin überträgt. Während für WLAN-Netzwerke mit WPA2 eine sichere Verschlüsselungstechnik existiert, lassen sich Kabelnetzwerke nur mithilfe teurer Hardware-Systeme schützen.
Effizienter ist es daher, die Dateien bereits vor dem Kopieren auf einen anderen Computer zu verschlüsseln. Auf diese Weise sind sie nicht nur auf dem Zielsystem geschützt, sondern auch während des Transports.
Und sollte man von außerhalb des eigenen Unternehmens auf dessen Netzwerk zugreifen müssen, sollte man ein sogenanntes Virtual Private Network (VPN) aufbauen. Hierfür gibt es eine Vielzahl von Software- und Hardware-Lösungen. Sie stellen eine verschlüsselte Verbindung zwischen dem entfernten Computer und dem Unternehmensnetzwerk her. Oft spricht man hier von einem Tunnel, der im öffentlich zugänglichen Netz zwischen den beiden Systemen aufgebaut wird: Die Daten, die durch diesen Tunnel transportiert werden, können von außen nicht gesehen werden – weil sie durch die Verschlüsselung geschützt sind. Wer beispielsweise über ein öffentliches WLAN auf Unternehmens-Ressourcen zugreift, sollte dies niemals ohne VPN-Verbindung machen.
Ein wenig Mühe für mehr Schutz
Daten, E-Mails und Netzwerkverkehr zu verschlüsseln, bedeutet zweifellos Aufwand. Doch der Aufwand lohnt – denn er ermöglicht nicht nur den Schutz sensibler Daten; er leistet auch einen Beitrag, rechtliche Vorschriften zu erfüllen. Viele Techniken zur Verschlüsselung haben sich längst etabliert und sind einfacher in der Anwendung geworden. Doch für viele Anwender gehören sie noch längst nicht zum Standard. Sie nicht zu nutzen, könnte durchaus als Fahrlässigkeit gewertet werden und den Verantwortlichen in Unternehmen auf die Füße fallen.
Einfache Hilfe für sichere Passwörter
Eine solche praktische Anwendung können Sie übrigens auch über O2 Business erwerben: O2 Business Protect bietet Unternehmen nicht nur Schutz gegen Viren und andere Online-Bedrohungen, sondern auch den True Key Kennwort-Manager. Besonders praktisch: Die gespeicherten Daten werden nicht nur durch ein Passwort, sondern können auch durch Fingerabdruck und Gesichtserkennung geschützt werden. Damit brauchen Sie sich fast nicht mehr um Passwörter zu kümmern.