Verschlüsselung

Verschlüsselung ist das Verfahren, bei dem lesbare Informationen mit Hilfe eines mathematischen Algorithmus und eines Schlüssels in eine unlesbare Form, den sogenannten Geheimtext, umgewandelt werden. Nur wer über den passenden Schlüssel verfügt, kann die Daten wieder in ihren ursprünglichen, lesbaren Zustand zurückversetzen. Damit ist Verschlüsselung eine der grundlegendsten Techniken, um die Vertraulichkeit von Daten zu schützen, sei es bei der Übertragung über das Internet oder bei der Speicherung auf Servern und Endgeräten.

Man unterscheidet im Kern zwei Ansätze. Bei der symmetrischen Verschlüsselung verwenden Sender und Empfänger denselben Schlüssel. Das ist schnell, setzt aber voraus, dass dieser Schlüssel sicher ausgetauscht wird. Bei der asymmetrischen Verschlüsselung gibt es ein Schlüsselpaar aus einem öffentlichen und einem privaten Schlüssel. Was mit dem öffentlichen Schlüssel verschlüsselt wurde, lässt sich nur mit dem privaten wieder entschlüsseln. In der Praxis werden beide Verfahren oft kombiniert, um Geschwindigkeit und sicheren Schlüsselaustausch zu vereinen.

Im Unternehmensalltag begegnet Verschlüsselung an vielen Stellen, oft unbemerkt. Beim Aufruf einer Website sorgt das HTTPS-Protokoll dafür, dass die Verbindung verschlüsselt ist. VPN-Lösungen bauen verschlüsselte Tunnel auf, über die Mitarbeiter im Homeoffice oder ganze Standorte sicher auf das Firmennetz zugreifen. E-Mails lassen sich verschlüsseln, damit vertrauliche Inhalte nicht auf dem Transportweg mitgelesen werden können. Auch in der modernen IP-Telefonie und in Plattformen wie Microsoft Teams werden Sprach- und Datenverbindungen verschlüsselt.

Neben der Verschlüsselung von Daten während der Übertragung spielt die Verschlüsselung gespeicherter Daten eine wachsende Rolle. Festplatten von Notebooks, mobile Endgeräte, Backups und Cloud-Speicher werden verschlüsselt, damit verlorene oder gestohlene Geräte nicht zum Datenleck werden. In einem durchdachten Sicherheitskonzept arbeitet Verschlüsselung dabei eng mit Authentifizierung und der Vergabe von Zugriffsrechten zusammen: Verschlüsselung schützt die Daten, die anderen Bausteine regeln, wer überhaupt an den Schlüssel kommt.

Besonders relevant wird die Verschlüsselung beim mobilen und ortsunabhängigen Arbeiten. Wenn Mitarbeiter aus dem Homeoffice, unterwegs oder von wechselnden Standorten auf Firmendaten zugreifen, verlassen die Informationen den geschützten Bereich des Firmennetzes. Verschlüsselte VPN-Verbindungen und verschlüsselte Geräte stellen sicher, dass diese Daten auch außerhalb der vier Wände des Unternehmens geschützt bleiben. In der Cloud kommt hinzu, dass Daten häufig auf Servern liegen, die nicht im eigenen Haus stehen, was die durchgängige Verschlüsselung zusätzlich wichtig macht.

Wichtig ist dabei die Unterscheidung, an welcher Stelle die Schlüssel liegen. Verwaltet der Cloud-Anbieter die Schlüssel, ist die Handhabung bequem, die Hoheit über die Daten aber teilweise abgegeben. Behält das Unternehmen die Schlüssel selbst, steigt die Kontrolle, zugleich aber auch die Verantwortung für deren sichere Verwahrung. Diese Abwägung sollte bewusst getroffen und nicht dem Zufall überlassen werden, da sie unmittelbar mit dem Schutzbedarf der jeweiligen Daten zusammenhängt.

Für mittelständische Unternehmen ist Verschlüsselung längst kein Luxus mehr, sondern Teil der Sorgfaltspflicht. Die DSGVO verlangt, personenbezogene Daten durch geeignete technische Maßnahmen zu schützen, und nennt Verschlüsselung ausdrücklich als ein solches Mittel. Kommt es trotz Verschlüsselung zu einem Datenverlust, sind die betroffenen Informationen für Unbefugte in der Regel wertlos, was Schaden und Meldepflichten erheblich reduzieren kann.

Auch im Kampf gegen Cyberangriffe ist Verschlüsselung ein wichtiger Baustein. Sie schützt zwar nicht vor jedem Angriff, etwa nicht direkt vor Phishing oder Ransomware, erschwert Angreifern aber, abgegriffene Daten zu verwerten. In Kombination mit Backup-Strategien, einer Firewall und geschulten Mitarbeitern entsteht so eine widerstandsfähige Verteidigung. Wer mit sensiblen Kunden- oder Geschäftsdaten arbeitet, schützt mit konsequenter Verschlüsselung zugleich das Vertrauen seiner Geschäftspartner.

Verschlüsselung ist ein starkes, aber kein allmächtiges Werkzeug. Sie schützt die Vertraulichkeit von Daten, sagt aber nichts darüber aus, ob ein Zugriff überhaupt berechtigt ist. Wenn ein Angreifer über Phishing an gültige Zugangsdaten gelangt, nützt die beste Verschlüsselung wenig, weil der Angreifer dann mit einem legitimen Schlüssel arbeitet. Auch gegen Ransomware schützt sie nicht unmittelbar, denn diese verschlüsselt ihrerseits die Daten des Opfers. Verschlüsselung wirkt deshalb nur im Verbund mit weiteren Maßnahmen wie sicherer Authentifizierung, restriktiven Zugriffsrechten und einem modernen Sicherheitsmodell wie Zero Trust.

Wichtig ist außerdem, die Stärke an den tatsächlichen Schutzbedarf anzupassen. Nicht jede Datei muss mit demselben Aufwand geschützt werden, und übertriebene Komplexität kann dazu führen, dass Mitarbeiter Umgehungen suchen. Eine durchdachte Einordnung unterscheidet daher zwischen hochsensiblen Informationen, die konsequent zu verschlüsseln sind, und Daten mit geringerem Schutzbedarf. So bleibt der Aufwand verhältnismäßig und die Akzeptanz im Betrieb hoch.

So wichtig Verschlüsselung ist, sie ersetzt keine Gesamtstrategie. Ein häufiger Fehler besteht darin, einzelne Maßnahmen isoliert einzuführen, ohne das Schlüsselmanagement, die Wiederherstellbarkeit und die Auswirkungen auf den Arbeitsalltag mitzudenken. Geht ein Schlüssel verloren, kann das im schlimmsten Fall denselben Effekt wie ein Datenverlust haben. Deshalb gehört zu jeder Verschlüsselung auch ein klarer Plan, wer Schlüssel verwahrt, wie sie erneuert werden und wie der Notfall geregelt ist.

ITTK berät Unternehmen in Düsseldorf und dem Rheinland herstellerneutral dabei, Verschlüsselung sinnvoll in ihre bestehende IT-Landschaft einzubetten, statt einzelne Produkte zu verkaufen. Im Vordergrund steht die Frage, welche Daten wirklich schützenswert sind und wie sich ein angemessenes Schutzniveau erreichen lässt, ohne die tägliche Arbeit unnötig zu erschweren. So wird aus einer technischen Einzelmaßnahme ein praktikabler Teil der gelebten IT-Sicherheit.