- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Verschlüsselung - auch eine Frage der Compliance


Im internationalen Geschäftsverkehr sowie im Umgang mit Personendaten gelten verbindliche Vorgaben zum Datenschutz
Ein Weg, um diese zu erfüllen: Eine konsequente Verschlüsselung beim E-Mail-Verkehr und der Datenübertragung

Autor Marcel Mock
Autor Marcel Mock Compliance mit Verschlüsselung gewährleisten, Bild: totemo

Von Marcel Mock, CTO und Mitbegründer von totemo (*)

(05.05.15) - Global tätige Unternehmen aller Branchen sind neben nationalen Regeln auch an landesübergreifende Gesetze gebunden. Innerhalb der EU gehört dazu beispielsweise die European Union Data Protection Directive (EU DPD). Die Datenschutz-Richtlinie 95/46/EG regelt den Schutz der Privatsphäre natürlicher Personen im Zusammenhang mit der Verarbeitung von Daten. Da alle EU-Mitgliedsstaaten zur Umsetzung in nationales Recht verpflichtet waren, sind die Bestimmungen für alle in Europa tätigen Organisationen verbindlich.

Darüber hinaus existiert eine Vielzahl unterschiedlicher Regulatorien für einzelne Branchen. So hat sich etwa in der Gesundheitsbranche mit dem Health Information Portability and Accountability Act (HIPAA) ein Standard etabliert. Das US-Bundesgesetz beinhaltet umfassende Regelungen zum amerikanischen Gesundheitssektor und zu Krankenversicherungen. HIPAA schreibt nicht nur generell den Schutz von Patienteninformationen vor, sondern insbesondere deren verschlüsselte Übertragung. Auch im US-Gesundheitssektor aktive europäische Unternehmen sind an diese Vorschriften gebunden.

Spezielle Datenschutzbestimmungen gelten auch im Finanzumfeld. Ein bekanntes Regelwerk ist beispielsweise der Payment Card Industry Data Security Standard (PCI DSS) für die Abwicklung von Kreditkartentransaktionen. Es enthält zwölf verbindliche Anforderungen an Rechnernetze von Unternehmen, die Kreditkarten-Transaktionen übermitteln, speichern oder abwickeln.

Verschlüsselung: Mangelnde Verbindlichkeit weltweiter Standards
Eine probate Maßnahme, um Daten Compliance-konform zu sichern, ist die Verschlüsselung. Das gilt sowohl für den Datentransfer als auch für die Kommunikation via E-Mail. Entscheidend für die Sicherheit: Die Daten sind auf dem gesamten Weg vom Absender bis zum Empfänger verschlüsselt, nur der berechtigte Adressat kann entschlüsseln. Unabhängig von Provider und Verbindungsart funktioniert dies auch in ungesicherten Netzen: Wer auch immer Verbindungen anzapft und Daten abgreift, bekommt nur Datenmüll zu sehen. Das gilt für die Kommunikation zwischen stationären Arbeitsgeräten ebenso wie für mobile Endgeräte.

Aus welchen Gründen verzichten Verantwortliche dennoch immer noch auf Verschlüsselung? Ein Manko ist das Fehlen verbindlicher Standards. Zu den wichtigsten Verfahren für die sichere Datenübertragung gehören HTTPs, FTPS sowie SFTP und SCP. Für welches sich ein Unternehmen entscheidet, hängt von der vorhandenen IT-Infrastruktur sowie den begleitenden Komponenten ab. Bisher hat sich jedoch noch kein Standard universell durchgesetzt.

Für die E-Mail-Verschlüsselung existieren mit S/MIME und PGP weltweit zwei etablierte Verfahren – auch wenn sie nicht miteinander kompatibel sind. Im geschäftlichen Umfeld zeichnet sich ein Trend zum Einsatz von S/MIME ab, da die gängigen kommerziellen E-Mail-Clients diesen Standard in der Regel von Haus aus unterstützen. Für Unternehmen, die S/MIME zusammen mit einer eigenen Schlüsselverwaltung (PKI) betreiben, entsteht ein zusätzlicher Nutzen: Sie haben damit gleichzeitig auch eine Lösung für Digitale Signaturen. Diese ist anerkannt und auch nach dem deutschen Signaturgesetz gültig.

Auf der sicheren Seite
Dennoch: Auch wenn sich bisher keiner der beiden Standards flächendeckend durchsetzen konnte, ist die sichere Ende-zu-Ende-Verschlüsselung heute schon einfach zu realisieren. Der Markt bietet Lösungen, die E-Mail-Verschlüsselung sowohl auf Basis von S/MIME als auch von PGP umsetzen und darüber hinaus auch alternative Verfahren für die Kommunikation mit Empfängern bieten, die keinen der beiden Standards einsetzen.

Dafür eignen sich Push- und Pull-Verfahren:
• >>
Beim Pull-Verfahren werden die Nachrichten des Versenders verschlüsselt auf einem internen Server des Unternehmensnetzwerks abgelegt. Der Empfänger erhält darüber eine automatisierte Benachrichtigung. Er kann dann die für ihn bestimmte Nachricht per Browser über gesicherte Übertragungskanäle abholen.
• >> Beim Push-Verfahren wird die E-Mail des Absenders durch die eingesetzte Lösung automatisch in das HTML- oder PDF-Format konvertiert und an eine neue E-Mail angehängt. Der Empfänger kann den verschlüsselten Anhang mit einem persönlichen Passwort öffnen.

Sicherheit mit Konzept
Die Fülle der Standards erschwert häufig den Auswahlprozess für die IT-Verantwortlichen. Aus diesem Grund empfiehlt sich die Zusammenarbeit mit Spezialisten, die bei der Bedarfsermittlung und Realisierung einer passenden Lösung helfen. Unternehmen sollten daher zunächst ihre Anforderungen definieren und festlegen, welche Anwendungsfälle es abzudecken gilt.

Beispiel Compliance: Die meisten Unternehmen führen regelmäßig Sicherheits-Audits durch, um die Einhaltung von HIPAA, PCI DSS, EU-Regeln oder einem der vielen anderen Compliance-Standards zu überprüfen und nachzuweisen. Für diese Organisationen gehört die Auditfähigkeit (Auditability) zu den zentralen Anforderungen an eine IT-Lösung. Das bedeutet, das System muss in der Lage sein, alle Aktionen und Ereignisse in Zusammenhang mit den verwalteten Daten unveränderbar aufzuzeichnen. Nur so lässt sich die Nachvollziehbarkeit und Transparenz erreichen, die für das Umsetzen der verbindlichen Compliance-Vorgaben erforderlich sind.

Auch die Experten des Hightech-Verbandes Bitkom raten dazu, individuell abgestimmte IT-Sicherheitskonzepte zu entwickeln. Unternehmen sollten generell feste Sicherheitsregularien etablieren, die über sämtliche Hierarchien hinweg für alle Mitarbeiter verbindlich sind. So können international agierende Unternehmen ihre Daten wirksam schützen – und sich selbst vor bösen Überraschungen, wenn es gilt, die Compliance-Konformität nachzuweisen.

(*) Der Autor:
Marcel Mock ist CTO und Mitbegründer des Schweizer Sicherheitsexperten totemo. Davor war er als Head of Software Development bei WebSemantix AG tätig sowie als Consultant bei IBM Deutschland. Marcel Mock besitzt einen BS in Wirtschaftsinformatik von der staatlichen Studienakademie Glauchau.
(totemo: ra)

Lesen Sie auch den Schwerpunkt:
"IT-Sicherheit im Kontext von Compliance"

totemo: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Ransomware: Es kommt schlimmer

    Seit ich im Jahr 2014 meine erste Keynote zu diesem Thema gehalten habe beschäftige ich mich mit Ransomware-Prognosen. Seinerzeit wagte ich etwa ein Dutzend Vorhersagen und tatsächlich sind alle eingetroffen. Vor kurzem wurde ich gebeten einen Beitrag für das ITSP Magazine beizusteuern. Und dieses Mal sollten die Prognosen nicht nur spezifischer sein, sondern die Sache auf die Spitze treiben. Sprich, welche Prognosen kommen dabei heraus, wenn man die aktuellen Szenarien bis zu Ende denkt. Soviel lässt sich sagen, alle sind einigermaßen beängstigend. Soeben hat eine Analyse von @David Formby eine der schlimmsten Befürchtungen bestätigt: Kritische Infrastrukturen geraten zunehmend ins Visier von Ransomware-Attacken (Targeting Critical Infrastructure for Ransom). Im letzten Frühjahr litten vornehmlich Krankenhäuser unter der sogenannten SamSam-Ransomware, und im Rahmen unserer Incident Containment-Methode haben wir drei Dinge übereinstimmend festgestellt.

  • Von IT-Sicherheitsexperten lernen

    Die Varonis Blog-Autoren haben inzwischen mit etlichen Sicherheitsexperten aus den unterschiedlichsten Bereichen gesprochen: mit Penetrationstestern, Anwälten, CDOs, Datenschützern, IT-Experten und sogar einem IT-Security-Guru. Wir haben die wichtigsten Analysen und Tipps hier für Sie zusammengetragen. Die Weltformel: Das Internet der Dinge (IoT) ist ein guter Ausgangspunkt, um seine Lehren in Sachen IT-Sicherheit zu ziehen. Mit dem IoT, also dem Internet der Dinge mit seiner überwältigen Zahl an Geräten, werden Unternehmen und Endverbraucher mit praktisch allen Datenschutz- und Datensicherheitsproblemen konfrontiert, die man sich denken kann.

  • Lösegeld-Erpressung über Ransomware

    Die Erpressung von Lösegeld war im abgelaufenen Jahr weltweit das häufigste Motiv für Angriffe auf Netzwerke, Server und Anwendungen von Unternehmen und Organisationen. Das geht aus dem jetzt veröffentlichten Global Application and Network Security Report 2016-2017 von Radware hervor, in dem über 40 Prozent der knapp 600 befragten Unternehmen angaben, dass die Lösegelderpressung 2016 der häufigste Grund für Angriffe auf ihre Netzwerke gewesen sei. Speziell in Europa liegt dieser Wert mit 49 Prozent noch deutlich höher als im weltweiten Durchschnitt. Die Erpressung von Lösegeld erfolgt in der Regel über Ransomware oder über Ransom Denial of Service (RDoS). Ransomware nennt man einen Trojaner, einen Wurm oder eine andere Schadsoftware, die ein System unter ihre Kontrolle bringt und den legitimen Zugriff darauf unmöglich macht, bis ein Lösegeld gezahlt wird (und manchmal auch darüber hinaus). In der Regel werden dabei die Daten verschlüsselt, und das Opfer muss für die Entschlüsselung zahlen.

  • Volumetrische DDoS-Angriffe abwehren

    Experten sind sich einig. IoT-Geräte - gerade für Endverbraucher - bekommen mangelnde Sicherheit quasi automatisch mitgeliefert. Und wir in den letzten Wochen die Quittung. Für Sicherheitsspezialisten keine große Überraschung, sie warnen schon lange. Die jüngsten Angriffe aber haben gezeigt, in welche Dimensionen uns IoT-basierte Botnetze bei DDoS-Angriffen katapultieren und welche Schäden sie in der Lage sind anzurichten. Die Attacke auf den DNS-Provider Dyn im Oktober dieses Jahres war ein solcher Weckruf. Das prognostizierte Szenario ist keine bloß theoretische Annahme mehr, sondern real. Und es gibt Handlungsbedarf. Unternehmen und Verbraucher fragen sich angesichts einer steigenden Zahl von im Internet der Dinge verbundenen Geräten wie sie sich besser schützen können. Es ist kein großes Geheimnis, dass IoT-fähige Geräte aus sicherheitstechnischer Hinsicht wenig überzeugend sind. Die überwiegende Zahl von ihnen integriert kaum Sicherheitsmechanismen, und ist mit äußerst simplen Standard-Passwörtern ausgestattet. Das macht die Geräte für potenzielle Angreifer zu einer leichten Beute. Die Folge: Hacker machen sie beispielsweise zum Teil eines Botnetzes von dem DDoS-Angriffe mit enormer Bandbreite ausgehen können.

  • S/MIME und wie es funktioniert

    S/MIME, oder Secure/Multipurpose Internet Mail Extensions, ist eine relativ bekannte Technologie um E-Mails zu verschlüsseln. S/MIME basiert auf asymmetrischer Verschlüsselung, um E-Mails vor unerwünschtem Zugriff zu schützen. Zusätzlich dient S/MIME dazu E-Mails digital zu signieren, um den legitimen Absender einer Nachricht als solchen zu verifizieren. Das macht S/MIME zu einer effektiven Waffe gegen verschiedene Arten von Phishing-Angriffen. Das ist, kurz gefasst, worum bei S/MIME geht. Wenn es allerdings darum geht, S/MIME praktisch einzusetzen, taucht meist noch eine Reihe von Fragen beim Anwender auf.