linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING
06.Januar 2023 | Team Datenschutz | Thema: IT-Sicherheit

Die kleine Reihe IT-Sicherheit: Verschlüsselung Teil 1

Schlagwörter: kleine Reihe | Sicherheit | Sicherheitsrisiko | Tipps

Ohne das grundlegende Basiswissen ist man in Datenschutz und IT-Sicherheit schnell verloren. Aus diesem Grund haben wir „Die kleine Reihe“ entwickelt, ein Format, in dem wir praxisrelevante Basics vermitteln. Und was ist Basiswissen und praxisrelevant zugleich? Verschlüsselung als Schutzmaßnahme zur Minderung des Risikos für Betroffene!

Grundlagen der Verschlüsselung

Unter Verschlüsselung in der IT versteht man das inhaltliche „Unkenntlich machen“ von Daten mittels digitaler Schlüssel. Folgend kann man eben diese Unkenntlichkeit nur mit dem passenden Schlüssel wieder in Klartext umwandeln. Alternative Bezeichnungen sind die Begriffe „Chiffrierung“ und „Kryptographie“, die letztlich das Gleiche meinen.

In der IT wird Verschlüsselung in vielen Bereichen angewendet. Ob nun per WPA (Wi-Fi Protected Access) auf einem WLAN-Netz, als Protokoll zur Absicherung des Mailverkehrs oder schlicht bei dem Aufruf einer Webseite, auch für den User erkennbar am kleinen Sicherheitsschloss in der Statusleiste der aufgerufenen Webseite. Die Einsatzbereiche sind also vielseitig.

Wozu verschlüsseln?

Ist Verschlüsselung in der Welt der IT-Sicherheit wertvoller Schutz oder wiegt sie in falscher Sicherheit?

Verschlüsselung soll die folgenden drei IT-Sicherheitsanforderungen erfüllen:

  • Vertraulichkeit: Schutz vor unbefugter Kenntnisnahme von Daten
  • Integrität: Schutz vor Veränderung oder Zerstörung von Daten bei der Übertragung
  • Authentizität: Sicherstellung, dass die Daten zweifelsfrei vom Absender kommen

Welche Varianten gibt es?

Es gibt drei Arten von Verschlüsselungsverfahren: Die symmetrische Verschlüsselung, die asymmetrische Verschlüsselung und ein hybrides Verschlüsselungsverfahren, das beide miteinander kombiniert.

Beim symmetrischen Verschlüsselungsverfahren werden Ver- und Entschlüsselung mit demselben Schlüssel durchgeführt. Sender und Empfänger müssen vorab den Schlüssel vereinbart und ausgetauscht haben, Risiken bestehen beim Schlüsselaustausch und an den jeweiligen Endpunkten (Sender und Empfänger).

Beim asymmetrischen (auch Public-Key) Verschlüsselungsverfahren gibt es nicht nur einen Schlüssel zum Ver- und Entschlüsseln, sondern zwei. Einen öffentlichen Schlüssel (Public-Key), der für jeden zugänglich ist, und einen zweiten, privaten Schlüssel, der geheim gehalten werden muss. Mit dem öffentlichen Schlüssel verschlüsselt man die Daten, anschließend können sie nur mit dem privaten Schlüssel entschlüsselt werden. Der private Schlüssel muss also immer der private Schlüssel des Empfängers sein. Dieses Verfahren hat den Nachteil, dass es sehr langsam bzw. aufwändig ist, dafür aber auch sehr sicher.

Die Kombination des symmetrischen und asymmetrischen Verfahrens hebt die Nachteile der einzelnen Verfahren auf und ist schnell genug, um größere Datenmengen zu bewältigen. Daten werden mit dem symmetrischen Verfahren verschlüsselt und der für diese Ebene verwendete sog. Sitzungsschlüssel (Session-Key) wird dann durch ein asymmetrisches Verfahren erneut verschlüsselt. Der Empfänger muss keinen geheimen Schlüssel vorab liefern. Es reicht, wenn der Sender den öffentlichen Schlüssel des Empfängers abrufen kann, um zu verschlüsseln.

Wie sicher ist Verschlüsselung?

Neue Algorithmen werden oft schon nach nur kurzer Zeit geknackt, das heißt es werden immer wieder Mechanismen gefunden, die eine Verschlüsselung aushebeln können. Nur wenige, stetig weiterentwickelte Algorithmen bleiben tatsächlich bestehen. Dadurch kann auch nach Jahren ein ausreichender Schutz möglich sein.

Trotzdem kann die Wirksamkeit von Verschlüsselung insgesamt nur schwer eingeschätzt werden. Welche Verfahren wirklich sicher sind, kann man vorab nicht abschließend beurteilen. Die unterschiedlichen Verfahren werden oft über kurz oder lang doch von den vielen Gruppierungen der Hackercommunity entschlüsselt. Ohne dass dann eine Anpassung geschieht, kann man nicht auf Sicherheit bauen. Je länger ein Algorithmus jedoch existiert und es niemandem (öffentlich) gelungen ist, diesen zu brechen, desto sicherer gilt das Verfahren.

Dazu kommt, dass Verschlüsselung auch immer auf Kosten der Bequemlichkeit geht. Jedoch ist es egal, wie viel Unbequemlichkeiten man den Benutzern zumutet, einen kompletten Schutz erreicht man nie. Fest steht: Mit verwendeten Verschlüsselungsverfahren wird lediglich (aber immerhin) der Aufwand für potentielle Angreifer erhöht.

Unter bestimmten Voraussetzungen, also Weiterentwicklung des Algorithmus, Verwendung von Schlüsseln und Passwörtern, kann trotzdem behauptet werden, dass eine starke Verschlüsselung sicher ist. Dazu sollten lange Schlüssel sowie starke Kennwörter, die nicht anderweitig abrufbar sind, verwendet werden. Darüber hinaus sollte sichergestellt werden, dass sogenannte „Backdoors“ nicht oder nur sehr gut abgeriegelt vorhanden sind. Und besonders wichtig ist, dass man über die verwendeten Verfahren im Bilde ist und sich über neu aufkommende Schwachstellen informiert. Es kann nie ausgeschlossen werden, dass in den Verfahren unbemerkte Fehler schlummern oder solche Fehler auf Druck von Regierungen eingebaut wurden. Was aber sicher ist: Lücken in Schutzsoftware werden oft unmittelbar durch eine aufmerksame Community von böswilligen Computernutzern ausgenutzt.

Fazit zum Thema Verschlüsselung 1. Teil

Man kann abschließend feststellen: Absolut sicher ist an der Sicherheit via Verschlüselung leider nichts. Sie hilft aber ungemein, um Angreifer abzuschrecken oder gar so sehr auszubremsen, dass man für einige Zeit vor Aushebelung der Sicherheit gefeit ist. Außerdem kann Verschlüsselung gerade bei Kommunikation über das Internet (TLS/SSL) ein Mindestmaß an Vertraulichkeit schaffen. Auch zum Absichern von Daten, die auf fremder Infrastruktur (Cloud) abgelegt werden, kann Verschlüsselung verwendet werden, um eine Einsicht mindestens zu erschweren.

Eine Weiterentwicklung der eingesetzten Verfahren ist extrem wichtig und ein „must have“. Gerade beim Bekanntwerden von Lücken sollten diese durch die Anwender wahrgenommen werden und die entsprechende Software an die neue Lage angepasst werden. Stillstand ist hier absolut schädlich.

In der nächsten Ausgabe der Reihe tauchen wir eine Ebene tiefer in die Verschlüsselungstechniken ein und beleuchten das Verfahren der Mailverschlüsselung und Signierung mittels S/MIME (Secure/Multipurpose Internet Mail Extenions).

Siehe auch:

Die kleine Reihe IT-Sicherheit: Verschlüsselung Teil 2

Die kleine Reihe IT-Sicherheit: Verschlüsselung Teil 3

Die kleine Reihe IT-Sicherheit: Verschlüsselung Teil 4

 

zurück
Themen
Schlagwörter
DSGVORechtsgrundlagenTADPFSicherheitTippsEuGH-UrteilRechtsprechungprocado-internEU-RichtlinieGesetzSicherheitsrisikoKommentarGirls-Daykleine ReiheSocial MediaDatenschutzverstossBussgeldAkademieIHKSchulungenManaged Service ProviderMSPVerarbeitungsverzeichnisDatentransferEU-US Privacy Shield 2.0IT-SicherheitIT-SupportCybercrimePhishingSocial EngeneeringAufsichtsbehördenMicrosoft 365AbmahnungGoogle Fontsprivate E-Mail-NutzungTKGLogistikTrackingOffenlegungRechtswidrige AnfragenTransparenzberichtHistorischesAuftragsverarbeitungMonitoringCovidkuriosesJobJahresrückblick
Microsoft 365 – zum Abschlussbericht der DSKDie kleine Reihe IT-Sicherheit: Verschlüsselung Teil 2