PGP, S/MIME, TLS – was auf den ersten Blick vielleicht nach kryptischen Abkürzungen klingt, sind in Wahrheit robuste Verschlüsselungstechnologien und weit verbreitete Standards. Pretty Good Privacy, Secure/Multipurpose Internet Mail Extensions und Transport Layer Security schützen heute u.a. E-Mail-Kommunikation vor dem Zugriff durch unbefugte Dritte – unabhängig von Anbietern und Anwendungen. In Folge 17 unserer Reihe „1×1 der IT-Sicherheit“ erklären wir, warum Verschlüsselungstechnologien zum Schutz unserer Kommunikation und Daten so wichtig sind – besonders in Unternehmen – und wie Microsoft-Technologie Informationen automatisch klassifiziert und verschlüsselt.
Die Sicherheit von Informationen und Dokumenten ist in unserem digitalen Alltag von größter Bedeutung – beruflich wie privat. Doch während es ganz selbstverständlich scheint, vertrauliche Dokumente per Einschreiben zu versenden, achten wir häufig nicht auf dieselben Sicherheitsmaßnahmen beim Versand von E-Mails. So haben Hacker oft leichtes Spiel, E-Mails abzufangen, mitzulesen, Inhalte zu manipulieren oder Malware zu installieren.
So funktioniert die Verschlüsselung von E-Mails
Obwohl Ende-zu-Ende-Verschlüsselung und digitale Signaturen wie beispielsweise S/MIME bei E-Mails schon lange bewährte Sicherheitsverfahren sind, kommen sie nur langsam in deutschen Unternehmen und bei Verbraucher*innen an. So nutzten im Jahr 2020 laut SicherheitsMonitor 2020 Mittelstand nur 22 Prozent der kleinen und mittleren Unternehmen (KMU) eine digitale Signatur oder verschlüsselte E-Mails mit Anhängen – nur zwei Prozentpunkte mehr als zwei Jahre zuvor.
Dabei sind Verschlüsselungsverfahren heute nicht nur sicher, sondern auch benutzungsfreundlich. Vor allem die Verschlüsselung mit S/MIME ist einfach einzurichten und umzusetzen: Absender*in und Empfänger*in müssen lediglich über eine E-Mail-Anwendung verfügen, die den S/MIME-Standard unterstützt – wie Outlook.
Das Verfahren funktioniert so, dass für Empfänger*in und Absender*in jeweils zwei Schlüssel erstellt werden: Ein öffentlicher, der auf einem Server gespeichert ist, sowie ein privater, der lokal abgelegt wird. Nur wenn öffentlicher und privater Schlüssel übereinstimmen, wird die chiffriert verschickte Nachricht wieder in lesbaren Text umgewandelt. Eine einfache Anleitung zur Nutzung von S/MIME gibt es hier.
Datensicherheit ist für Unternehmen geschäftskritisch
Was für Privatanwender*innen einen Schutz der Privatsphäre darstellt, kann für Unternehmen geschäftskritisch werden, zum Beispiel wenn es auf Grund fehlender Sicherheitsvorkehrungen zu Datenleaks oder Industriespionage kommt. Eine Studie des Ponemon-Instituts zeigt, dass nur zwei Drittel der befragten Unternehmen eine Verschlüsselungsstrategie haben. Dabei steigen die Gefahren durch Cyberkriminelle stetig, wie der Bericht zur Lage der IT-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik zeigt.
Microsoft unterstützt Unternehmen mit modernen Tools, die dank automatisierter Verschlüsselung die Sicherheit von Daten erhöhen. Azure Information Protection ermöglicht es IT-Administrator*innen beispielsweise, Richtlinien festzulegen, nach denen Daten automatisch klassifiziert und verschlüsselt werden. Hinzugefügte Klassifizierungs- und Schutzinformationen sorgen für dauerhaften Schutz, der mit den Daten gespeichert wird – unabhängig davon, wo sie gespeichert werden oder für wen sie freigegeben sind.
Daten innerhalb der Microsoft Enterprise Cloud Services sind zudem durch mehrere Verschlüsselungsmethoden, Protokolle und Chiffren geschützt. Kundendaten in Microsoft Azure werden im Ruhezustand beispielsweise mit BitLocker und dm-crypt verschlüsselt. Microsoft 365 verwendet BitLocker, Azure Storage Service Encryption, Distributed Key Manager (DKM) und Microsoft 365 Service Encryption. Für die Übertragung werden branchenübliche sichere Transportprotokolle wie Internet Protocol Security (IPSec) und Transport Layer Security (TLS) zwischen Microsoft-Rechenzentren und zwischen Benutzergeräten und Microsoft-Rechenzentren verwendet. Mehr Informationen zur Verschlüsselung in der Microsoft Cloud sind hier abrufbar.
Doch auch die sicherste Verschlüsselung kann Unternehmensdaten nicht schützen, wenn sie nicht von den Nutzer*innen verwendet wird. Aus diesem Grund ist es wichtig, Mitarbeiter*innen kontinuierlich weiterzubilden und sie über Sicherheitsrisiken und die passenden Lösungen aufzuklären, um so langfristig eine IT-Sicherheitskultur im Unternehmen und in der Gesellschaft zu entwickeln. So lassen sich die zunehmend komplexer werdenden Cyber-Bedrohungen erfolgreich abwehren. Nur wenn Organisationen und Anwender*innen an einem Strang ziehen, kann auch die Nutzungsakzeptanz steigen. Dann klingt Verschlüsselung hoffentlich für niemanden mehr nach Filmstoff – sondern Alltag.
Weitere Beiträge der Serie
Alle Beiträge unserer Reihe „Das 1×1 der IT-Sicherheit“ gibt es hier.
Ein Beitrag von Stratos Komotoglou
Head of Security, Compliance, Identity Customer Success bei Microsoft Deutschland
@HerrStratos
