Die Datenverschlüsselung ist ein grundlegender Baustein für die Cybersicherheit. Sie stellt sicher, dass Daten weder am Speicherort noch bei der Übertragung gelesen, gestohlen oder manipuliert werden können. Da immer mehr Daten online gestellt werden, spielt die Datenverschlüsselung eine zunehmend wichtige Rolle für die Cybersicherheit. Dies gilt insbesondere für Branchen, die mit sensiblen Daten arbeiten, darunter Finanzwesen, Gesundheitswesen und Behörden.
In diesem Beitrag geben wir einen Überblick über die Datenverschlüsselung – das Konzept, die damit verbundenen Vorteile und die verschiedenen Arten von Datenverschlüsselung, die heute genutzt werden.
Was ist Datenverschlüsselung?
Bei der Datenverschlüsselung wird Klartext in ein verschlüsseltes Format umgewandelt und so vor unbefugtem Zugriff geschützt. Kurz gesagt: Ein lesbares Format wird mithilfe von kryptografischen Algorithmen in ein unverständliches Format verschlüsselt, sodass nur Personen mit dem zugehörigen Dekodierschlüssel die betreffenden Daten verstehen können. Für Außenstehende erscheint das verschlüsselte Format (der Geheimtext) willkürlich und die Dekodierung über einen Brute-Force-Angriff gestaltet sich schwierig.
Was sind die Vorteile der Datenverschlüsselung?
Die Datenverschlüsselung ist unerlässlich, um die Privatsphäre zu wahren, die Vertraulichkeit zu schützen und Verordnungen einzuhalten. Zum einen verhindert die Datenverschlüsselung, dass unbefugte Parteien auf sensible Daten zugreifen. Ohne die entsprechenden Dekodierschlüssel ist der Geheimtext nicht zu entziffern. Selbst wenn die Daten im Zuge einer Datenkompromittierung oder eines versehentlichen Datenlecks gestohlen werden, können Sie von den Angreifern nicht genutzt werden. Die Datenverschlüsselung trägt also dazu bei, das Risiko von Datendiebstahl und -verlust zu minimieren.
Zum anderen wird durch die Datenverschlüsselung die Vertraulichkeit gewahrt. Beispielsweise nutzen VPNs (Virtual Private Networks) die Datenverschlüsselung, um die Online-Aktivitäten von Benutzern zu schützen und um Internetanbieter daran zu hindern, Benutzeraktivitäten zu entschlüsseln oder nachzuverfolgen. In anderen Branchen, wie etwa im Gesundheitswesen, wird Datenverschlüsselung zum Schutz privater Daten eingesetzt.
Darüber hinaus unterstützt die Datenverschlüsselung Unternehmen, die sensible Daten handhaben, bei der Einhaltung der in ihrer Branche geltenden gesetzlichen Vorgaben. In den USA beispielsweise unterliegen Unternehmen, die Daten online verarbeiten, sogenannten SOC 2-Prüfungen (System and Organization Controls). Die Erfüllung von SOC 2 setzt voraus, dass sensible Daten verschlüsselt werden.
Doch selbst ohne solche Compliance-Anforderungen würden Unternehmen von Verschlüsselung profitieren. Um das Vertrauen von Kunden zu gewinnen, müssen sie den Datenschutz ernst nehmen. Entsprechend sind zuverlässige Verschlüsselungsstandards sehr wichtig.
Symmetrische und asymmetrische Datenverschlüsselung
Es gibt zwei Haupttypen von Verschlüsselung: symmetrisch und asymmetrisch. Der Kernunterschied zwischen diesen beiden Typen lässt sich daran festmachen, ob der für die Verschlüsselung verwendete Schlüssel mit dem für die Dekodierung identisch ist.
Bei der symmetrischen Verschlüsselung wird derselbe Schlüssel zum Verschlüsseln und Dekodieren von Daten genutzt. Die symmetrische Verschlüsselung ist in der Regel schneller. Der Hauptnachteil dieses Verfahrens ist, dass ein Angreifer, dem es gelingt, den Verschlüsselungsschlüssel zu stehlen, damit alle verschlüsselten Nachrichten dekodieren kann. Hinzu kommt, dass die symmetrische Verschlüsselung weder Authentifizierungs- noch Integritätsprüfungen bietet. Es ist daher nicht möglich, den Absender der verschlüsselten Nachricht zu verifizieren oder zu prüfen, ob die Nachricht manipuliert wurde.
Der Advanced Encryption Standard (AES) und der Data Encryption Standard (DES) sind Beispiele für Algorithmen mit symmetrischer Verschlüsselung.
Bei der asymmetrischen Verschlüsselung werden Daten mit zwei verschiedenen Schlüsseln geschützt (einem öffentlichen und einem privaten Schlüssel). Die Verschlüsselung erfolgt mit dem öffentlichen Schlüssel und der zugehörige private Schlüssel wird zu Dekodierung genutzt.
Da bei der asymmetrischen Verschlüsselung mehrere Schlüssel greifen, die durch komplexe mathematische Verfahren miteinander verbunden sind, ist sie langsamer als die symmetrische Verschlüsselung. Allerdings können die öffentlichen Schlüssel bedenkenlos geteilt werden, weil sie ausschließlich der Verschlüsselung dienen. Solange die Sicherheit des privaten Schlüssels gewahrt bleibt, kann nur der Inhaber dieses Schlüssels Nachrichten dekodieren.
Darüber hinaus erleichtert die asymmetrische Verschlüsselung dank digitaler Signaturen die Verifizierung der Absenderidentität und Nachrichtenintegrität. Bei digitalen Signaturen erstellt der Absender einen eindeutigen Hashwert der Nachricht und unterzeichnet diesen mit einem privaten Schlüssel. Der Empfänger verifiziert die Signatur anhand des öffentlichen Schlüssels des Absenders. So werden die Identität des Absenders und die Integrität der Nachricht bestätigt.
Rivest–Shamir–Adleman (RSA) und Elliptic-Curve Cryptography (ECC) sind Beispiele für Algorithmen, die asymmetrische Verschlüsselung bieten. Sowohl bei der asymmetrischen als auch bei der symmetrischen Verschlüsselung geht es darum, wie die Daten verschlüsselt werden. Es stellt sich jedoch auch die Frage, wann die Verschlüsselung erfolgen sollte. In diesem Zusammenhang fallen häufig die Begriffe „Verschlüsselung bei der Übertragung“ und „Verschlüsselung von ruhenden Daten“.
Verschlüsselung von Daten bei der Übertragung oder von ruhenden Daten
Daten müssen sowohl bei der Übertragung als auch im Ruhezustand (am Speicherort) geschützt werden.
Verschlüsselung bei der Übertragung bedeutet, dass Daten beim Verschieben zwischen zwei Systemen geschützt werden. Ein typisches Beispiel dafür ist die Interaktion zwischen einem Webbrowser und einem Webserver. Beim Senden von Anfragen vom Browser an den Server werden Daten mithilfe von Protokollen wie Transport Layer Security (TLS) verschlüsselt. TLS ist ein komplexes Protokoll, das neben der Verschlüsselung auch andere Sicherheitsmaßnahmen bietet:
- Server- und Client-Authentifizierung über öffentliche/private Schlüssel und den Austausch digitaler Zertifikate
- Verschlüsselung über eine Kombination aus Algorithmen für die symmetrische und asymmetrische Verschlüsselung
- Verifizierung der Datenintegrität durch Berechnung eines Message Digest.
Mit HTTPS gesicherte Websites nutzen TLS für den sicheren Datenaustausch zwischen dem Browser und dem Server und sind damit ein gutes Beispiel für die Verschlüsselung bei der Übertragung.
Die Verschlüsselung im Ruhezustand schützt Daten an ihrem Speicherort. Ein Anbieter aus dem Gesundheits- oder Finanzwesen könnte beispielsweise Datenbanken nutzen, um Patientenakten oder Kreditkartendaten zu speichern. Im heutigen digitalen Zeitalter werden Daten über Datenbanken und Endnutzerdienste hinaus an verschiedenen Orten gespeichert. Dazu gehören Cloud-Storage-Dienste, Festplatten zur Datensicherung und externer Speicher.
Unstrukturierte Daten folgen keinem vordefinierten Datenmodell und befinden sich häufig nicht in Datenbanken. Daher stellen sie eine zusätzliche Herausforderung dar. Unstrukturierte Daten umfassen Informationen wie E-Mails, Textdokumente, Bilder und Videos. Diese Art von Daten wird in der Regel in der Cloud oder an verschiedenen Netzwerkstandorten gespeichert und kann einen wesentlichen Teil der wertvollen Assets eines Unternehmens ausmachen. Wenn nicht befugte Personen sensible Daten zugreifen, kann dies für das Unternehmen in erheblichen Schäden oder Verlusten resultieren. Daher ist der Schutz dieser unstrukturierten Daten von entscheidender Bedeutung.
Unternehmen können verschiedene Verfahren nutzen, um ruhende Daten zu schützen:
- Verschlüsselung auf Dateiebene wird zum Verschlüsseln einzelner Dateien verwendet.
- Verschlüsselung auf Speicherebene wird zum Verschlüsseln ganzer Speichergeräte verwendet.
- Datenbankverschlüsselung wird in der Regel zum Verschlüsseln strukturierter Daten verwendet.
- Datentokenisierung ersetzt sensible Daten durch verschleierte Token.
- Cloud-Speicher-Verschlüsselung wird von Cloud-Service-Anbietern angeboten, um Daten auf Datei- oder Bucket-Basis zu verschlüsseln.
Datenverschlüsselungsstandards
Es gibt zahlreiche Datenverschlüsselungsstandards und ständig werden neue Algorithmen entwickelt, um die zunehmend cleveren Angriffe abzuwehren. Mit steigender Rechenleistung erhöht sich auch die Wahrscheinlichkeit erfolgreicher Brute-Force-Angriffe und dies stellt eine ernsthafte Bedrohung für weniger sichere Standards dar. Umso wichtiger ist es, dass Sie für Ihre Software neuere und somit sicherere Standards nutzen.
Data Encryption Standard (DES)
DES ist ein Algorithmus zur symmetrischen Verschlüsselung, der Anfang der 1970er Jahre von IBM entwickelt und zwischen 1977 und 2005 vom National Institute of Standards and Technology (NIST) als bundesweiter Standard für die USA genutzt wurde. Der Algorithmus verwendet einen 56-Bit-Schlüssel, um einen 64-Bit-Klartextblock mithilfe einer Reihe komplexer Verfahren zu verschlüsseln. Aufgrund seiner relativ geringen Größe ist dieser Schlüssel jedoch anfällig für Brute-Force-Angriffe und gilt heute nicht mehr als sicher.
Triple Data Encryption Algorithm (3DES)
3DES (oder Triple DES) ist eine Variante des DES-Protokolls, bei welcher der DES-Verschlüsselungsalgorithmus dreimal angewendet wird. Dies verbessert zwar die Sicherheit von DES, ein 2016 veröffentlichtes Common Vulnerabilities and Exposures (CVE) offenbarte jedoch eine gravierende Sicherheitslücke bei 3DES, die es einem Man-in-the-Middle-Angreifer ermöglichen würde, Zugriff auf einige der Klartextdaten zu erlangen. 3DES wurde daher durch AES abgelöst.
Advanced Encryption Standard (AES)
AES wird auch als Rijndael-Blockchiffre bezeichnet und ist nach den belgischen Kryptografen Joan Daemen und Vincent Rijmen benannt. Bei AES kommen ein größerer Schlüssel und Blockgrößen von 128 oder 256 Bit (AES-128 und AES-256) zum Einsatz. AES nutzt ein Substitions-Permutations-Netzwerk zur symmetrischen Verschlüsselung von Daten.
Rivest–Shamir–Adleman (RSA)
RSA ist einer der ältesten asymmetrischen Algorithmen und wurde der Öffentlichkeit erstmals im Jahr 1977 vorgestellt. Beim RSA-System wird auf der Basis von zwei großen Primzahlen ein privater Schlüssel erstellt. Aus diesen Primzahlen wird dann ein öffentlicher Schlüssel mit einem Hilfswert abgeleitet. RSA ist ein langsamer Algorithmus und wird daher häufig zum Verschlüsseln des gemeinsamen symmetrischen Schlüssels genutzt, der dann für schnellere Verschlüsselungsverfahren eingesetzt wird.
Twofish
Twofish ist ein symmetrisches Blockchiffre mit einer Blockgröße von 128-Bit. Die Schlüsselgröße kann bis zu 256 Bit betragen, aber dank ihrer Wandelbarkeit sind je nach den Anforderungen einer Anwendung unterschiedliche Sicherheitsstufen möglich. Twofish gilt als ziemlich sicher und ist dank seines Open-Source-Designs für die öffentliche Domäne zugänglich.
Fazit
In diesem Beitrag haben wir viele der grundlegenden Konzepte rund um das umfangreiche Thema Datenverschlüsselung abgedeckt. Wir haben erläutert, was Datenverschlüsselung ist und welche Vorteile sie für Geschäftsanwendungen bietet. Darüber hinaus sind wir auf die konkreten Unterschiede zwischen symmetrischer und asymmetrischer Verschlüsselung, die Konzepte der Verschlüsselung bei der Übertragung und im Ruhezustand sowie die verschiedenen bekannten und aktuell verwendeten Verschlüsselungsstandards eingegangen.