Sie wollen darüber bestimmen, wer welche Informationen erhält? Und Sie wollen verhindern, dass Informationen unkontrolliert verbreitet werden? Dafür können Sie Ihre Informationen mit einem sicheren Umschlag versehen, der im digitalen Raum aus verlässlicher Kryptografie besteht. Zur Verschlüsslung von Daten gibt es auf dem Markt verschiedene Angebote, die je nach Einsatzort und
-zweck sinnvoll genutzt werden können. Bei der Auswahl von Verschlüsselungslösungen können folgende sieben Kriterien eine Rolle spielen:

1. Usability

Je leichter ein Kryptoprogramm anwendbar ist, desto eher wird es von den Nutzern akzeptiert. Aus Usability-Sicht ist eine unsichtbare Krypto am besten: Die Anwender arbeiten mit einem Programm, ohne zu merken, dass dahinter ein Verschlüsselungsprogramm aktiv ist, das ihre Daten laufend absichert. Je mehr Schritte die Anwender selbst unternehmen müssen, um ihre Inhalte abzusichern, desto unwahrscheinlicher ist es, dass sie dies auch regelmäßig zuverlässig tun.

2. Verfügbarkeit

Die Verschlüsselung sollte eine möglichst reibungslose Kommunikation auf verschiedenen Plattformen, also vom Smartphone bis zum Desktop, ermöglichen. Die Anwender sollten in jeder Situation auf eine gesicherte Anwendung zugreifen können. Unterschiedliche Lösungen auf unterschiedlichen Geräten erschweren eine konsequente Nutzung. Eine nahtlose Verschlüsselung setzt voraus, dass der typische Workflow bekannt und definiert ist.

3. Vertraulichkeit

Die Europäische IT-Sicherheitsbehörde ENISA sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichten regelmäßig über empfehlenswerte Algorithmen und Schlüssellängen. Sie unterscheiden dabei danach, ob Daten kurz-, mittel- oder langfristig gespeichert werden sollen. Kurzfristige Datensicherungen sind bei Transaktionen oder temporären Kommunikationen nötig, mittel- und langfristige bei Datenspeicherungen. Je länger die Daten gespeichert werden, desto höher sollte die Sicherheit sein. Neben der Frage nach dem Zeitraum der Datenspeicherung kann aber auch die Frage nach dem Zeitraum der Verschlüsselung von Daten von Bedeutung sein. Denn sollte beispielsweise eine E-Mail-Kommunikation von einer dritten Person ausgespäht und gespeichert werden, ist es entscheidender, wie lange derjenige sie nicht entschlüsseln kann.

4. Verbindlichkeit oder Abstreitbarkeit

Insbesondere, wenn Verträge abgeschlossen werden, sollten Vertragspartner auch digital Verbindlichkeit herstellen können. Hier sollte eine verschlüsselte Kommunikation im Nachhinein nicht abgestritten werden können. Dies spielt auch für die Revisionssicherheit eine wichtige Rolle. In manchen Fällen kann es aber sogar notwendig sein, einen Vorgang abstreiten zu können: Etwa bei einem Hinweisgeber-System, das ein Unternehmen für Arbeitnehmer anbietet, die Missstände melden wollen, ohne unmittelbar dafür von ihrem beschuldigten Vorgesetzten sanktioniert werden zu können.

5. Authentizität oder Anonymität

Im Geschäftsleben ist es üblich, sein Gegenüber identifizieren zu können. Ein Verschlüsselungsverfahren sollte den Identitätsnachweis führen und gewährleisten können, dass die Daten auch tatsächlich von der authentisierten Stelle stammen. In seltenen Fällen ist aber auch eine anonyme Nutzung erforderlich, etwa bei einem Hinweisgeber-System, das ein Unternehmen seinen Mitarbeitern anbietet.

E-Book: Sicherer Dokumentenaustausch - Jetzt downloaden

6. Transparenz

Wenn das Verschlüsselungsverfahren bekannt und überprüfbar ist, kann seine Stärke und Qualität von unabhängigen Stellen getestet werden. Die Überprüfbarkeit dank Transparenz darf jedoch keine rein theoretische Möglichkeit bleiben: Voraussetzung für eine verlässliche Überprüfung ist, dass Testberichte verfügbar gemacht werden. Damit können andere wiederum sehen, was in welchem Umfang geprüft wurde und selbst an den passenden Stellen nachprüfen.

7. Integrität

Ein verlässliches Verfahren muss in einer sicheren Umgebung zur Anwendung kommen. Auch das sicherste Verfahren kann einfach geknackt werden, wenn etwa die Eingabe von Passwörtern oder Secret Keys in einer unsicheren Umgebung beobachtet werden kann. So können beispielsweise Tastatureingaben beobachtet oder aufgezeichnet werden. Aber auch der Zugriff auf Passwörter im verwendeten System muss abgesichert werden: Ist das System „offen wie ein Scheunentor“, ist der Vorgang nicht sicher. Sobald ein ungesichertes Gerät verloren geht, gehen auch die auf ihm gespeicherten privaten Schlüssel verloren.

In einem Information-Rights-Management-System (IRM) werden diese Fragen adressiert. Vor der Auswahl eines bestimmten IRM-Systems sollten Sie aber die eigenen Präferenzen, etwa der Usability, Verbindlichkeit oder Authentizität, klar definieren.

 

Geschrieben von Nadine Stimmer


Informationssicherheit


Newsletter

Niederlassungen

Brainloop AG
Theatinerstrasse 12
80333 München
Germany
+49 (0) 89 444 699 0