IT-Sicherheit braucht Knowhow und Investitionen

Ihr müsst verschlüsseln – so lautet die Forderung, die zur Zeit an Unternehmen, aber auch an Privatleute und kleine Selbstständige herangetragen wird. Das klingt nach einer einfachen Lösung. Doch ganz so ist es in Wirklichkeit nicht, meint Frank Melber. Im Interview mit „Digital Heartland“ weist der Experte für Data & Endpoint Security sowie Verschlüsselung bei der TÜV Rheinland i-sec GmbH auf die vielen Voraussetzungen für echte Sicherheit hin.
 

Herr Melber, ist generelle Verschlüsselung jedweder Kommunikation und aller Daten überhaupt sinnvoll?

Verschlüsselung ist immer sinnvoll. Allerdings ist das Thema damit noch längst nicht erledigt. Wenn ein Unternehmen seine Daten und seine Kommunikation wirkungsvoll schützen will, muss es zunächst zwei Fragen beantworten: Wo liegen meine Daten? Wogegen möchte ich mich schützen? Je nach den Antworten müssen ganz unterschiedliche Sicherheitstechniken eingesetzt werden.

Bitte erläutern Sie das doch mal an einem praktischen Beispiel.

Ein gutes Beispiel sind verschlüsselte Notebooks, die werden sehr häufig von Unternehmen gefordert. Natürlich ist dieser Schutz wichtig, denn zum Beispiel die Notebooks von Vertrieblern oder Managern enthalten enorme Mengen an interessanten Daten. Es gibt dafür auch wirklich gute Produkte, teils direkt in die Betriebssysteme eingebaut, teils von Drittherstellern.

Doch die Festplattenverschlüsselung schützt nur vor Diebstahl oder dem Verlust des Gerätes, vor nichts anderem.

Wenn es einem Computerkriminellen gelingt, Malware auf der verschlüsselten Festplatte zu speichern, sind die Daten genauso leicht auszulesen wie bei einem unverschlüsselten Notebook. Die sektor-basierte Verschlüsselung schützt auch nicht, wenn Daten über das Netzwerk an andere Systeme übertragen werden. Dort sind sie dann nicht geschützt.

Sind Cloud-Lösungen eine potentielle Sicherheitslücke und schwer zu schützen?

Bei der Verwendung von Cloud-Diensten im Unternehmen ist bei der Speicherung oder Verarbeitung kritischer Unternehmensdaten genau auf die Sicherheit und die Wirksamkeit von Verschlüsselung zu achten. Dies gilt insbesondere auch bei der Verwendung der beliebten Online-Festplatten.

Hierbei sind auch die von Mitarbeitern gelegentlich ohne Erlaubnis eingesetzten Cloud Services (Schatten-Cloud) zu berücksichtigen. Deshalb sind die IT-Abteilungen gefragt, Antworten für sichere Cloud Services zu finden.

Unternehmen müssen aber nicht unbedingt auf den Komfort dieser Lösungen verzichten. Auch hier kommt es wieder auf die Art der Anwendung an.

Zunächst muss ein Unternehmen die Art der Daten definieren, die außerhalb des internen Netzwerks gespeichert werden sollen. Dann sollte eine hinreichend sichere Verschlüsselungslösung genutzt werden. Allerdings sinkt durch die Verschlüsselung der Komfort, so können zum Beispiel verschlüsselte Dateien nicht mehr durchsucht werden.

In vielen Cloudservices oder Standalone-Programmen sind bereits Verschlüsselungsverfahren eingebaut. Reichen die eigentlich schon aus oder muss immer eine externe Lösung gewählt werden?

Bei der Beurteilung der Verschlüsselung kommt es darauf an, welcher Algorithmus eingesetzt wird, in welchem Modus dieser genutzt wird und wo die Verschlüsselung der Daten stattfindet.

Bei einem Cloud-Dienst sollte man darauf achten dass die Daten VOR der Übertragung in die Cloud mit einem sicheren Algorithmus verschlüsselt werden. Wenn ein Cloud-Dienst keine Verschlüsselung der Daten vor dem Upload ermöglicht, kann ein zusätzliches Tool genutzt werden. Leider bieten die meisten verfügbaren Cloud-Dienste keine Datenverschlüsselung auf dem Endgerät.

Es gibt aber auch zahlreiche Gründe, Verschlüsselung intern einzusetzen. Das muss nicht immer etwas mit Geheimdiensten und Computerkriminalität zu tun haben. So können zum Beispiel die Administratoren der internen Storage-Systeme sowie teilweise Admins bei Hosting-Anbietern völlig problemlos auf alle Dokumente zugreifen. Wer das nicht will, muss lokale Verschlüsselung auf den Client-Systemen einsetzen und nur verschlüsselte Dokumente auf dem Server speichern.

Alles zusammen genommen, scheint es nicht so einfach zu sein, wirkliche Sicherheit zu erreichen.

Richtig, IT-Sicherheit in Unternehmen verlangt Know-how und Investitionen. Hohe Sicherheit ist auch nicht unbedingt sehr bequem, sie tut sogar ein bisschen weh. Es gibt dennoch mittlerweile zahlreiche hervorragende Sicherheitslösungen die einfach in der Handhabung sind und ein hohes Sicherheitsniveau bieten. Aber: Es kommt auf die Umsetzung an und die Stärke des Schlüssels. Ein falsch implementiertes Verfahren sorgt nicht für Sicherheit.

Welche Verschlüsselungssoftware ist denn besonders vertrauenswürdig?

Zertifizierte Verschlüsselungssoftware hat den Vorteil, dass eine unabhängige Partei die Wirksamkeit der Lösung bestätigt hat. Wer eine Verschlüsselungslösung aussucht, sollte ganz genau auf die Art und den Umfang sowie das Alter der Zertifizierung achten. Gleiches gilt auch generell für die Zertifizierung von Anbietern von Cloud-Diensten.

Bei der Dynamik des IT-Marktes ist eine Zertifizierung schnell veraltet. So kann es zum Beispiel mehr als ein Jahr dauern, um überhaupt eine Zertifizierung nach FIPS (Federal Information Processing Standard) oder Common Criteria für ein Sicherheitsverfahren zu erhalten. In vielen Fällen wird diese zertifizierte Version dann schon nicht mehr eingesetzt.

An dieser Stelle möchte ich direkt auf die viel zitierten Hintertüren und Nachschlüssel eingehen. Die Wahrscheinlichkeit, so etwas in einem anerkannten und verbreiteten Sicherheitsprodukt zu finden, ist meiner Meinung nach gering. Es wäre ökonomisch äußerst unklug für ein Unternehmen, eine Hintertür in ein System einzubauen. Diese dürfte relativ schnell aufgedeckt werden und das Vertrauen in dieses Unternehmen wäre stark beschädigt.

Eine Alternative zu den erwähnten Produkten ist Open Source Software (OSS). OSS-Lösungen werden in vielen Fällen von kompetenten Entwicklern überprüft. Außerdem kann ein Unternehmen den Quellcode selbst überprüfen und – Ausstattung und Know-how vorausgesetzt – die Software sogar in Eigenregie kompilieren, um Manipulationen auszuschließen.

OSS-Verschlüsselungssoftware ist aber in vielen Fällen nicht auf die Bedürfnisse von Unternehmen abgestimmt. Oft fehlen die zentrale Verwaltbarkeit und Recovery-Möglichkeiten für verschlüsselte Daten.

Und dann? Verschlüsselung von Mail bedeutet ja auch, dass die Empfänger diese Technik einsetzen müssen. Müssen Unternehmen dann nicht darauf drängen, dass alle Geschäftspartner und zumindest auch die Geschäftskunden Verschlüsselung einsetzen?

Richtig, so ein Vorgehen könnte in Zukunft häufiger vorkommen als bisher. In der Automobilindustrie ist das zum Beispiel schon seit vielen Jahren üblich: Zulieferer werden dazu angehalten oder sogar vertraglich verpflichtet, bestimmte Verschlüsselungsverfahren und Sicherungsmaßnahmen einzusetzen.

Das bedeutet aber einen gewissen Aufwand für die beteiligten Unternehmen. Ein Zulieferer muss zunächst in diese Verfahren investieren und der Auftraggeber muss in regelmäßigen Audits überprüfen, ob die Zulieferer die Technik und die Prozesse auch wirklich umsetzen. Auch hier zeigt sich wieder: Sicherheit gibt es nicht zum Nulltarif, sie bedeutet einen zusätzlichen Aufwand.

Was raten Sie Unternehmen, vor allem kleineren Firmen aus dem Mittelstand? Sollen sie die Investitionen wagen?

Ja, aber nur nach einer genauen Prüfung der Anforderungen und Anwendungsfälle. Teils kommt das auch auf die Branche an, teils auf die gesetzlichen Bestimmungen. Hier muss ein kleines Unternehmen unbedingt eine spezifische, an seine spezielle Situation angepasste Lösung finden. Einfach so irgendeine Verschlüsselungssoftware einzuführen, reicht nicht aus.

Encryption is it. Everyone demands it for more data security. Even the german Federal Minister of the Interior Hans-Peter Friedrichs urges german citizens to encrypt their mails. Looks like a real nice solution but it is not. „Enryption is wise“ says Frank Melber in his interview with Digital Heartland. „But there is more to it“, adds the security expert at the TÜV, the leading german technical inspection association.

Melber gives clear advice: „Each enterprise in need of effective security should first answer two questions: Where is my data? Against what I need to protect it? Depending on the answers you have to use different security solutions. And you need know-how and budget.“ Enterprises of all sizes should first define requirements and review use cases. „Security solutions should fit to the situation. It is not as simple as using some crypto tool.“

Kommentar posten

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.