Transformation World
19.10.17 - 20.10.17
In Heidelberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

VerschlüsselungFakt ist, dass bislang zu wenige Unternehmen ihre vertraulichen Geschäftsdokumente verschlüsselt übertragen. Stattdessen werden sie als normaler Anhang an eine E-Mail versendet und können damit zur leichten Beute werden. Wer eine wirksame Verschlüsselungslösung einführen will, muss allerdings einige Eckpunkte beachten. QSC listet die wichtigsten auf.

Im heutigen Geschäftsleben bringt der E-Mail-Verkehr zahlreiche Risiken mit sich. Vor Spam können sich Unternehmen heute recht gut schützen, schon etwas schwieriger ist es, das Eindringen und die Verbreitung von Schadsoftware zu verhindern. Dazu sind schon aufwändige Maßnahmen erforderlich. Die größte Gefahr aber geht von einem unverschlüsselten geschäftlichen E-Mailverkehr aus, denn auf dem Weg vom Sender zum Empfänger kann jeder ohne großen Aufwand die Informationen lesen. Wollen Unternehmen das verhindern, müssen sie ihre vertraulichen E-Mails wirksam schützen. FTAPI Software, ein Unternehmen der QSC AG, nennt fünf wichtige Aspekte bei der Auswahl einer effizienten Lösung zur Verschlüsselung von E-Mails.

1. Sensible Daten, die ein Unternehmen verlassen, müssen verschlüsselt werden.

Unternehmen haben viel Geld in Spamfilter, Virenschutz und Firewalls investiert und damit ihre IT-Sicherheit verbessert. Der E-Mailversand und die damit verbundenen Risiken werden aber weitgehend ignoriert. Gelangen vertrauliche Daten – und das betrifft rund zwei Drittel aller geschäftlichen Informationen – durch Diebstahl in die falschen Hände, entsteht daraus schnell ein hoher materieller und oft auch ein massiver Imageschaden. Eine wirksame, durchgängige Datenverschlüsselung legt die Hürden höher und macht es Angreifern so schwer wie möglich.

2. Eine reine Transportverschlüsselung reicht nicht aus.

Wenn von einer Transportverschlüsselung per HTTPS die Rede ist, sollten Unternehmen hellhörig werden. Ein Schutz besteht dann nur auf dem Weg vom Versender bis zu den Servern eines E-Mail-Providers. Dort liegen die Daten zumindest kurzzeitig im Klartext vor und es besteht die Gefahr des Diebstahls oder der Manipulation. Für den Austausch vertraulicher Daten ist die Transportverschlüsselung nicht ausreichend. Sie muss um zusätzliche Verfahren ergänzt werden.

3. Eine durchgehende Ende-zu-Ende-Verschlüsselung ist unverzichtbar.

Eine echte Ende-zu-Ende-Verschlüsselung liegt nur dann vor, wenn der Versender die vertraulichen Daten auf seinem Endgerät verschlüsselt, sie auf dem gesamten Weg unverändert bleiben und erst der Empfänger sie mit seinem Passwort wieder in Klartext umwandelt. Ein verschlüsselter E-Mail-Transfer in Kombination mit einem Virenscanner erfüllt diese Anforderung nicht, denn dazu müssen die Daten auf dem Server des E-Mail-Providers entschlüsselt werden und es entsteht eine gefährliche Sicherheitslücke.

4. Schutz der Daten nach dem Public-Private-Key-Prinzip sicherstellen.

Das Prinzip von öffentlichen und privaten Schlüsseln bietet eine wirksame Methode für den Schutz der Daten. Vertrauliche Daten werden mit Public Keys verschlüsselt, die der Anbieter einer Verschlüsselungslösung an einem zentralen Ort vorhält. Der Versender verschlüsselt eine E-Mail für einen Geschäftspartner mit einem Public Key, der die Nachricht mit seinem Private Key entschlüsselt. Auch die Private Keys sind verschlüsselt gespeichert und über ein Passwort, das nur der jeweilige Empfänger der E-Mail kennt, zugänglich.

5. Verschlüsselungslösung sollte auf "Zero Knowledge" basieren.

Bei der Ende-zu-Ende-Verschlüsselung muss das "Zero-Knowledge-Prinzip" zum Einsatz kommen. Es gilt unter Sicherheitsexperten als ein sehr effizientes Mittel gegen Cyberkriminalität. In diesem Fall haben selbst der Anbieter einer Verschlüsselungslösung oder eines Cloud-Storage-Services keinen Zugriff auf das Schlüsselmanagement. Sie können nicht an den zur Entschlüsselung benötigten Key gelangen, um damit Einblick in die Kundendaten zu erhalten.

„Unternehmen, die vertrauliche Daten sicher und nachvollziehbar übertragen wollen, kommen an einer Ende-zu-Ende-Verschlüsselung nicht vorbei", sagt Stephan Niedermeier, Gründer und Geschäftsführer der FTAPI Software GmbH, einem Unternehmen der QSC AG. „Über Erfolg und Akzeptanz entscheidet nicht zuletzt die einfache Bedienung, denn im Alltag entstehen die meisten Sicherheitsprobleme deshalb, weil sich Mitarbeiter überfordert fühlen, eine Lösung als zu kompliziert einstufen und sie daher vieles tun, um die Sicherheitsvorschriften zu umgehen."

 

 

 
GRID LIST
Security Specialist

Der moderne Datenschutzbeauftragte

Mittlerweile ist Datenschutz in aller Munde, unter anderem durch neue Regularien, die in…
Marcel Mock

Zweiter Anlauf für den Verschlüsselungsstandort Nummer 1 | Statement

Wir dürfen gespannt sein, wie die neue Bundesregierung die vom letzten Kabinett…
Fragen

Von wegen „Nichts zu verbergen“: Die Folgen der Datensammelwut

Die ausufernde Datenschnüffelei lässt viele Menschen kalt. Zu Unrecht. Die Brabbler AG…
Rettungsring

Datenrettung: Weshalb sind virtuelle Daten nicht immer sicher?

Anstatt physikalischer Server nutzen Unternehmen vermehrt virtuelle Systeme. Angesichts…
EU Flagge

Legacy Datensysteme machen Compliance-Risiko bei DSGVO unkalkulierbar

Rund ein Drittel der europäischen und US CIOs können nicht sicherstellen, Daten innerhalb…
EU

Die DSGVO für Finanzinstitute | Kommentar

Die Gewährleistung von Compliance bezüglich der DSGVO kommt zur gleichen Zeit auf die…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet