Verschlüsselung ist Pflicht – effektive Lösungen sind gefragt

MVS Import 28. Juli 2017 Technik
Verschlüsselung ist Pflicht – effektive Lösungen sind gefragt
Jedes Unternehmen verfügt über unzählige Daten, die in IT-Systemen zirkulieren und früher oder später oft per E-Mail verschickt werden – oder vermehrt auch über Kommunikations-Dienste in der Cloud. Doch was, wenn Lauscher vertrauliche Informationen mitlesen? Unternehmen brauchen geeignete Sicherheitsmechanismen, um ihre Daten zu schützen.

Daten sind der Treibstoff des digitalen Zeitalters: Sie versetzen Unternehmen in die Lage, Kunden zielgerichtet anzusprechen, den Markt zu analysieren und die eigenen Geschäftsprozesse zu verbessern. Selbst wer nicht gezielt Daten sammelt, hat tagtäglich mit ihnen zu tun – in Personalakten liegen vertrauliche Informationen über die Angestellten, in ERP-Programmen kursieren wichtige Betriebsdaten. Überall, wo Mitarbeiter kommunizieren, werden auch Daten ausgetauscht: Sei es intern, um Projekte zu besprechen, oder extern, um Angebote und Verträge auszutauschen. Industrieunternehmen haben zudem oft mit einem großen Netzwerk an Zulieferern zu tun, und auch hier fließen Daten, die oft sensible Informationen enthalten – etwa zur Fertigung, zu Preisen oder Margen.

E-Mail weiterhin Das meist genutzte Kommunikationsmittel

Ein Großteil der Kommunikation und damit auch des Datenflusses findet nach wie vor per E-Mail statt. Mitarbeiter, Lieferanten und Kunden auf der ganzen Welt sind an dieses Kommunikationsmittel gewöhnt; es findet hohe Akzeptanz und gilt als der „kleinste gemeinsame Nenner“ im Datenaustausch. Im Rahmen der Digitalisierung steigen viele Unternehmen zudem auf den digitalen Rechnungsaustausch per E-Mail um, wodurch sich im Vergleich zur Papierrechnung mit postalischem Versand viel Geld sparen lässt. Auch EDIFACT-Dateien für den international standardisierten Geschäftsdatenaustausch werden oft per E-Mail verschickt: Die Bundesnetzagentur nennt in ihren „Regelungen zum sicheren Austausch von EDIFACT-Übertragungsdateien“ AS2 und E-Mail via SMTP als zulässige Übertragungswege, wobei E-Mail auf jeden Fall anzubieten sei, sollte zwischen den Partnern keine Einigung auf einen Übertragungsweg möglich sein.

Ohne E-Mail geht in einem Unternehmen heute also nichts mehr – doch bei der Übertragung haben auch Hacker und Spione leichtes Spiel. Sie können sensible Informationen abfangen und damit großen Schaden anrichten. Viele Unternehmen nutzen heute zudem Kommunikations- und Kollaborationsanwendungen in der Cloud, was zunächst zahlreiche Vorteile betet: Mitarbeiter können orts- und geräteunabhängig auf die Systeme zugreifen, und auch die Zusammenarbeit mit externen Projektteilnehmern und Lieferanten vereinfacht sich dadurch. Doch gleichzeitig entsteht ein zusätzlicher Angriffspunkt, an dem Cyberkriminelle ansetzen können. Und wie die NSA-Affäre in der Vergangenheit gezeigt hat, lesen auch Geheimdienste gerne einmal in Cloud-Diensten amerikanischer Anbieter mit.

Nur Verschlüsselung bringt zuverlässige Sicherheit

Viele Anwender sind sich dieser Gefahren nicht bewusst. Sie gehen davon aus, dass E-Mail-Systeme, die sie von ihrem Unternehmen gestellt bekommen, von Haus aus sicher sind – doch das ist oft nicht der Fall. Das Einzige, was zuverlässig vor unerwünschtem Mitlesen schützt, ist eine effektive Ende-zu-Ende-Verschlüsselung, bei der die Daten schon vor der Übertragung verschlüsselt und erst beim Empfänger wieder entschlüsselt werden. Mit einer digitalen Signatur können Empfänger zudem die Identität des Absenders verifizieren und gleichzeitig sicher sein, dass der Inhalt einer Nachricht nicht manipuliert wurde.

Bei der Übertragung von EDIFACT-Dateien ist eine Verschlüsselung und digitale Signatur bereits Pflicht; das hat die Bundesnetzagentur explizit in ihren Beschlüssen vom Dezember 2016 festgelegt. Auch in der neuen europäischen Datenschutzgrundverordnung (EU-DSGVO), die seit 25. Mai 2016 in Kraft ist und ab dem 25. Mai 2018 verbindlich gilt, wird Verschlüsselung explizit als Beispiel genannt, um personenbezogene Daten zu schützen. Jedes Unternehmen verfügt über solche personenbezogenen Daten in der Personalabteilung: Wer Bewerbungsunterlagen, Mitarbeiterverträge oder Gehaltsabrechnungen digital verschickt, sollte also unbedingt Verschlüsselung anwenden. Denn Datenschutzverletzungen können teuer werden – ab dem 25. Mail 2018 müssen Unternehmen gemäß der EU-DSGVO mit Geldbußen von bis zu 4 % des weltweiten Jahresumsatzes rechnen.

Anwendungen sind häufig zu kompliziert

Noch aber setzen wenige Unternehmen E-Mail-Verschlüsselung und digitale Signaturen ein. Das liegt meist daran, dass Mitarbeiter und IT-Abteilungen dies als zu kompliziert empfinden: Anwender möchten E-Mails wie gewohnt „einfach verschicken“ und nicht erst vorab umständliche Aktionen durchführen müssen. Schlüssel und Zertifikate sind Technologien, mit denen sie nicht vertraut sind und die viel zu komplex klingen – damit möchten sie sich nicht auseinandersetzen. Verschlüsselungsanwendungen, die Prozesse ausbremsen, weil sie zusätzliche Handlungen erfordern, finden letztlich keine Akzeptanz. Folglich nutzen Mitarbeiter sie auch nicht oder finden sogar Wege, auferlegte Maßnahmen zu umgehen.

Wie wichtig es ist, Technologien und Anwendungen anzubieten, die den Bedürfnissen der Mitarbeiter entsprechen, zeigt das Thema Schatten-IT: Im Zeitalter der Cloud ist es sehr verlockend und einfach, schnell einmal einen Public-Cloud-Dienst wie Dropbox für den Datenaustausch zu nutzen. Mitarbeiter kennen solche Dienste aus dem privaten Bereich und nutzen sie dort gerne und oft. Dabei verkennen sie aber, dass viele Filesharing-Anwendungen aus der Public Cloud keine geeigneten Sicherheitsfunktionen bieten und daher auch nicht für den Unternehmenseinsatz geeignet sind. Wenn IT-Verantwortliche einen solchen Wildwuchs an gefährlichen Cloud-Diensten im Unternehmen verhindern wollen, müssen sie Mitarbeitern vergleichbar komfortable, aber sichere Anwendungen zur Verfügung stellen.

Sicherheit muss nutzerfreundlich sein

Wie also muss eine gute Verschlüsselungslösung aussehen, die sicheren E-Mail-Verkehr und sicheres Filesharing ermöglicht? Sie sollte Ende-zu-Ende-Verschlüsselung bieten und möglichst einfach zu handhaben sein. Im Idealfall erfolgt die Verschlüsselung automatisiert, so dass der Anwender gar nichts davon mitbekommt und selbst nichts tun muss – für ihn bleiben seine gewohnten Prozesse letztlich „wie gehabt“. ‚

Das funktioniert am einfachsten mit einem E-Mail-Verschlüsselungsgateway: Er verschlüsselt Nachrichten direkt am E-Mail-Client, bevor sie abgeschickt werden, ohne dass der Anwender dafür ein Plug-In installieren muss. Eine solche Sicherheitslösung lässt sich unabhängig von den umgebenden Systemen einsetzen: Sie arbeitet mit Cloud-Diensten ebenso wie mit internen Servern zusammen, und die Verschlüsselung erfolgt unabhängig vom Endgerät der Nutzer (wodurch auch E-Mails von Tablets oder Smartphones abgesichert werden).

Sensible Daten sind also schon verschlüsselt, wenn sie den Absender verlassen, und liegen auch verschlüsselt in der Cloud. Selbst wenn es einem Lauscher gelingt, sie abzugreifen, kann er sie nicht lesen. Entscheidend dafür ist allerdings, dass „Schlüssel“ und „Schloss“ getrennt voneinander aufbewahrt werden – wobei sich das Schlüsselmaterial im Besitz des Unternehmens befinden sollte. Außerdem sollte die Lösung eine komfortable Administrationskonsole bieten, über die Sicherheitsverantwortliche zentrale Security-Richtlinien und spezifische Regeln im Unternehmen umsetzen können. Denn je mehr im Hintergrund automatisiert abläuft, desto weniger Fehler kann der einzelne Anwender machen.

Fazit

Verschlüsselung ist ein wichtiger Baustein für den betrieblichen Datenschutz – denn ein Großteil der Kommunikation bzw. des Datenaustausches findet per E-Mail statt und ist damit besonders gefährdet. Zunehmend verlagern Unternehmen ihre Kommunikationsanwendungen vermehrt in die Cloud, und Mitarbeiter nutzen immer stärker mobile Endgeräte.

All das verschärft die Sicherheitslage: Um sensible Daten zu schützen, brauchen Unternehmen eine Ende-zu-Ende-Verschlüsselungslösung, die unabhängig von der Infrastruktur und vom Endgerät funktioniert. Sie sollte unbemerkt im Hintergrund arbeiten und einen hohen Automatisierungsgrad bieten, so dass sie den Nutzer nicht in seinen täglichen Abläufen beeinträchtigt und die Gefahr von Anwendungsfehlern minimiert. Hier stellen dedizierte Security-Gateway-Server eine sinnvolle Ergänzung der Unternehmens-IT dar.

Marcel Mock ist Chief Technology Officer bei Totemo, einem Softwareanbieter für sichere Kommunikationslösungen mit Sitz im schweizerischen Küsnacht