Tuesday, October 29, 2013

Die Geheimdienste haben uns verraten und verkauft!

Wie sollten sich Unternehmen in Zukunft verhalten?

von Volker Oboda, CEO TeamDrive

Kein Tag vergeht, an dem wir nicht mit neuen Horror Szenarien durch Edward Snowden informiert werden. Dabei geht es schon lange nicht mehr nur alleine um PRISM, Tempora oder XKeyscore. Es geht um die Willkür der Geheimdienste nach ihrem Ermessen zu entscheiden, was sie tun und lassen dürfen. Jeder von uns muss sich daher nun die Frage stellen, wie er in Zukunft mit dieser Bedrohung umgehen wird, die nicht von vermeintlich bösartigen Hackern ausgeht, sondern von denjenigen Einrichtungen, die den Auftrag erhalten haben uns zu schützen.


Unternehmen sind zum Handeln gezwungen


Neben Unternehmen, Behörden und anderweitigen Organisationen, die mit besonders sensiblen und personenbezogenen Daten arbeiten, ist jeder von uns im Besitz von kritischen Informationen die schützenswert sind. Angesichts der aktuellen Spionagediskussion, aber auch durch Angriffe sowohl im privaten als auch im geschäftlichen Umfeld, nimmt die Bedrohung stetig zu. Insbesondere im unternehmerischen Umfeld sind Daten maximal schützenswert.

Mobile Endgeräte und Applikationen sind in unserer mobilen Gesellschaft und der sich ständig verändernden Arbeitsweise und Kommunikation unter Mitarbeitern, Geschäftspartnern und Kunden nicht mehr wegzudenken. Die Herausforderung besteht darin, diese Kommunikation im Interesse aller Beteiligten unter allen Umständen zu schützen. Sensible Informationen und Unternehmensdaten haben in den Händen unberechtigter Dritter und Geheimdiensten nichts zu suchen. Diese Zugriffe gilt es zu unterbinden. Das gilt selbstverständlich auch für das Erstellen, Bearbeiten und Teilen mit vertrauenswürdigen Personen.

Konzepte wie „Bring Your Own Device“ (BYOD) haben in Unternehmen zu einer neuen Dimension von Schutzbedürfnissen geführt, die für jede Organisation eine besondere Herausforderung darstellt, um unternehmenskritische Daten und geistiges Eigentum bestmöglich zu schützen. Zudem verschärft ein unkontrollierter IT-Wildwuchs (Schatten-IT) durch Dropbox und anderweitige, bevorzugt private Cloud-Lösungen, diese Situation. Das führt zu einer immensen Bedrohung der Informationssicherheit in Unternehmen, wovon gleichermaßen böswillige Hacker und Geheimdienste profitieren. Nichts desto trotz müssen Mitarbeiter mit denselben komfortablen Technologien und Lösungen weiterarbeiten können. Aber das auf eine sichere Art und Weise.


Kontrolle alleine reicht nicht aus, SSL ist unsicher


Berufsskeptiker bekommen durch die aktuellen Diskussionen wieder Oberwasser und raten der Cloud den Rücken zuzuwenden und die Aktivitäten in der eigenen IT-Infrastruktur zu stärken. Kontrolle ist ein wichtiges Thema. Wer seine Systeme und Daten unter eigener Aufsicht betreibt hat mehr Kontrolle über die Prozesse und einen besseren Überblick darüber wo sich welche Informationen befinden. Bei diesen Diskussionen wird nur immer leicht unterschätzt, dass wir uns in einer globalen Welt befinden und, wie oben geschrieben, wir auf mobile Endgeräte und Applikationen angewiesen sind, um die täglichen Geschäfte zu führen.

Mitarbeiter müssen sich mit ihren Endgeräten, Daten und Informationen also trotzdem weiterhin frei bewegen können, obwohl die Kontrolle in den Händen der eigenen IT-Abteilung liegen soll. Ein wichtiger Schritt, den jedes Unternehmen aber insbesondere jeder Anbieter von IT-Services schon seit Jahren hätte berücksichtigen müssen ist die Verschlüsselung. Es ist schon als ein Armutszeugnis zu bezeichnen, das Anbieter plötzlich damit beginnen, ihre Systeme kryptographisch zu härten und dies sogar noch als Mehrwert an ihre Kunden zu verkaufen. Sicherheit ist kein Mehrwert. Sicherheit ist ein zentraler Bestandteil eines jeden Produkts und das nicht erst seit Edward Snowden. Und dazu gehört Verschlüsselung.


SSL-Verschlüsselung ist unsicher


Hierbei darf jedoch eines mittlerweile eines nicht vergessen werden. Die NSA und der GCHQ haben einige Verschlüsselungstechnologien, die im Internet eingesetzt werden, unterwandert, darunter SSL . Das bedeutet, dass sämtliche Anbieter, die ausschließlich auf die SSL-Verschlüsselung setzen, als unsicher einzustufen sind. Einzig und allein der AES 256Bit Verschlüsselungsstandard gilt weiterhin als sicher. Schätzungen ergeben, dass erst im Jahr 2018 die technischen Möglichkeiten vorhanden sind, um eine AES 256Bit Verschlüsselung zu knacken . Die Dauer hängt zum Teil ebenfalls von der Stärke des gewählten Passworts ab. Sicherheitsexperten empfehlen eine Passwortlänge von mindestens 20 Zeichen und dabei eine Kombination aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen zu wählen.



End-to-End Verschlüsselung ist unumgänglich

Trotz aller Versprechungen nützt eine Verschlüsselung nichts, wenn der Anbieter über den Schlüssel verfügt, mit dem er Zugriff auf die verschlüsselten Daten erhält. Aus diesem Grund führt kein Weg daran vorbei, dass ausschließlich der Nutzer über den privaten Schlüssel verfügt und die Daten auf dem lokalen System des Anwenders verschlüsselt werden und anschließend über eine verschlüsselte Kommunikation auf die Server des Anbieters übertragen werden, wo diese ebenfalls verschlüsselt gespeichert werden. Der Anbieter darf zu keinem Zeitpunkt die Möglichkeit haben, den privaten Schlüssel wiederherzustellen und auf die Daten Zugriff erhalten.

So sieht das auch New Age Disruption Analyst René Büst . Er hält die Thematisierung der Kontrolle über die Daten für wichtig, macht aber darauf aufmerksam, das zwangsläufig früher oder später extern kommuniziert wird und eine harte End-to-End Verschlüsselung dafür unumgänglich ist. Büst empfiehlt daher auf folgende Eigenschaften bei der Sicherheit respektive Verschlüsselung zu achten:

  • Advanced Encryption Standard – AES 256 für die Verschlüsselung der Daten.
  • Diffie-Hellman und RSA 3072 für den Schlüsselaustausch.
  • Message Digest 5/6 – MD5/MD6 für die Hash-Funktionalität.
Weiterhin macht Büst deutlich, dass die Bedeutung der End-to-End Verschlüsselung der gesamten Kommunikation immer stärker zunehmen muss. Das bedeutet dass der gesamte Prozess, den ein Nutzer mit der Lösung durchläuft, von Anfang bis Ende durchgehend verschlüsselt ist. Das beinhaltet u.a.:

  • Die Benutzerregistrierung
  • Die Anmeldung
  • Den Datentransfer (Versand/ Empfang)
  • Übertragung der Schlüsselpaare (Public/ Private Key)
  • Der Speicherort auf dem Server
  • Der Speicherort auf dem lokalen Endgerät
  • Die Sitzung während ein Dokument bearbeitet wird


Wie sich Unternehmen verhalten sollten

Das Zusammenspiel von Vertrauen und Sicherheit wird immer wichtiger. Allerdings baut ein Anbieter nur Vertrauen auf, wenn er sich öffnet und seinen Kunden technische Einblicke gewährt. Diese Offenheit ist bei vielen IT-Anbietern nicht gegeben, wodurch diese berechtigterweise in der Kritik stehen. Unternehmen müssen aus diesem Grund einen Anbieter finden, der keine Geheimnisse hat und bereitwillig mit seinen Kunden spricht. Was sollten Unternehmen neben dem Aufbau von Vertrauen weiterhin beachten:

  • Gewinnen Sie Kontrolle über ihre Daten und Systeme zurück.
  • Bauen Sie vertrauen innerhalb ihrer Organisation und zu ihrem Anbieter auf. Das kann über eine gute Beziehung aber auch über Verträge entstehen.
  • Ziehen Sie ein Hybrid Szenario in Betracht, um Ihre Mitarbeiter auch bei ihren mobilen Tätigkeiten zu unterstützen.
  • Ihre Mitarbeiter, Kunden und Partner sollten weiterhin die Möglichkeit erhalten sicher(!) auf Daten und Informationen zugreifen zu können.


Was Sie unter allen Umständen berücksichtigen sollten sie die vollständige Kommunikation End-to-End Verschlüsselung und die Vermeidung von Medienbrüchen bei der die Verschlüsselung unterbrochen wird. Identifizieren Sie zudem sichere Verschlüsselungsverfahren und berücksichtigen Sie diese bei der Ihrer Anbieterauswahl.


[1] http://www.spiegel.de/politik/ausland/nsa-und-britischer-geheimdienst-knacken-systematisch-verschluesselung-a-920710.html
[2] http://nsa.gov1.info/utah-data-center/
[3] http://clouduser.de/analysen/wie-schutzen-unternehmen-ihre-daten-gegen-die-uberwachung-in-der-cloud-20173

No comments: