Was ist Verschlüsselung?

Verschlüsselung (Englisch: Encryption) bezeichnet in der Kryptographie den Prozess, bei dem Informationen so kodiert werden, dass nur autorisierte Parteien darauf zugreifen können. Der Sender wandelt den ursprünglichen Text mithilfe eines privaten Schlüssels in einen Ciphertext um. Nur wenn der Empfänger ebenfalls einen passenden Schlüssel hat, kann er den Ciphertext entschlüsseln. Bei der Datenverschlüsselung kommen verschiedene Verschlüsselungsverfahren zum Einsatz.

Symmetrische Verschlüsselung

Bei symmetrischer Verschlüsselung wird derselbe Schlüssel für die Ver- und Entschlüsselung verwendet. Beide Parteien müssen denselben Schlüssel besitzen.

Asymmetrische Verschlüsselung

Asymmetrische Verschlüsselung verwendet zwei unterschiedliche Schlüssel: einen zum Verschlüsseln und einen zum Entschlüsseln. Der Verschlüsselungsschlüssel kann dabei öffentlich zugänglich sein. Nur der Empfänger hat Zugriff auf den Entschlüsselungsschlüssel, der ihm das Lesen der Nachricht ermöglicht.

Die Verschlüsselung mit öffentlichem Schlüssel wurde erstmals 1973 in einem geheimen Dokument beschrieben. Davor basierten alle Verschlüsselungsverfahren auf einem symmetrischen Schlüssel (auch als privater Schlüssel bezeichnet). Erst mit der Einführung der asymmetrischen Verschlüsselung wurde eine öffentliche Schlüsselstruktur möglich.

Triple DES

Triple DES ist ein älterer Algorithmus, der den ursprünglichen DES-Algorithmus ersetzte, jedoch leicht von Hackern geknackt werden konnte. Früher war Triple DES der empfohlene Standard und weit verbreitet.

Triple DES verwendet drei individuelle Schlüssel mit jeweils 56 Bit. Die Gesamte Schlüssellänge beläuft sich auf 168 Bit, aber laut Experten beträgt die Schlüsselstärke etwa 112 Bit.

Obwohl Triple DES veraltet ist, bleibt es eine zuverlässige Lösung für Hardware-Verschlüsselung, besonders in der Finanzbranche.

RSA

RSA ist ein asymmetrischer Verschlüsselungsalgorithmus, der öffentliche und private Schlüssel zur sicheren Datenübertragung über das Internet nutzt. RSA wird auch in PGP- und GPG-Programmen eingesetzt.

Im Gegensatz zu Triple DES wird RSA als asymmetrischer Verschlüsselungsalgorithmus betrachtet, da ein Schlüsselpaar verwendet wird. Der öffentliche Schlüssel wird für die Kodierung und ein privater Schlüssel für die Dekodierung der E-Mail eingesetzt. Es kostet Angreifer viel Zeit und Rechenleistung, um diesen Verschlüsselungscode zu knacken.

AES

Der Advanced Encryption Standard (AES) ist der Algorithmus, dem die US-Regierung und viele andere Organisationen vertrauen.

Obwohl er in der 128-Bit-Form äußerst effizient ist, verwendet AES auch 192 und 256 Bit-Schlüssel für eine besonders starke Verschlüsselung.

AES gehört zu den modernsten Verschlüsselungsalgorithmen und gilt als resistent gegen alle Angriffe, mit Ausnahme von Brute-Force-Angriffen, bei denen versucht wird, Nachrichten mit allen möglichen Kombinationen in der 128-, 192- oder 256-Bit-Verschlüsselung zu dekodieren. Dennoch glauben Sicherheitsexperten, dass AES in Zukunft der Standard für die Verschlüsselung von Daten im privaten Sektor werden wird.

In der Kryptographie gibt es verschiedene Standards für Verschlüsselung, darunter:

• Data Encryption Standard (inzwischen veraltet).
• Advanced Encryption Standard.
• RSA (der ursprüngliche Algorithmus mit öffentlichem Schlüssel).
• Open PGP.

Die Dateisystemverschlüsselung, auch als Datei- und Ordnerverschlüsselung bekannt, ist eine der wichtigsten Verschlüsselungsmethoden. Dabei werden einzelne Dateien oder Verzeichnisse direkt vom Dateisystem verschlüsselt.

Festplattenverschlüsselung schützt Daten, indem sie sie in unlesbaren Code umwandelt, den unbefugte Benutzer nicht leicht entschlüsseln können. Bei der Festplattenverschlüsselung wird Software oder Hardware zur Verschlüsselung der Festplatte eingesetzt, um jedes Datenbit zu kodieren, das sich auf einer Festplatte oder einem Datenträger befindet.

Bei der E-Mail-Verschlüsselung soll der Inhalt der E-Mail davor geschützt werden, von anderen Entitäten als den vorgesehenen Empfängern gelesen zu werden. Die Datenverschlüsselung, insbesondere die E-Mail-Verschlüsselung, kann auch eine Authentifizierung umfassen.

E-Mails sind nicht sicher und können sensible Informationen offenlegen, deshalb sind gute E-Mail-Sicherheitspraktiken unverzichtbar. Die meisten E-Mails werden derzeit in klarer (nicht verschlüsselter) Form übertragen. Mit Hilfe verfügbarer Tools können auch nicht berechtigte Personen den Inhalt der E-Mail lesen. Die E-Mail-Verschlüsselung verwendet traditionell eines von zwei Protokollen, entweder TLS oder Ende-zu-Ende-Verschlüsselung. Innerhalb der Ende-zu-Ende-Verschlüsselung gibt es mehrere Optionen, darunter die Protokolle PGP und S/MIME.

• Kennen Sie die Gesetze: Beim Schutz personenbezogener Daten müssen Organisationen viele sich überschneidende, datenschutzrechtliche Vorschriften einhalten. Zu den sechs wichtigsten Vorschriften gehören FERPA, HIPAA, HITECH, COPPA, PCI DSS, die DSGVO sowie länderspezifische Gesetze zur Meldung von Datenschutzverletzungen.
• Datenbewertung: HIPAA verlangt keine explizite Verschlüsselung, empfiehlt jedoch eine Datenrisikobewertung und den Einsatz von Verschlüsselung, wenn diese als „angemessen und erforderlich“ angesehen wird. Wenn eine Organisation beschließt, elektronisch geschützte Gesundheitsinformationen nicht zu verschlüsseln, muss die Institution diese Entscheidung dokumentieren und begründen und dann eine „gleichwertige alternative Maßnahme“ implementieren.
• Festlegung des Verschlüsselungsgrades: Das U.S. Gesundheitsministerium (HHS) wendet sich an das National Institute of Standards and Technology (NIST), um Empfehlungen für Verschlüsselungspraktiken zu erhalten. Sowohl das HHS als auch das NIST haben eine solide Dokumentation zur Einhaltung der Sicherheitsregeln des HIPAA erstellt. Die NIST-Sonderveröffentlichung 800-111 enthält einen umfassenden Ansatz zur Verschlüsselung auf Benutzergeräten. Kurz gefasst heißt es darin, dass Verschlüsselung dann eingesetzt werden muss, wenn auch nur die geringste Möglichkeit eines Risikos besteht. FIPS 140-2, das AES in seine Protokolle einbezieht, ist die ideale Wahl. FIPS 140-2 hilft Bildungseinrichtungen sicherzustellen, dass PII „für nicht autorisierte Personen unbrauchbar, unlesbar oder nicht entzifferbar gemacht werden“. Ein Gerät, das die Anforderungen von FIPS 140-2 erfüllt, verfügt über eine kryptografische Löschfunktion, die „die Verschlüsselung der Zieldaten unterstützt, indem sie die Bereinigung des Verschlüsselungscodes der Zieldaten ermöglicht, wobei nur der Chiffriertext auf dem Medium verbleibt, wodurch die Daten effektiv bereinigt werden“.
• Sensible Datenübertragungen und Fernzugriffe: Die Verschlüsselung muss über Laptops und Backup-Laufwerke hinausgehen. Die Kommunikation oder das Senden von Daten über das Internet erfordert Transport Layer Security (TLS), ein Protokoll zur Übertragung von Daten über ein Netzwerk, und eine Datenverschlüsselung, beispielsweise AES-Verschlüsselung. Wenn ein Mitarbeiter auf das lokale Netzwerk einer Institution zugreift, ist eine sichere VPN-Verbindung unerlässlich, wenn es sich um ePHI handelt. Bevor Schülerdateien zur Übertragung zwischen Systemen oder Büros auf ein physisches externes Gerät übertragen werden, muss das Gerät verschlüsselt sein und die Anforderungen von FIPS 140-2 erfüllen, um mögliche Datenschutzverletzungen zu vermeiden.
• Beachten Sie die Details im Kleingedruckten: Leider versäumen es viele Schulen und Universitäten, die Datenschutz- und Datensicherheitsrichtlinien von Drittanbietern mit der gebotenen Sorgfalt zu prüfen und genehmigen versehentlich Datenerfassungs- und Datenauswertungspraktiken, die für Eltern/Schüler inakzeptabel sind und gegen geltende Gesetze verstoßen. Die Einhaltung gesetzlicher Vorschriften umfasst viel mehr als nur den Passwortschutz der Arbeitsplätze. Sie erfordert den Einsatz von Verschlüsselung zum Schutz von ruhenden Daten, wenn diese auf Schulsystemen oder Wechseldatenträgern gespeichert werden. Denken Sie daran, dass ruhende Daten, die sich außerhalb der Firewall der Einrichtung befinden, die Hauptursache für Sicherheitsverletzungen sind. Erfahren Sie mehr über Cybersicherheit speziell für Hochschulen.