IT-Verschlüsselung – Orientierungs- und Entscheidungshilfen für kleinere und mittlere Unternehmen

Daten mit Verschlüsselung sicher übertragen und ablegen

Daten sind das Kapital der Zukunft. Mit dem Voranschreiten der Digitalisierung sowie dem Ausbau von Technologien wie der Industrie 4.0 und dem Internet der Dinge (IoT=Internet of Things) wird das Datenaufkommen zukünftig weiter steigen. Bereits heute produzieren, versenden und speichern Unternehmen im täglichen Betrieb große Datenmengen. Teile dieser Daten sind aus wirtschaftlichen Gründen schützenswert oder aus rechtlichen Gründen schutzpflichtig. Damit diese Daten vor unberechtigten Einblicken geschützt sind, sollten sie verschlüsselt werden. Das gilt sowohl für die Aufbewahrung der Daten als auch für deren Versand über sämtliche Kommunikationskanäle hinweg.

Viele kleine und mittlere Unternehmen stehen jedoch weiterhin vor der Herausforderung, wie sie für ihre schutzbedürftigen Daten eine praxistaugliche, bezahlbare und angemessene Verschlüsselung implementieren können.
Vermeintlich hoher Bedienaufwand und vermeintlich hohe Kosten für verfügbare Verschlüsselungslösungen schrecken die Unternehmer ab und bilden die größten Hemmnisse.

Unser Blogbeitrag soll Unternehmen als Orientierung dienen, an welchen Stellen eine Verschlüsselung sinnvoll ist und welche Möglichkeiten der Umsetzung zur Verfügung stehen. Darüber hinaus werden anhand von Leitfragen Hilfen zu Entscheidungsfindung gegeben, welche Lösungen im eigenen Unternehmen umzusetzen sind. Die Leitfragen sollen als Orientierung dienen und einen leichteren und strukturierteren Einstieg in das Thema Verschlüsselung bieten.

Den Schutzbedarf der wertvollen Daten ermitteln

Daten haben, je nachdem welchen Inhalt und Informationen sie beherbergen, einen unterschiedlichen Schutzbedarf. Diese Unternehmensdaten müssen identifiziert und differenziert werden. Daher ist es essentiell, eine Schutzbedarfsfeststellung der Daten vorzunehmen. Unternehmenswertvolle Daten wie z.B. Kundendaten oder personenbezogene Daten, können erst so identifiziert werden. Anschließend müssen Maßnahmen ermittelt werden, wie diese Unternehmensdaten zu schützen sind. Dies kann mithilfe von Unternehmensrichtlinien zur Informationssicherheit gelingen. So können die Daten in Schutzklassen differenziert werden und mit Zugriffsrechten für unterschiedliche Mitarbeitergruppen versehen werden.

Zur Ermittlung der für Sie relevanten Themenbereiche beantworten Sie bitte zunächst folgende Fragen für sich:
• Handelt es sich um unternehmenskritische Daten, ohne die der Betrieb oder die Produktion des Unternehmens eingeschränkt wäre?
• Handelt es sich bei den Daten um Betriebsgeheimnisse oder unterliegen diese datenschutzrechtlichen Vorschriften?
• Sollen die Daten außerhalb des Unternehmensumfeldes verfügbar sein?

Wo ist Verschlüsselung sinnvoll?

Generell ist eine Verschlüsselung von Daten in den folgenden Bereichen sinnvoll bzw. spielt eine Rolle:
– E-Mails
– Telefonie
– Messaging
– Kollaborationsplattformen

Fazit

Das Sicherheitsniveau einer einfachen E-Mail ist nicht ausreichend. Anwender und Unternehmen sind gleichermaßen gefordert und müssen Software, welche es ermöglicht, E-Mails verschlüsselt und signiert abzusenden und zu empfangen, nachträglich installieren. Dies ist jedoch nicht durch eine 1-Klick-Installation möglich. Bei der Auswahl einer Verschlüsselungslösung sollen Unternehmen neben Einführungskosten auch Schulungskosten berücksichtigen sowie Wartungs- und Support-Verträge prüfen. Auch die erwartete Akzeptanz seitens der Empfänger ist ein wichtiges Kriterium zur Entscheidung. Daran mangelt es leider oft am meisten. Lizenzierte Software genießt gegenüber den Open-Source-Produkten Vorteile. Diese werden jedoch obsolet, wenn die Entwicklung eingestellt wird. Abhängig von der Unternehmensgröße, dem Schutzbedarf der Unternehmenswerte, der IT-Affinität der Mitarbeiter und deren Sensibilität für IT-Sicherheit müssen die geeigneten Systeme ausgewählt werden.

Asymmetrische Verschlüsselungsverfahren, wie z.B. GNUPG/PGP und S/MIME, bieten Vor- und Nachteile, weshalb es gilt, diese sorgfältig abzuwägen. Abhängig von der Abstraktionsfähigkeit und IT-Affinität der Mitarbeiter und Mitarbeiterinnen, eignen sich die Verfahren unterschiedlich gut. Gateway-Lösungen sind als alternative Lösung zwar mit zusätzlichen Lizenzkosten verbunden, ermöglichen jedoch eine automatisierte Ver- und Entschlüsselung von E-Mails. Gateways beeinflussen die Handhabung von Mailprogrammen nicht und sind somit besonders benutzerfreundlich, da sie keine hohen Compliance-Anforderungen an die Mitarbeiter stellen.

Die Kombination eines Gateways in Verbindung mit einer internen, PKI-basierten E-Mail-Verschlüsselung bietet eine ausreichend sichere Lösung für die meisten Unternehmensszenarien.

(Quelle: Studie im Auftrag des Bundesministeriums für Wirtschaft