Ein kryptografischer Sicherheitsbereich ermöglicht Unternehmen den durchgängigen Schutz ihrer digitalen Kommunikation vor Cyberangriffen und Wirtschaftsspionage. Hierarchische Verschlüsselung kann dabei die Datenhoheit und die Einhaltung gesetzlicher Verpflichtungen gewährleisten.

Sei es via E-Mail, Instant Messaging oder Chat: Wenn Mitarbeiter digital kommunizieren, tauschen sie dabei häufig vertrauliche Inhalte aus. Sie stimmen sich über Strategien, Budgets oder Entwicklungsprojekte ab und verschicken Präsentationen, Tabellen oder Angebote an Kunden und Partner. Laut Schätzungen wird jede einzelne im Unternehmen vorhandene Datei im Laufe ihres Lebens mindestens einmal digital übermittelt. Derartige Interna bilden ein äußerst attraktives Ziel für Wirtschaftsspionage. Dies gilt insbesondere für deutsche Unternehmen, denn viele von ihnen sind Weltmarkführer auf ihrem Gebiet, verfügen über exklusive Technologien, hochspezialisiertes Know-how und einen wertvollen Kundenstamm.

Schutz für unternehmensinterne Daten

 

„Key Escrow“-System: Backups der Nutzerschlüssel werden zentral abgelegt. Sie sind mit einem Master-Key verschlüsselt, den nur eine Kontrollinstanz bei Bedarf nutzen kann. Bild: Brabbler

Damit Interna auch Interna bleiben, ist es für Unternehmen unerlässlich, ihre digitale Kommunikation umfassend zu schützen. Ein lückenloser Schutz der digitalen Kommunikation ist allein auf Netzwerkebene nicht zu erreichen. So gelingt es Kriminellen mit ihren Angriffstechniken und -werkzeugen immer häufiger, den klassischen Perimeterschutz zu überwinden und sich damit Zugriff auf sensible Kommunikationsdaten zu verschaffen.
Zudem fehlt beim Perimeteransatz der Schutz außerhalb des eigenen Netzwerks. Dies birgt die Gefahr, dass Hacker die externe Kommunikation im Internet ab­fangen und auslesen. Zudem müssen Unternehmen spätestens seit den Snowden-Enthüllungen wohl davon ausgehen, dass Geheimdienste und Behörden die trans­atlantischen Kabel anzapfen. Nutzen Unternehmen Cloud-basierte Kommunika­tionswerkzeuge US-amerikanischer Anbieter, müssen sie außerdem damit rechnen, dass ihre Daten an die dortigen Behörden weitergegeben werden – in Zeiten von Handelskriegen und „America First“ sicher kein völlig abwegiger Gedanke.

Security-Perimeter auf die kleinste Einheit verlegen

Gegen diese Gefahren können sich Unternehmen wappnen, indem sie den klassischen Security-Perimeter von der Netzwerk- oder Anwendungsebene auf die kleinste schützenswerte Einheit in der digitalen Kommunikation verlegen: auf die einzelnen Datensätze, die ihre Mitarbeiter austauschen. In Form durchgängiger Verschlüsselung können sie einen kryptografischen Sicherheitsbereich schaffen, der sämtliche Daten nur für die jeweils autorisierten Nutzer lesbar macht. „Durchgängig“ bedeutet dabei, die Daten nicht nur während der Übertragung zu verschlüsseln, sondern auch die Daten, die auf Servern und Endgeräten liegen.
Zur Verschlüsselung übertragener Daten bieten asymmetrische Verfahren (Public-Key-Verfahren) wie PGP, RSA oder das Signal-Protokoll eine ideale Grundlage. Im Gegensatz zur reinen SSL-Transportverschlüsselung lässt sich mit ihnen sicherstellen, dass sich die Daten jeweils nur an ihren Endpunkten entschlüsseln lassen – also ausschließlich beim Sender und Empfänger. Damit können Kriminelle, die einen „Man in the Middle“-Angriff durchführen, oder Behörden, die ein Datenkabel anzapfen, nichts mit den abgegriffenen Daten anfangen: Sie erhalten nur einen unentschlüsselbaren Datensalat.
Derselbe Effekt tritt ein, wenn das Kommunikationssystem die Daten verschlüsselt, die auf Servern und Endgeräten gespeichert sind. Gelingt es einem Kriminellen, in das Netzwerk eines Unternehmens einzudringen und dessen Server zu kompromittieren, findet er auch in diesem Fall nur absolut unbrauchbare Daten vor. Speichert die Kommunikationslösung darüber hinaus Daten im lokalen Speicher eines Endgeräts wie etwa eines Smartphones, Tablets oder Desktop-PCs, sollte sie diese ebenfalls verschlüsseln.
Damit sind sie nicht nur für den Fall eines erfolgreichen Angriffs geschützt: Wird einem Mitarbeiter ein Mobilgerät gestohlen oder verliert er es, sind seine Kommunikationsdaten auch für den Dieb oder Finder unbrauchbar.
Damit Unternehmen in diesem kryptografischen Sicherheitsbereich die Hoheit über ihre Daten innehaben, sollten sie eine hierarchische Verschlüsselungsmethode einsetzen. Deren Grundprinzip: Zur Verschlüsselung ihrer Kommunikationsdaten halten die Nutzer technisch ihre eigenen privaten Keys. Eine zentrale Kontrollinstanz, in aller Regel die Unternehmens-IT, bekommt einen übergeordneten Master-Key. Den privaten Schlüssel des Nutzers kan nur dieser selbst und der Administrator mit dem Master-Key nutzen.

Zentrale Kontrollinstanz erhält Master-Key

Dies ermöglicht es Unternehmen, die Kommunikationsdaten ihrer Mitarbeiter im Bedarfsfall zu entschlüsseln – sei es bei Rechtsstreitigkeiten, zu Revisons- und Auditierungszwecken oder für den Fall, dass ein Mitarbeiter das Unternehmen verlässt. Auf diese Weise werden sie den gesetzlichen Vorschriften gerecht und bleiben jederzeit im Vollbesitz des ausgetauschten Wissens. Das Kommunikationssystem muss dabei allerdings volle Transparenz über die Zugriffe gewährleisten, beispielsweise indem es ein unveränderliches Audit-Log führt und allen Administratoren zugänglich macht. Das beugt möglichem Missbrauch und Datendiebstahl durch Insider vor.
Ein weiterer Vorteil der hierarchischen Verschlüsselung: Nutzt ein Unternehmen die Kommunikationslösung eines Anbieters im SaaS-Modell, gewährleistet der Ansatz ein sogenanntes „Provider Shielding“. Der Anbieter kann die Daten auf seinen eigenen Servern nicht entschlüsseln und damit auch keine verwertbaren Daten auslesen, selbst verwenden, verkaufen oder an Behörden und Geheimdienste weitergeben.
Wichtig ist dabei allerdings, Sicherheitsvorkehrungen gegen den Verlust der Schlüssel zu treffen. Was bei der Datenspeicherung Backups und Redundanzen sind, das bilden bei der Kryptografie Schlüssel-Backups und Mechanismen zu ihrer Wiederherstellung. Unternehmen sollten systemseitig und organisatorisch sicherstellen, dass Schlüssel in keinem Fall unwiderruflich verloren gehen können. Das gilt insbesondere für den Master-Key. Ihn sollten Unternehmen deshalb auch außerhalb des genutzten Systems sicher verwahren – beispielsweise in Form einer Offline-Kopie.

Akzeptanz der Mitarbeiter entscheidet

Aber auch die Akzeptanz durch die Mitarbeiter ist für den Erfolg eines kryptografischen Sicherheitsbereichs in der digitalen Kommunikation von wesentlicher Bedeutung. Macht man es ihnen kompliziert und aufwändig zu arbeiten, werden sich die Nutzer im Unternehmen andere Kommunikationswerkzeuge suchen – die eventuell weniger sicher sind und sich unter Umständen auch nicht vom Arbeitgeber auslesen lassen. Die Endanwender sollten deshalb nicht gezwungen sein, sich mit der Verschlüsselung auseinanderzusetzen – und sich schon gar nicht selbst um den Austausch und die Verwaltung der Schlüssel kümmern müssen. So wie ganz generell alle Maßnahmen der IT-Sicherheit, sollte auch die Verschlüsselung für die Mitarbeiter einfach im Hintergrund funktionieren.
Wollen Unternehmen einen solchen kryptografischen Sicherheitsbereich für ihre digitale Kommunikation nutzen, können sie bereits vorhandene Tools nachträglich aufrüsten. Noch mehr Schutz erhalten sie aber, wenn sie neue, inhärent sichere Kommunikationswerkzeuge implementieren. Dabei sollten sie auf europäische Lösungen vertrauen. Im Vergleich zu beispielsweise US-amerikanischen Anbietern erhalten Unternehmen dann deutlich höhere Rechtssicherheit in Bezug auf die Datenschutz-Grundverordnung der Europäischen Union und anderes geltendes Datenschutzrecht.

Kombination verschiedener Sicherheitsansätze

Wie immer beim Thema IT-Security müssen Unternehmen auch bei der digitalen Kommunikation verschiedene Ansätze kombinieren. Verschlüsselung spielt in diesem Mix eine gewichtige Rolle. Richtig eingesetzt kann sie im Zusammenspiel mit anderen Sicherheitsmaßnahmen wie Endgeräte-Management oder Netzwerk-Sicherheit eine Unternehmensumgebung adäquat vor vielen vorherrschenden Gefahren für die Datensicherheit schützen.


Daniel Eyring ist Teamleiter Entwicklung beim Spezialisten für vertrauliche digitale Kommunikation Brabbler in München, www.brabbler.ag.