7. Juli 2014 - Datenschutz-Konzept: Verschlüsselung

Verschlüsselung: Worauf es wirklich ankommt

TrueCrypt gilt nicht mehr als sicher. Glaubt man einigen Medienberichten, ist die Verschlüsselung als zentrale Sicherheitsmaßnahme nun generell in Gefahr. Es ist daher an der Zeit, die Verschlüsselung richtig in den Blick zu nehmen.

(Bild: Thinkstock/maxkabakov) Seit Mai 2014 sind Unsicherheiten in der Verschlüsselungslösung von TrueCrypt bekannt. Daher sollten Sie darüber nachdenken, auf andere Programme umzusteigen (Bild: Thinkstock/maxkabakov)

Das Ende lieb gewonnener Empfehlungen

Verschlüsselung gehört nicht nur zu den besonders wichtigen Schutzmaßnahmen, sondern auch zu den besonders unbeliebten. Betrachtet man die geringe Zahl der verschlüsselt übertragenen E-Mails oder der verschlüsselten Festplatten, kann man als Datenschutzbeauftragter schon einmal verzweifeln. Besonders traurig erscheint einem der Umstand, dass es doch zahlreiche Verschlüsselungsmöglichkeiten gibt, sogar kostenlose, die einfach nicht genutzt werden.

Ein Paradebeispiel war bisher die freie Lösung TrueCrypt. TrueCrypt wurde immer gerne als Beispiel genommen, dass es eigentlich keinen finanziellen Grund gebe, auf Verschlüsselung zu verzichten. Nun aber warnt die Entwicklergemeinde von TrueCrypt selbst vor Unsicherheiten in der Verschlüsselungslösung, da diese seit Mai 2014 nicht mehr weiter entwickelt wird.

Herausforderung für die Datenschutzkontrolle

Auf der Download-Seite von TrueCrypt findet sich nun eine Empfehlung, auf die Microsoft-Verschlüsselungslösung BitLocker zu wechseln. Mit diesem Wechsel lassen sich aber nicht alle bisherigen Einsatzfälle von TrueCrypt abdecken. Man denke nur an andere Betriebssysteme als die Windows-Versionen, die BitLocker anbieten. Unternehmen, die bisher auf TrueCrypt gesetzt hatten, müssen also weite Teile ihrer Datenschutzkontrolle neu organisieren. Schließlich spielt die Verschlüsselung eine zentrale Rolle bei der Zugangskontrolle, Zugriffskontrolle und Weitergabekontrolle.

Auswahlkriterien für Sicherheitslösungen

Wenn Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter nun die Suche und Auswahl einer neuen Verschlüsselungslösung begleiten wollen oder sollen, sind grundsätzliche Überlegungen wichtig, was bei der Verschlüsselungslösung oder auch generell bei IT-Sicherheitslösungen wirklich wichtig ist. Hier gibt es eine ganze Reihe von Kriterien und Informationsquellen, die bei einer Entscheidung berücksichtigt werden sollten.

Einerseits sollte Ihr Unternehmen nicht auf scheinbare Angebote hereinfallen, die nun per E-Mail eintreffen und angebliche Verschlüsselungslösungen als TrueCrypt-Ersatz anbieten. In jedem Fall sollten Sie davor warnen, einfach solche Software über den Link in einem angeblichen Angebot herunterzuladen. So manche angebliche Sicherheitssoftware stellt in Wirklichkeit einen getarnten Angriff dar. Helfen können hingegen professionelle, zuverlässige Sicherheitstests, die Empfehlungen für Verschlüsselungslösungen aussprechen. Nun werden Sie zu Recht sagen: Dort wurde aber bis vor kurzem meist auch TrueCrypt positiv gelistet.

Immer auch an Software-Pflege und Migration denken

Der Fall TrueCrypt macht deutlich, dass Verschlüsselungslösungen und generell alle sicherheitsrelevanten Lösungen auch danach bewertet werden sollten, ob es eine Software-Pflege gibt, wie diese sichergestellt ist und wie lange diese wohl angeboten werden wird. Da man nie ausschließen kann, dass eine Softwareentwicklung eingestellt wird, muss immer auch ein Migrationsplan vorhanden sein. Man muss sich also die Frage stellen: Wenn eine Verschlüsselungslösung eingestellt wird, wie kann danach die Entschlüsselung weiterhin gewährleistet werden und zwar sicher gewährleistet werden? Gibt es Alternativ-Lösungen mit passenden Schnittstellen? Gibt es Migrationswerkzeuge, für eine Übertragung der Daten in andere Formate?

Die Entscheidung für eine Sicherheitslösung muss auch immer den möglichen Ausstieg im Auge behalten. Weitere Hinweise finden Sie in der aktuellen Checkliste.


Download:


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, IT-Fachjournalist und IT-Analyst.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln