Grundlagen der Verschlüsselung

Unternehmen setzen asymmetrische, symmetrische und hybride Verfahren ein, um vertrauliche Daten zu schützen. Warum die Verschlüsselung die Basis des modernen Internets bildet, lesen Sie im Folgenden.

Angesichts der immer häufigeren Datenlecks zweifelt niemand mehr daran, wie wichtig die Verschlüsselung von Daten für Unternehmen, Behörden und auch Privatanwender geworden ist. Nur eine Verschlüsselung verhindert letztlich, dass Unbefugte auf fremde Daten zugreifen können – ganz gleich, ob es sich dabei um ruhende oder bewegte Informationen handelt. Gerade der Schutz der Kommunikation über das Internet durch eine sichere Verschlüsselung spielt in den letzten Jahren eine immer wichtigere Rolle.

Wie die Verschlüsselung von Daten prinzipiell funktioniert

Jeder kennt Postkarten, wie sie früher zum Beispiel aus dem Urlaub verschickt wurden. Wer eine solche Postkarte in die Hand bekommt, kann den Inhalt direkt lesen. Bei einem verschlossenen Brief geht das nicht, sein Inhalt ist vor fremden Blicken geschützt. Ähnlich funktioniert die Verschlüsselung von Daten: Sie fügt eine zusätzliche Ebene hinzu, die vertrauliche Daten vor fremdem Zugriff schützt.

Einer der ersten bekannten Anwender einer noch recht einfachen Verschlüsselungsmethode war Julius Cäsar. Die nach ihm benannte „Verschlüsselung“ ist aber im Grunde nur eine Chiffrierung, bei der ein Buchstabe des Klartextes nach einem bestimmten Schema durch einen anderen Buchstaben ersetzt wird. Cäsar soll sogar nur eine Verschiebung um drei Buchstaben im Alphabet verwendet haben. Das bekannte Rot13-Verfahren beruht auf dem gleichen Prinzip.

Anderthalb Jahrtausende nach Cäsar entwickelte Leon Battista Alberti das Verfahren weiter. Auf Alberti geht die Chiffrier-Scheibe, auch Cäsar-Scheibe genannt, zurück. Sie besteht aus zwei runden Platten, die eine gemeinsame Achse haben und sich gegeneinander verschieben lassen. Anschließend kann man ablesen, welcher Buchstabe durch welchen ersetzt werden muss, um Daten zu verschlüsseln und später wieder zu entschlüsseln.

Was symmetrische Verschlüsselungsverfahren ausmacht

Das einfache Verschlüsselungsverfahren der Chiffrier-Scheibe heißt auch symmetrische Verschlüsselung, da für die Ver- und Entschlüsselung derselbe Schlüssel verwendet wird. Symmetrische Verschlüsselungsverfahren kommen zum Beispiel häufig bei der Sicherung von Daten in einem verschlüsselten Vault oder bei Backups zum Einsatz. Zu den wichtigsten symmetrischen Verschlüsselungsverfahren zählen:

• Data Encryption Standard (DES): Der Anfang der 70er-Jahre von IBM entwickelte Algorithmus verwendet nur eine relativ kurze Schlüssellänge von 56 Bit. Das macht ihn anfällig für Brute-Force-Angriffe.
• Triple-DES: Da Triple-DES drei Schlüssel nutzt, ergibt sich eine Schlüssellänge von 168 Bit. Aufgrund der Anfälligkeit für Meet-in-the-Middle-Angriffe beträgt die effektive Schlüssellänge jedoch nur 112 Bit. Trotzdem wird Triple-DES auch heute noch verwendet.
• Advanced Encryption Standard (AES): AES oder Rijndael, wie das Verfahren ursprünglich hieß, wurde Anfang der 2000er-Jahre vom National Institute of Standards and Technology (NIST) vorgestellt. Der Standard unterstützt Schlüssellängen von 128, 192 und 256 Bit.

Die letztgenannte und sicherste Variante kommt am häufigsten zum Einsatz. Nach derzeitigem Stand sind in der Praxis keine durchführbaren Angriffe gegen AES bekannt. In den USA ist es daher für den Hochsicherheitsbereich „Top Secret“ zugelassen.

Wie eine asymmetrische Verschlüsselung funktioniert

Bei der asymmetrischen Verschlüsselung setzt man nicht einen Schlüssel, sondern zwei Schlüssel ein, also ein Schlüsselpaar. Einer der beiden Schlüssel ist öffentlich, der andere privat. Sie sind eng miteinander verknüpft.

Den öffentlichen Schlüssel kann der Nutzer beliebig weitergeben. Er dient zur Verschlüsselung der Daten. Zum Entschlüsseln benötigt man hingegen den passenden privaten Schlüssel und die dazugehörige Passphrase. Mit dem öffentlichen Schlüssel gelingt es also nicht, die verschlüsselten Daten wieder lesbar zu machen. Er kann aber dazu verwendet werden, eine mit dem privaten Schlüssel erzeugte digitale Signatur zu verifizieren.

Als Synonym für asymmetrische Verschlüsselung wird häufig auch der Begriff Public Key Infrastructure (PKI) verwendet. PKI-Verfahren setzt man zum Schutz von E-Mail-Nachrichten, aber auch zur Verschlüsselung von Daten beim Surfen im Internet über Secure Sockets Layer (SSL) oder Transport Layer Security (TLS) ein.

Wo Verschlüsselung in der Praxis zum Einsatz kommt

Unternehmensnutzer stoßen an verschiedenen Stellen auf Verschlüsselungsmethoden.

• Festplattenverschlüsselung: Sie stellt sicher, dass sensible Daten auch bei Diebstahl nicht in fremde Hände gelangen. Dies gilt besonders für alle mobilen Endgeräte, die vollständig verschlüsselt sein sollten.
• E-Mail-Verschlüsselung: E-Mails durchlaufen mehrere Stationen, bevor sie ihr Ziel erreichen. Für Angreifer ist es ein Leichtes, unverschlüsselte E-Mails an diesen Knotenpunkten abzufangen und zu lesen. Zur Verschlüsselung von E-Mails werden meist PKI-Verfahren eingesetzt.
• Verschlüsselung beim Websurfen: Die Daten zwischen dem lokalen Webbrowser und dem entfernten Webserver sind heutzutage in der Regel mit TLS (Transport Layer Security) verschlüsselt.
• Verschlüsselte Tunnel: Virtuelle Private Netzwerke (VPNs) gelten als bewährte Methode, um mehrere Standorte miteinander oder entfernte Mitarbeiter mit der Firmenzentrale sicher zu verbinden. Als Verschlüsselung empfiehlt sich IPsec (Internet Protocol Security). Diese Protokoll-Suite kombiniert asymmetrische und symmetrische Verschlüsselungsverfahren. Es handelt sich also um ein Hybridverfahren.

Darüber hinaus verschlüsseln Unternehmen in der Regel auch ihre Datenbanken, Server, die lokale Netzwerkkommunikation, drahtlose Netzwerke sowie ihre Cloud-Anwendungen.

Verschlüsselung: Glossar der wichtigsten Fachbegriffe

Im Zusammenhang mit dem Thema Verschlüsselung tauchen immer wieder einige weitere Fachbegriffe auf. Die wichtigsten sind:

• Transportverschlüsselung: Sie verhindert, dass Unbefugte die Daten auf dem Transportweg mitlesen, etwa vom Mailserver eines Unternehmens zum Mailserver des Providers. Danach liegt es in der Regel nicht mehr in den Händen des Nutzers oder Unternehmens, wie die Nachricht weitergeleitet wird.
• Ende-zu-Ende-Verschlüsselung: Hier behält der User die Kontrolle über seine Daten, da diese bereits am Ausgangspunkt verschlüsselt und erst am Ziel wieder entschlüsselt werden. Auch die Betreiber der dazwischenliegenden Knoten können somit nicht auf die verschlüsselten Informationen zugreifen.
• Digitale Zertifikate: Zertifikate bestätigen die Gültigkeit eines öffentlichen Schlüssels und die Identität des Inhabers. Zertifikate enthalten deshalb den öffentlichen Schlüssel, Informationen über den Inhaber sowie eine digitale Signatur des Zertifikatausstellers. Stammt diese Signatur von einer Stelle, der das verwendete Betriebssystem oder die Anwendung vertraut, akzeptiert die Software das Zertifikat.
• Digitale Signaturen: Sie dienen der Identifizierung des Absenders einer Nachricht. Zur Prüfung wird entweder eine hierarchisch strukturierte PKI oder ein heterogenes Web of Trust aus vielen Nutzern verwendet.
• Authentifizierung: Mit ihr lässt sich die Identität einer Person oder einer Maschine überprüfen und bestätigen. Bevor beispielsweise ein Benutzer auf eine entfernte Ressource zugreifen kann, muss er sich erst authentifizieren, zum Beispiel durch einen Benutzernamen und ein Passwort.

Verschlüsselung spielt eine entscheidende Rolle bei der Absicherung von Unternehmen – und dies gilt auch für die Endgeräte der Mitarbeiter. Besonders wichtig ist dabei die Verschlüsselung aller vertraulichen und sensiblen Daten auf den Endgeräten. Wie eine solche Endpoint-Security genau funktioniert, erfahren Sie in unserem Blogbeitrag „Wie die sichere Verschlüsselung von Endgeräten funktioniert“.