Skip to main content

Eine Spy-Proof-Unternehmensverschlüsselung ist zwar möglich, aber eine entmutigende

Datenverschlüsselung könnte Unternehmen helfen, ihre sensiblen Informationen vor Massenüberwachung durch Regierungen zu schützen , sowie Schutz vor unbefugtem Zugriff durch schlecht intendierte Dritte, aber die korrekte Implementierung und Verwendung von Datenverschlüsselungstechnologien ist laut Sicherheitsexperten keine leichte Aufgabe.

Verschlüsselung könnte die Möglichkeiten von Strafverfolgungsbehörden und Geheimdiensten einschränken auf Daten zuzugreifen, ohne das Wissen seines Besitzers, wenn es über das öffentliche Internet reist oder indem er Diensteanbieter wie Drittanbieter zwingt Hosting oder Cloud-Anbieter, um es unter einem Gag-Befehl zu übergeben. Damit dies jedoch funktioniert, müssen die Daten während der Übertragung, während des Betriebs und während der Ruhezeit auf Servern jederzeit verschlüsselt sein.

Die jüngsten Medien berichten über die elektronischen Überwachungsprogramme der US-amerikanischen nationalen Sicherheit Agency (NSA) haben Datenschutzbedenken bei Internetnutzern, Bürgerrechtlern und Politikern nicht nur in den USA, sondern auch in Europa, Australien und anderswo hervorgerufen.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows PC]

Obwohl noch offene Fragen zu den Methoden der NSA zur Sammlung von Daten im Rahmen des kürzlich veröffentlichten Prism-Programms offen sind, deuten die den Medien zugespitzten Informationen darauf hin, dass elektronische Kommunikation seit Jahren massenweise von Microsoft, Yahoo, Google, AOL, Facebook, PalTalk, Skype, Apple und Youtube.

Einige dieser Unternehmen haben bereits geleugnet, dass die NSA direkten Zugang zu ihren Servern hat oder dass ihnen dieses Überwachungsprogramm schon einmal bekannt war d in der Presse. Die Möglichkeit, dass die NSA direkt oder indirekt auf Daten zugreifen kann, die auf Servern von US-Dienstleistern gespeichert sind, wirft jedoch Bedenken hinsichtlich der Datensicherheit in Unternehmen auf, die ihre Systeme und Anwendungen in die Cloud verlagern

(Wenige) Geschichten aus dem verschlüsselten

Im Allgemeinen können Verschlüsselungstechnologien verwendet werden, um den Umfang der Datensammlung durch Regierungsbehörden zu begrenzen, so Sicherheitsexperten. Selbst wenn Regierungen die rechtlichen Möglichkeiten haben, Unternehmen zu zwingen, ihre Daten zu entschlüsseln und Zugang zu ihren Daten zu gewähren, indem sie nationale Sicherheitsanweisungen, Vorladungen oder andere Methoden verwenden, können Unternehmen durch die Verwendung von Verschlüsselung zumindest wissen, wann ihre Daten ins Visier genommen werden. Sie sagten:

"Während alle seriösen Unternehmen die Gesetze der Staaten befolgen wollen, in denen sie tätig sind, kann die Verschlüsselung ihnen einen vollständigen Einblick in das, was überwacht wird, geben, damit sie ein williger und aktiver Partner in der Regierung sein können Untersuchungen ", sagte Mark Bower, Vice President für Produktmanagement beim Datenschutzanbieter Voltage Security, per E-Mail. "Verschlüsselung kann den Unterschied zwischen vollständiger Transparenz in rechtmäßigen Abläufen und dem Erlernen, dass ihre Daten durch das nächste große Leck in den Medien abgefangen werden, bedeuten."

Verschlüsselung ist wahrscheinlich am effektivsten gegen Upstream-Datenerfassungsanstrengungen, sagte Matthew Green, ein Kryptograph und Forschungsprofessor am Informationssicherheitsinstitut der Johns Hopkins Universität in Baltimore, per E-Mail.

Damit die Verschlüsselung unerwünschte Überwachung vollständig verhindert, müssen die Daten während ihres gesamten Lebens

verschlüsselt sein - Dwayne Melancon, CTO der IT Tripwire

Die Herausforderung ist, welche Art von Verschlüsselung zu verwenden ist, sagte Green. SSL ist der gebräuchlichste Weg, Daten zu schützen, die über die Leitung übertragen werden, und das Protokoll ist tatsächlich ziemlich stark, aber SSL-Schlüssel sind relativ klein und es liegt nicht außerhalb des Bereichs der Möglichkeiten, dass eine Organisation wie die NSA diese Schlüssel irgendwann erhalten könnte sagte.

Es gibt bereits Anzeichen dafür, dass die NSA Upstream-Traffic-Überwachung in den Netzwerken von High-Level-ISPs betreibt, die eine Internet-Backbone-Infrastruktur betreiben, wie der Fall von Room 641A, einer NSA-Internet-Abhöreinrichtung in einem AT & T-Gebäude in San Francisco, zeigt wurde im Jahr 2006 ausgesetzt.

"Wir haben keine Ahnung, was die NSA tun kann", sagte Green. "Es ist jedoch vernünftig anzunehmen, dass selbst wenn sie moderne Verschlüsselungsschemata brechen können - eine ziemlich große Annahme -, dass es ziemlich teuer für sie wird, dies zu tun. Das verhindert massives, nicht gezieltes Abhören von verschlüsselten Verbindungen. "

Die Möglichkeit, die SSL-Verschlüsselung zu brechen, wird auch durch die verschiedenen Konfigurationen bestimmt, in denen das Protokoll verwendet werden kann. Zum Beispiel sind die Diffie-Hellman-DHE- und ECDHE-Konfigurationen von SSL viel schwieriger zu tippen als die RSA-Konfiguration, sagte Green.

Damit die Verschlüsselung unerwünschte Überwachung vollständig verhindert, müssen die Daten während ihrer gesamten Lebensdauer verschlüsselt werden , sagte Dwayne Melancon, Chief Technology Officer der IT-Sicherheitsfirma Tripwire, per E-Mail. "Wenn es zu irgendeinem Zeitpunkt im Ruhezustand ist (im Ruhezustand, in Gebrauch oder in Bewegung), könnte es potentiell für andere ohne Anmeldeinformationen zugänglich sein."

Dies bedeutet, dass Daten nicht nur verschlüsselt bleiben müssen, während sie sich über die globales Internet und durchläuft Router und Server in verschiedenen Jurisdiktionen, aber auch während es in Echtzeit von Anwendungen verwendet wird, sowie wenn es zu Sicherungszwecken gespeichert wird.

Sicherstellen, dass die privaten Schlüssel, die zum Verschlüsseln der Daten verwendet werden, immer geheim bleiben ist von größter Bedeutung. Das ist nicht einfach, wenn Sie Live-Anwendungen ausführen und Datenbanken auf Cloud-Servern hosten oder andere Cloud-Dienste nutzen.

"Wenn eine Organisation zur Verschlüsselung den Cloud-Dienstanbieter [CSP] verwendet, enthält der CSP die Verschlüsselungsschlüssel." sagte Steve Weis, Chief Technology Officer bei PrivateCore, einem Unternehmen, das Technologie zur Verschlüsselung von Daten während der Programmausführung per E-Mail entwickelt. "Die Organisation hat keine Kenntnisse oder Kontrolle, wenn jemand rechtmäßig versucht, auf verschlüsselte Daten zuzugreifen. Die Organisation ist blind. "

Unternehmen sollten ein" Trust No One "-Modell für die Verwaltung von Verschlüsselungsschlüsseln verwenden, sagte Melancon. Private Schlüssel sollten nicht mit anderen geteilt werden, insbesondere Drittanbietern, sagte er.

Obwohl es Technologien gibt, die die sichere Verwendung der Verschlüsselung ermöglichen, wenn Cloud-Server beteiligt sind, alles richtig machen und sicherstellen, dass dort sind keine Fehler in der gesamten Implementierung kann eine Menge Ressourcen erfordern.

"Es kann getan werden, aber es braucht viel Voraussicht, viel Aufwand, und die Verwendung von echten Ende-zu-Ende-Verschlüsselung wird Ihre erhöhen Kosten ", sagte Melancon. "Es kann auch sein, dass Sie Anwendungen neu schreiben oder Anbieter wechseln müssen, um alle Aspekte der Ende-zu-Ende-Verschlüsselung zu behandeln."

NSA, gehen Sie weg

Wenn Sie bedenken, dass die Hauptaufgabe der NSA das Sammeln von ausländischer Intelligenz ist Unternehmen, die nicht in den USA ansässig sind, sollten sich wahrscheinlich noch mehr Sorgen um die jüngsten Enthüllungen über die Überwachungsbemühungen der Behörde machen.

"Wenn Sie ein europäisches Unternehmen sind, das mit sensiblen Unternehmensdaten handelt, sind Sie verrückt nach Verwenden Sie einen US-Cloud-Service ", sagte Green. Das werde die Unternehmen jedoch nicht daran hindern, sagte er.

"Ein großer Teil des politischen Skandals in den USA ist derzeit die Tatsache, dass die NSA Amerikaner ausspioniert", sagte Zooko Wilcox-O'Hearn , Mitbegründer des Tahoe-LAFS-Projekts, einem verteilten, fehlertoleranten und verschlüsselten Cloud-Speichersystem. "Ohne den gegenteiligen Beweis würde ich jedoch davon ausgehen, dass die NSA in Europa und an anderen Orten mindestens genauso effektiv Daten ausspioniert wie an amerikanischen Standorten."

Wilcox-O'Hearn glaubt jedoch, dass Unternehmen dies tun sollten Sorgen auch über andere Akteure, die sie ausspionieren. Diese könnten auch Strafverfolgungsbehörden, Militär- und Geheimdienstorganisationen aus anderen Ländern sowie organisierte kriminelle Banden oder korrupte Mitarbeiter von Telekommunikationsunternehmen und ISPs umfassen, sagte er.

Banken und andere Finanzorganisationen sowie Unternehmen aus der Telekommunikationsbranche, die mit sehr sensiblen Daten umgehen, behalten es normalerweise vor, sie auf ihren Servern unter ihrer Kontrolle zu belassen, vor allem weil sie die gesetzlichen Vorschriften einhalten müssen und keine Sicherheitsaudits durchführen können Cloud, sagte Sergiu Zaharia, Chief Operations Officer der rumänischen Sicherheitsberatungsfirma iSEC.

Solche Organisationen verwenden Verschlüsselung, um den Verkehr zwischen ihren verschiedenen Niederlassungen oder zwischen Kunden und ihren öffentlich zugänglichen Diensten zu sichern, aber nur sehr wenige von ihnen verschlüsseln Daten, wie es durch ihre internen Netzwerke, zwischen ihren eigenen Servern, mindestens in Rumänien reist, sagte er.

Andere Firmen, wie kleine on-line-Einzelhändler, die Cloud-Server benutzen, um Anwendungen zu laufen und Kundendaten zu speichern, interessieren sich nicht zu viel über Verschlüsselung oder wenn sie die Daten verschlüsseln, ist es ihnen egal, ob der Dienstanbieter Zugriff auf ihre Verschlüsselungsschlüssel hat, weil sie normalerweise nicht p "Alle unsere Kunden haben ihre Besorgnis über Sicherheitsprobleme hervorgehoben, insbesondere wenn es sich um Dienste handelt, die in einem Drittanbieter gehostet werden", sagte Dragos Manac, CEO von Appnor MSP, einem Anbieter von verwalteten dedizierten Servern und Cloud-Computing mit Infrastruktur in Europa und den USA, per E-Mail. "Der derzeitige Prism-Skandal ist ein schwerer Schlag für die Regierungen, aber er verletzt auch die Service Provider."

Was die staatliche Überwachung betrifft, sind Service Provider zwischen einem harten und einem harten Ort gefangen, sagte er. "Wenn Sie den Behörden nicht helfen, verstoßen Sie gegen das Gesetz. Wenn man ihnen hilft, verletzt man möglicherweise die Rechte anderer. "

Es gibt keinen Grund zu der Annahme, dass die NSA oder sonst jemand starke Verschlüsselungsalgorithmen knacken kann, die von Wissenschaftlern untersucht und geprüft wurden, sagte Wilcox-O'Hearn. Auf der anderen Seite ist es für einen Programmierer oder Dienstanbieter leicht, sie falsch zu implementieren, oder für einen Benutzer, sie falsch zu verwenden, in welchem ​​Fall es für jeden, der Zugriff auf den Netzwerkverkehr hatte, möglich wäre, die Daten zu lesen. sagte er.