Was ist Verschlüsselung und wie funktioniert sie?

Die Verschlüsselung zerwürfelt Daten so, dass sie von niemandem außer von autorisierten Parteien gelesen werden können. Bei der Verschlüsselung wird mithilfe eines kryptografischen Schlüssels Klartext in chiffrierten Text umgewandelt. Ein kryptografischer Schlüssel ist eine Reihe von mathematischen Werten, die sowohl dem Absender als auch dem Empfänger bekannt und miteinander abgestimmt sind.

Die Entschlüsselung bzw. Übersetzung der verschlüsselten Daten ist für jeden möglich, der im Besitz des richtigen Schlüssels ist. Deshalb entwickeln Kryptographie-Spezialisten immer ausgefeiltere und komplexere Schlüssel. Bei einer sichereren Verschlüsselung werden Schlüssel verwendet, die so komplex sind, dass Hacker den Prozess der vollständigen Entschlüsselung (auch bekannt als „Brute force“-Angriff) für praktisch unmöglich halten.

Daten können verschlüsselt werden, wenn sie „in Ruhe“ (im Speicher) oder „im Transit“ (während der Übertragung) sind. Es gibt zwei Hauptkategorien der Verschlüsselung: symmetrisch und asymmetrisch.

Bei der symmetrischen Verschlüsselung gibt es nur einen Schlüssel, und alle Beteiligten verwenden denselben geheimen Schlüssel.
Die asymmetrische Verschlüsselung wird so genannt, weil sie mehrere Schlüssel nutzt: einen für die Verschlüsselung und einen für die Entschlüsselung. Während der Verschlüsselungsschlüssel öffentlich ist, ist der Entschlüsselungsschlüssel privat.

Warum ist Datenverschlüsselung notwendig?

Datenschutz: Nur der Eigentümer und der Empfänger der Daten können diese lesen, was Angreifer, Internetanbieter und sogar Regierungen daran hindert, sensible Daten abzufangen.

Sicherheit: Verschlüsselung hilft, Datenschutzverletzungen zu verhindern. Wenn ein Firmengerät verloren geht oder gestohlen wird, aber sein Inhalt verschlüsselt ist, sind die Daten immer noch sicher.

Datenintegrität: Die Verschlüsselung verhindert auch böswilliges Verhalten wie On-Path-Angriffe (Abfangen von Informationen während der Übertragung), da verschlüsselte Daten unterwegs nicht eingesehen oder manipuliert werden können.

Richtlinien: Viele Branchen- und Regierungsrichtlinien verlangen von Unternehmen die Verschlüsselung von Benutzerdaten, z. B. HIPAA, PCI-DSS und DSGVO. US-Regierungsbehörden und Auftragnehmer müssen die FIPS (Federal Information Processing Standards) anwenden.

Verschlüsselungsalgorithmen

Ein Verschlüsselungsalgorithmus bezieht sich auf die Art und Weise, wie Daten in verschlüsselten Text umgewandelt werden. Der Verschlüsselungsschlüssel wird vom Algorithmus verwendet, um die Daten ständig zu verändern, damit sie zwar zufällig aussehen, aber mit dem Entschlüsselungsschlüssel leicht wieder in Klartext umgewandelt werden können. Zu den gebräuchlichen Verschlüsselungsalgorithmen gehören AES, 3-DES, SNOW (alle symmetrisch) sowie die Kryptographie mit elliptischen Kurven und RSA (beide asymmetrisch).

Wie alle asymmetrischen Verschlüsselungen verwendet RSA die Primfaktorzerlegung (Multiplikation zweier sehr großer Primzahlen). Das Knacken dieser Verschlüsselungen ist sehr schwierig, da die ursprünglichen Primzahlen ermittelt werden müssen, was mathematisch sehr anspruchsvoll ist. Es ist nahezu unmöglich, einen RSA-Schlüssel mit roher Gewalt (Brute Force) zu knacken.

Brute force

Wenn ein Computer Millionen oder sogar Milliarden von Versuchen unternimmt, ein Passwort oder einen Entschlüsselungscode zu knacken, spricht man von einem Brute-Force-Angriff. Moderne Computer können diese möglichen Permutationen unglaublich schnell durchgehen. Eine moderne Verschlüsselung muss deshalb gegen diese Art von Angriffen gewappnet sein. Die Kryptographie ist ein ständiges Wettrüsten zwischen denjenigen, die schnellere Wege zum Knacken von Verschlüsselungen entwickeln, und denjenigen, die noch ausgefeiltere Verschlüsselungsmethoden entwickeln.

Andere Arten der Verschlüsselung

Verschlüsselung von Cloud-Speichern: Daten oder Text werden mit Hilfe von Verschlüsselungsalgorithmen umgewandelt und dann in einem Cloud-Speicher abgelegt. Ähnlich wie bei der firmeninternen Verschlüsselung, nur dass der Kunde herausfinden muss, wie die verschiedenen Verschlüsselungsstufen des Anbieters seinen Bedürfnissen in Bezug auf Sicherheit/Datenempfindlichkeit entsprechen

Bestreitbare Verschlüsselung: Verschlüsselung mit mehreren möglichen Verschlüsselungsarten, die zu Fehlinformationszwecken verwendet wird, wenn Daten bei der Übertragung abgefangen werden können oder sollen.

FDE (Full-Disk-Encryption): Verschlüsselung auf Hardwareebene. Die Daten auf einer Festplatte werden automatisch verschlüsselt und sind für alle unlesbar, die nicht den richtigen Authentifizierungsschlüssel verfügen. Die Festplatte ist ohne den Schlüssel in allen Computern völlig nutzlos.

BYOE (Bring Your Own Encryption): ein Cloud-Computing-Sicherheitsmodell, das es Kunden ermöglicht, eine virtuelle Instanz ihrer eigenen Verschlüsselungssoftware zusammen mit ihrer in der Cloud gehosteten Anwendung anzuzeigen. Auch bekannt als BYOK.

EaaS (Encryption as a Service): ein Abonnementdienst für Cloud-Kunden, die ihre Verschlüsselung nicht selbst verwalten können. Einschließlich FDE, Datenbankverschlüsselung oder Dateiverschlüsselung.

E2EE (End to End Encryption): schützt Daten bei der Übertragung. Nachrichten wie WhatsApp werden von der Client-Software verschlüsselt, an einen Web-Client weitergeleitet und dann vom Empfänger entschlüsselt.

Verschlüsselung auf Feldebene: Daten in bestimmten Feldern der Webseite, die verschlüsselt sind (z. B. SSN, Kreditkartennummern, Gesundheits-/Finanzdaten). Alle Daten in einem ausgewählten Feld werden automatisch verschlüsselt.

Verschlüsselung auf Spaltenebene: ein Ansatz, bei dem alle Zellen in derselben Spalte das gleiche Passwort für den Zugriff und das Lesen/Schreiben nutzen.

Verschlüsselung auf Verbindungsebene: Verschlüsselt die Daten, wenn sie den Host verlassen, entschlüsselt sie am nächsten Verbindungspunkt und verschlüsselt sie erneut, wenn sie erneut gesendet werden. Es muss nicht bei jedem Link derselbe Schlüssel/Algorithmus verwendet werden.

Verschlüsselung auf Netzebene: Kryptodienste auf Netzübertragungsebene werden durch Internet Protocol Security (IPSec) realisiert, das einen privaten Rahmen für die Kommunikation über IP-Netze schafft.

Homomorphe Verschlüsselung: die Umwandlung von Daten in chiffrierten Text, der noch eine Analyse und Arbeit ermöglicht, als ob er nicht verschlüsselt wäre. Nützlich für mathematische Arbeiten, die durchgeführt werden können, ohne die Verschlüsselung zu knacken.

HTTPS: ermöglicht die Verschlüsselung von Websites, indem HTTP über das TLS-Protokoll läuft. Damit ein Webserver die von ihm gesendeten Inhalte verschlüsseln kann, muss ein öffentlicher Schlüssel installiert sein.

Quantenkryptographie: beruht auf der Quantenmechanik zum Schutz von Daten. Quantenkodierte Daten können nicht gemessen werden, ohne die Werte dieser Eigenschaften (Ort und Impuls) zu verändern. Jeder Versuch, die Daten zu kopieren oder auf sie zuzugreifen, führt zu einer Veränderung der Daten, sodass autorisierte Parteien über einen Angriff informiert werden.

Wie kann Verschlüsselung deinem Unternehmen helfen?

Cybersicherheitsstrategien müssen auch die Datenverschlüsselung einbeziehen, insbesondere da immer mehr Unternehmen Cloud-Computing nutzen. Es gibt mehrere Möglichkeiten, wie die Verschlüsselung den Unternehmensbetrieb unterstützen kann.

E-Mail-Verschlüsselung: Da E-Mails für die unternehmensweite Kommunikation und die Geschäftsabläufe von grundlegender Bedeutung sind, werden sie von böswilligen Akteuren für Angriffe genutzt oder versehentlich offengelegt. Branchen wie Finanzdienstleistungen oder das Gesundheitswesen sind stark reguliert, aber die Durchsetzung kann schwierig sein, vor allem bei E-Mails, wo sich die Endnutzer oft gegen eine Änderung der Standardbetriebsverfahren wehren. Betriebssysteme und gängige E-Mail-Clients können mit Verschlüsselungssoftware erweitert werden, wodurch das Senden einer verschlüsselten E-Mail genauso einfach ist wie das Senden einer unverschlüsselten.

Big Data: kontinuierlicher Datenschutz für die Einhaltung von Datenschutzbestimmungen, sichere Cloud-Analysen, Verschlüsselungs- und Tokenisierungstechnologien für Cloud-Übertragungen. Die Verschlüsselung kann den Multi-Cloud-Betrieb durch Zentralisierung des Datenschutzes optimieren. Immer, wenn sensible Daten in Multi-Cloud-Umgebungen übertragen werden, werden sie durch diese Technologien verschlüsselt.

Sicherheit im Zahlungsverkehr: Händler, Zahlungsabwickler und Unternehmen stehen gleichermaßen vor großen Herausforderungen bei der Sicherung hochwertiger sensibler Daten, z. B. der Daten von Karteninhabern, damit sie den PCI DSS (Payment Card Industry Data Security Standard) und Datenschutzgesetze einhalten. Verschlüsselungssoftware kann jedoch POS-, Web- und mobile E-Commerce-Transaktionen im Einzelhandel schützen.

Zusätzlich zu den oben genannten Diensten und Schutzfunktionen der Verschlüsselung bietet sie Vertraulichkeit (Verschlüsselung des Inhalts einer Nachricht), Authentifizierung (Überprüfung des Ursprungs einer Nachricht), Unleugbarkeit (verhindert glaubwürdige Leugnung des Versands einer verschlüsselten Nachricht) und Integrität (beweist, dass der Inhalt einer Nachricht nicht manipuliert wurde).

Gibt es Nachteile der Verschlüsselung?

Die Verschlüsselung soll verhindern, dass unbefugte Personen an die unbefugt erworbenen Daten gelangen. In manchen Situationen kann sie jedoch auch den Eigentümer der Daten ausschließen. Die Verwaltung von Schlüsseln ist für Unternehmen schwierig, da sie irgendwo untergebracht werden müssen und Angreifer oft sehr geschickt nach ihnen suchen. Die Schlüsselverwaltung macht die Sicherung und Wiederherstellung zusätzlich kompliziert, da im Katastrophenfall das Abrufen der Schlüssel und das Hinzufügen zu den Sicherungsservern zeitaufwändig ist. Administratoren müssen einen Plan für den Schutz des Schlüsselverwaltungssystems haben, z. B. eine separate Sicherungskopie, die im Falle einer groß angelegten Katastrophe leicht wiederhergestellt werden kann.

Es gibt Software zur Rationalisierung der Schlüsselverwaltung, z. B. Key Wrapping. Damit werden die Verschlüsselungsschlüssel einer Organisation verschlüsselt, einzeln oder in großen Mengen. Sie können bei Bedarf entschlüsselt werden, normalerweise mit symmetrischer Verschlüsselung.

Obwohl Brute-Force-Angriffe gegen High-Bit-Schlüssel unwirksam sein können, gibt es Schwachstellen. Viele Versuche konzentrieren sich darauf, über Social-Engineering-Methoden unbefugten Zugang zu Schlüsseln zu erlangen. Das bedeutet, dass nicht das System, sondern die Menschen angegriffen werden, die es warten und mit ihm interagieren. Phishing, Malware, BadUSB-Angriffe: Es gibt viele Methoden, mit denen Hacker die

Die softwarebasierte Verschlüsselung gilt ebenfalls als weniger sicher als die hardwarebasierte Verschlüsselung. Die softwarebasierte Verschlüsselung wird von einigen als „entfernbare Verschlüsselung“ bezeichnet, da sie von böswilligen Akteuren durch physische Angriffe umgangen werden kann. Die hardwarebasierte Verschlüsselung gilt oft als sicherer, da sie physische Schutzmechanismen zur Verhinderung von Manipulationen einschließt.