SECURITY POLICIES

Warum es keinen Datenschutz ohne Verschlüsselung gibt

Lesedauer 5 Min.

Haben Sie bereits versucht, eine Verschlüsselungslösung einzusetzen und bislang nicht den gewünschten Erfolg? Dann geben Sie jetzt nicht auf. Möglicherweise fehlt Ihnen "nur" der richtige Ansatz, um Ihre Geschäftsdaten professionell zu sichern. Eines ist klar: Je mehr Mitarbeiter fernarbeiten und dabei nicht verschlüsselte Geräte verwenden, desto eher kann beispielsweise ein einziges gestohlenes Notebook das Unternehmen gefährden.

Die Sorge um Datenpannen und dem daraus resultierenden Reputationsschaden veranlasste viele kleine und mittelgroße Unternehmen (KMU) dazu, bereits vor dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) eine Verschlüsselungslösung einzusetzen. Der KMU-Sektor ist jedoch riesig und umfasst ein breites Spektrum von Reifegraden für Cybersicherheit und Data Governance.

Die DSGVO macht es zur rechtlichen Verantwortung der Geschäftsinhaber und IT-Betreiber, die personenbezogenen Daten ihrer Kunden und Mitarbeiter zu schützen. Die Verordnung empfiehlt Daten (bei geschäftlicher Nutzung) zu verschlüsseln, zu anonymisieren oder andersweitig stark zu sichern. Nicht zuletzt die Androhung empfindlicher Bußgelder bewegt(e) KMUs dazu, Datenschutztechnologien einzusetzen.

Allerdings fehlte es - unter dem Zeitdruck einer möglichst schnellen Sicherung der Geschäftsdaten - häufig an einer gründlichen Überprüfung der Produkte und der besten Verfahren zur Implementierung entsprechender Lösungen. Angebotsvergleiche blieben zuweilen aus oder wurden nur rudimentär durchgeführt. Hinzu kommt, dass der Markt von einer großen Auswahl an Produkten überflutet wird. Für Eigentümer und Entscheidungsträger war es eine große Herausforderung, die richtige Lösung für ihre Bedürfnisse zu finden.

ESET Full-Disk Encryption Banner


Falls Sie auch vor dieser Entscheidung stehen, hilft Ihnen unsere Checkliste bei der Suche nach der passenden Lösung weiter:

1. Welche Geräte stellen ein größeres Risiko dar: die vor Ort oder die außerhalb des Betriebs?

Schauen wir uns einmal die Laptops an, die bei den meisten KMUs als physische Kerninfrastruktur angesehen werden können. Das Folgende mag offensichtlich erscheinen, aber bitte beachten Sie: Geräte außerhalb des Büros sind generell anfälliger für Verlust oder Diebstahl. Prüfen Sie daher unbedingt die Effektivität einer Lösung bei der Behandlung von Problemszenarien für Ihre externen Mitarbeiter. Sind Ihre IT-Abteilung mit der Fernwartung der Geräte und der Beschäftigte im mobilen Einsatz damit zufrieden? Dann habe Sie einen wichtigen Schritt in die richtige Richtung gemacht.

2. Warum ist ein Produkt mit hochwertigem Design so wichtig?

Design und Funktion sind eng miteinander verbunden. Die Möglichkeit, Sicherheitsrichtlinien, Verschlüsselungscodes, Funktionen und den Betrieb der Endpointverschlüsselung schnell aus der Ferne zu ändern, bedeutet, dass Ihre Standardrichtlinie sowohl stark als auch strikt sein kann. Ausnahmen können bei Bedarf zum richtigen Zeitpunkt und an richtiger Stelle angewendet - und ebenso einfach zurückgesetzt werden. Falls Sie diese Möglichkeit nicht haben, werden Sie gezwungen sein, für alle Fälle einen „Schlüssel unter der Fußmatte“ zu hinterlegen. Dies wäre so, als würden Sie Löcher in Ihre firmeninterne Sicherheitsrichtlinie einbauen, bevor ihre Implementierung abgeschlossen ist.

3. Was ist mit Remote-Sperrung und dem Löschen von Laptopinhalten?

Diese Frage kann von entscheidender Bedeutung sein, falls ein Unternehmens-Laptop mit Festplattenverschlüsselung im Ruhemodus oder beim Hochfahren des Betriebssystems gestohlen wird. Noch schlimmer ist es, wenn diese Systeme mit einem Pre-Boot-Passwort ausgestattet sind. Ganz pragmatisch, aber höchst gefährlich kleben sie oftmals auf dem Laptop oder sind in der Laptoptasche verstaut. Wenn keine Funktion zur Remote-Sperrung oder -Löschung zur Verfügung steht, bleibt das System entweder ungeschützt oder ist nur durch das Passwort des Benutzerkontos gesichert. In beiden Fällen kann man die Verschlüsselung umgehen.

Es ist auch gut zu wissen, ob die Lösung für die typischen Vorfälle ausgelegt ist, die üblicherweise selbst eine gut konzipierte Sicherheitsrichtlinie knacken würden.

4. Wechselmedien: Kann die Lösung sie sichern, ohne jedes Element auf eine Whitelist zu setzen?

Eine Vielzahl an Speichermedien werden im Arbeitsalltag verwendet. Das macht es Administratoren fast unmöglich, sie alle freizugeben oder einzeln zu entscheiden, ob bestimmte Geräte zum Lesen oder Beschreiben zulässig sind. Viel einfacher ist es, eine Richtlinie auf Dateiebene festzulegen. Diese unterscheidet dann, welche Dateien verschlüsselt werden müssen und welche nicht. Wobei die ausgewählten Dateien jedes Mal geschützt werden, wenn sie von einem Arbeitsplatz oder einem Unternehmensnetzwerk auf ein tragbares Gerät verschoben werden.

Wenn Sie also einen persönlichen USB-Stick anschließen, sollte die Lösung Sie nicht zwingen, Ihre privaten Daten zu verschlüsseln. Andererseits sollten alle Dateien, die von Ihrem Unternehmenssystem kopiert werden, codiert werden. Es ist eine einfache Idee, die jedoch jedes Gerät sicher macht, ohne dass eine Whitelist erforderlich ist. Flexibilität und Benutzerfreundlichkeit sorgen letztendlich für eine erfolgreiche Bereitstellung der Verschlüsselungstechnologie am Endpoint.

Sie müssen also definieren, ob die Lösung, die Sie verwenden möchten, tatsächlich einfach bereitzustellen ist. Wenn ihre Einrichtung zu lange dauert und zusätzliche Tools für den Betrieb erforderlich sind, bereitet dies den Systemadministratoren Kopfzerbrechen, denn es schafft neue Sicherheitsrisiken.

TIPP: Suchen Sie eine einfach einsetzbare Lösung, die keine fortgeschrittenen IT-Kenntnisse erfordert und sowohl Ihre Finanzen als auch die Kapazitäten Ihrer Mitarbeiter schützt. Wenn dieser Bereitstellung eine positive Benutzererfahrung folgt, werden die IT-Mitarbeiter nicht weiter durch Benutzersperrungen, Datenverlust und andere Ärgernisse belastet.

In letzter Zeit haben sich viele kommerzielle Verschlüsselungsprodukte als sicher genug erwiesen. Dennoch trat eine beträchtliche Anzahl von protokollierten Datenverstößen - beispielsweise durch verloren gegangene oder gestohlenen Laptops und USB-Laufwerke - genau in denjenigen Organisationen auf, die Verschlüsselungsprodukte gekauft und eingesetzt hatten. Der Grund liegt auf der Hand, wie Auswertungen zeigen: Die Anpassung der Lösung an die Arbeitsumgebung, die Arbeitspraktiken und die Benutzerfreundlichkeit im täglichen Gebrauch gelang nicht gut genug. Je funktionsreicher (und damit schwieriger zu managen) eine Verschlüsselungslösung ist, desto besser müssen Administratoren ausgebildet und die Anwender geschult werden.