Datenschutz wurde zwar durch verschiedene Regularien – darunter die Datenschutz-Grundverordnung (DSGVO) – stärker in den Fokus von Unternehmen gerückt, dennoch fehlt es häufig noch an ausreichender Sensibilisierung und einer gelebten Sicherheitskultur. Unternehmen müssen geeignete Massnahmen ergreifen, um ihre Daten in zunehmend komplexen digitalen Umgebungen gegen immer raffiniertere Cyberkriminelle zu schützen.
Symbolbild zVg von Stormshield, Quelle ChatGPT
Das Deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt im Bericht „Die Lage der IT-Sicherheit in Deutschland 2024“ einen Überblick über die aktuelle Bedrohungslage. Die Behörde beschreibt sie als „angespannt bis kritisch“. Pro Tag werden im Durchschnitt mehr als 70 neue Schwachstellen in Software-Produkten bekannt. Das stellt erneut einen deutlichen Anstieg gegenüber dem Vorjahr dar. Besonders betroffen sind kleine und mittlere Unternehmen, die oft über begrenzte Sicherheitsressourcen verfügen. Unternehmen fragen sich deshalb nicht mehr, ob sie angegriffen werden, sondern wann.
Neben der Absicherung ihrer Netzwerke müssen Organisationen auch Massnahmen umsetzen, um die Folgen eines Angriffs zu minimieren. Eine der wirksamsten Methoden ist die Verschlüsselung, durch die vertrauliche Informationen für Unbefugte unlesbar werden – selbst dann, wenn ein Angreifer bereits Zugriff auf das System erlangt hat.
Cyberkriminelle auf Datensuche
Laut der Studie „Wirtschaftsschutz 2024“ des Bitkom e. V. waren in den letzten zwölf Monaten acht von zehn Unternehmen (81 Prozent) in Deutschland von Datendiebstahl, digitaler Spionage oder Sabotage betroffen. Der dadurch entstandene wirtschaftliche Gesamtschaden wird auf rund 148 Milliarden Euro pro Jahr geschätzt.
Auch die Behörden bestätigen diesen Trend: Das BSI berichtet, dass sowohl die Zahl als auch die Professionalität gezielter Angriffe auf Unternehmensnetzwerke in den vergangenen Jahren deutlich zugenommen haben. Besonders gefährlich sind sogenannte Man-in-the-Middle-Angriffe, bei denen sich Angreifer heimlich zwischen zwei Kommunikationspartner schalten und deren Datenverkehr abfangen oder manipulieren.
Verschlüsselung: eine notwendige Schutzmassnahme
Das Ziel der Verschlüsselung besteht darin, Daten unlesbar zu machen, sodass nur autorisierte Nutzer mit dem passenden Schlüssel darauf zugreifen können. Nur wenn sie Ende zu Ende, also vom Ursprungsgerät bis zur Archivierungsplattform oder Weitergabe, angewendet wird, ist sie vollständig wirksam – insbesondere bei der Übertragung sensibler Daten in Cloud-Umgebungen.
Viele Unternehmen verlassen sich auf die Sicherheitsmechanismen ihrer Cloud- oder Software-Anbieter, die häufig serverseitige Verschlüsselung („at-rest encryption“) einsetzen. Wenn jedoch die Entschlüsselungsschlüssel ausserhalb der eigenen Organisation verwaltet werden, geht die Kontrolle über vertrauliche Informationen verloren. Es ist daher entscheidend, dass die Entschlüsselungsschlüssel intern verbleiben, um Transparenz und Nachvollziehbarkeit der Zugriffe sicherzustellen.
Eine hohe Aufmerksamkeit gilt den sogenannten besonderen Kategorien personenbezogener Daten gemäss DSGVO – darunter Gesundheitsdaten, biometrische Informationen oder Angaben zur ethnischen Herkunft und religiösen Überzeugung. Diese Daten sind besonders sensibel und dürfen niemals unverschlüsselt auf Servern oder Speichermedien gespeichert werden.
Sicherheit und Benutzerfreundlichkeit: kein Widerspruch
Verschlüsselung wird manchmal im Interesse der Benutzerfreundlichkeit vernachlässigt. Doch niemand würde seine Haustür offen stehen lassen, nur weil es bequemer ist – das gleiche Prinzip gilt für Unternehmensdaten. Moderne Ende-zu-Ende-Verschlüsselungslösungen sind heute einfach zu implementieren, verursachen keine Interoperabilitätsprobleme und beeinträchtigen die tägliche Nutzung kaum. Darüber hinaus stellt Verschlüsselung nur den ersten Schritt zu langfristiger Sicherheit dar, die in Zukunft – angesichts der zunehmenden Leistungsfähigkeit von Quantencomputern – noch höhere Anforderungen an Verschlüsselungstechnologien stellen wird.
Quanten-Computing: Die Zukunft von Angriff und Schutz
Das BSI warnt bereits vor dem Szenario „store now, decrypt later“: Cyberkriminelle stehlen heute verschlüsselte Daten mit langer Lebensdauer, um sie in einigen Jahren mithilfe von Quantencomputern zu entschlüsseln. Um sich darauf vorzubereiten, fördert die Bundesregierung zusammen mit dem BSI aktiv die Entwicklung von Post-Quanten-Kryptografie – Verschlüsselungsverfahren, die selbst zukünftigen Quantenangriffen standhalten sollen. Organisationen, die noch zögern, sollten daher frühzeitig ein sicheres Ende-zu-Ende-Verschlüsselungssystem implementieren, um ihre sensiblen Informationen heute zu schützen und zugleich auf die Cyberwelt von morgen vorbereitet zu sein.
Wenn Quanten- und Post-Quanten-Technologien erst mal weit verbreitet sind, wird es zu spät sein, neue Sicherheitsmassnahmen einzuführen. Der richtige Zeitpunkt, sich mit Verschlüsselung und Datenschutz auseinanderzusetzen, ist jetzt.
Der Autor
Jocelyn Kristlik ist Business Unit Manager bei Stormshield
Über Stormshield
Die auf höchster europäischer Ebene zertifizierten Stormshield-Technologien sind die richtige Antwort auf IT- und OT-Risiken und erlauben den Schutz der Geschäftstätigkeit. Die Entscheidung für Stormshield ist eine Entscheidung für eine vertrauenswürdige Cybersicherheit in Europa. www.stormshield.com/de