UPGREAT Blog

End-To-End-verschlüsselung im Unternehmen – welche Lösungen sind wirksam?

Die Digitalisierung hat in der Wirtschaft vieles erleichtert und Unternehmen zahlreiche neue Möglichkeiten eröffnet. So sind heutzutage zum Beispiel die globale Kommunikation zwischen Mitarbeitenden und Kunden beziehungsweise der weltweite Vertrieb der eigenen Produkte dank der Digitaltechnik ebenso selbstverständlich wie die Fernüberwachung von Maschinen und die zentrale Erfassung und Verarbeitung von Kundendaten. Allerdings haben die Folgen der Digitalisierung – wie so oft bei technischen Neuerungen – nicht nur positive Seiten.

Ein wichtiger Punkt ist dabei die Datensicherheit. Unternehmen müssen einerseits für die Sicherheit ihrer Daten sorgen, dürfen andererseits aber auch kein zu kompliziertes System einführen, das die Mitarbeitenden bei ihren täglichen Aufgaben behindert. Werfen wir also einen Blick auf die Möglichkeiten, wie sich Daten wirksam schützen lassen. Dieser Blog liest sich etwas technischer als üblich, doch wir hoffen die Lektüre erklärt Risiko und Lösung dennoch verständlich. Sonst gerne kommentieren oder fragen.

Wie lassen sich Daten schützen?

Bei der Übertragung von Daten gibt es drei Möglichkeiten, diese abzufangen:

  1. beim Versender
  2. beim Empfänger und
  3. während der Übertragung.
Die ersten beiden Varianten sind – wenn gezielt Daten abgefangen werden sollen – meist zu aufwändig, da das jeweilige Endgerät des Nutzers kompromittiert werden müsste. Entsprechend liessen sich nur Übertragungen dieses Nutzers abgreifen, was für professionelle Cyberkriminelle nur in wenigen Fällen von Interesse ist. Dementsprechend ist Variante drei die gebräuchlichste, denn mit ihr können grosse Mengen an Daten gestohlen werden, sofern die Daten nicht anderweitig geschützt sind.

Beim Schutz von Daten während der Übertragung sind grundsätzlich zwei Herangehensweisen denkbar. Zum einen gibt es die serverseitige Verschlüsselung, bei der der Server für die Ent- und Verschlüsselung von Daten verantwortlich ist, bevor diese weiter übertragen werden. Auf diese Weise lassen sich Daten schützen, die ausserhalb des Systems, etwa bei einem Cloud-Anbieter, gelagert werden. Selbstverständlich sind auch Übertragungen zwischen Server und einem Endnutzer innerhalb des Systems verschlüsselt, sodass sich Daten während der Übertragung nicht ohne Weiteres abfangen und auslesen lassen. Allerdings gibt es bei der serverseitigen Verschlüsselung ein grosses Problem: Der Server ist die zentrale Stelle für die gesamte Verschlüsselung und somit als Ziel für Angreifer äusserst interessant. Gelingt es Kriminellen, den Server zu „knacken“, haben sie damit Zugriff auf die Schlüssel für die Codierung der Daten und damit auch auf sämtliche verschlüsselten Informationen.

Die clientseitige Verschlüsselung umgeht dieses Problem, denn hier werden die Daten vor der Übertragung vom Endnutzer verschlüsselt und erst vom Empfänger wieder decodiert. Man spricht hier daher auch von Ende-zu-Ende-Verschlüsselung oder end-to-end encryption (E2EE). Der Vorteil dieser Variante liegt klar auf der Hand: Um an die Daten zu kommen, müssten Angreifer in eines der Endgeräte eindringen, was für den „Nutzen“ schlichtweg zu aufwändig ist. Aus diesem Grund wird im privaten Bereich inzwischen viel mit der clientseitigen Verschlüsselung gearbeitet, im gewerblichen Umfeld allerdings nicht – und das hat einen Grund.

E2EE ist zu kompliziert für Unternehmen - oder doch nicht?

Die Ende-zu-Ende-Verschlüsselung bietet zwar ein hohes Mass an Sicherheit, stellt Unternehmen jedoch vor neue Probleme. Da bei dieser Variante niemand ausser dem Sender und dem Empfänger Zugriff auf die entschlüsselten Daten hat, verliert der Administrator die vollständige Kontrolle über das System – und das gilt gerade in grossen Unternehmen und Organisationen zu Recht als Problem. Zudem können sich durch die Ende-zu-Ende-Verschlüsselung rechtliche Fragen ergeben, etwa, weil bei einer Buchprüfung nicht alle Daten verfügbar sind.

Um diese Hindernisse zu umgehen, haben einige Anbieter und Firmen Lösungen entwickelt, die sie über ihr bestehendes System „stülpen“ können. Das macht das Ganze aber recht kompliziert und ist zudem nicht so sicher wie eine echte Ende-zu-Ende-Verschlüsselung. Mit Nextcloud existiert jedoch auch eine Lösung, die sämtliche Vorteile einer end-to-end encryption besitzt, für die Endnutzer leicht zu bedienen ist und alle für Systemadministratoren nötigen Funktionen bietet.

Bei Nextcloud muss sich der Nutzer nur einmalig auf seinem Gerät anmelden und seine Identität verifizieren lassen, dann kann er verschlüsselt Daten verschicken. Der zur Decodierung nötige Schlüssel wird jeweils auf dem Endgerät des Nutzers erzeugt und nur verschlüsselt zum Server übertragen. Auf diese Weise ist sichergestellt, dass nur vom Nutzer autorisierte Personen den Schlüssel verwenden und so Daten decodieren können.

Für Systemadministratoren gibt es darüber hinaus die Möglichkeit, einen Wiederherstellungsschlüssel zu erzeugen, mit dem sich verschlüsselte Daten notfalls retten lassen. In diesem Fall werden alle Endnutzer auf diesen Umstand hingewiesen, ausserdem wird der Schlüssel nur einmalig erzeugt und kann dann nicht mehr abgerufen werden. So ist sichergestellt, dass Angreifer den Wiederherstellungsschlüssel nicht im Geheimen erzeugen oder nach der Erstellung durch den Systemadministrator nutzen können.

Schützen Sie Ihre Daten – mit Unterstützung von UPGREAT

Wollen Sie Ihre Daten besser vor Angriffen schützen, wenden Sie sich vertrauensvoll an uns. Unsere erfahrenen Experten  beraten Sie gerne zu allen Fragen rund um die Sicherung von Daten und Systemen, und mit unserem Nextcloud-as-a-Service-Angebot erhalten Sie umfassende Leistungen aus einer Hand. Wir verfolgen einen ganzheitlichen Ansatz, der Sie und Ihre Mitarbeitenden effektiv entlastet. 

Topics: Security, Sophos