Hürden hoch! Verschlüsselung ist nur die halbe Antwort auf PRISM

So erschütternd die Wahrheit rund um PRISM und Co: Der Skandal hat IT-Sicherheit zum Stammtisch-Thema gemacht. Und das ist gut so. Denn das, was IT-Verantwortliche seit Jahren tauben Ohren predigen, ist auf einmal zum Mantra der Öffentlichkeit geworden. „Sicherheit ist nicht selbstverständlich. Wir müssen unser geistiges Eigentum aktiv schützen, wenn wir es nicht einfach mit jedem teilen wollen.“ Auch in Wirtschaftskreisen sickert die Erkenntnis. Laut VDMA gibt es in Deutschland mehr als 1.300 Weltmarktführer, allesamt ein lohnendes Ziel für Industrie- und Wirtschaftsspionage. Doch nicht wenige davon beginnen jetzt erst damit, ihre Hausaufgaben in puncto Know-how-Schutz so richtig zu machen.

Der Haken mit dem Schlüssel

Zu Recht fragen sich mittelständische Unternehmer, die ihr Wissen und ihre Patente schützen wollen, wo sie ansetzen sollen. Die Telekom hat kürzlich in einem Gespräch mit der Rheinischen Post angekündigt, gemeinsam mit anderen Netzbetreibern an einem System zu arbeiten, das E-Mails innerhalb Deutschlands auch nur über inländische Knotenpunkte schickt. Ausländischen Geheimdiensten würde so der Zugriff auf E-Mails erschwert. Für den exportorientierten Mittelstand ist dies sicherlich nicht die Lösung – denn sobald eine E-Mail mit einem vertraulichen Dokument an ein Partnerunternehmen im Ausland verschickt wird, ist dieser nationale Schutzschirm unwirksam. Nicht zuletzt deswegen wurde die Verschlüsselung von Inhalten in den letzten Wochen vielerorts zum Allheilmittel erklärt, um das Mitlesen von E-Mails zu verhindern. Aber ist es das auch?

Zugegeben: Verschlüsselung ist ein essenzieller Baustein jedes Sicherheitskonzepts, zum Beispiel um Festplatten oder Logins vor Zugriffen Fremder zu sichern. Gerade im E-Mail-Verkehr baut man damit aber Hürden auf, die die eigene Arbeit womöglich stärker behindern, als Unternehmen lieb sein kann. Denn Verschlüsselung im E-Mail-Verkehr verlangsamt die Kommunikation und ist vor allem als unternehmensübergreifendes Konzept schwer praktikabel. Schließlich müssen beim verschlüsselten Versand per E-Mail Absender und Empfänger im Besitz des richtigen Schlüsselpaars sein. Das erfordert ein recht aufwändiges Schlüsselmanagement . Über die Sicherheit entscheidet also am langen Ende die Frage, wie lange das durchgehalten wird und wann die Bequemlichkeit siegt. Weitere Negativ-Faktoren sind sicherlich der zusätzlich entstehende Arbeitsaufwand und Zusatzkosten in nach oben offener Höhe. Zu guter Letzt gilt eine Warnung, die einige Geheimdienst-Experten zum Thema äußerten: Wer verschlüsselt, macht sich verdächtig. Und gerät dadurch erst so richtig ins Visier der Geheimdienste.

Wieviel E-Mail braucht der Mensch?

Zeit also, die E-Mails selbst auf den Prüfstand zu stellen. Laut einer Datev-Studie sind sie Sicherheitsleck Nummer Eins. Schwierig, in einer Zeit, in der mehr als 100 Milliarden geschäftlicher E-Mails pro Tag weltweit empfangen und versendet werden, zahllose davon mit vertraulichen Dokumenten im Anhang. Doch nur, weil es so viele gibt, heißt nicht, dass auch so viele nötig sind. Eine jüngste Umfrage von Loudhouse im Auftrag von Alfresco ergab, dass mehr als ein Drittel im eigenen Haus versendet wird. Mithilfe so genannter Enterprise Content Management Systeme (ECM) lässt es sich vermeiden, vertrauliche Informationen als Dokumentenanhang oder E-Mail-Text zu verschicken. Stattdessen wird lediglich ein Link versendet, der nur einem bestimmten, autorisierten Personenkreis den Zugriff ermöglicht, der jederzeit wieder entzogen werden kann. Das Dokument selbst liegt gut geschützt an zentraler Stelle hinter der Firewall. Für Dokumente, die mit externen Partnern, Beratern oder Dienstleistern geteilt werden müssen, ist es zudem möglich, Dokumente in einem geschützten Unternehmens-Cloud-Bereich abzulegen.

Die Zeit ist reif für neue Tools

Vorteil: Im Gegensatz zur E-Mail-Verschlüsselung bedeutet die Einführung eines ECM-Systems keine Verlangsamung und Effizienzminderung. Wie eine Forrester Studie belegt, kann es die Effizienz und Produktivität eines Unternehmens sogar signifikant erhöhen. Ganz nebenbei lösen sich mit einer fortschrittlichen ECM-Lösung noch viele andere Sicherheitsthemen in Luft auf. Etwa die Frage zum Umgang mit der „Bring Your Own Device“-Thematik und der damit verbundenen Nutzung privater Cloud-Apps, wie etwa Dropbox. Und die Übertragungen von Content aufs Smartphone oder den Tablet gehört damit ebenfalls zum Unternehmensalltag – geschützt durch einen relativ hohen, vom Unternehmen kontrollierten Sicherheitsstandard.

Software ohne Hintertür – Was ist noch wirklich sicher?

Kritische Leser werden auch das hinterfragen. Seit Bekanntwerden der Tatsache, dass in der Mehrzahl der amerikanischen Standardprodukte sehr wahrscheinlich eine Hintertür für die NSA eingebaut wurde, ist das Vertrauen in proprietäre Systeme geschwunden. Bleibt nur ein Ausweg, der unter Experten schon vor Snowden als die einzig verlässliche Sicherheitsstrategie galt: ein Open-Source-System. Denn Open Source ist transparent. Wegen des offenen Code werden eventuelle Schwachstellen schnell erkannt und publik. Die vielen Mitentwicklickler der Community durchleuchten den Code ständig, Sicherheitslücken werden in einschlägigen Foren besprochen und „gefixt“. Dies bestätigte auch vor kurzem eine Studie des BSI zur Sicherheit von Content Management Systemen.

Hürden hoch!

Am Ende ist es mit dem Schutz von Computersystemen und elektronischen Daten nicht anders, als mit dem Einbruchsschutz für ein Wohnhaus. Wer einbrechen will, schafft das auch – und das gilt erst Recht für die NSA mit ihrer enormen Brain- und Rechnerpower. Schließlich steht selbst der Kryptologie-Experte Bruce Schneier auf dem Standpunkt, dass die NSA jedes System knacken könne, wenn sie es nur wolle. Die Frage ist letztlich, ob wir das Eindringen so schwierig und aufwändig machen wie nur möglich, oder ob wir auch noch „die Haustür offen stehen lassen“ und förmlich zur Selbstbedienung einladen.

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Cloud-Beschleuniger Covid

Vielfach hat die Coronapandemie bestehende IT-Strukturen aufgebrochen oder gar über den Haufen geworfen – gefühlt.…

4 Jahre ago

Trends 2021 – Vier Entwicklungen bei (Graph)Datenbanken und Datenanalyse

Das Covid-Jahr 2020 konnte die digitale Transformation nicht ausbremsen. Sogar ganz im Gegenteil: Viele Unternehmen…

4 Jahre ago

Ein globales digitales Identitätssystem muss Vertrauen und Transparenz schaffen

Nach Angaben der Weltbank fehlt mehr als einer Milliarde Menschen ein offizieller Identitätsnachweis. Ohne den…

4 Jahre ago

Nachhaltigkeit wird zu einem der Schlüsselkriterien in der Tech-Industrie

Das Thema Nachhaltigkeit ist seit vielen Jahren fester Bestandteil des Selbstverständnisses vieler Unternehmen. Wenig verwunderlich,…

4 Jahre ago

Chief Data Officer: Garanten für eine stärkere Datennutzung in Unternehmen

Unternehmen sammeln eine Vielzahl von Daten. Doch IDC Analysten fanden in ihrer aktuellen Studie „IDC‘s…

4 Jahre ago

Ethik, Regulierungen, Cloud: Der Nebel lichtet sich

COVID-19 hat 2020 sowohl Gesellschaft als auch Wirtschaft bestimmt. Unbestritten ist auch die katalytische Wirkung,…

4 Jahre ago