Unternehmen gehen mehr und mehr dazu über, Verschlüsselung konsistent umzusetzen. Das hat eine jüngst von Thales durchgeführte Studie, die 2018 Global Encryption Trends Study, ergeben. [...]
43 Prozent der im Rahmen der Studie befragten Firmen nutzten ihre Verschlüsselungsstrategie um sensible Daten vor Cyberkriminellen zu schützen, Compliance-Anforderungen zu erfüllen und menschlichen Fehlern vorzubeugen. Dazu dienen entweder Softwarelösungen oder Hardware-Tools wie beispielsweise Hardware Security Module (HSMs), oftmals gepaart mit einer auf Best Practices basierenden Schlüsselverwaltung. Verschlüsselung spielt zudem für die enorme Zahl der Unternehmen, welche die Cloud nutzen, eine immer größere Rolle.
Das ist insgesamt ein ermutigendes Ergebnis. Es gibt allerdings auch Bereiche, in denen Unternehmen mit Herausforderungen kämpfen. Für 67 Prozent der Befragten ist es das größte Hindernis die richtigen Daten zu identifizieren, wenn sie eine Verschlüsselungsstrategie planen und umsetzen wollen. Dieser Prozentsatz ist ganze 8 Prozent höher als noch 2017. Unter den Ländern, die am stärksten mit den Herausforderungen kämpfen, ist Deutschland. Nicht unbedingt überraschend, wenn man bedenkt, dass die EU–Datenschutz-Grundverordnung (DSGVO/GDPR) am 25. Mai wirksam wird. Verschlüsselung ist bei allen auslegungsfähigen Formulierungen der DSGVO unumstritten einer der wichtigsten Bausteine, um die Anforderungen zu erfüllen.
Umso mehr da 84 Prozent der Befragten schon heute die Cloud nutzen, und zwar sowohl für sensible als auch weniger sensible Anwendungen und Daten, oder sie planen dieses innerhalb der kommenden 12 bis 24 Monate zu tun. Bereits jetzt nutzen 61 Prozent der Befragten dabei mehr als einen Cloud-Anbieter. An dieser Stelle wirft der Report die Frage auf, wie Unternehmen über verschiedene Cloud-Anbieter hinweg überhaupt konsistent verschlüsseln und die Schlüsselverwaltung sicherstellen können.
Für viele der im Rahmen der Studie Befragten gibt es bei der Datensicherheit in Multi-Cloud-Umgebungen Probleme. Beispielsweise, wenn Firmen versuchen, auf der Basis verschiedener nativer Tools unterschiedlicher Cloud-Anbieter eine durchgängige organisatorische Richtlinie durchzusetzen. Immerhin setzen bereits 39 Prozent der Befragten Verschlüsselung bei Public Cloud-Diensten ein. Das sind 11 Prozent mehr als noch im Vorjahresreport. Eher überraschend ist es dann allerdings, dass Firmen trotz dieses Trends eher in traditionelle Sicherheitslösungen investieren und nicht unbedingt in Verschlüsselung und Lösungen zur Zugriffskontrolle.
Verschlüsselung im Wandel
Verschlüsselungsstrategien befinden sich ganz offensichtlich im Wandel, angetrieben von den beiden Faktoren Cloud-Nutzung und wachsende Compliance-Anforderungen insbesondere im Licht der DSGVO. Verschlüsselung hat sich in vielen Szenarien über Jahre bewährt. Trotzdem haftet ihr weiterhin der Ruf an, in der Anwendung schnell sehr komplex zu werden. Zudem wirft man ihr vor, dass sie wenig ressourcenschonend sei und sich negativ auf die Leistung von Anwendungen und die dahinter liegenden Datenbanken auswirkt.
Nun empfiehlt die DSGVO explizit das Verschlüsseln von Daten:
„Art. 34 DSGVO Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
[…]
(3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,
[…].“
Will man diesem Anforderungsprofil gerecht werden stellen sich eine Reihe von Fragen. Welche Mitarbeitenden aus welchen Verantwortungsbereichen dürfen wann wie und wie oft auf welche Daten zugreifen? Welche Daten müssen immer verschlüsselt werden und welche vielleicht nur unter bestimmten Bedingungen? Wann und wie legt man diese Bedingungen am besten fest? Und gibt es unter Umständen Daten im Unternehmen, von denen wir zum jetzigen Zeitpunkt noch gar nicht wissen, ob sie überhaupt in diesem Sinne verschlüsselungsrelevant sind?
Das klingt in der Tat nach Aufwand, was allerdings nur bedingt stimmt und eher eine Frage der Herangehensweise ist. Gerade wegen der in Kürze wirksam werdenden EU–Datenschutz-Grundverordnung sollten Unternehmen genau die Daten und Server identifizieren, die verschlüsselt werden sollen. Firmen sollten ihre Systeme unter die Lupe nehmen und sich durchringen, IT-Systeme abzuschaffen, die sie nicht brauchen. Und vor allem sollten sie grundsätzlich sparsam mit Daten umgehen. Im Übrigen auch eine Vorgabe der DSGVO. Allein diese Faktoren schaffen bessere Voraussetzungen für mehr Datensicherheit. Verschlüsselung sorgt dann ihrerseits dafür, die Daten effizienter zu schützen und zu verwalten.
Verschlüsselung ist gerade unter den sicherheitsaffinen Deutschen zusammen mit Tokenisierung eines der probatesten Mittel um Informationen in einer datenzentrierten Wirtschaft zu schützen.
Trotzdem haben etliche Firmen kurz vor dem Wirksamwerden der DSGVO noch deutlichen Nachholbedarf. Immerhin 68 Prozent der Befragten haben sich für Verschlüsselung entschieden, um den Anforderungen der DSGVO gerecht zu werden. Was also ist zu tun? In der Praxis heißt es, sich die Anzahl der Beteiligten sowie die der betreffenden Systeme und Personen genau anzusehen und Verschlüsselung auf diese überschaubare Größenordnung anzuwenden. Während Unternehmen zu Recht cloudbasierte Daten verschlüsseln, deuten 42 Prozent der Organisationen an, dass sie die Schlüssel nur für die cloudbasierte Data-at-Rest-Verschlüsselung einsetzen, die sie selbst kontrollieren. Gleichzeitig bevorzugen Unternehmen, die HSM in Verbindung mit Public Cloud-basierten Anwendungen nutzen, diese selbst zu kontrollieren, und zwar über on-premises HSM. Offensichtlich wollen Firmen die Cloud so weit wie möglich unter Kontrolle behalten.
Alle diese Faktoren haben in den letzten Jahren an Einfluss gewonnen. Spezifische Typen sensibler Informationen innerhalb eines Unternehmens zu identifizieren und diese Informationen stärker zu sichern als andere, ist zu einer drängenden Notwendigkeit geworden. Dabei gehören Perimeter-Sicherheit und Verschlüsselung zusammen. War es bisher die IT-Abteilung, die sich darum gekümmert hat, ob und wie Verschlüsselung eingeführt und umgesetzt wird, sind jetzt zunehmend die Fachverantwortlichen der betreffenden Abteilung und die Geschäftsführung für die Entscheidungsfindung zuständig. Die wachsende Zahl der bekannt gewordenen Datenschutzverletzungen, aber vor allen die regulatorischen Anforderungen haben diese Entwicklung begünstigt. Die empfindlichen Strafen, die mit der Nichteinhaltung der Richtlinien verbunden sind, werden zusätzlich dafür sorgen, dass Verschlüsselung im Besonderen und Datenschutz im Allgemeinen dauerhaft auf der Agenda von Geschäftsführungs- und Vorstandsebene angesiedelt sind.
*Kai Zobel ist Regional Director bei Thales eSecurity.
Be the first to comment