VERANSTALTUNGEN

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

Developer Week 2018
25.06.18 - 28.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

Schlüssel in Tastatur

Unternehmen gehen mehr und mehr dazu über, Verschlüsselung konsistent umzusetzen. Das hat eine jüngst von Thales durchgeführte Studie, die 2018 Global Encryption Trends Study, ergeben.

43 % der im Rahmen der Studie befragten Firmen nutzten ihre Verschlüsselungsstrategie um sensible Daten vor Cyberkriminellen zu schützen, Compliance-Anforderungen zu erfüllen und menschlichen Fehlern vorzubeugen. Dazu dienen entweder Softwarelösungen oder Hardware-Tools wie beispielsweise Hardware Security Module (HSMs), oftmals gepaart mit einer auf Best Practices basierenden Schlüsselverwaltung. Verschlüsselung spielt zudem für die enorme Zahl der Unternehmen, welche die Cloud nutzen, eine immer größere Rolle.

Das ist insgesamt ein ermutigendes Ergebnis. Es gibt allerdings auch Bereiche, in denen Unternehmen mit Herausforderungen kämpfen. Für 67 % der Befragten ist es das größte Hindernis die richtigen Daten zu identifizieren, wenn sie eine Verschlüsselungsstrategie planen und umsetzen wollen. Dieser Prozentsatz ist ganze 8 % höher als noch 2017. Unter den Ländern, die am stärksten mit den Herausforderungen kämpfen, ist Deutschland. Nicht unbedingt überraschend, wenn man bedenkt, dass die EU-Datenschutz-Grundverordnung (DSGVO/GDPR) am 25. Mai wirksam wird. Verschlüsselung ist bei allen auslegungsfähigen Formulierungen der DSGVO unumstritten einer der wichtigsten Bausteine, um die Anforderungen zu erfüllen.

Umso mehr da 84 % der Befragten schon heute die Cloud nutzen, und zwar sowohl für sensible als auch weniger sensible Anwendungen und Daten, oder sie planen dieses innerhalb der kommenden 12 bis 24 Monate zu tun. Bereits jetzt nutzen 61 % der Befragten dabei mehr als einen Cloud-Anbieter. An dieser Stelle wirft der Report die Frage auf, wie Unternehmen über verschiedene Cloud-Anbieter hinweg überhaupt konsistent verschlüsseln und die Schlüsselverwaltung sicherstellen können. Für viele der im Rahmen der Studie Befragten gibt es bei der Datensicherheit in Multi-Cloud-Umgebungen Probleme. Beispielsweise, wenn Firmen versuchen, auf der Basis verschiedener nativer Tools unterschiedlicher Cloud-Anbieter eine durchgängige organisatorische Richtlinie durchzusetzen. Immerhin setzen bereits 39 % der Befragten Verschlüsselung bei Public Cloud-Diensten ein. Das sind 11 % mehr als noch im Vorjahresreport. Eher überraschend ist es dann allerdings, dass Firmen trotz dieses Trends eher in traditionelle Sicherheitslösungen investieren und nicht unbedingt in Verschlüsselung und Lösungen zur Zugriffskontrolle.

Verschlüsselung im Wandel

Verschlüsselungsstrategien befinden sich ganz offensichtlich im Wandel, angetrieben von den beiden Faktoren Cloud-Nutzung und wachsende Compliance-Anforderungen insbesondere im Licht der DSGVO. Verschlüsselung hat sich in vielen Szenarien über Jahre bewährt. Trotzdem haftet ihr weiterhin der Ruf an, in der Anwendung schnell sehr komplex zu werden. Zudem wirft man ihr vor, dass sie wenig ressourcenschonend sei und sich negativ auf die Leistung von Anwendungen und die dahinter liegenden Datenbanken auswirkt.

Nun empfiehlt die DSGVO explizit das Verschlüsseln von Daten:

"Art. 34 DSGVO Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
[…]
(3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,
[…].“

Will man diesem Anforderungsprofil gerecht werden stellen sich eine Reihe von Fragen. Welche Mitarbeitenden aus welchen Verantwortungsbereichen dürfen wann wie und wie oft auf welche Daten zugreifen? Welche Daten müssen immer verschlüsselt werden und welche vielleicht nur unter bestimmten Bedingungen? Wann und wie legt man diese Bedingungen am besten fest? Und gibt es unter Umständen Daten im Unternehmen, von denen wir zum jetzigen Zeitpunkt noch gar nicht wissen, ob sie überhaupt in diesem Sinne verschlüsselungsrelevant sind?

Das klingt in der Tat nach Aufwand, was allerdings nur bedingt stimmt und eher eine Frage der Herangehensweise ist. Gerade wegen der in Kürze wirksam werdenden EU-Datenschutz-Grundverordnung sollten Unternehmen genau die Daten und Server identifizieren, die verschlüsselt werden sollen. Firmen sollten ihre Systeme unter die Lupe nehmen und sich durchringen, IT-Systeme abzuschaffen, die sie nicht brauchen. Und vor allem sollten sie grundsätzlich sparsam mit Daten umgehen. Im Übrigen auch eine Vorgabe der DSGVO. Allein diese Faktoren schaffen bessere Voraussetzungen für mehr Datensicherheit. Verschlüsselung sorgt dann ihrerseits dafür, die Daten effizienter zu schützen und zu verwalten.

Verschlüsselung ist gerade unter den sicherheitsaffinen Deutschen zusammen mit Tokenisierung eines der probatesten Mittel um Informationen in einer datenzentrierten Wirtschaft zu schützen.

Trotzdem haben etliche Firmen kurz vor dem Wirksamwerden der DSGVO noch deutlichen Nachholbedarf. Immerhin 68 % der Befragten haben sich für Verschlüsselung entschieden, um den Anforderungen der DSGVO gerecht zu werden. Was also ist zu tun? In der Praxis heißt es, sich die Anzahl der Beteiligten sowie die der betreffenden Systeme und Personen genau anzusehen und Verschlüsselung auf diese überschaubare Größenordnung anzuwenden. Während Unternehmen zu Recht cloudbasierte Daten verschlüsseln, deuten 42 % der Organisationen an, dass sie die Schlüssel nur für die cloudbasierte Data-at-Rest-Verschlüsselung einsetzen, die sie selbst kontrollieren. Gleichzeitig bevorzugen Unternehmen, die HSM in Verbindung mit Public Cloud-basierten Anwendungen nutzen, diese selbst zu kontrollieren, und zwar über on-premises HSM. Offensichtlich wollen Firmen die Cloud so weit wie möglich unter Kontrolle behalten.

Alle diese Faktoren haben in den letzten Jahren an Einfluss gewonnen. Spezifische Typen sensibler Informationen innerhalb eines Unternehmens zu identifizieren und diese Informationen stärker zu sichern als andere, ist zu einer drängenden Notwendigkeit geworden. Dabei gehören Perimeter-Sicherheit und Verschlüsselung zusammen. War es bisher die IT-Abteilung, die sich darum gekümmert hat, ob und wie Verschlüsselung eingeführt und umgesetzt wird, sind jetzt zunehmend die Fachverantwortlichen der betreffenden Abteilung und die Geschäftsführung für die Entscheidungsfindung zuständig. Die wachsende Zahl der bekannt gewordenen Datenschutzverletzungen, aber vor allen die regulatorischen Anforderungen haben diese Entwicklung begünstigt. Die empfindlichen Strafen, die mit der Nichteinhaltung der Richtlinien verbunden sind, werden zusätzlich dafür sorgen, dass Verschlüsselung im Besonderen und Datenschutz im Allgemeinen dauerhaft auf der Agenda von Geschäftsführungs- und Vorstandsebene angesiedelt sind.

Weitere Informationen:

  • Die komplette 2018 Global Encryption Trends Study steht Ihnen hier zum Download zur Verfügung.
  • Die deutschsprachige Zusammenfassung der Ergebnisse finden Sie hier.

Kai ZobelKai Zobel, Regional Director, Thales eSecurity

https://de.thalesesecurity.com/

 

GRID LIST
Tb W190 H80 Crop Int 49bc2d1e3fea30eb742364959e4bb18f

Jeder Dritte verfolgt Sportevents live im Netz

Mitfiebern am Stream und Toralarm per App: Jeder dritte Internetnutzer (30 Prozent)…
Tb W190 H80 Crop Int 3a988af9db55745d38b6e22a10247529

Wie die DataOps-Technologie Firmen schnell nach vorne bringt

Ob die 300 Geschäftsführer, Vorstände und Führungskräfte durch Entscheidungsfreude…
Tb W190 H80 Crop Int E346e5e8126c84e60b5d7f9a41d66707

Der physische Arbeitsplatz ist wichtiger denn je

Eine neue Studie von Cognizant zeigt, dass trotz der Zunahme von virtuellen Tätigkeiten…
Tb W190 H80 Crop Int 61a687e8d473cfbea30165e643e300fd

Unternehmen unterschätzten rechtliche Konsequenzen von Cyberattacken

Schadenersatzansprüche, Haftungsfragen und Meldepflichten bei Cyberangriffen werden von…
Tb W190 H80 Crop Int D29b9a398b61dcd382304026aeb0c8f4

Big Data steht bei Unternehmen an erster Stelle

Von Internet of Things über Künstliche Intelligenz bis Blockchain: Neue digitale…
Programmierer

Unternehmen stellen neue Anforderungen an IT-Experten

Welche Auswirkungen haben Herausforderungen wie Data Security oder Blockchain auf die…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security