Was ist Verschlüsselung?

In der Kryptographie bezeichnet Verschlüsselung (Englisch: Encryption) den Prozess, bei dem Informationen oder Nachrichten mithilfe unterschiedlicher Verschlüsselungsmethoden so kodiert werden, dass nur autorisierte Parteien darauf zugreifen können. Der Sender nutzt einen privaten Schlüssel, um den ursprünglichen Text in einen sogenannten Ciphertext umzuwandeln. Nur mit einem passenden Schlüssel kann der Empfänger diesen Ciphertext entschlüsseln und die ursprüngliche Nachricht lesen. Verschlüsselung ist ein zentrales Element der Datensicherheit und wird in zahlreichen Anwendungen eingesetzt.

Symmetrische Verschlüsselung

Bei der symmetrischen Verschlüsselung verwenden beide Parteien denselben Schlüssel zum Ver- und Entschlüsseln der Daten. Die Herausforderung hierbei ist, den Schlüssel sicher zwischen den Kommunikationspartnern auszutauschen, da ein Verlust oder Diebstahl des Schlüssels die gesamte Kommunikation gefährden könnte.

Asymmetrische Verschlüsselung

Bei der asymmetrischen Verschlüsselung verwendet ein Schlüsselpaar: einen öffentlichen Schlüssel (Public Key) zum Verschlüsseln und einen privaten Schlüssel (Private Key) zum Entschlüsseln. Der öffentliche Schlüssel kann frei verteilt werden, während der private Schlüssel geheim bleibt und nur dem Empfänger zugänglich ist. Diese Methode wurde 1973 erstmals in einem geheimen Dokument beschrieben und revolutionierte die Kryptographie, da sie die Notwendigkeit, einen gemeinsamen Schlüssel auszutauschen, eliminierte. Zuvor basierten alle Verfahren ausschließlich auf symmetrischen Schlüsseln.

Triple DES

Triple DES (3DES) wurde entwickelt, um den ursprünglichen Data-Encryption-Standard-(DES)-Algorithmus zu ersetzen, den Hacker mit Leichtigkeit knacken konnten. Triple DES war einst der empfohlene Standard und der am häufigsten verwendete symmetrische Algorithmus in der Industrie.

Triple DES verwendet drei individuelle Schlüssel mit jeweils 56 Bit. Die Gesamtschlüssellänge beläuft sich auf 168 Bit, aber laut Experten beträgt die Schlüsselstärke etwa 112 Bit.

Auch wenn dieser Algorithmus langsam ausläuft, ist Triple DES immer noch eine zuverlässige Hardware-Verschlüsselungslösung für Finanzdienstleistungen und andere Branchen.

RSA

RSA ist ein Verschlüsselungsalgorithmus mit öffentlichem Schlüssel und der Standard für die Verschlüsselung von Daten, die über das Internet gesendet werden. Es ist auch eine der Methoden, die in PGP- und GPG-Programmen verwendet wird.

Im Gegensatz zu Triple DES wird RSA als asymmetrischer Verschlüsselungsalgorithmus betrachtet, da ein Schlüsselpaar verwendet wird. Der öffentliche Schlüssel wird für die Kodierung und ein privater Schlüssel für die Dekodierung der E-Mail eingesetzt. Es kostet Angreifer viel Zeit und Rechenleistung, um diesen Verschlüsselungscode zu knacken.

AES

Der Advanced Encryption Standard (AES) ist der Algorithmus, dem die US-Regierung und viele andere Organisationen vertrauen.

Obwohl er in der 128-Bit-Form äußerst effizient ist, verwendet AES auch 192 und 256 Bit-Schlüssel für eine besonders starke Verschlüsselung.

AES gilt als resistent gegen alle Angriffe, mit Ausnahme von Brute-Force-Angriffen, bei denen versucht wird, Nachrichten mit allen möglichen Kombinationen in der 128-, 192- oder 256-Bit-Verschlüsselung zu dekodieren. Dennoch glauben Sicherheitsexperten, dass AES in Zukunft der Standard für die Verschlüsselung von Daten im privaten Sektor werden wird.

Im Bereich der Kryptographie existiert eine Vielzahl an Standards. Dies sind die gängigen Verschlüsselungsstandards:

• Data Encryption Standard (DES): mittlerweile veraltet.
• Advanced Encryption Standard (AES).
• RSA: der ursprüngliche Algorithmus mit öffentlichem Schlüssel.
• Open PGP.

Die Verschlüsselung auf Dateisystemebene, häufig auch als Datei- und Ordnerverschlüsselung bezeichnet, ist eine Form der Festplattenverschlüsselung. Dabei werden einzelne Dateien oder Verzeichnisse direkt durch das Dateisystem verschlüsselt.

Die Festplattenverschlüsselung ist eine Technologie, die Daten schützt, indem sie diese in unlesbaren Code umwandelt, der von unautorisierten Benutzern nicht ohne Weiteres entschlüsselt werden kann. Dabei kommen Software- oder Hardwarelösungen zum Einsatz, um jedes Datenbit auf einer Festplatte oder einem Datenträger zu verschlüsseln.

Die E-Mail-Verschlüsselung schützt den Inhalt von E-Mail davor, von anderen als den vorgesehenen Empfängern gelesen zu werden. Die E-Mail-Verschlüsselung kann auch eine Authentifizierung umfassen. E-Mails sind nicht sicher und können sensible Informationen offenlegen, deshalb sind gute E-Mail-Sicherheitspraktiken unverzichtbar. Die meisten E-Mails werden aktuell in unverschlüsselter Form übertragen. Mit Hilfe verfügbarer Tools können auch Unbefugte den Inhalt der E-Mails problemlos lesen. Die E-Mail-Verschlüsselung verwendet traditionell eines von zwei Protokollen, entweder TLS oder Ende-zu-Ende-Verschlüsselung. Für die Ende-zu-Ende-Verschlüsselung stehen verschiedene Optionen zur Verfügung, darunter die Protokolle PGP und S/MIME.

1. Kennen Sie die Gesetze: Beim Schutz personenbezogener Daten müssen Organisationen eine Vielzahl von datenschutzrechtlichen Vorschriften beachten, die sich oft überschneiden. Zu den sechs wichtigsten Vorschriften gehören FERPA, HIPAA, HITECH, COPPA, PCI DSS, die DSGVO sowie länderspezifische Gesetze zur Meldung von Datenschutzverletzungen.
2. Bewerten Sie die Daten: HIPAA schreibt keine Verschlüsselung ausdrücklich vor, verlangt jedoch, dass Organisationen eine Datenrisikobewertung durchführen. Sollte die Bewertung zeigen, dass Verschlüsselung eine „angemessene und geeignete“ Maßnahme ist, muss diese implementiert werden. Entscheidet sich eine Organisation dagegen, elektronisch geschützte Gesundheitsinformationen (ePHI) zu verschlüsseln, muss dies dokumentiert und begründet werden. Gleichzeitig ist eine „gleichwertige alternative Maßnahme“ umzusetzen.
3. Bestimmen Sie den erforderlichen Grad der Verschlüsselung: Das U.S. Gesundheitsministerium (HHS) bezieht Empfehlungen zu Verschlüsselungsstandards vom National Institute of Standards and Technology (NIST). Beide Organisationen haben umfangreiche Leitlinien für die Einhaltung der HIPAA-Sicherheitsregeln veröffentlicht. Die NIST-Sonderveröffentlichung 800-111 bietet einen umfassenden Ansatz zur Verschlüsselung von Benutzergeräten und betont, dass Verschlüsselung immer dort zum Einsatz kommen sollte, wo ein Risiko besteht. FIPS 140-2, das AES in seinen Protokollen verwendet, wird als idealer Standard empfohlen. FIPS 140-2 stellt sicher, dass personenbezogene Daten (PII) für unautorisierte Personen „unbrauchbar, unlesbar oder nicht entzifferbar“ sind. Ein Gerät, das die Anforderungen von FIPS 140-2 erfüllt, verfügt über eine kryptografische Löschfunktion, die „die Verschlüsselung der Zieldaten unterstützt, indem sie die Bereinigung des Verschlüsselungscodes der Zieldaten ermöglicht, wobei nur der Chiffriertext auf dem Medium verbleibt, wodurch die Daten effektiv bereinigt werden“.
4. Achten Sie auf sensible Datenübertragungen und Fernzugriffe: Die Verschlüsselung muss über Laptops und Backup-Laufwerke hinausgehen. Daten, die über das Internet versendet werden, erfordern Transport Layer Security (TLS) in Kombination mit AES-Verschlüsselung. Wenn ein Mitarbeiter auf das lokale Netzwerk einer Institution zugreift, ist eine sichere VPN-Verbindung unerlässlich, wenn es sich um ePHI handelt. Auch physische Geräte, die Schüler- oder Studierendendaten übertragen, müssen verschlüsselt sein und den Anforderungen von FIPS 140-2 entsprechen, um Datenschutzverletzungen zu vermeiden.
5. Beachten Sie die Details im Kleingedruckten: Leider versäumen es viele Schulen und Universitäten, die Datenschutz- und Datensicherheitsrichtlinien von Drittanbietern mit der gebotenen Sorgfalt zu prüfen und genehmigen versehentlich Datenerfassungs- und Datenauswertungspraktiken, die von Eltern/Schülern und Studierenden als inakzeptabel empfunden werden oder gegen geltende Gesetze verstoßen. Die Einhaltung gesetzlicher Vorschriften und Verschlüsselungsstandards umfasst viel mehr als nur den Passwortschutz der Arbeitsplätze. Sie erfordert den Einsatz von Verschlüsselung zum Schutz von ruhenden Daten, wenn diese auf Schulsystemen oder Wechseldatenträgern gespeichert werden. Denken Sie daran, dass ruhende Daten, die sich außerhalb der Firewall der Einrichtung befinden, die Hauptursache für Sicherheitsverletzungen sind. Erfahren Sie mehr über das effektive Verschlüsseln von Daten und über Cybersicherheit speziell für Hochschulen.