Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework Drittland EuGH Fotos Homeoffice Hybrid Work KI Rechenschaftspflicht Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 06/23

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework Drittland EuGH Fotos Homeoffice Hybrid Work KI Rechenschaftspflicht Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen

Verschlüsselung

Ziel der Verschlüsselung ist es, Daten in einer solchen Weise einer mathematischen Transformation zu unterwerfen, dass es einem Angreifer nicht möglich ist, die Originaldaten aus den transformierten Daten zu rekonstruieren.

➜ Verschlüsselungsverfahren

E-Mail-Verschlüsselung: Was fordert der Datenschutz?

E-Mail-Verschlüsselung: Was fordert der Datenschutz?
Bild: D3Damon / iStock / Getty Images
Sicherheit der Verarbeitung
E-Mail-Verschlüsselung: Was fordert der Datenschutz?

Die DSGVO nennt Verschlüsselung als eine Maßnahme, um die Sicherheit bei der Verarbeitung personenbezogener Daten zu gewährleisten. Müssen Datenschutzbeauftragte daher den Verantwortlichen raten, alle E-Mails zu verschlüsseln? Das kommt darauf an - auf die E-Mails und die Art der Verschlüsselung.

Ratgeber
6. April 2023

Virtuelle Private Netzwerke (VPN) – ein Überblick

DP+
Virtuelle Private Netzwerke (VPN) – ein Überblick
Nicht nur für Homeoffice wichtig
Virtuelle Private Netzwerke (VPN) – ein Überblick

Im Datenschutzalltag taucht im Zusammenhang mit Unternehmensnetzwerken häufig der Begriff „VPN“ auf. Was ist das eigentlich genau? Und worauf müssen Verantwortliche achten?

Ratgeber
24. Juni 2020

Verschlüsselung: Wann ist welche Methode sinnvoll?

DP+
Verschlüsselung: Wann ist welche Methode sinnvoll?
Bild: iStock.com / matejmo
Sicherheit der Verarbeitung
Verschlüsselung: Wann ist welche Methode sinnvoll?

Verschlüsselung gilt als wichtiges Mittel im Kampf gegen Hacker und Datenspione. Der Beitrag stellt die beiden Methoden Transport- und Inhaltsverschlüsselung gegenüber und gibt Ihnen Überlegungen zu einer risikobasierten Auswahl an die Hand.

Ratgeber
22. Juni 2020

Download Checkliste: Durchgängige Verschlüsselung

Download Checkliste: Durchgängige Verschlüsselung

Eine Verschlüsselung muss nicht nur stark, sondern auch durchgehend sein. In der Praxis finden sich jedoch häufig Stellen, wo ursprünglich verschlüsselte Daten plötzlich unverschlüsselt vorliegen. Machen Sie sich mit der Checkliste auf die Suche!

Download
8. Juni 2020

Anforderungen an eine durchgängige Verschlüsselung

Anforderungen an eine durchgängige Verschlüsselung
Bild: Wavebreakmedia Ltd / Wavebreak Media / Thinkstock
Verschlüsselung an jedem Ort und zu jeder Zeit
Anforderungen an eine durchgängige Verschlüsselung

Die stärkste Verschlüsselung hilft wenig, wenn sie nicht überall dort greift, wo sie notwendig ist. In der Praxis haben viele Verschlüsselungs-Konzepte gefährliche Lücken. Hinterfragen Sie daher die Wirksamkeit der Verschlüsselung regelmäßig.

Hintergrund
8. Juni 2020

Haben verschlüsselte Daten einen Personenbezug?

Haben verschlüsselte Daten einen Personenbezug?
Bild: iStock.com / matejmo
Datenschutz und Verschlüsselung
Haben verschlüsselte Daten einen Personenbezug?

Verschlüsselung spielt in der DSGVO eine wichtige Rolle. Doch geht der Schutz durch Verschlüsselung so weit, dass verschlüsselte Daten keine personenbezogenen Daten mehr sind? Es kommt darauf an! Informieren Sie deshalb die Mitarbeiterinnen und Mitarbeiter über die Details.

Analyse
27. Mai 2019
1 von 1

Damit die verschlüsselten Daten für ihre legalen Benutzer verwendbar bleiben, muss es den Anwederinnen und Anwendern möglich sein, die Originaldaten zu regenerieren (Entschlüsselung). Das gelingt, allgemein gesprochen, durch Anwendung einer inversen Transformation.

Anforderungen an die Verschlüsselung

Die Originaldaten sind der Klartext und die transformierten Daten der Schlüsseltext. Die Transformation selbst wird als Verschlüsselung, ihr Inverses als Entschlüsselung bezeichnet.

Die Daten zu entschlüsseln, darf nur dem legalen Empfänger der übermittelten Informationen möglich sein, nicht jedoch anderen Personen.
Dieses Ziel lässt sich genau dann erreichen, wenn nur der legale Empfänger die inverse Transformation kennt. Und wenn es ohne deren Kenntnis auch nicht möglich ist, sie aus den übermittelten Daten zu bestimmen.

Es wäre also auf den ersten Blick ausreichend, wenn Sender und Empfänger eine nur ihnen bekannte Transformation untereinander absprechen und die Kenntnis darüber geheim halten.

Verfahren nach dem Stand der Technik

Für die Verschlüsselung personenbezogener Daten müssen erantwortliche und Auftragverarbeiter nach Art. 32 Datenschutz-Grundverordnung (DSGVO) ein Verfahren nach dem Stand der Technik einsetzen. Ältere Verschlüsselungsverfahren könnten Angreifer mit vertretbarem Aufwand brechen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert in der Technischen Richtlinie BSI TR-02102 jeweils den Stand der Technik für die Verschlüsselungsstärke

Wichtig: der Verschlüsselungsalgorithmus

Da der Aufwand, einen zuverlässigen Verschlüsselungsalgorithmus zu erstellen, extrem hoch ist, bietet es sich an, für die Verschlüsselung nur einige wenige Algorithmen einzusetzen, deren Sicherheit erwiesen ist.

Um jedoch die Forderung nach einer Vielzahl von Verschlüsselungsverfahren erfüllen zu können, macht man diese Algorithmen zusätzlich abhängig von einem Parameter, dem sogenannten Schlüssel. Er beeinflusst den Ablauf der Transformation so stark, dass ohne seine Kenntnis keine Entschlüsselung möglich ist.

Symmetrische Verschlüsselung

Hält man den Schlüssel geheim, so kann der Verschlüsselungsalgorithmus selbst durchaus öffentlich bekannt sein. Verfahren, bei denen derselbe Schlüssel zum Einsatz kommt, um Inhalte zu ver- und zu entschlüsseln, werden als symmetrische Verschlüsselung bezeichnet.

Ein nicht zu vernachlässigendes Problem stellt bei diesen Verfahren die Tatsache dar, dass beide Kommunikationspartner über diesen Schlüssel verfügen müssen. Der eine Partner muss den Schlüssel also an den anderen übermitteln. Oder eine dritte Stelle übermittelt ihn an beide.

Es ist einleuchtend, dass diese Übermittlung nicht im Klartext erfolgen kann. Denn sonst kommt jeder, der sie abhört, in den Besitz des Schlüssels  und kann anschließend alle mit diesem Schlüssel verschlüsselten Nachrichten entschlüsseln.

Asymmetrische Verschlüsselung

Man benötigt somit eine sichere Methode, Schlüssel an die Kommunikationspartner oder zwischen ihnen zu verteilen. Im Extremfall kann das bedeuten, dass ein Kurier die Schlüssel überbringt, wenn es im Netz selbst nicht möglich ist, die Schlüssel sicher zu verteilen.

Um dieses Problem der symmetrischen Kryptografie zu umgehen, gibt es Verfahren, die für die Ver- und für die Entschlüsselung unterschiedliche Schlüssel verwenden. Sie heißen asymmetrische Verschlüsselung.

Dieses Verfahren muss dafür sorgen,

  • dass der Entschlüsselungsschlüssel nicht aus dem Verschlüsselungsschlüssel ableitbar ist und
  • dass sich die Verschlüsselung mit dem Schlüssel nicht einmal durch einen Angriff mit ausgewähltem Klartext brechen lässt.

Sind diese beiden Bedingungen erfüllt, gibt es keinen Grund mehr, den Verschlüsselungsschlüssel geheim zu halten. Man kann im Gegenteil sogar den Schlüssel, der für jeden Kommunikationsteilnehmer gültig ist, veröffentlichen. Daher stammt auch der Name des Verfahrens: „Verschlüsselung mit öffentlichen Schlüsseln“ (Public Key Cryptography).

Hybride Verschlüsselung

Da die asymmetrische Ver- und Entschlüsselung größerer Datenmengen relativ zeitaufwendig ist, setzt die Praxis meist symmetrische Verfahren zur Ver- und Entschlüsselung der Nutzdaten ein.

Den dabei verwendeten Schlüssel erzeugt man als Zufallszahl und überträgt ihn an den Empfänger, nachdem man ihn mit dessen asymmetrischem Verschlüsselungsschlüssel verschlüsselt hat.

Der Empfänger kann dann die Zufallszahl durch asymmetrische Entschlüsselung rekonstruieren und damit die Nutzdaten entschlüsseln. Man bezeichnet dieses kombinierte Verfahren als hybride Verschlüsselung.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.