Wie Verschlüsselung im digitalen Zeitalter gelingt
Datenverschlüsselung ist ein Wettrennen. Derselbe technologische Fortschritt, der immer sicherere Verschlüsselungsverfahren ermöglicht, befähigt auch ihre Entschlüsselung. Deshalb ist die Wahl des richtigen Verfahrens absolut entscheidend, sagt unser IT Security Trainer und Certified Encryption Specialist Michael Ruppe.
Die Verschlüsselung, ist eine der wichtigsten Technologien, die versucht unsere Daten sowie unsere Privatsphäre zu schützen. Aufgrund der steigenden Cyberkriminalität und den verschärften Datenschutzauflagen, wird Datenverschlüsselung sowohl im privaten wie auch im geschäftlichen Umfeld immer wichtiger. Denn in vielen Fällen kann der unsachgemässe Umgang mit kritischen oder personenbezogenen Daten auch rechtliche Konsequenzen mit sich bringen. In diesem Blogbeitrag zeige ich Ihnen die wichtigsten Perspektiven zum Thema Datenverschlüsselung auf.
In welchen Bereichen kommt die Verschlüsselung zum Zug?
Besonders wichtig wird die Verschlüsselung, wenn unsere wertvollen Daten auf Datenträgern gespeichert werden, die man leicht verlieren kann. Zum Beispiel auf einem USB-Stick, einer externen Festplatte oder auch beim Speichern unserer Daten in der Cloud, wo wir wenig Kontrolle darüber haben, was effektiv mit unseren Daten geschieht. Hier lohnt es sich, auf eine starke Verschlüsselungsmethode zurückzugreifen, um den bestmöglichen Schutz zu gewährleisten.
Was in der Theorie jedoch oft einfach klingt, wird in der Praxis meist vernachlässigt – vor allem unter Privatanwenderinnen und Privatanwendern.
Benötigen Unternehmen ausgebildete Verschlüsselungsprofis?
Diese Frage lässt sich leicht mit «Ja» beantworten. Insbesondere, wenn man die jüngsten Fälle in den Medien mitverfolgt hat, bei denen Kunden-, Patienten- oder Geschäftsdaten an die Öffentlichkeit gelangt sind. Würde man diese Firmen nun fragen, dann würden sicherlich alle bestätigen, dass sie die Daten verschlüsselt abgelegt hatten. Aber war es die richtige Art der Verschlüsselung?
Vergleicht man nun den Schaden, der durch diese Vorfälle generiert wurde – sowohl monetär wie auch der entstandene Reputationsschaden – und setzt dies ins Verhältnis der Investition, die ein Unternehmen tätigen muss, um Datenverschlüsselungs-Spezialistinnen und -Spezialisten zu engagieren, dann ist es ein Leichtes hier die richtige Wahl zu treffen. Zudem reduzieren Unternehmen das Risiko, eine ungeeignete Verschlüsselungsmethode zu wählen.
Warum diese Wahl nicht ganz trivial ist, sehen wir uns im folgenden Abschnitten an.
Durchblick durch den Dschungel der Verschlüsselungsverfahren
Welche der vielen verschiedenen Verschlüsselungsarten sollte aber nun angewendet werden? Und in welchem Umfeld eignet sich welches Verfahren am besten?
Hierzu machen wir einen kurzen Abstecher in die Vergangenheit: Die Kunst der Verschlüsselung, auch Chiffrierung und Kryptierung genannt, existiert bereits seit Jahrhunderten und hat sich ihren Platz in der Geschichte der Menschheit gesichert – egal ob Cäsar-Chiffre oder, um nicht ganz so weit in der Geschichte zurückzublicken, die Enigma-Maschine. Viele der heutigen Verschlüsselungstechniken finden ihren Ursprung daher in der Vergangenheit und es kommen immer wieder neue, verbesserte oder weiterentwickelte Verschlüsselungsmethoden auf den Markt.
Um dem ständig wachsenden Bedarf an Datensicherheit und stärkeren Schutzmassnahmen gerecht zu werden, ist es daher nicht leicht, sich für die richtige Verschlüsselungsverfahren zu entscheiden. (Die Anforderungen an Compliance und Datenschutzgrundverordnung (DSGVO) unterscheiden hier natürlich auch nochmals zwischen dem privaten Anwendungsbereich und dem Geschäftlichen.)
Asymmetrische und symmetrische Verschlüsselung
Das Grundprinzip der Verschlüsselung bleibt dabei aber fast immer gleich. Wir arbeiten mit einem oder mehreren Schlüsseln, die wir zum Verschlüsseln und Entschlüsseln der Daten benötigen. Hierbei gibt es verschiedene Methoden. Die bekanntesten sind die symmetrische und die asymmetrische Verschlüsselung.
- In der symmetrischen Verschlüsselung ( z.B. AES-256) arbeiten wir mit dem gleichen Schlüssel zum Ver- und Entschlüsseln einer Nachricht oder einer Datei. Hierbei gilt auch wie bei Passwörtern: je länger der Schlüssel ist, desto mehr Sicherheit kann durch die Verschlüsselung gewährleistet werden.
- In der asymmetrischen Verschlüsselung verhält sich das Prinzip etwas anders. Der Absender verschlüsselt die Datei(en) mit einem öffentlichen Schlüssel (dem «Public Key») des Empfängers. Der wiederum kann die Verschlüsselung der Datei(en) dann wieder mit einem privaten Schlüssel (dem «Private Key») aufheben. Hier arbeiten wir entsprechend nicht mehr mit einem, sondern mit zwei Schlüsseln.
Neben den symmetrische oder asymmetrische Verschlüsselung, gibt es viele weitere Verfahren zur Verschlüsselung. Zu den bekanntesten Arten der Verschlüsselungsverfahren zählen nebst AES unter anderem:
- RSA
- DES
- Triple-DES
- Twofish
Trotz grossem Bekanntheitsgrad finden aber heute nicht mehr alle Verschlüsselungsarten Anwendung in der Praxis. Besipielsweise ist die Verschlüsselungsmethode DES (Data Encryption Standard) kaum mehr im Einsatz, da diese Verschlüsselung bereits 1994 von einem Dutzend Geräten innerhalb von rund 50 Tagen geknackt werden konnte, je nach Rechenleistung. Bei dem heutigen Stand der Technik sprechen wir hier also nur noch von wenigen Sekunden, die eine DES-Verschlüsselung einem Brute-Force-Angriff standhalten könnte.
Quantencomputing und Verschlüsselung – Dreamteam oder Risikofaktor?
Zunehmend hält auch Quantencomputing in die Verschlüsselung Einzug. Wie bereits beschrieben, ist die Schlüssellänge, wie z.B. bei AES-265 mit entsprechend 265 Bit Schlüssellänge, oft der ausschlaggebende Faktor für die Sicherheit. Einige Verfahren, wie RSA-4096, arbeiten heute sehr zuverlässig auf 4096 Bit Schlüssellänge. Sollte aber in einigen Jahren die Möglichkeit bestehen, auch diese Verschlüsselung innerhalb weniger Stunden oder gar Minuten zu knacken, so wäre der heutige Standard, der von vielen Unternehmen zum Schutz verwendet wird, sowohl für internen Daten wie aber auch für die Kundendaten ein Sicherheitsrisiko.
Aus der Gegenperspektive betrachtet könnte die Rechenleistung von Quantencomputern aber auch wieder neue Methoden der Verschlüsselung hervorbringen. Hier kommen wir also auch langsam zum Problem, das von der immer schnelleren Entwicklung der Technologie ausgeht: Es entsteht eine Art Teufelskreis für die sicherste Verschlüsselungsmethode und die schnellste Entschlüsselung.
Die Natur als Vorbild
Einige Ansätze für neuartige Verschlüsselungsmethoden, nebst Quantencomputing, verbinden die Natur und was uns durch die Biologie gegeben ist, mit der klassischen Informatik. In Korea konnte mithilfe von Lichtbrechung durch den Faden einer Seidenraupe ein neues Verfahren entwickelt werden, welch in der Theorie 5×1041 Jahre benötigen würde, um die Verschlüsselung zu durchbrechen. Mit steigender Rechenleistung wird aber auch dieses Verfahren eines Tages zu schwach sein, um in der Praxis eine Anwendung zu finden.
(Quelle: Revisiting silk: a lens-free optical physical unclonable function)
Fazit
Kommen wir zurück auf die Frage, welche Verschlüsselungsmethode nun also angewendet werden sollte:
Es gibt keine abschliessende Antwort darauf, welche Methode sich am Besten eignet, solange man natürlich auf ältere Verfahren verzichtet, die heute bereits nachweislich innerhalb weniger Minuten oder Sekunden entschlüsselt werden können.
Es liegt an uns zu bestimmen, was uns unsere Daten wert sind und ob wir im privaten oder geschäftlichen Bereich mit entsprechenden Auflagen oder Mindestanforderungen agieren. Eine entsprechende Klassifizierung der Daten ist daher die Grundvoraussetzung, die den Schutzbedarf und somit auch den Verschlüsselungsfaktor in punkto Sicherheit bestimmen sollte.
Werden Sie EC-Council Certified Encryption Specialist |