Von Jocelyn Krystlik, Business-Unit-Manager bei Stormshield
Datenschutz wurde zwar durch verschiedene Regularien – darunter die Datenschutz-Grundverordnung (DSGVO) – stärker in den Fokus von Unternehmen gerückt, dennoch fehlt es häufig noch an ausreichender Sensibilisierung und einer gelebten Sicherheitskultur. Unternehmen müssen geeignete Maßnahmen ergreifen, um ihre Daten in zunehmend komplexen digitalen Umgebungen gegen immer raffiniertere Cyberkriminelle zu schützen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt im Bericht „Die Lage der IT-Sicherheit in Deutschland 2024“ einen Überblick über die aktuelle Bedrohungslage. Die Behörde beschreibt sie als „angespannt bis kritisch“. Pro Tag werden im Durchschnitt mehr als 70 neue Schwachstellen in Software-Produkten bekannt. Das stellt erneut einen deutlichen Anstieg gegenüber dem Vorjahr dar. Besonders betroffen sind kleine und mittlere Unternehmen, die oft über begrenzte Sicherheitsressourcen verfügen. Unternehmen fragen sich deshalb nicht mehr, ob sie angegriffen werden, sondern wann.
Neben der Absicherung ihrer Netzwerke müssen Organisationen auch Maßnahmen umsetzen, um die Folgen eines Angriffs zu minimieren. Eine der wirksamsten Methoden ist die Verschlüsselung, durch die vertrauliche Informationen für Unbefugte unlesbar werden – selbst dann, wenn ein Angreifer bereits Zugriff auf das System erlangt hat.
Cyberkriminelle auf Datensuche
Laut der Studie „Wirtschaftsschutz 2024“ des Bitkom e. V. waren in den letzten zwölf Monaten acht von zehn Unternehmen (81 Prozent) in Deutschland von Datendiebstahl, digitaler Spionage oder Sabotage betroffen. Der dadurch entstandene wirtschaftliche Gesamtschaden wird auf rund 148 Milliarden Euro pro Jahr geschätzt.
Auch die Behörden bestätigen diesen Trend: Das BSI berichtet, dass sowohl die Zahl als auch die Professionalität gezielter Angriffe auf Unternehmensnetzwerke in den vergangenen Jahren deutlich zugenommen haben. Besonders gefährlich sind sogenannte Man-in-the-Middle-Angriffe, bei denen sich Angreifer heimlich zwischen zwei Kommunikationspartner schalten und deren Datenverkehr abfangen oder manipulieren.
Verschlüsselung: eine notwendige Schutzmaßnahme
Das Ziel der Verschlüsselung besteht darin, Daten unlesbar zu machen, sodass nur autorisierte Nutzer mit dem passenden Schlüssel darauf zugreifen können. Nur wenn sie Ende zu Ende, also vom Ursprungsgerät bis zur Archivierungsplattform oder Weitergabe, angewendet wird, ist sie vollständig wirksam – insbesondere bei der Übertragung sensibler Daten in Cloud-Umgebungen.
Viele Unternehmen verlassen sich auf die Sicherheitsmechanismen ihrer Cloud- oder Software-Anbieter, die häufig serverseitige Verschlüsselung („at-rest encryption“) einsetzen. Wenn jedoch die Entschlüsselungsschlüssel außerhalb der eigenen Organisation verwaltet werden, geht die Kontrolle über vertrauliche Informationen verloren. Es ist daher entscheidend, dass die Entschlüsselungsschlüssel intern verbleiben, um Transparenz und Nachvollziehbarkeit der Zugriffe sicherzustellen.
Eine hohe Aufmerksamkeit gilt den sogenannten besonderen Kategorien personenbezogener Daten gemäß DSGVO – darunter Gesundheitsdaten, biometrische Informationen oder Angaben zur ethnischen Herkunft und religiösen Überzeugung. Diese Daten sind besonders sensibel und dürfen niemals unverschlüsselt auf Servern oder Speichermedien gespeichert werden.
Sicherheit und Benutzerfreundlichkeit: kein Widerspruch
Verschlüsselung wird manchmal im Interesse der Benutzerfreundlichkeit vernachlässigt. Doch niemand würde seine Haustür offen stehen lassen, nur weil es bequemer ist – das gleiche Prinzip gilt für Unternehmensdaten. Moderne Ende-zu-Ende-Verschlüsselungslösungen sind heute einfach zu implementieren, verursachen keine Interoperabilitätsprobleme und beeinträchtigen die tägliche Nutzung kaum. Darüber hinaus stellt Verschlüsselung nur den ersten Schritt zu langfristiger Sicherheit dar, die in Zukunft – angesichts der zunehmenden Leistungsfähigkeit von Quantencomputern – noch höhere Anforderungen an Verschlüsselungstechnologien stellen wird.
Quanten-Computing: Die Zukunft von Angriff und Schutz
Das BSI warnt bereits vor dem Szenario „store now, decrypt later“: Cyberkriminelle stehlen heute verschlüsselte Daten mit langer Lebensdauer, um sie in einigen Jahren mithilfe von Quantencomputern zu entschlüsseln. Um sich darauf vorzubereiten, fördert die Bundesregierung zusammen mit dem BSI aktiv die Entwicklung von Post-Quanten-Kryptografie – Verschlüsselungsverfahren, die selbst zukünftigen Quantenangriffen standhalten sollen. Organisationen, die noch zögern, sollten daher frühzeitig ein sicheres Ende-zu-Ende-Verschlüsselungssystem implementieren, um ihre sensiblen Informationen heute zu schützen und zugleich auf die Cyberwelt von morgen vorbereitet zu sein.
Wenn Quanten- und Post-Quanten-Technologien erst mal weit verbreitet sind, wird es zu spät sein, neue Sicherheitsmaßnahmen einzuführen. Der richtige Zeitpunkt, sich mit Verschlüsselung und Datenschutz auseinanderzusetzen, ist jetzt.
