DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Schutz sen­sibler Daten durch Ver­schlüs­selung

Teil 10 Leitfaden Verhaltensregeln

Ver­schlüsseln Sie Ihre Daten auch schon? Nach den jüngsten Vor­fällen tun dies immer mehr Men­schen. Lesen Sie hier, welche Bedeutung der Ver­schlüs­selung zukommt.

 

 

 

Es gibt ver­schiedene Gründe, warum Ver­schlüs­selung not­wendig und auch sinnvoll sein kann. In erster Linie möchte man unbe­fugten Zugriff auf sen­sible Daten ver­hindern. Einer­seits um die eigenen Fir­men­daten gegen Angriffe von außen zu schützen, ande­rer­seits um nur den­je­nigen Mit­ar­beitern Daten­zu­griff zu gewähren, die diesen benö­tigen.

Hin und wieder findet ein Laptop, ein USB-Stick oder ein anderer mobiler Daten­träger unfrei­willig einen neuen Besitzer, man möchte auf einem gemeinsam genutzten Com­puter Dateien für die Mit­nutzer unlesbar machen oder eine E‑Mail mit ver­trau­lichem Inhalt oder Anhang ver­senden. Überall hier kann Ver­schlüs­selung vor einem unbe­fugten Zugriff schützen.

Das Grund­prinzip ist denkbar einfach und exis­tiert bereits seit der Antike: Eine Nach­richt wird so ver­ändert, dass sie für das unwis­sende Auge nicht mehr ver­ständlich ist und nur mit einem dazu­ge­hö­rigen Schlüssel wieder lesbar gemacht werden kann. Wie vom BSI beschrieben werden also immer zwei Ele­mente benötigt: ein Schlüssel und eine Vor­schrift.

Das Ver- und Ent­schlüsseln von Daten soll bei bekanntem Schlüssel einfach und auch für uner­fahrene Anwender leicht anzu­wenden sein. Dabei soll es Daten vor Zugriff schützen, auch wenn der Angreifer über beträcht­liche Mittel und Know-how verfügt sowie das ent­spre­chende Ver­fahren kennt.

Wie Bitkom berichtet, sichert bereits die Mehrheit (76%) der IT-und Tele­kom­mu­ni­ka­ti­ons­un­ter­nehmen in Deutschland ihre Daten und E‑Mails durch Ver­schlüs­selung mit ent­spre­chenden Tech­no­logien.

Bei vielen Ver­schlüs­se­lungs­lö­sungen werden laut BSI die Daten letzt­endlich auch nur durch ein Passwort geschützt. Wer dieses Passwort kennt, kann die ver­schlüs­selten Daten leicht ermitteln. Es ist somit von äußerster Wich­tigkeit, ein sicheres Passwort zu wählen. Wie ein sicheres Passwort aus­sieht und wie Sie sich dieses auch noch leicht merken können, finden Sie in in einem geson­derten Artikel dieser Serie,  „Pass­wort­si­cherheit“. Wir emp­fehlen die zusätz­liche Sicherung des Pass­worts bzw. Schlüssels bei­spiels­weise auf einem externen Daten­träger. So können Sie auch bei einem mög­lichen Verlust den wei­teren Zugriff auf die Daten sicher­stellen.

Auch E‑Mails sollten ver­schlüsselt werden, wenn diese ver­trau­liche Daten ent­halten. Nach Aussage von Bitkom brachte gerade die „NSA-Affäre […] Ver­schlüs­selung in Mode“. So ist die Zahl der Inter­net­nutzer, die für ihre E‑Mails eine Ver­schlüs­se­lungs­software nutzen seit Juli 2013 um 3% gestiegen. Mehr zum Thema finden Sie in einem geson­derten Artikel dieser Serie, „E‑Mail Sicherheit“.

Was wir heute als sicher erachten, kann morgen schon nicht mehr sicher sein. Auf­grund des ste­tigen tech­ni­schen und wis­sen­schaft­lichen Fort­schritts ist es wichtig sich regel­mäßig zu infor­mieren.

So ver­halten Sie sich richtig:

  • Infor­mieren Sie sich über Ver­schlüs­se­lungs­vor­schriften Ihrer Firma (Gibt es bei Ihnen auch einen Krypto-Lei­t­­faden?). Wann müssen Sie Was und Wie ver­schlüsseln.
  • Spei­chern Sie sen­sible Daten nur ver­schlüsselt auf Ihrem IT-System ab
  • Ver­senden Sie E‑Mails mit ver­trau­lichem Inhalt nur ver­schlüsselt. Wenn ein Passwort zur Ent­schlüs­selung not­wendig ist, geben Sie dieses an den Emp­fänger nicht per E‑Mail bekannt. Wählen Sie einen dritten Weg (z. B. Telefon) zur Über­mittlung.
  • Infor­mieren Sie sich regel­mäßig über neue Ver­schlüs­se­lungs­tech­niken und ver­wenden Sie keine gebro­chenen Ver­schlüs­se­lungs­ver­fahren.

Mit diesem Teil endet die Reihe “Infor­ma­ti­ons­si­cherheit: Ver­hal­tens­regeln für Mit­ar­beiter”. Bisher sind erschienen:

Teil 1: All­ge­meine Infor­ma­ti­ons­si­cherheit

Teil 2: Social Engi­neering

Teil 3: Pass­wort­si­cherheit

Teil 4: Pass­wort­dieb­stahl

Teil 5: Viren­schutz

Teil 6: E‑Mail-Sicherheit

Teil 7: Mobile End­geräte und Daten­träger

Teil 8: Ver­wendung von Software

Teil 9: Daten­ver­luste

Bild: © Rike / pixelio.de  

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dipl. Kfm. Reinhard Muth, DATEV eG

Reinhard Muth ist TÜVIT-geprüfter ISMS-Auditor und Security-Awa­reness-Koor­di­nator. 1988 begann er, bei der DATEV eG zu arbeiten. Seit 1994 in der IT-Sicherheit, beschäftigt er sich schwer­punkt­mäßig mit den Themen ISMS und Awa­reness.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.