Datenverschlüsselung und Datenhoheit
Verschlüssle und herrsche
Der Verschlüsselung von Daten schenken viele Unternehmen unzureichende oder gar keine Beachtung. Zwar hat die DSGVO dafür gesorgt, dass man das Thema etwas weniger stiefmütterlich behandelt, nennt sie doch Pseudonymisierung als wichtiges Element der Datenschutzstrategie. Und doch halten sich viele Unternehmen bei diesem Thema auffallend zurück.
Diese Zurückhaltung kann viele Gründe haben: Die Finanzabteilung sieht in der Verschlüsselung vor allem zusätzliche Kosten, die IT zusätzliche Komplexität – und Anwender befürchten nicht ganz zu Unrecht, dass Datenverschlüsselung ihre Arbeitsabläufe ändert und die Nutzbarkeit der Daten einschränkt. Beim Einsatz von Cloud-Computing kommt eine verführerische Annahme hinzu: Der Cloud-Provider wird schon für den Schutz meiner Daten sorgen. Dabei ist Kryptografie der einzig verlässliche technische Datenschutz. Alle anderen Ansätze sind letztlich fehlbar: Firewalls, Intrusion-Prevention-Systeme oder Mehr-Faktor-Authentifikation bieten keinen vollkommenen Schutz vor Datenverlust oder -diebstahl – nicht zuletzt, weil nur IT-Systeme, aber nicht die Daten selbst geschützt sind. Kein technisches Hilfsmittel kann verhindern, dass Angreifer Daten stehlen. Verschlüsselte Daten sind zwar auch nicht vor Diebstahl geschützt, aber sie sind zumindest kommerziell unbrauchbar für Kriminelle. Einen stärkeren technischen Schutz kann es nicht geben.
Eine Frage des Vertrauens
Warum also die Verschlüsselung nicht dem Cloud-Provider überlassen? Zunächst einmal ist das eine Frage des Vertrauens. Um Daten verschlüsseln zu können, müssen Provider diese zunächst im Klartext einsehen können und haben somit Zugriff auch auf sensibelste Informationen. Selbst Unternehmen, denen Misstrauen fremd ist, sollten vorsichtig sein. Denn die großen Cloudanbieter unterliegen US-amerikanischer Gesetzgebung. Das heißt auch, dass US-Regierungsbehörden den Provider gegebenenfalls zur Herausgabe von Daten veranlassen können, wenn die Bedingungen des USA Freedom Act, Nachfolger des Patriot Act, erfüllt sind.
Dies gilt gegebenenfalls auch für Daten, die der Cloudanbieter in Europa verarbeitet und speichert, solange er der US-amerikanischen Gesetzgebung unterliegt. Die Vertrauensfrage ist also nicht nur den US-Unternehmen zu stellen, sondern auch den US-Behörden. Dass deutschen Behörden in dieser Hinsicht ebenfalls nicht zu trauen ist, hat erst jüngst der Skandal um die Schweizer Crypto AG bewiesen. (Hier hatten BND und CIA kooperiert, um zahlreiche Regierungen mit schwacher Verschlüsselung zu beliefern, d.Red.)
Auch Cloudanbieter sind nicht vor dem menschlichen Faktor gefeit. Selbst wenn den Administratoren des Providers keine bösartigen Absichten zu unterstellen sind, können doch Kriminelle deren Passwörter erlangen. Die jüngste Untersuchung des Cybersecurity-Unternehmens Proofpoint zum Thema zeigt zum Beispiel, dass 99 Prozent aller erfolgreichen Cyberangriffe auf Hilfe durch Mitarbeiter des attackierten Unternehmens angewiesen sind. In den meisten Fällen erfolgt diese Hilfe nicht vorsätzlich, sondern die Mitarbeiter fallen auf Social-Engineering-Techniken herein. Aufgrund ihrer weitreichenden Befugnisse stellen Administratoren großer Cloudinstallationen naturgemäß besonders attraktive Ziele dar.
Digitale Autonomie
Es bestehen also genügend gute Gründe, sich in puncto Datensicherheit nicht auf eine externe Partei zu stützen, stattdessen die Datenverschlüsselung in die eigenen Hände zu nehmen und sich so digitale Autonomie zu sichern. Die beste Möglichkeit zur Datenverschlüsselung bietet ein Kryptografie-Gateway, das die Daten verschlüsselt, bevor sie das Unternehmen verlassen. Der Vorteil der Datenverschlüsselung innerhalb eines Gateways liegt in der Tatsache, dass ein Unternehmen die komplette Hoheit über seine Daten im Klartext behält. Externe oder auch eine Cloudanwendung können die Daten nicht entziffern – das Unternehmen erzielt dadurch vollständige Datenautonomie.
Der Einsatz eines Kryptografie-Gateways kann es auch ermöglichen, verschlüsselte Daten zu nutzen und zu durchsuchen. Die Stärke der Datenverschlüsselung kann gleichzeitig wie ein Nachteil erscheinen, denn verschlüsselte Daten sind an sich nicht zu entziffern, auch nicht für die Anwendung, in der diese erstellt wurden. Eine Suche in verschlüsselten Daten stellt also eine technische Herausforderung dar. Konkret verursacht das beispielsweise beim Einsatz eines CRM-Systems ganz praktische Einschränkungen. Wenn ein Unternehmen etwa Namen und Hausanschrift seiner Kunden als sensible Informationen erachtet, wird es diese Daten verschlüsseln. Ein Anwender kann somit nicht ohne Weiteres eine Liste aller Personen erstellen, die in einem bestimmten Postleitzahlengebiet wohnen, um ihnen ein regional beschränktes Angebot zu schicken. Hierzu müsste er zunächst sämtliche verschlüsselte Datenfelder entschlüsseln, um sie dann zu durchsuchen.
Eine solche Vorgehensweise ist extrem langwierig und somit nicht alltagstauglich.
Abhilfe bietet die Kombination aus Kryptografie-Gateway und interner Indexierung der Datenfelder. Hier indexiert Software die Datenfelder bei der Verschlüsselung im Gateway und legt die entsprechenden Indizes in einer separaten, dedizierten Datenbank beim Unternehmen ab. Sucht ein Anwender nach einer verschlüsselten Information, richtet er die Anfrage nicht direkt an die Anwendung in der Cloud, sondern an das Gateway.
Das Gateway findet in der Datenbank die Indizes, die der Suchanfrage entsprechen, und sendet eine modifizierte Suchanfrage an die Anwendung. Die Applikation sendet anschließend die angefragten Datensätze zurück an das Gateway, das diese entschlüsselt und dem Anwender performant zur Verfügung stellt. Bei diesem Prozess verlassen zu keinem Zeitpunkt Daten im Klartext das Unternehmensnetzwerk.
Moderne Indexierung ist so leistungsstark, dass die Verarbeitungszeiten mit der Menge der zu indexierenden Daten prozentual gesehen sinken. Die Indexierung einiger weniger Datensätze erfolgt im Millisekundenbereich. Selbst bei der Indexierung hunderttausender Datensätze, keine Seltenheit bei CRM- oder ERP-Systemen, nimmt der Prozess nicht mehr als wenige Millisekunden in Anspruch. Und doch ist es nicht praktikabel, sämtliche Daten zu verschlüsseln, will ein Unternehmen nicht die Leistungsfähigkeit des Gesamtsystems gefährden. Das Management wird sich also entscheiden müssen, welche Daten es als besonders sensibel betrachtet und somit verschlüsseln will.
Um den Anforderungen der DSGVO zu genügen, reicht in der Regel eine Verschlüsselung von etwa zwei Prozent der Daten aus. In der Praxis gehen Unternehmen, die sich zur Verschlüsselung sensibler Daten entschlossen haben, allerdings auf Nummer sicher und verschlüsseln im Schnitt rund zehn Prozent der Daten.
Flexibilität durch Templates
Um welche Art Daten es dabei gehen soll, unterscheidet jedes Unternehmen anders. Das verwendete Kryptografie-Gateway sollte entsprechende Flexibilität bieten, beispielsweise in Form von Templates. Hier handelt es sich um eine relativ neue Ergänzung zu Kryptografie-Gateways. Je ein Template ist dabei an eine Anwendung wie SAP, Salesforce oder Office 365 gekoppelt. Im Template kann ein Unternehmen auf einfache Weise definieren, welche Art von Daten es als sensibel erachtet und darum verschlüsseln will. Grundsätzlich kann es alle Arten von Daten als sensibel bestimmen, die eine Anwendung erfassen kann: Name, Geburtsdatum, Adresse, Kreditkartendetails etc. Das Template generiert daraufhin eine Beschreibung, die festlegt, wo im Datenstrom der jeweiligen Anwendung das Kryptografie-Gateway die zu verschlüsselnden Daten finden kann.
Templates sind an eine spezifische Anwendung gekoppelt, weil dieselbe Art Daten abhängig von der Anwendung an verschiedenen Stellen im Datenstrom zu finden ist – die Adresse in SAP beispielsweise an anderer Stelle als bei Salesforce. Grundsätzlich verfügt der Template-Ansatz aber über ausreichend Flexibilität, um jegliche Anwendung zu unterstützen, auch Eigenentwicklungen von Unternehmen oder Behörden: Mit einiger Kenntnis der jeweiligen Applikation ist es erfahrenen Programmierern möglich, innerhalb weniger Tage ein Template für eine beliebige Anwendung zu erstellen.
Der Einsatz eines Kryptografie-Gateways kann Unternehmen noch einen weiteren Vorteil bieten: Krypto-Agilität. Die Verschlüsselungstechnik selbst sollte kein Geheimnis sein, und ein Kryptografie-Gateway sollte einem Anwender verschiedene Algorithmen zur Auswahl anbieten. Mit Blick auf künftige Entwicklungen sollte ein Unternehmen auf jeden Fall ein Gateway wählen, das auch nach allgemeiner Verfügbarkeit von Quantenrechnern noch Sicherheit bietet. Diese werden in absehbarer Zeit eine neue Bedrohung für die Datensicherheit darstellen, weil sie in der Lage sind, viele bewährte Sicherheitstechniken zu überwinden. Asymmetrische Verschlüsselungsalgorithmen beispielsweise bieten keinen Schutz vor Angriffen mit einem Quantenrechner. Unternehmen sollten sich rechtzeitig hierauf vorbereiten und sich mit den Entwicklungen sogenannter „Post-Quanten-Kryptografie“ und Algorithmen wie XMSS, Tesla, Lara und Kindi vertraut machen.
Selbst ist das Unternehmen
Digitale Autonomie hat viele Facetten. Eine freie Verfügbarkeit verlässlicher Informationsquellen gehört ebenso dazu wie die garantierte Abwesenheit von Hintertüren in IT-Produkten. Auf dem Gebiet der IT-Sicherheit ist die Datenverschlüsselung der Königsweg zur digitalen Autonomie. Richtig verstanden und umgesetzt sprechen letztlich auch die eingangs erwähnten Einwände finanzieller und technischer Art nicht gegen den Kryptografie-Einsatz. Autonomie ist ein hohes Gut und letztlich gar nicht so schwierig zu gewährleisten.
Elmar Eperiesi-Beck ist Gründer und Geschäftsführer von Eperi, www.eperi.com
Lesen Sie mehr zum Thema
