Dateiverschlüsselung

Beim Familienunternehmen Max Muster & Sohn kann der Geldwert erheblich niedriger sein als bei Großunternehmen - er wird immer schmerzlich sein, wenn nicht gar für kleine Firmen. Eines der jüngsten herausragenden Ereignisse war der bereits kontroverse Fahrdienstleiter Uber, von dem Hackern etwa 57 Mio. (!) Personen die persönlichen Informationen geklaut hatten.

Ich möchte an dieser Stelle noch einmal das Problem der Chiffrierung aufgreifen. Nein, nicht die ungewollte, bösartige Chiffrierung (Ransomware!), die sich in letzter Zeit immer öfter und gewaltsamer dreht (Blog-Tipp: Ransomware: Wie können sich Firmen schützen). Die gute Chiffrierung, die einen geregelten Datenzugang erlaubt. Oh ja, ich kann schon die Stimme hören: "Verschlüsselung ist zu komplex, verbraucht zu viele Resourcen und ist giftig für die Leistung von Datenbeständen und Anwendungen".

Denn nur ein knappes Drittel aller Firmen verschlüsseln ihre eigenen Geschäftsunterlagen. Die DSGVO empfiehlt dagegen ausdrücklich die Datenverschlüsselung. Dadurch werden Firmen von der sofortigen Verpflichtung zur Meldung von Datenverlusten befreit. a) der für die Verarbeitung verantwortliche Sachbearbeiter angemessene Maßnahmen zur technischen und organisatorischen Sicherheit ergriffen hat und diese Maßnahmen auf die von der Zuwiderhandlung betroffene personenbezogene Information angewendet wurden, und zwar vor allem auf solche, die den Zugriff auf die persönlichen Informationen für alle nicht berechtigten Personengruppen, zum Beispiel durch Datenverschlüsselung, unmöglich machen, [....]" Kommen wir zu diesem Thema: Wann ist eine Datenverschlüsselung auf der Festplatte zweckmäßig?

Bei den meisten Geräten gibt es bereits eine eigene Betriebssystem-Verschlüsselung, z.B. Microsoft BitLocker für Windows oder Apple FileVault 2 für den Mac. Das werden Sie wahrscheinlich in Ihrem eigenen Betrieb wissen: Es ist aber auch deutlich, dass es sich bei der Festplatte zwar um eine wichtige verschlüsselte Datei handelt, aber nicht um ein Wundermittel. Dateiverschlüsselung: Welche Dateien sollen chiffriert werden? Welche Mitarbeitenden dürfen wann und wie oft auf welche Informationen zurückgreifen?

Was sind die wichtigsten Informationen für die obligatorische Verschlüsselung? Welche Informationen wissen wir heute noch nicht einmal, ob sie für die Verschlüsselung relevant sind? Wie verhält es sich, wenn die Vorschriften, nach denen solche Informationen als verschlüsselungsrelevante Informationen klassifiziert werden, fehlschlagen und gerade diese wichtige Information verschwindet? Weil alle Angaben gleichwertig sind, gleich schützenswert! Bei der weiteren Überlegung geht es dann darum, dass die Verschlüsselung sowohl bei der Ver- und Entschlüsselung als auch beim Datenzugriff durchsichtig bleibt.

Noch besser: Die Anwender merken diese auch nicht. Ich möchte die Sicherheitslösung SafeGuard von Syngenta als Beispiel herausgreifen. Die SafeGuard wurde von der Firma Utimaco, einem führenden Anbieter von IT-Sicherheitslösungen, entwickelt. Utimaco wurde von der Firma Syngenta zur Jahresmitte 2008 erworben und um SafeGuard erweitert. SafeGuard codiert den Inhalt, sobald er erstellt wird.

Eine ununterbrochene und störungsfreie Chiffrierung der Daten stört den Arbeitsablauf nicht. Egal ob die Daten auf Kollegen Lehmanns PC und Meier auf seinem Windows-Gerät ver- und entziffert werden, ob der Austausch von Daten nun extern oder extern stattfindet - SafeGuard ist praktisch. Interessierte sollten folgendes lesen: Der umfassende Fraunhofer-Bericht "Vertraulichkeitsschutz durch Verschlüsselung: Strategie und Lösung für Unternehmen" von 2015 Hier werden einzelne Einsatzszenarien umrissen.

Wollen Sie mehr über SafeGuard wissen? Am 21. März 2018 finden Sie in unserem Seminar "Basisdatenschutzverordnung und die Voraussetzungen für die IT-Sicherheit eines Betriebes - Entschlüsseln und Verschlüsseln" alle wichtigen Auskünfte.