Welche Daten sollte Ihr Unternehmen verschlüsseln?

Übersetzung eines auf Englisch verfassten Artikels für die Recovery Zone. Den Originalartikel finden Sie hier.Nichts fährt Geschäftsleitern und IT-Verantwortlichen so gründlich in Mark und Bein wie ein Cyberangriff. Das war in den letzten Jahren gut zu beobachten, als sich bei großen Unternehmen wie Home Depot, Target und zuletzt auch Equifax schwerwiegende Datenlecks ereigneten, die von großem öffentlichen Interesse waren. Der Angriff auf Target bekam einen persönlichen Touch, als ein naher Bekannter bemerkte, dass seine Debitkarte von Betrügern für Einkäufe im Wert von 1.300 US-Dollar verwendet worden war. Glücklicherweise reichte ein Anruf bei der Kreditgenossenschaft, um das fehlende Geld zu ersetzen, doch Datendiebstahl wie dieser kann das Vertrauen der Kunden zerstören und das Ansehen der betroffenen Firma beschädigen. Vor einigen Wochen recherchierten wir zu diversen Verschlüsselungsstrategien und fanden einen Artikel, der den neuen IBM-Mainframe lobte. Viele der leistungsstarken Großcomputer, die hinter den Kulissen riesige Datenmengen verarbeiten, stammen von IBM. Auffallend beim neuesten Mainframe-Modell der Z-Reihe von IBM ist aber das: Er verschlüsselt alle Daten in Echtzeit. Alle bedeutet in diesem Fall tatsächlich jedes einzelne Bit. IBM behauptet, Z könne alle Daten im Zusammenhang mit einer Anwendung oder einem Service verschlüsseln, und zwar unabhängig davon, ob sie übertragen werden oder in einer Datenbank ruhen. Bis jetzt besaß IBM nicht die Verarbeitungsleistung, um diese Art der Verschlüsselung auch in Echtzeit zu bewältigen. Woher also der Wunsch, alle Daten abzusichern? Nun, die Transaktions-Engine von IBM erledigt 87 Prozent aller Kreditkartenzahlungen. IBM hat also einen Ruf zu verlieren. Nun ist IBM nicht das einzige Unternehmen im Bereich Datensicherheit, doch es macht derzeit viele Versprechungen. Selbst unter Idealbedingungen wird es lange dauern, ehe die meisten Unternehmen ihre Daten umfassend verschlüsseln können. Dafür müssen sie erst sowohl Hard- als auch Software aufrüsten, und das wird Jahre dauern. Wie sollten Sie also in der Zwischenzeit vorgehen? In diesem Beitrag erläutern wir, welche Datentypen Sie verschlüsseln sollten. Außerdem erwähnen wir Best Practices, mit denen Sie das Risiko einer Sicherheitsverletzung minimieren können.

Was ist Verschlüsselung?

Bei der Datenverschlüsselung wird eine Datenmenge in Abschnitte unterteilt und diese werden umgeformt, damit nur Empfänger mit dem passenden Schlüssel sie lesen können. Verschlüsselte Daten werden oft als chiffrierter Text bezeichnet und nicht verschlüsselte als Klartext. Zweck der Verschlüsselung ist der Schutz vertraulicher Daten. Wie Sie sich leicht vorstellen können, wird die Datensicherheit angesichts des rasant ansteigenden Datenvolumens und Mitarbeitern, die viele vertrauliche Daten auf ihren Laptops und Mobilgeräten mitführen oder abrufen, immer wichtiger. Unternehmen und ihre Mitarbeiter nutzen auch immer häufiger Cloud-Dienste und so gelangen immer mehr Daten über die eigene Firewall hinaus. Mehr Daten und die Möglichkeit, Daten auf verschiedenen Geräten zu nutzen, helfen Unternehmen, moderne geschäftliche Anforderungen zu erfüllen. Allerdings bietet diese Datenmobilität Angreifern gleich mehrere Schwachstellen, über die sie Daten abgreifen können, und beschäftigt IT-Abteilungen damit, diese Schwachstellen abzusichern. Ein genauerer Blick auf das Thema zeigt, dass es zwei Arten der Verschlüsselung gibt: die symmetrische und die asymmetrische. Kurz gesagt ist die symmetrische Verschlüsselung die älteste und bekannteste Art der sogenannten Kryptografie. Dabei werden die Daten mit ein und demselben Schlüssel ver- und entschlüsselt. Sowohl der Sender als auch der Empfänger verfügen über diesen Schlüssel. Asymmetrische Verschlüsselung ist eine neuere Technik und wird auch als Public-Key-Kryptografie bezeichnet. Hierbei kommen zwei Schlüssel zum Einsatz: ein öffentlicher (Public Key) und ein privater Schlüssel. Mit dem öffentlichen Schlüssel kann Ihnen jeder chiffrierte Informationen senden, doch nur Sie haben einen eigenen Schlüssel, um sie zu dechiffirieren. Neugierig geworden? Dieser Artikel auf SSL2BUY erläutert symmetrische und asymmetrische Verschlüsselung detaillierter.Was sollten Sie verschlüsseln?Daten, die verschlüsselt werden sollten, lassen sich grob unterteilen: in personenbezogene Daten sowie vertrauliche Geschäftsdaten und geistiges Firmeneigentum.Personenbezogene DatenPersonenbezogene Daten umfassen alle Informationen, anhand derer eine Person eindeutig identifiziert werden kann, z. B. die Angaben im Ausweis oder die Sozialversicherungsnummer. Datendiebe können mit solchen Informationen Ihre Identität kapern, um größere Verbrechen zu begehen, beispielsweise indem sie in Ihrem Namen Kreditkarten und Darlehen beantragen. Vor Kurzem erst nahmen Hacker bei einem Angriff auf den US-Fernsehsender HBO Informationen zu mehreren Serien in Besitz, zum Beispiel vom Publikumsliebling „Game of Thrones“. Das Medienecho war groß, weniger Aufsehen erregte dagegen die Tatsache, dass der Diebstahl auch persönliche Informationen von HBO-Schauspielern umfasste. 2014 wurde Sony Pictures Opfer eines ähnlichen, aber größeren Angriffs. Damals wurden die Honorare von Schauspielern aufgedeckt, die in Filmen der Produktionsfirma mitspielten. Die Abwehr solcher Angriffe erfordert den Einsatz an vielen Fronten. Personenbezogene Daten befinden sich auf den Mobilgeräten und Laptops der Mitarbeiter, deshalb sollten diese Geräte und ihre Speichersysteme vollständig verschlüsselt sein. Angesichts moderner Arbeitsmethoden wie BYOD (Privatgeräte für die Arbeit) kann dies eine Herausforderung darstellen, aber die müssen Sie meistern. Bedenken Sie: Wenn Datendiebe nicht durch Schlupflöcher ins System gelangen, nutzen sie häufig Anmeldeinformationen der Mitarbeiter, um stattdessen unbemerkt durch die Vordertür zu kommen.Vertrauliche Geschäftsdaten und geistiges EigentumBei den Debatten im Zuge der US-Präsidentschaftswahl ging Donald Trump China hart an, und zwar wegen des Diebstahls geistigen Eigentums US-amerikanischer Firmen. Präsident Trump lässt in dieser Sache weiterhin nicht locker und behauptet, die chinesische Regierung zwinge US-Unternehmen zur Zusammenarbeit mit lokalen Firmen, um Zugang zum riesigen chinesischen Markt zu erhalten. Er sagt, diese lokalen Firmen würden ihrerseits geistiges Eigentum der USA stehlen. Ebenfalls problematisch, wenn auch nicht auf Weltpolitikebene, ist die Tatsache, dass Ihre Mitarbeiter jeden Tag auf Ihre Kundendaten zugreifen, z. B. weil Sie ein neues Produkt einführen möchten und dafür eine Marketingkampagne brauchen. Wäre es für Ihre Mitbewerber von Vorteil, Ihre 20 besten Kunden zu kennen? Man sagt ja, Diebe brechen in Banken ein, weil dort das meiste Geld zu holen ist. Digitale Diebe dagegen nehmen Unternehmen ins Visier, weil diese die wertvollsten Daten halten. Wenn Sie sich die Verschlüsselung all Ihrer Daten nicht leisten können, welchen Arten von Daten sollten Sie den Vorrang geben?Kundendaten: Das Bank- und das Gesundheitswesen unterliegen Vorschriften, die den Schutz von Kunden- bzw. Patientendaten regeln. Diese Sonderregelungen gelten auch für Sie, falls Sie in diesen Branchen tätig sind. Doch auch wenn Ihr Unternehmen andere Schwerpunkte hat, müssen Sie diese Anforderungen ernst nehmen, wie Target und Home Depot am eigenen Leib erfuhren. Priorisieren Sie den Schutz von Kundendaten, Ihr Ansehen hängt davon ab.Geschäftsberichte: Die meisten Unternehmen gewähren kaum Einblick in ihre Finanzdaten. Fassen auch Sie alle relevanten Daten an einem Ort zusammen, verschlüsseln Sie sie und beschränken Sie den Zugriff auf diesen Speicherort auf Personen, die solche Informationen für ihre Arbeit benötigen.Dokumente zu Produktveröffentlichungen: Wissen Sie, wie viele Ihrer Mitarbeiter auf dem Laptop ein Excel-Dokument mit sich führen, in dem der Produkteinführungsplan der nächsten 24 Monate verzeichnet ist? Datendiebe haben es gern auf Geschäftsreisende und ihre Laptops abgesehen, nicht nur wegen der Hardware, sondern auch wegen der darauf gespeicherten Informationen.Forschungs- und Entwicklungsdaten: Solche Daten zu schützen, ist kniffelig, weil sie häufig im gesamten Unternehmen herumgereicht werden. Nun investiert nicht jede Firma stark in FuE, aber falls doch, ist Verschlüsselung ein Muss. In jedem Unternehmen sammeln sich mit der Zeit wertvolle Informationen an. Von denen sollten gerade E-Mails und Rechtsdokumente ausnahmslos verschlüsselt werden. Bei Microsoft beispielsweise musste auf jedem Laptop, der Zugriff zum Finanz- oder Produkteinführungsplan eines Teams hatte, die Festplattenverschlüsselung BitLocker angewendet werden. Später verpflichtete das Microsoft-IT-Team das gesamte Unternehmen zur Verwendung dieses Tools. Gehen Sie am besten davon aus, dass Ihre Mitarbeiter über vertrauliche Produkt- und Kundendaten verfügen, und verschlüsseln Sie sie in entsprechendem Maße.

Fazit

Solange noch nicht jedes Unternehmen in der Lage ist, all seine Daten zu verschlüsseln, muss fallweise entschieden werden, welche Arten von Daten zu schützen sind. Wenn Sie nicht genau wissen, ob Sie Ihre Daten verschlüsseln sollen, fragen Sie sich: Wären es Papierdokumente, würden Sie sie vor der Entsorgung schreddern? Oder hätte es negative Folgen für Ihre Mitarbeiter oder Kunden, wenn die Daten versehentlich im Internet landen würden? Wenn Sie auch nur eine der beiden Fragen mit „Ja“ beantwortet haben, dann fragen Sie sich jetzt auch: Mit welchen Verschlüsselungsmethoden schützen Sie Ihre Firmendaten derzeit?