Jedes Jahr landen Tausende von Notebooks in den Fundbüros deutscher Flughäfen. Jedes Einzelne davon liefert einen triftigen Grund, sich mit Verschlüsselung auseinanderzusetzen. Denn wie viele Preislisten, Verträge, Geschäftsstrategien und Pläne mögen dort im Klartext schlummern? Und wie viele Geräte nebst Dokumenten finden ihren Weg nicht in irgendein Fundbüro?
Auch die trivialste Firmeninformation kann für konkurrierende Unternehmen Gold wert sein. Denn sie lässt Einblicke in Interna und interessante Rückschlüsse zu. Es ist also essenziell, derartige Informationen vor unautorisiertem Zugriff zu schützen. So gut und pflichtbewusst viele Unternehmen dies in den eigenen vier Wänden tun, so fahrlässig gehen sie mit den mobilen Geräten und den dort gespeicherten Daten um. Dabei könnte die komplette Verschlüsselung garantieren, dass die Daten auf den verlorenen Geräten von Fremden auf keinen Fall lesbar wären. Dies ist den meisten IT-Entscheidern in den Unternehmen durchaus klar. Allein der Wille zur Umsetzung fehlt. Meist sind es diffuse Ängste vor der recht komplexen Technik, die den Wechsel zu mehr Sicherheit behindern.
Foto: Symantec
Noch immer verbinden viele Administratoren mit Verschlüsselung eine komplizierte Welt aus öffentlichen und privaten Schlüsseln und mathematischen Verfahren, die auf Primzahlen basieren. Sie denken dabei an eine Zeit, als IT-Pioniere mit Kommandozeilen einzelne Dateien in für Außenstehende unlesbaren Zeichensalat verwandelten. Keine komfortable Arbeitsumgebung für den einfachen Angestellten, der täglich mit Word-Dateien, Excel-Kalkulationen und Angebots-E-Mails hantiert.
Doch die Zeiten haben sich geändert. Längst haben verschiedene Anbieter wie PGP, die Truecrypt Foundation, Securstar, Infotecs, Dekart, CE-Infosys oder Steganos Lösungen im Portfolio. Diese Programme sichern mobile Geräte und Desktops komplett ab, ohne dass der Nutzer die komplizierten Details einer Verschlüsselung kennen muss. So lassen sich Ordner ohne besonderen Aufwand öffnen und schließen. Die Verschlüsselung erfolgt diskret und unsichtbar im Hintergrund.
Der sichere Datentransport
Doch nicht nur bei der Lagerung von Informationen, sondern auch wenn Bits und Bytes durch die Leitungen wandern, ist moderne Kryptografie ein guter Begleiter. Mit sensiblen Daten, die zwischen externen Partnern, Beratern, ausgelagerten Bereichen und Zulieferern ausgetauscht werden, entstehen neue Bedrohungen. "Wer E-Mails unverschlüsselt verschickt, begibt sich auf das Datenschutzniveau einer Postkarte", erklärt Thomas Hemker, Principal Systems Engineer von PGP. Ein guter Grund also, auch hier nicht auf die Kryptografie zu verzichten. Bei aktuellen Systemen sorgt eine nahtlose Einbindung von Verschlüsselungs-Features in bestehende Geschäftsapplikationen dafür, dass technische Vorgänge ohne Performance- oder Usability-Probleme im Hintergrund ablaufen. Durch einen frei definierbaren Satz an Regeln ist es bei einer solchen Automatisierung sogar möglich, Business-Konstellationen in Regeln zu überführen: E-Mails der Geschäftsführung an Kunde X, Texte, in denen das Wort "Vertrag" vorkommt, und Post mit "Vertraulich" in der Betreffzeile werden automatisch verschlüsselt, alle übrigen Sendungen nur nach vorheriger Auswahl.
Es sind vor allem Features wie diese, die einer Technologie zum Durchbruch verhelfen. "Wenn die Verschlüsselung nicht in den Workflow der Mitarbeiter integriert und die Bedienung kompliziert ist, wird sie von den Nutzern auch nicht angenommen", so Hemker.
Besonders wichtig sind smarte Systeme auch in Zusammenarbeit mit Partnern eines Unternehmens, die keine eigene Kryptografietechnik innerhalb ihrer Infrastruktur einsetzen. Um in derartigen Situationen nicht auf die Sicherheit verzichten zu müssen, verschlüsseln moderne Lösungen die Mail vor dem Verlassen des Sendernetzwerkes und schicken dem Empfänger einen Link für eine sichere, mit dem SSL-Verfahren geschützte Website. Dort kann er dann seine Post abgesichert abholen. Des Weiteren können E-Mails und Anhänge durch solche Lösungen auch automatisch in verschlüsselte PDF Dateien umgewandelt werden, um diese sicher an den Empfänger zu senden.
Komfort beim Management ist Pflicht
Wichtig bei der Auswahl eines Verschlüsselungssystems ist, dass es für die Mitarbeiter leicht zu bedienen ist und sie dadurch für die tägliche Nutzung motiviert oder eben komplett transparent für den Benutzer arbeitet. Aber auch die Verwaltung für den Administrator gehört auf den Prüfstand. Dabei darf die Tür niemals zufallen:
Ist der Zugriff auf gesicherte Dateien absolut zuverlässig geschützt, findet sich ein Unternehmen womöglich in der Rolle des Ausgesperrten wieder. Wenn ein Mitarbeiter seinen Schlüssel verliert, sein Passwort vergisst oder diese nach einem Streit nicht mehr herausrückt, darf der Weg zu den Informationen auf keinen Fall ewig versperrt bleiben. Während in der klassischen Welt der Türen noch Schlüsseldienst und schlimmstenfalls die Brechstange helfen, muss bei einer verschlüsselten Datei, E-Mail oder Festplatte ein ausgefeiltes Recovery- und Berechtigungssystem implementiert sein.
Foto: Symantec
Kollaborativ einsetzbar
Aus technischer Sicht ist das Neugenerieren eines Keys oder das Aufschließen mit einem "eingerichteten Data-Recovery Schlüssel" längst keine Herausforderung mehr. Wie beim klassischen Banksafe sind darüber hinaus Konstellationen möglich, bei denen zwei Berechtigte zugleich ihre Schlüssel nutzen müssen, um auf sensible Informationen zuzugreifen.
Es sind Management-Features wie diese, die in der Verschlüsselungsbranche die Spreu vom Weizen trennen. Hier zeigt sich, ob Verschlüsselungstechnologie nur von den IT-Gurus des Unternehmens verwendet werden kann oder ob es sich um eine Lösung aus einem Guss handelt, die allen Mitarbeitern gleichermaßen bequem zur Verfügung steht. Viele Lösungen nutzen dabei offene Standards wie OpenPGP, S/MIME, x.509 RSA und AES. Diese sind in zahlreichen Funktionen und Verschlüsselungsanwendungen implementiert, die auf die Geschäftswelt und ihre Prozesse zugeschnitten sind.
Verschlüsselungssysteme
Die Grundlage vieler Verschlüsselungslösungen sind asymmetrische Schlüssel. Bei diesem Verfahren entfällt der aufwendige und unsichere Weg des Schlüsseltransports. Stattdessen stellt der Empfänger seinen sogenannten öffentlichen Schlüssel zur Verfügung, und der Sender nutzt diesen, um die Nachricht an ihn zu verschlüsseln. Der private Key bleibt im Besitz des Empfängers. Nur er kann die Verschlüsselung wiederaufheben. Damit dies funktioniert, musste eine mathematische Funktion gefunden werden, die nur "in eine Richtung" funktioniert, damit der öffentliche Schlüssel nicht missbraucht werden kann.
Die Lösung: Wenn man aus zwei großen Primzahlen eine große Zahl erzeugt, ist es sehr schwierig, aus dem Ergebnis wieder auf die beiden Faktoren zu schließen. Deshalb kann das Ergebnis als "öffentlicher Key" auch problemlos transportiert werden. Dies ist - stark vereinfacht erklärt - die Grundlage des RSA-Systems.
Nichtsdestotrotz hat die symmetrische wie die asymmetrische Verschlüsselung ihre Vorteile. Besonders beim Hybridverfahren, wie es bei der E-Mail-Verschlüsselung genutzt wird, lassen sich beide Welten optimal vereinen. Dabei erzeugt der Sender einen symmetrischen Sitzungsschlüssel - den Session Key - und kodiert damit die Nachricht. Den Schlüssel wiederum chiffriert der Sender mit dem öffentlichen, asymmetrischen Schlüssel des Empfängers. Sowohl die verschlüsselte Nachricht als auch der Sitzungsschlüssel werden dann an den Empfänger geschickt. Der symmetrische Sitzungsschlüssel wird dort mit seinem geheimen asymmetrischen Schlüssel entschlüsselt. Schließlich kann der so gewonnene Sitzungsschlüssel dazu genutzt werden, die chiffriert übermittelte Nachricht zu entschlüsseln. (hal)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.