Verloren, vergessen, gestohlen, gekapert: Geräte wie dienstliche Notebooks verschwinden schneller als man denkt. Damit die darin gespeicherten, sensiblen Informationen nicht in falsche Hände geraten, hilft nur eine Verschlüsselung des Geräts. Und die ist wichtiger als so mancher denkt.
Remote Working und die zunehmende Nutzung mobiler Endgeräte haben das Arbeitsleben gravierend verändert. Doch so nützlich dieses innovative Modell auch ist, so bringt das neue Konzept jedoch auch neue Herausforderungen für die IT-Infrastruktur in Unternehmen mit sich.
Schließlich gehen Notebooks verloren, werden vergessen oder gestohlen. Und auch das Risiko gezielter Angriffe durch Cyberkriminelle nimmt stetig zu. Der physische Verlust des Geräts ist in erster Linie ärgerlich. Auf den zweiten Blick entsteht ein sehr ernstes Problem. Denn neben den Kosten für eine Neuanschaffung droht das Abhandenkommen von wertvollem Know-how, wichtigen Betriebsinformationen, Zugängen zu Netzwerken und Konten oder sogar Kundendaten. Die Folgen insbesondere von Datenverlusten können verheerend sein. Neben hohen Bußgeldern wegen des Verstoßes gegen geltende Datenschutzgesetze, müssen Unternehmen zudem Reputationsschäden befürchten.
| Damit der digitale Wissensschatz vor fremden Blicken geschützt bleibt, kommt man an professionellen Verschlüsselungslösungen nicht vorbei. |
Wir haben deshalb die wichtigsten Fragen und Antworten rund um das Thema Verschlüsslung für Sie zusammengefasst:
Juristische Fragen:
Muss überhaupt verschlüsselt werden?
Zunächst: Grundsätzlich besteht keine ausdrückliche gesetzliche Verpflichtung zur Verschlüsselung von (personenbezogenen) Daten. Einem „Grundsätzlich“ folgt meist jedoch auch ein „Aber“. Dies ist auch hier der Fall:
Die Datenschutzgrundverordnung (DSGVO) beispielsweise nimmt sowohl den Verantwortlichen als auch Auftragsverarbeiter, also Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, in die Pflicht, diese angemessen zu schützen.
So bestimmt Art. 32 Abs. 1 DSGVO, dass…
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen [treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; […]“.
Was der Gesetzgeber unter „geeigneten technischen und organisatorischen Maßnahmen“ versteht, hat er auch anschließend beispielhaft aufgezählt und
„a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; […]“
gleich als zweites genannt.
Auch im Erwägungsgrund 83 der DSGVO – „Sicherheit der Verarbeitung“ nennt der Gesetzgeber nochmals ausdrücklich die Verschlüsselung als eine mögliche Maßnahme zur Eindämmung der mit der Verarbeitung von personenbezogenen Daten verbundenen Risiken:
„Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau – auch hinsichtlich der Vertraulichkeit – gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte.“
Wenn Angreifer alle Hürden wie Firewall, Antiviren-Software oder weitere Sicherungslösungen überwinden, ist eine gute Verschlüsselungslösung das letzte Bollwerk. Sie sorgt dafür, dass nach einem Datendiebstahl Cybergangster zumindest keinen Profit aus den Informationen ziehen können – und die Vertraulichkeit der Daten bewahrt bleibt.
Das Vorgesagte gilt aber nicht nur für personenbezogene Daten, sondern für sämtliche sensible Informationen eines Unternehmens - wie beispielsweise Auftrags-, Kunden- und Lieferantendaten, Geschäftsstrategien, Businesspläne, Kreditwürdigkeit oder auch Konstruktionspläne und sonstiges Technisches Know-How – die nicht für Mitbewerber und Öffentlichkeit bestimmt sein sollen.
Auch hier bestimmt der Gesetzgeber, dass angemessene technische und organisatorische Maßnahmen zu ergreifen sind.
Denn nach § 2 Abs. 1 lit b) Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) gilt eine sensible Information u.a. nur dann als Geschäftsgeheimnis, wenn sie „[…] Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist […]“. Und nur dann unterfällt die sensible Information den Verbots- und Sanktionsbestimmungen des GeschGehG.
Welche Auswirkungen hat es, wenn Daten und sensible Informationen nicht verschlüsselt werden?
Wer den Zugang zu gespeicherten Informationen auf andere Weise sicher gestaltet, kann auch ohne Verschlüsselung agieren. Doch wehe, wenn es schiefläuft: Neben dem Verlust der Daten (und damit vielleicht auch der Geschäftsgrundlage) drohen gegebenenfalls Schadensersatzforderungen von Kunden oder Auftraggebern, Image- und Reputationsschaden bei Kunden und Geschäftspartnern.
Wird durch eine Datenpanne, der Schutz personenbezogene Daten verletzt, kommen zusätzlich die Haftungs- und Sanktionsvorschriften der DSGVO zur Anwendung, es drohen hohe Bußgelder und Schadensersatzansprüche der Betroffenen, die sogar die Existenz eines Unternehmens gefährden können.
Werden sensible Informationen, die keine personenbezogenen Daten sind, nicht angemessen geschützt, so besteht kein Anspruch auf Schutz und Sanktionierung gegenüber Dritten, wie zum Beispiel Wettbewerbern, die sich diese sensiblen Informationen aneignen, sie nutzen oder offen legen.
Doch es gibt noch eine Reihe weiterer, weniger offensichtlicher Probleme. Ein Beispiel: Ohne Verschlüsselung keine Cyberversicherung! Denn die Anbieter setzen Sicherheitsstandards voraus, die der Leistungsnehmer erbringen muss. Und genau in diesen Punkt spielt die Verschlüsselung – oft in Verbindung mit der Zugangskontrolle durch Multi-Faktor-Authentifizierung – eine entscheidende Rolle. Ohne diese Schutzmaßnahme bleibt der Kunde wohl auf seinem Schaden sitzen, sofern ein Vertrag überhaupt zustande kommt.
Fragen aus der Praxis
Welche Verschlüsselung ist denn überhaupt sicher?
Die richtige Verschlüsselung ist aktuell (und vermutlich noch für eine recht lange Zeit) eine korrekt implementierte AES 256-Routine. Dieser Standard ist weltweit anerkannt und kann auch offiziell zertifiziert werden. Streng genommen erfreut sich AES 256 so großer Beliebtheit, dass sogar AES Instruktions-Sets in allen aktuellen CPUs enthalten sind oder sogar in der Hardware von Festplatten zum Einsatz kommt. Das führt neben der hohen Sicherheit dazu, dass der Speicher bei den Rechenoperationen kaum beeinträchtigt wird. Hinzu kommt, dass AES noch nie in der Praxis gehackt wurde. Es gibt bekannte Attacken, die aber nur unter „Laborbedingungen“ mit Modellrechnungen vorgenommen wurden. Experten sind sich sicher, dass auch Quantencomputer, sollten sie denn mittelfristig auf den Markt kommen, vorerst nichts ändern werden.
Sicherheitstechnische Fragen
Kann Verschlüsselung vor Malware oder Ransomware schützen?
Nein. Vor Malware kann nur eine entsprechende Software schützen. Mit der Verschlüsselung der eigenen Daten kann der Anwender – egal ob privat oder dienstlich – lediglich verhindern, dass Fremde diese Informationen lesen und verarbeiten können. Aus dem erbeuteten „Datenwirrwarr“ können Kriminelle keinen Profit schlagen. Je mehr Personen oder Unternehmen verschlüsseln, desto uninteressanter wird das zwielichtige Geschäftsmodell Datenklau und -verkauf. Und führen möglicherweise zu weniger Cyberangriffen mit dieser Zielvorgabe.
Bei Ransomware verhält sich die Sachlage etwas anders. Die Angreifer zielen nur darauf ab, Informationen selbst zu verschlüsseln und über eine Lösegeldforderung Geld zu erbeuten. Dabei spielt es keine Rolle, ob die Daten zuvor bereits codiert waren – am Inhalt sind die Kriminellen nicht interessiert. Auch hier kann nur eine wirksame Sicherheitslösung helfen, Verschlüsselung jedenfalls nicht. Aber schaden kann sie auch nicht.
Reicht die Verschlüsselung heutzutage aus?
IT-Verantwortliche sollten über den Tellerrand hinausschauen. Verschlüsselung sorgt nur für zusätzlichen Schutz, wenn sie auch genutzt wird. Und das wird sie nur, wenn die Bedienung die Mitarbeiter weder von der täglichen Arbeit abhält noch IT-Sicherheit komplizierter macht.
Die Krypto-Strategie eines Unternehmens sollte sich folglich nahtlos in das IT-Security-Konzept einfügen und die Compliance nicht unnötig aufblähen. Greifen Endpoint-Security, Multi-Faktor-Authentifizierung und Verschlüsselung ineinander, entsteht eine ganzheitliche Sicherheitsstrategie, die Malware-Angriffe und Ausspäh-Aktionen verhindert und vertrauliche Firmendaten schützt.
Sind Cyberversicherungen sinnvoll?
Aus unserer Sicht ist eine Cyberversicherung für Unternehmen sinnvoll, die mit sensiblen Daten arbeiten und ihr Geschäftsbetrieb von deren Verfügbarkeit abhängt. Sie tritt dann für Schäden ein, die im Zusammenhang mit Internetkriminalität entstehen. Nach einem Malware-Angriff zahlt der Versicherer beispielsweise für die Datenrettung oder kommt für die Kosten auf, die mit der vollständigen EDV-Wiederherstellung anfallen. Daneben garantieren die Anbieter weitere Hilfe, die meist als "Assistanceleistungen" ausgeschrieben sind.
Unternehmen sind gut beraten, sich die verschiedenen Vertragsbedingungen genau anzuschauen. Einfach eine möglichst günstige Versicherung abzuschließen, bedeutet nicht, dass alle Schäden einfach so ausgeglichen werden. Hier gilt es, im Vorfeld die passenden Bausteine auszusuchen, die wirklich abgesichert werden müssen. Je mehr die Versicherung leisten soll, desto teurer wird sie.
Einem Irrtum unterliegt auch derjenige, der glaubt, dass die eigenen Anstrengungen und Investitionen in IT-Sicherheit verringert werden können. Genau das Gegenteil ist der Fall: Versicherungsnehmer sind gezwungen, den aktuellen Stand der Technik – auch in der IT-Sicherheit - einzusetzen. Dies kann unter Umständen bedeuten, dass investiert werden muss, bevor eine Police zum Abschluss kommt.