Das Thema Verschlüsselung bzw. Encryption taucht immer wieder als wichtiger Aspekt der IT-Sicherheit auf. Es gewinnt aber auch durch die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) an Bedeutung. Ein Beispiel hierfür sind die seit Jahren ausgetragenen sogenannten „Crypto Wars“. Dabei werfen vor allem US-amerikanische Regierungs- und Ermittlungsbehörden großen Kommunikations- sowie IT-Konzernen vor, durch eine zu starke Verschlüsselung privater Daten die Aufklärungsarbeit zu be- und verhindern.1 Ab dem 25. Mai 2018 können sich Unternehmen beim Thema Encryption auf die EU-DSGVO berufen. Dann tritt das Gesetz in Kraft und Unternehmen müssen u.a. unerlaubte Zugriffe auf personenbezogene Daten nicht nur den Behörden, sondern auch allen betroffenen Personen melden – außer diese sind verschlüsselt (siehe DSGVO Art. 34 (3) a).
Verschlüsselung von Speichermedien entscheidend für Datensicherheit
Die neue EU-Verordnung verlangt von Unternehmen also, sich stärker mit Verschlüsselungsmethoden rund um Speichermedien und Datenübertragung auseinanderzusetzen. Bisher scheinen sich Firmen bei diesem Thema allerdings noch zurückzuhalten: Laut einer aktuellen Studie2 haben zwar 41 Prozent (immerhin 7 Prozent mehr als im Vorjahr) der Unternehmen eine firmenweit geltende Verschlüsselungsstrategie. Doch die Chiffrierung von geschäfts- oder sicherheitskritischen Daten auf Datenspeichern sollte eigentlich im Interesse aller Beteiligten liegen. Denn nach Inkrafttreten der Verordnung können IT-Sicherheitsvorfälle wie Datendiebstähle neben der Rufschädigung auch teure Strafen seitens der Regierungsbehörden nach sich ziehen.
Ein aktueller Fall aus England bestätigt, wie fahrlässig mit sensiblen Informationen umgegangen wird und wie wichtig gleichzeitig eine gute Verschlüsselung solcher Daten sowie Speichermedien ist. In London wurde ein USB-Stick auf der Straße gefunden, der unverschlüsselte Dateien zum Flughafen Heathrow enthielt. Darunter befanden sich kritische Informationen und geheime Dokumente zu Sicherheitsprotokollen, Schichtplänen für das Wachpersonal, Karten zur Position der Überwachungskameras etc., die u.a. Flugreisen der Queen absichern sollten.3
Unternehmen verkennen Bedeutung von Encryption-Maßnahmen
Nicht auszudenken, was passieren könnte, wenn solche Informationen in die falschen Hände geraten. Deshalb ist es heute umso wichtiger, sich mit der Chiffrierung von Datenträgern intensiver auseinanderzusetzen und die eigene Firma etwa auf die in der neuen EU-DSGVO formulierten Anforderungen vorzubereiten. Dazu zählt etwa die Sicherheit personenbezogener Daten durch eine entsprechende Verarbeitung, zu der die Verschlüsselung dieser Daten zählt (Abschnitt 2, Artikel 32, Paragraf 1 a).
Da hilft es natürlich wenig, wenn Unternehmen die Verschlüsselung als Problem oder unnötige Maßnahme identifizieren, wie es Verschlüsselungsexperte Wolfgang Klinger von der Sphinx IT Consulting GmbH oft erlebt. Er hat dabei fünf Mythen zur Data Encryption zusammengetragen, mit denen er aufräumen möchte.