Nur Verschlüsselung und hardwarebasierter Schutz für Schlüssel kann erfolgreichen Datenklau verhindern. [...]
Um den Datenschutz in Deutschland ist es nicht gut bestellt. Fast im Wochenrhythmus kommen neue, große Lecks ans Licht der Öffentlichkeit. Hier und da informieren dann Firmen oder öffentliche Einrichtungen Kunden und Partner, dass persönliche Informationen leider in die Hände von Hackern geraten sind. Da es in Deutschland aber keine Veröffentlichungspflicht gibt, werden vermutlich viele weiterer solcher Fälle diskret unter den Teppich gekehrt. Damit ist klar, dass vieles in diesem Bereich gehörig aus dem Ruder gelaufen ist und Firmen allen Beteuerungen zum Trotz das Thema Sicherheit keineswegs im Griff haben.
Hinzu kommt ein extremer technologischer Wandel, den viele Betroffene nur deshalb noch nicht in seinem vollen Ausmaß wahrnehmen, weil sie selbst ein zentraler Teil dieser Umwälzungen sind. Ein Blick auf die Schwerpunktthemen der CeBIT zeigt, in welche Richtung die Reise geht. Dort werden in diesem Jahr unter dem Motto d!conomy die Umwälzungen durch die Digitalisierung in immer mehr Lebensbereichen thematisiert. Schon bald verändern das Internet of Things beziehungsweise die „Industrie 4.0“ Wirtschaft und Gesellschaft in sehr großem Ausmaß. Dazu zählt auch das autonome Fahren, das ohne eine Netzanbindung der kompletten Verkehrsinfrastruktur gar nicht möglich wäre.
Wer diesen Wandel mit den Sicherheitslücken in vielen Bereichen in Verbindung bringt, bekommt es mit der Angst zu tun. Selbst optimistische Zeitgenossen, die moderner Technik gegenüber sehr aufgeschlossen sind, schlagen Alarm. Gerade beim Connected Car geht es schließlich erstmals nicht mehr nur um Daten, sondern gar um Leben und Tod.
Was können Unternehmen tun? Zunächst einmal ist zu beobachten, dass Firmen mit Blick auf die Sicherheit noch immer sehr in der alten Welt der Infrastruktursicherung gefangen sind. So fokussieren sie sich stark auf Themen wie Intrusion Prevention, Firewall, Content Security, Access Point Security und ähnliche Ansätze. Der Versuch immer neue Sicherheitslücken zu schließen, entpuppt sich jedoch als ein Kampf gegen Windmühlen.
Deshalb sollten sich Unternehmen zunächst eingestehen, dass es einen hundertprozentigen Schutz vor Angriffen auf ihr Netzwerk nicht gibt. Daraus ergibt sich selbstverständlich nicht die Schlussfolgerung, dass Investitionen in Netzwerkschutz-Tools zurückgestellt werden sollten. Allerdings müssen Unternehmen heute ihre Daten selbst stärker ins Visier nehmen und diese unmittelbar schützen. Immerhin gibt es noch einen verbliebenen Ansatzpunkt, der ein hohes Schutzniveau bietet, aber häufig noch immer nicht berücksichtigt wird. Es ist die Verschlüsselung sensibler Daten.
Sauber und ohne Backdoors implementiert garantiert Verschlüsselung die Erfüllung der drei Sicherheitsziele „Vertraulichkeit, Integrität und Verfügbarkeit“. Dabei lassen sich je nach Einsatzszenario Lösungen entwickeln, die das jeweilige Hauptziel und sämtliche weiteren Sicherheitsanforderungen optimal erfüllen. Eine zentrale Rolle dabei muss jedoch die Absicherung der Schlüssel spielen. Dieser Punkt wird von vielen Unternehmen leider häufig nur sehr halbherzig angegangen.
Letztlich richten sich viele Angriffe gegen Zertifikate beim Prozess der Authentifizierung. Den Grundstein des Vertrauens bilden bislang häufig Certificate Authorities (CA). Wird eine solche CA kompromittiert – wie es in der Vergangenheit bereits passiert ist – fällt das System auseinander. Um erfolgreiche Hacks zu vermeiden und sicherzustellen, dass nur legitime Schlüssel verwendet werden, ist die stärkere Absicherung dieser CA-Zertifikate unumgänglich.
Eine weitere Schutzmaßnahme sind Hardware Security Module (HSMs): hochsichere und nicht manipulierbare Appliances, die für den Schutz kryptografischer Schlüssel und Zertifikate entwickelt wurden. Weltweit setzen Unternehmen mit hohen Sicherheitsanforderungen diese ein, um ihre Verschlüsselungs-Keys zu managen, verarbeiten und schützen. HSMs schützen Transaktionen und Identitäten, indem sie die Grundlage für sichere Ver- und Entschlüsselung, Authentifizierung und digitale Signaturen schaffen. Damit wird der Schlüssel quasi „unkopierbar“. In seiner einfachsten Form funktioniert dies über Smartcards oder über USB-Dongles, erweiterte Möglichkeiten bieten Steckkarten und komplexere Hardwaresysteme. Jede dieser Varianten ist ihrem Software-Pendant haushoch überlegen.
Werden Daten nicht nur verschlüsselt, sondern funktioniert auch die komplette Kette aus Signierung und Schutz der Schlüssel, so ist mit Verschlüsselung ein sehr hohes Sicherheitsniveau erreichbar. Auch aus diesem Grund ist in den USA – wo es eine Veröffentlichungspflicht bei Datenschutzverletzungen gibt – derzeit ein regelrechter Verschlüsselungsboom zu sehen. Denn damit fällt dem Übeltäter im Worst Case statt sensibler Informationen nur unnützer Datensalat in die Hände.
* Thorsten Krüger ist DACH & CEE Regional Director, Identity and Data Protection bei Gemalto.
Be the first to comment