Ende-zu-Ende-Verschlüsselung ist essenziell für die IT-Sicherheit

Herr Szebeni, Verschlüsselung ist im Grunde genommen ein altes Thema. Wie hat es sich weiterentwickelt?

Das Thema Verschlüsselung hat sich in mehreren Stufen entwickelt. In den 90er-Jahren hatte Verschlüsselung für die wenigsten Priorität. Man besuchte eine Website und jeder andere, der gerade im WLAN oder im Netzwerk war, konnte genau sehen, was man kommunizierte. Deshalb sollte man sich damals nie mit einem öffentlichen WLAN verbinden. Das hat sich geändert. Ich selbst habe heute kein Problem mehr damit, mich mit einem beliebigen WLAN zu verbinden, weil es eine Kanalverschlüsselung über Https, TLS oder SSL gibt. Die Technologie besteht darin, dass der Kanal, über den du kommunizierst, verschlüsselt ist. Selbst wenn du also über ein öffentliches WLAN mit YouTube oder deiner Bank verbunden bist. Die Kommunikation mit dem Webserver kann also nur schwierig abgehört werden. Ein denkbares Szenario wäre, dass jemand eine Zertifizierungsstelle besticht und mit einem Zertifikat einen Man-in-the-Middle-Angriff startet. Der Datenverkehr würde dann um- und auf den echten Server zurückgeleitet. Aber das ist ziemlich schwierig zu implementieren und im Alltag nicht unbedingt machbar. Und es ist sehr einfach zu erkennen, dass jemand einen solchen Angriff durchführt. Kanalverschlüsselung ist aber nur eines von vielen Beispielen, die Fortschritte zeigen.

Es ist unumstritten, dass eine Ende-zu-Ende-Verschlüsselung ein essenzieller Baustein für die IT-Sicherheit darstellt. Nutzen die Unternehmen inzwischen Lösungen zur Verschlüsselung ihrer Daten?

Es bewegt sich was beim Thema Ende-zu-Ende-Verschlüsselung. Wir haben 2022 Forsa mit einer Studie zum Thema Verschlüsselung beauftragt. Von den 300 befragten Entscheidern für IT-Sicherheit und Datenschutz sowie Geschäftsführern in Unternehmen ab 50 Mitarbeitern in Deutschland, Österreich und der deutschsprachigen Schweiz gaben rund 80 Prozent der Befragten an, E-Mail-Kommunikation zumindest teilweise zu verschlüsseln. Da seit Kurzem auch US-Tech-Giganten wie Apple oder Dropbox laut eigenen Angaben verstärkt auf Verschlüsselung setzen, wird dies dem Thema zusätzlich helfen.

Es stellt sich aber die Frage, ob „teilweise“ Verschlüsselung ausreicht. „Teilweise“ heißt doch, dass es immer noch Möglichkeiten gibt, Daten mitzulesen. Entscheidend ist also, Daten und Datenverkehr Ende zu Ende zu verschlüsseln.

In unserer Forsa-Studie sagen immerhin rund drei Viertel der Befragten, eine echte Ende-zu-Ende-Verschlüsselung sei für sie ein wichtiges Entscheidungskriterium bei der Auswahl von Lösungen. Damit hapert es aber noch bei sehr vielen Anbietern. Nur wenige bieten bisher tatsächliche Ende-zu-Ende-Verschlüsselung. Zwar gibt es immer mehr verschlüsselte Kommunikation zwischen dem Benutzer und dem Server, aber die Frage ist: Was passiert danach mit den Daten?

Aber meine Daten werden doch zum Beispiel bei einem Cloud-Anbieter verschlüsselt gespeichert

Eine Cloud-Speicherlösung legt die Daten verschlüsselt ab. Dies schützt vor allen Personen, die Zugang zu den Festplatten haben. Das ist also ein erster guter Schritt. Aber der Server hat immer noch Zugriff auf den Schlüssel, der die Datei entschlüsseln könnte. Damit schützt diese Verschlüsselung zum Beispiel nicht vor Insider-Bedrohungen. Ein Administrator, der auf die Server zugreifen kann, könnte auch auf die verschlüsselten Dateien zugreifen. Oder ein Hacker, der sich in den Server hackt, kann ebenfalls auf die Dateien zugreifen. Dateien sind also verschlüsselt, wenn sie mit dem Server kommunizieren und wenn sie auf dem Speicher liegen. Der Server hat aber auch für eine kurze Zeit Zugriff auf die Dateien, wenn er sie weitergibt.

Wie kann man sich gegen dieses Risiko schützen?

Genau dieses Problem gehen wir mit unseren Lösungen an. Wir verschlüsseln Daten vor der Übertragung auf den Server, also clientseitig.

Also geht es um Verschlüsseln im Browser?

Oder in der Anwendung. Und das ist, was wir machen. Die Schlüssel werden vom Browser oder der Anwendung aus nur von den Endpunkten verwaltet. Mit dieser Architektur muss man sich nicht mehr auf den Dienstanbieter verlassen. Dies ist eine Möglichkeit für Unternehmen, in die Cloud zu wechseln, ohne die Daten mit dem Cloud-Dienstanbieter zu teilen.

Aber dann muss Ihre Lösung auf jedem Endpunkt installiert sein, was heute dazu führt, dass Unternehmen mit Ihrer Lösung tausende von Endpunkten ausrüsten und verwalten müssen.

Für Smartphone-Nutzende ist das kein Problem, da sie unsere mobilen Anwendungen selbst installieren können. Bei den Desktops ist es schwieriger. Deshalb haben wir viel Mühe darauf verwendet, die gesamte Ende-zu-Ende-Verschlüsselung im Browser zu implementieren. Wenn du also die Webanwendung öffnest, lädt unsere Website den gesamten Verschlüsselungscode in den Browser herunter. Das JavaScript erledigt das also im Browser.

Klingt kompliziert. Ein Grund, warum sich Verschlüsselungslösungen bisher nicht durchgesetzt haben, ist die komplizierte Nutzung. Wenn Mitarbeiter am Arbeitsplatz E-Mails und Daten erst einmal über eine Anwendung kompliziert verschlüsseln müssen, dann umgehen viele diesen Schritt, um Zeit zu sparen und Nerven zu schonen.

Die Unternehmen wollen praktikable Verschlüsselungslösungen, die sich ohne aufwendige Schulungen nutzen lassen. Unser Ziel war und ist es daher, nicht nur eine sichere Lösung zu entwickeln, sondern eine sichere Lösung, die einfach zu benutzen ist. Denn wenn die Usability schlecht ist, wird die Lösung niemand benutzen. Es funktioniert jedoch so einfach wie OneDrive. Und sehen wir uns WhatsApp an, der Messenger-Dienst hat auch eine Ende-zu-Ende-Verschlüsselung. Die Wenigsten wissen wahrscheinlich, dass die Kommunikation über WhatsApp lückenlos verschlüsselt ist. Und warum? Weil die Verschlüsselung keinerlei Einfluss auf die Benutzerfreundlichkeit hat.

Und wie nutzt man verschlüsselte Dateien gemeinsam? Müssen alle Tresorit-Kunden sein?

Es gibt zwei Möglichkeiten der gemeinsamen Nutzung von Dateien. Wenn jemand ein Tresorit-Konto hat, dann lassen sich die Dateien einfach und wie gewohnt über Ordner verarbeiten. Für die Zusammenarbeit mit allen, die kein Tresorit-Konto haben, entwickelten wir verschlüsselte Links. Damit kannst du einen Link aus einem beliebigen Ordner oder einer beliebigen Datei erstellen, und der Verschlüsselungsschlüssel befindet sich in dem Link selbst. Ich kann ihn zum Beispiel verschicken, und dann können die Empfänger auf die Dateien zugreifen, ohne dass Sie Tresorit installieren oder sich bei uns registrieren müssen. Wir selbst haben keine Zugriffsmöglichkeit auf die verschlüsselte Datei – selbst, wenn wir eine wollten.

Wer wendet die Tresorit-Lösung an?

Viele Unternehmen, die vertrauliche Daten haben, aber sie nicht mit dem Cloud-Dienstleister teilen wollen. Ein Beispiel sind Beratungsfirmen. Sie nutzen die Lösung, um mit ihren Kunden zu kommunizieren und Vertrauliches sicher zu verschicken. Es gibt auch hochrangige Vorstandsetagen, die sie zur Kommunikation nutzen. Sie wollen sicherstellen, dass nicht einmal die Leute vor bei ihnen Ort Zugang zu den Daten haben. Auch in regulierten Märkten wie der Medizin kommt Tresorit zum Einsatz, zum Beispiel um klinische Studien durchzuführen. Da gilt es, hochsensible Gesundheitsdaten zu schützen. Es ist also eine Lösung für alle, die ihre Daten an einem hochsicheren Ort wissen wollen – ob intern gespeichert oder extern geteilt. Und das wirklich Gute daran ist: Du kannst die Lösung in zwei Minuten von der Cloud aus einrichten.

Szilveszter Szebeni

ist Mitbegründer und CISO von Tresorit.