adesso Blog

Bild von einem Schloss

Eine der wichtigsten Technologien, die versucht unsere Daten, sowie unsere Privatsphäre, zu schützen ist schon seit langem die Verschlüsselung. Aufgrund der steigenden Cyberkriminalität und den verstärkten Auflagen, die aus dem Datenschutz entstehen, wird dieses Thema sowohl im privaten wie auch im geschäftlichen Umfeld immer wichtiger. In vielen Fällen kann der unsachgemässe Umgang mit kritischen oder personenbezogenen Daten daher mittlerweile auch rechtliche Konsequenzen mit sich bringen. In diesem Blogbeitrag zeige ich Ihnen die wichtigsten Perspektiven zu diesem Thema auf.

In welchen Bereichen kommt die Verschlüsselung zum Zug?

Besonders wichtig wird die Verschlüsselung, wenn unsere wertvollen Daten, egal ob geschäftlich oder privat, auf Datenträgern abgespeichert werden, die man leicht verlieren kann. Wie zum Beispiel auf einem USB-Stick, einer externen Festplatte oder auch nur schon beim Speichern unserer Daten in der Cloud, wo wir wenig Kontrolle darüber haben was effektiv mit unseren Daten geschieht. Hier lohnt es sich, auf eine starke Verschlüsselungsmethode zurückzugreifen, um den bestmöglichen Schutz zu gewährleisten. Was in der Theorie oft einfach klingt, wird in der Praxis aber meist vernachlässigt – vor allem unter Privatanwender:innen.

Ein Überblick zum Dschungel der Verschlüsselungsmethoden

Welche der vielen verschiedenen Verschlüsselungsmethode sollte aber nun angewendet werden? Und in welchem Umfeld eignet sich welche Methode am besten? Hierzu machen wir einen kurzen Abstecher in die Vergangenheit:

Die Kunst der Verschlüsselung selbst existiert bereits seit Jahrhunderten und hat sich ihren Platz in der Geschichte der Menschheit gesichert – egal ob Cäsar-Chiffre oder um nicht ganz so weit in der Geschichte zurückzublicken, die Enigma Maschine.

Viele der heutigen Verschlüsselungstechniken finden ihren Ursprung daher in der Vergangenheit und es kommen immer wieder neue, verbesserte oder weiterentwickelte Verschlüsselungsmethoden auf den Markt. Um dem ständig wachsenden Bedarf an Datensicherheit und stärkeren Schutzmassnahmen gerecht zu werden, ist es daher nicht leicht, sich für die richtige Methode zu entscheiden. Die Anforderungen an Compliance und Datenschutzgrundverordnung (DSGVO) unterscheiden hier natürlich auch nochmals zwischen dem privaten Anwendungsbereich und dem Geschäftlichen.

Das Grundprinzip der Verschlüsselung bleibt hierbei aber fast immer gleich, wir arbeiten mit einem oder mehreren Schlüsseln, die wir zum Verschlüsseln und Entschlüsseln der Daten benötigen. Hierbei gibt es verschiedene Methoden und die bekanntesten davon sind wohl die symmetrische und die asymmetrische Verschlüsselung.

  • In der symmetrischen Verschlüsselung, z.B. AES-256, arbeiten wir mit dem gleichen Schlüssel zum Ver- und Entschlüsseln einer Nachricht oder einer Datei, hierbei gilt auch wie bei Passwörtern, je länger der Schlüssel ist, desto mehr Sicherheit kann durch die Verschlüsselung gewährleistet werden.
  • In der asymmetrischen Verschlüsselung verhält sich das Prinzip etwas anders. Der Absender verschlüsselt die Datei(en) mit einem öffentlichen Schlüssel (dem sogenannten „Public Key“) des Empfängers. Der wiederum kann die Verschlüsselung der Datei(en) dann wieder mit einem privaten Schlüssel (dem sogenannten „Private Key“) aufheben. Hier arbeiten wir entsprechend nicht mehr mit einem, sondern mit zwei Schlüsseln.

Es gibt viele weitere und verschiedene Verfahren zur Verschlüsselung, nicht nur symmetrische oder asymmetrische. Zu den bekanntesten Arten der Verschlüsselungsverfahren zählen nebst AES unter anderem RSA, DES, Triple-DES und Twofish.

Trotz dem Bekanntheitsgrad finden aber heute nicht mehr alle davon eine Anwendung in der Praxis. Bspw. ist die Verschlüsselungsmethode DES (Data Encryption Standard) kaum mehr im Einsatz, da diese Verschlüsselung bereits 1994 von einem Duzend Geräten innerhalb von rund 50 Tagen geknackt werden konnte, je nach Rechenleistung. Bei dem heutigen Stand der Technik sprechen wir hier also nur noch von wenigen Sekunden, die eine DES Verschlüsselung einem Brute-Force-Angriff standhalten könnte.

Quantencomputing und Verschlüsselung – ein Dreamteam oder Risikofaktor?

Zunehmend hält auch Quantencomputing in der Verschlüsselung seinen Einzug. Wie bereits beschrieben, ist die Schlüssellänge, wie z.B. bei AES-265 mit entsprechend 265 Bit Schlüssellänge, mit unter der ausschlaggebende Faktor für die Sicherheit. Einige Verfahren, wie RSA-4096 arbeiten heute sehr zuverlässig auf 4096 Bit Schlüssellänge. Sollte aber in einigen Jahren die Möglichkeit bestehend auch diese Verschlüsselung innerhalb weniger Stunden oder gar Minuten zu knacken, so wäre der heutige Standard, der von vielen Unternehmen zum Schutz verwendet wird sowohl für internen Daten wie aber auch für die Kundendaten wieder ein Sicherheitsrisiko.

Aus der anderen Perspektive betrachtet könnte die Rechenleistung von Quantencomputern aber auch wieder neue Methoden der Verschlüsselung hervorbringen. Hier kommen wir also auch langsam zum Problem, das von der immer schnelleren Entwicklung der Technologie ausgeht: Es entsteht eine Art Teufelskreis für die sicherste Verschlüsselungsmethode und die schnellste Entschlüsselung.

Die Natur als Vorbild

Einige Ansätze für neuartige Verschlüsselungsmethoden, nebst Quantencomputing, verbinden die Natur und was uns durch die Biologie gegeben ist mit der klassischen Informatik. In Korea konnte mithilfe von Lichtbrechung durch den Faden einer Seidenraupe ein neues Verfahren entwickelt werden, was in der Theorie 5 hoch 1041 Jahre benötigen würde, um die Verschlüsselung zu durchbrechen. Mit steigender Rechenleistung wird aber auch dieses Verfahren eines Tages zu schwach sein, um in der Praxis eine Anwendung zu finden.

Fazit

Zurückkommend auf die Frage, welche Verschlüsselungsmethode nun also angewendet werden sollte: Es gibt keine abschliessende Antwort darauf, welche Verschlüsselungsmethode sich am Besten eignet, solange man natürlich auf ältere Verfahren verzichtet, die heute bereits nachweislich innerhalb weniger Minuten oder Sekunden entschlüsselt werden können. Es liegt an uns zu bestimmen, was uns unsere Daten wert sind und ob wir im privaten oder geschäftlichen Bereich mit entsprechenden Auflagen oder Mindestanforderungen agieren. Eine entsprechende Klassifizierung der Daten ist daher die Grundvoraussetzung die den Schutzbedarf und somit auch den Verschlüsselungsfaktor in punkto Sicherheit bestimmen sollte.

Bild Michael Ruppe

Autor Michael Ruppe

Michael Ruppe ist seit Juni 2022 bei der adesso Schweiz AG als CISO in Zürich tätig. Mit rund 8 Jahren Erfahrung in der IT und IT-Sicherheit hat er sich der dem Thema voll und ganz verschrieben. Er verantwortet in seiner Rolle die Einhaltung und Aufrechterhaltung der Informationssicherheit an allen Standorten in der Schweiz.

Kategorie:

Methodik

Schlagwörter:

IT-Sicherheit

Security

Diese Seite speichern. Diese Seite entfernen.