JETZT TESTEN
dracoon-login-w
Menu
JETZT TESTEN
LOGIN
Signet-Animation_Header

Diese Verschlüssel­ungsverfahren schützen Ihre Daten wirklich

Die Verschlüsselung von Daten sowie der chiffrierte Datentransfer auf netzwerkbasierten Übertragungs­wegen (LAN, WAN, WLAN, Internet) wird zunehmend zum Normalfall. Nicht ohne Grund sind im Internet kaum noch unverschlüsselte Websites zu finden – der TLS-Standard ist Alltag geworden. Viele Browser kennzeichnen unverschlüsselte HTTP-Seiten inzwischen als „nicht sicher“. Selbst öffentliche WLAN-Netze sind großteils mit einem bekannten Kennwort verschlüsselt, um den Datenverkehr nicht für Dritte einsehbar zu machen. Messenger-Dienste bewerben ihre Produkte mit der eingesetzten Ende-zu-Ende-Verschlüsselung. Onlineshops sind inzwischen gesetzlich verpflichtet, ihre eingesetzten Bezahlsysteme nur noch auf verschlüsselten Wegen abzuwickeln.

Die Verschlüsselung von Dateien und ganzen Datenträgern wird insbesondere in Unternehmen seit Jahrzehnten eingesetzt. Aber auch im privaten Umfeld werden vermehrt Verschlüsselungstechniken verwendet – immer mehr Benutzer setzen zusätzliche Verschlüsselungssoftware in Cloud Services von US-amerikanischen Cloud-Anbietern ein, um ihre Dateninhalte von den Blicken neugieriger Dritter zu schützen und Datenschutz zu gewährleisten.

Methoden, die einen Klartext in ein Chiffrat umwandeln, sind seit Jahrtausenden bekannt. Unter der Verschlüsselung in der Informationstechnik versteht man verschiedene Verfahren und Algorithmen, die Daten mittels digitaler Schlüssel in eine nicht lesbare Form umwandeln. 

 

Symmetrische Verschlüsselungsverfahren

Symmetrische Verschlüsselungsverfahren sind bereits seit über 2.500 Jahren bekannt. Dabei wird für die Ver- und Entschlüsselung ein Schlüssel benutzt, den Sender und Empfänger vereinbaren. Damit die Information geschützt bleibt, muss dieser Schlüssel geheim gehalten werden, daher stellt die Übergabe des Schlüssels ein potentielles Sicherheitsrisiko dar. Ein weiteres Problem besteht darin, dass zwischen jedem Sender und Empfänger ein eigener geheimer Schlüssel benötigt wird. Daher nimmt die Anzahl an benötigten Schlüsseln mit der Anzahl an Personen überproportional zu.

Symmetrische Kryptografie funktioniert also wie ein Aktenkoffer mit zwei passenden Schlüsseln, die man nicht verlieren darf.

Data Encryption Standard (DES)

Der von IBM entwickelte Data Encryption Standard (DES) ist ein symmetrisches Verschlüsselungsverfahren, das 1977 durch das US-amerikanische National Institute of Standards and Technology (NIST) standardisiert wurde. Der symmetrische Algorithmus arbeitet als Blockverschlüsselung auf Bit-Ebene. Dabei wird der Klartext in Blöcke von 64 Bit zerlegt, die einzeln mit einem 64-Bit-Schlüssel chiffriert werden. Es werden somit jeweils 64 Bit Klartext in 64 Bit Geheimtext übersetzt. Da jedes achte Bit des Schlüssels als Paritäts-Bit fungiert, stehen für die Verschlüsselung effektiv nur 56 Bit zur Verfügung. Ein Paritätsbit ist ein Ergänzungsbit in einer Folge von Bits, um die Anzahl der mit 1 belegten Bits (inklusive Paritätsbit) der Folge als gerade oder ungerade zu ergänzen.

 

Advanced Encryption Standard (AES)

Das DES begründete zwar die Anfänge der modernen Kryptografie, ist heute aber aufgrund der geringen Schlüssellänge veraltet und unsicher. Mit dem heutigen Stand der Technik lässt sich ein DES-Schlüssel bereits in wenigen Stunden entschlüsseln. Nachfolger von DES wurde Ende 2000 der vom NIST als Advanced Encryption Standard (AES) zertifizierte Rijndael-Algorithmus. Auch AES beruht auf einer Blockverschlüsselung: Statt 64-Bit-Blöcken kommen bei AES jedoch deutlich größere 128-Bit-Blöcke zum Einsatz, die mit Hilfe eines Substitutions-Permutations-Netzwerks (SPN) in mehreren aufeinanderfolgenden Runden chiffriert werden.

AES gilt aufgrund seines Algorithmus als sehr sicher und wird heute u.a. als Verschlüsselungsmethode bei WPA2, SSH und IPSec angewendet. Die Daten sind jedoch nur sicher, wenn auch der Schlüssel geheim bleibt. Da derselbe Schlüssel zur Ver- und Entschlüsselung verwendet wird, ist das Verschlüsselungssystem wie jedes andere symmetrische Verfahren vom Schlüsselverteilungsproblem betroffen. Der sichere Einsatz von AES beschränkt sich somit eher auf Anwendungsfelder, die keinen Schlüsselaustausch erfordern oder diesen über einen sicheren Kanal ermöglichen.

 

Asymmetrische Verschlüsselungsverfahren

Bei asymmetrischen Verschlüsselungsverfahren, die in den 1970er Jahren entwickelt wurden, werden zwei Schlüssel verwendet: Zusätzlich zu einem geheimen, privaten Schlüssel (Private Key) gibt es einen öffentlichen Schlüssel (Public Key), der für jeden zugänglich ist. Die Datei wird mit dem öffentlichen Schlüssel verschlüsselt und kann nur mit dem darauf abgestimmten privaten Schlüssel wieder entschlüsselt werden. Asymmetrische Kryptografie funktioniert also ein bisschen wie ein Briefkasten.

Der Vorteil der asymmetrischen Verschlüsselungsmethode liegt darin, dass jeder den öffentlichen Schlüssel verwenden kann, um Daten zu verschlüsseln. Da nur der öffentliche Schlüssel ausgetauscht wird, kann dies auch über einen öffentlichen Kanal erfolgen.

Ein Nachteil des asymmetrischen Verschlüsselungsverfahrens ist ein erhöhter Aufwand bei mehreren Empfängern, da die Verschlüsselung mit dem individuellen Public Key eines jeden Empfängers erfolgt und die Nachricht für jeden Empfänger einzeln verschlüsselt werden muss. Ebenso kann ein Angriff durch einen Mittelsmann erfolgen. Hierbei stellt sich dieser zwischen die Kommunikation zweier Personen und täuscht seinen eigenen Public Key als den des eigentlichen Empfängers vor, entschlüsselt anschließend mit seinem eigenen Private Key und verschlüsselt die Nachricht schließlich mit dem Public Key des eigentlichen Empfängers und schickt sie weiter. Die Kommunikationspartner merken womöglich nichts, aber ihre Nachricht wurde gelesen.

Man-in-the-middle-Angriff

Um das zu verhindern, muss gewährleistet sein, dass der erhaltene Public Key authentisch ist. Dazu dienen digitale Zertifikate und Signaturen, über die man deren Authentizität prüfen kann.

 

Hybride Verschlüsselungsverfahren

Als Hybrid-Verschlüsselung wird die Kombination des symmetrischen und asymmetrischen Verschlüsselungsverfahrens bezeichnet. Dadurch werden die Schwächen des einen Systems durch die Stärken des anderen Systems kompensiert. Dabei wird ein zufälliger, symmetrischer Schlüssel erzeugt, mit dem die Daten verschlüsselt werden. Der symmetrische Schlüssel wird mit dem öffentlichen Schlüssel des Empfängers oder der Empfänger verschlüsselt. Anschließend werden die symmetrisch verschlüsselten Daten zusammen mit dem asymmetrisch verschlüsselten Schlüssel übertragen.

Jedoch ist nicht nur die Art des Verschlüsselungsverfahrens wichtig, sondern auch, wo der Schlüssel gespeichert wird. Dies ist für die Datensicherheit ausschlaggebend.

 

Channel Encryption

Als Channel Encryption wird die Verschlüsselung des Übertragungswegs bezeichnet. Channel Encryption mittels SSL/TLS stellt heute einen Mindeststandard dar, der eigentlich bei jedem im Internet genutzten Dienst aktiv sein sollte. Mit dieser Technik wird die Übertragung von Login-Informationen wie Benutzername und Kennwort, Meta-Informationen über vorhandene Dateien und Ordner wie Namen, Datentypen etc. und der Dateien selbst noch einmal mit einer zusätzlichen Verschlüsselungsschicht geschützt.

Transport Layer Security (TLS, englisch für Transportschichtsicherheit), auch bekannt unter der Vorgängerbezeichnung Secure Sockets Layer (SSL), ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Die letzte Version des SSL-Protokolls war die Version 3.0; danach wurde es unter dem neuen Namen TLS, beginnend mit Version 1.0, weiterentwickelt und standardisiert.

 

Server Side Encryption

Bei serverseitig verschlüsselten Daten werden die Daten zusammen mit dem Schlüssel an den jeweiligen Server bzw. Anbieter übertragen. Auch wenn der Anbieter versichert, mit den Daten vertraulich umzugehen, könnten er diese jederzeit durch den beigefügten Schlüssel entschlüsseln.

 

Client-side Encryption

Bei einer clientseitigen Verschlüsselung verschlüsselt der Anwender seine Daten mit seinem eigenen Schlüssel und überträgt diese anschließend auf den Server. Der Schlüssel, der die Daten codiert, verlässt dabei niemals im Klartext den Client des Anwenders. Auf dem Server selber besteht daher keine Möglichkeit, die Dateien zu entschlüsseln.  So kann der Zugriff durch Dritte am besten ausgeschlossen werden. Die clientseitige Verschlüsselung kann bei einigen Lösungen schwierig zu implementieren und zu verwalten sein, ist aber die sicherste Verschlüsselung für Ihre Daten.

 

Ende-zu-Ende-Verschlüsselung / End-to-End-Encryption (E2EE)

Ende-zu-Ende-Verschlüsselung bedeutet, dass Nachrichten beim Sender verschlüsselt und erst beim vorhergesehenen Empfänger wieder entschlüsselt werden. Dazwischen liegen sie zu keinem Zeitpunkt in unverschlüsselter Form vor. Clientseitige Verschlüsselung ist also die Voraussetzung für eine echte Ende-zu-Ende-Verschlüsselung. 

 

Übersicht und Bewertung von Verschlüsselungsmethoden

Verschlüsselungsmethode Bewertung

Unverschlüsseltes Speichern

Unverschlüsseltes Speichern ermöglicht einige Funktionen, wie die Analyse, Suche, Kategorisierung oder Data-Mining. 

Sehr unsicher

Funktionen zur Analyse und Suche können durchaus praktisch sein, stellen aber ein Sicherheitsrisiko dar. Die Sicherheit sollte besonders für Unternehmen im Vordergrund stehen. Wenn clientseitige Verschlüsselung eingesetzt wird, haben nur der Besitzer und berechtige Benutzer Zugriff auf die Daten.

Serverseitige Verschlüsselung

Viele Cloud-Dienstleister behaupten von ihrer Plattform, dass sie sicher sei und die Daten verschlüsselt werden. Das kann durchaus der Fall sein, aber solange diese Anbieter den Decodierungsschlüssel besitzen, können Ihre Daten bei jedem Zugriff auf den Cloud-Server entschlüsselt werden. 

Unsicher

Jeder, der berechtigten oder gehackten Zugriff auf den Server hat, kann Ihre Daten einsehen, verändern oder stehlen. Eine clientseitige Verschlüsselung verschlüsselt Ihre Daten bereits auf Ihrem Endgerät, sodass sie nicht in der Cloud entschlüsselt werden können. Niemand, außer dem Besitzer und berechtige Benutzer, hat Zugriff auf die Daten, nicht einmal der Anbieter. 

Speicherung der Schlüssel zur Ver- und Entschlüsselung auf dem Server

Bei dieser Variante wird der Schlüssel zur Ver- und Entschlüsselung ebenso in der Cloud gespeichert.

Unsicher

Jeder, der berechtigten oder gehackten Zugriff auf den Server hat, erhält auch Zugriff auf die Schlüssel und kann Ihre Daten einsehen. Wenn Sie Ihre Daten clientseitig verschlüsseln, bleiben Ihre Dateien auch verschlüsselt.

Verschlüsselung auf dem Übertragungsweg

Der Großteil der Cloud-Betreiber setzt SSL- oder TLS-Verschlüsselung ein, um Dateien auf dem Weg vom Client in die Cloud und anders herum zu schützen. 

 Gewisser Grad an Sicherheit

Dateien werden bei einer reinen Channel Encryption auf den Servern entschlüsselt, das bedeutet, sie können dort abgefangen werden. Eine Verschlüsselung am Übertragungsweg ist wichtig. Aber zuerst müssen Sie Ihre Dateien clientseitig verschlüsseln, damit diese am Server nicht wieder entschlüsselt werden können.

Clientseitige Verschlüsselung / Ende-zu-Ende-Verschlüsselung

Bei einer clientseitigen Verschlüsselung verschlüsselt der Anwender seine Daten mit seinem eigenen Schlüssel und überträgt diese anschließend auf den Server. Der Schlüssel, der die Daten codiert, verlässt dabei niemals im Klartext den Client des Anwenders. Auf dem Server selbst besteht daher keine Möglichkeit, die Dateien zu entschlüsseln.

Maximale Sicherheit

Mit der clientseitigen Verschlüsselung sind Ihre Daten am besten vor dem Zugriff durch unbefugte Dritte geschützt.

 

 

Mehr zur clientseitigen Verschlüsselung

Verschlüsselung mit DRACOON

10 Benutzer und 10 GB – für immer kostenlos.
Speichern und teilen Sie Ihre Daten DSGVO-konform und zwar zeitlich unbeschränkt!

JETZT TESTEN