Datenverschlüsselung Grafik
4. November 2022

Daten verschlüsseln – wie geht das und was steckt dahinter?

Daten gehören zum größten Kapital eines Unternehmens. Umso wichtiger ist es, die wichtigsten Daten verschlüsseln zu können, um sie bestmöglich zu schützen. Dies geschieht anhand von technischen Verfahren, die im Rahmen der Cybersicherheit eingesetzt werden. Dabei geht es insbesondere um den Schutz vor unbefugtem Zugriff, Manipulationen und Verlust. 

Das Stichwort lautet hier einmal mehr: DSGVO. Nach Art. 32 der Datenschutz-Grundverordnung wird Unternehmen im Rahmen von Verarbeitungstätigkeiten nahegelegt, Informationen zu verschlüsseln. Die Verschlüsselung von personenbezogenen Daten zählt dabei nach Art. 32 Abs. 1 lit. a) DSGVO zu den Schutzmaßnahmen, die die Wahrscheinlichkeit einer Datenpanne bzw. eines Verstoßes gegen die Datenschutzvorschriften verringern können.

Was ist eine Datenverschlüsselung?

Die Datenverschlüsselung wird auch als Kryptografie bezeichnet. Sie hat besonders vor dem Hintergrund des Datenaustauschs über das Internet an Bedeutung gewonnen und ist heutzutage als maßgeblicher Baustein der Informationssicherheit nicht mehr wegzudenken.

Wie lassen sich Daten verschlüsseln?

Wer Daten verschlüsseln möchte, benötigt dafür eine sogenannte Verschlüsselungstechnik. Diese sorgt dafür, dass Daten und Informationen von lesbarem Klartext in einen unlesbaren chiffrierten Text umgewandelt werden. Für Außenstehende stellt sich dieser Text dann als Zeichenfolge dar, die sich nur mittels exakt passendem Schlüssel wieder in ein lesbares Format verwandeln lässt. Dieser Schlüssel befindet sich in der Regel nur bei berechtigten Personen und verhindert so, dass die Daten von unberechtigten Dritten abgegriffen oder entwendet werden.

Welche Arten der Verschlüsselung gibt es?

Hauptsächlich gibt es zwei Kategorien, in welche die Möglichkeiten, Daten zu verschlüsseln, unterteilt werden können:

  • Symmetrische Verschlüsselung: Erfahren Daten eine symmetrische Verschlüsselung, stimmt der Schlüssel für die Ver- und Entschlüsselung überein und liegt auf beiden Seiten (Absendende und Empfangende) vor. Praktisch verschlüsselt die Seite der Absendenden also den Klartext mittels des Schlüssels in einen Geheimtext. Auf der Seite der Empfangenden wird der Geheimtext dann mittels desselben Schlüssels wieder in Klartext zurückverwandelt. Der Schlüssel wird über einen sicheren Kanal zwischen den Beteiligten ausgetauscht.
  • Asymmetrische Verschlüsselung: Im Gegensatz zur symmetrischen Verschlüsselung wird bei der asymmetrischen Verschlüsselung nicht der gleiche geheime Schlüssel verwendet. Wer auf diese Weise Daten verschlüsseln möchte, benötigt dafür einen sogenannten öffentlichen Schlüssel (oder auch: Public Key) und einen privaten Schlüssel (Private Key). Nur der Private Key, welcher ausschließlich bei den Empfangenden liegt, ist geheim. Es ist bei der asymmetrischen Verschlüsselung damit nicht erforderlich, dass der Schlüssel über einen weiteren Kanal ausgetauscht wird. Die Entschlüsselung in Klartext übernimmt die empfangende Person mit dem privaten Schlüssel. Beide Schlüssel sind nicht identisch, daher wird diese Verschlüsselungstechnik auch als asymmetrische Verschlüsselung bezeichnet.

Grundlage für die Verschlüsselung ist der Einsatz von Verschlüsselungsalgorithmen. Diese sind einem dynamischen Wandel unterworfen, da alte Algorithmen nicht unbegrenzt sicher sind, sondern aufgelöst bzw. geknackt werden können und so die Notwendigkeit zur Entwicklung neuer Verschlüsselungsalgorithmen entsteht.

Beispiele für Algorithmen bei der Datenverschlüsselung

Unternehmen wollen Daten aus unterschiedlichsten Gründen verschlüsseln. Abhängig davon, ergeben sich unterschiedliche Möglichkeiten und Arten von Verschlüsselungen. Zu den bekanntesten Algorithmen zur Verschlüsselung zählen folgende:

  • DES-Verschlüsselung: Die Abkürzung DES steht für „Data Encryption Standard“ und beschreibt einen der ersten Verschlüsselungsalgorithmen. Er basiert auf 56-Bit-Keys, hat sich aber insbesondere bei Cyberangriffen wie Brute-Force-Attacken als untauglich erwiesen. Die DES-Verschlüsselung wird heute aufgrund der Anfälligkeit nicht mehr angewendet.
  • Triple DES: Gleich drei 56-Bit-Keys werden beim Triple DES eingesetzt. Praktisch werden dabei die Daten verschlüsselt, entschlüsselt und noch einmal verschlüsselt. Im Gegensatz zum „einfachen“ DES ist Triple DES deutlich sicherer, hat sich in der Praxis aber als mehrstufiger Prozess als zu langwierig erwiesen. Der Verschlüsselungsalgorithmus wird vor allem im Finanzbereich angewendet, gilt aber unter Fachkundigen als Auslaufmodell.
  • AES-Verschlüsselung: Die Abkürzung AES steht für „Advanced Encryption Standard“ und stellt eine Weiterentwicklung der DES-Verschlüsselung dar. In der Regel kommt die AES-Verschlüsselung bei Messenger-Systemen wie beispielsweise WhatsApp zum Einsatz. 
  • RSA-Verschlüsselung: Die Abkürzung RSA steht für die Namen Rivest, Shamir und Adleman, die als „Entdecker“ des Algorithmus gelten. Der RSA-Algorithmus gehört zu den asymmetrischen Verschlüsselungsmethoden und findet aktuell breite Anwendung, z.B. beim Online-Versand von Daten per E-Mail und über Chats, aber auch bei der Nutzung eines VPN und von Webbrowsern wie Google Chrome, Microsoft Edge, Safari oder auch Mozilla Firefox.
  • FPE-Verschlüsselung: Noch relativ neu ist die Möglichkeit, Daten per FPE (Abkürzung für „Format Preserving Encryption”) zu verschlüsseln. Hierbei ähnelt das verschlüsselte Format dem unverschlüsselten Format. Die FPE-Technik wird auch als Datenmaskierung bezeichnet, da sich das Format nicht ändert, sondern trotz Verschlüsselung erhalten bleibt.

Wann müssen Unternehmen und Organisationen Daten verschlüsseln?

Durch die DSGVO ist für Unternehmen und Organisationen nicht nur der Schutz von personenbezogenen Daten in den Mittelpunkt gerückt. Auch die damit einhergehenden technischen Anforderungen sind in Unternehmen durch die Datenschutz-Grundverordnung normiert und entsprechend einzuhalten.

Besonders relevant ist in diesem Zusammenhang, dass die Verschlüsselung zu den tauglichen Schutzmaßnahmen für personenbezogene Daten zählt. Sie stellt eine sogenannte „technische und organisatorische Maßnahme“ (kurz: TOM) dar. Welche Technologien bzw. TOM´s eingesetzt werden müssen, um Daten zu verschlüsseln, ist durch die DSGVO nicht vorgegeben. 

Wichtig zu wissen: Neben der Verschlüsselung sind grundsätzlich auch andere Maßnahmen zur Einhaltung des Datenschutzes möglich. 

Fakt ist: Eine generelle Pflicht zur Verschlüsselung besteht nicht. Zwar wird die Verschlüsselung explizit aufgeführt und findet auch im Erwägungsgrund 83 der DSGVO Erwähnung, dennoch lässt sich daraus keine allgemeine Verpflichtung zur Verschlüsselung ableiten.

Wie können sich Unternehmen durch Datenverschlüsselung schützen?

Klar ist, dass Unternehmen, die auf Datenverschlüsselung setzen, Firmeninterna, Geschäftsgeheimnisse und auch Informationen, die als personenbezogene Daten in den Schutzbereich der DSGVO fallen, schützen. Zudem schützt sich das Unternehmen auch selbst vor unbefugtem Zugriff Dritter. Nur durch eine gute Verschlüsselung ist es möglich, sowohl die Sicherheit von vertraulichen Daten als auch den Schutz von personenbezogenen Informationen sicherzustellen. Nicht zuletzt drohen Unternehmen empfindliche Strafen und hohe Bußgelder, wenn es zu Datenschutzpannen und damit einhergehenden Verletzungen von Betroffenen kommt. 

Umso wichtiger ist es, dass Mitarbeitende die Anforderungen rund um den Schutz von personenbezogenen Daten kennen und diese in ihrer täglichen Arbeit auch berücksichtigen. Nur damit kann sichergestellt werden, dass Ihrem Unternehmen keine Bußgelder drohen. Zwar sieht die DSGVO derzeit von einer expliziten Pflicht zur Datenschutz-Schulung ab, eine indirekte Pflicht zur Schulung ist aber mindestens anzunehmen. Diese folgt aus Art. 5 Abs. 2 DSGVO, in der die allgemeine Nachweispflicht des Verantwortlichen zur Einhaltung der datenschutzrechtlichen Vorgaben normiert wird.

lawpilots bietet Ihnen mit praxisnahen Online-Schulungen wie „Datenschutz für Mitarbeitende“ und „Datenschutz für Führungskräfte“ die Möglichkeit, Ihre Mitarbeitenden über alle Hierarchieebenen hinweg in Bezug auf die Anforderungen der DSGVO zu schulen und Ihr Unternehmen vor möglichen Strafen und Imageschäden zu bewahren. Darüber hinaus, bieten sich weitere Online-Schulungen im Bereich der Informationssicherheit an, um Ihr Unternehmen auch abseits der DSGVO ganzheitlich zu schützen – darunter unsere E-Learnings „Informationssicherheit für Mitarbeitende“ und „Informationssicherheit & Clouddienste”.

Zu welchem Zeitpunkt sollte ich Daten verschlüsseln?

Zielt man auf den Zeitpunkt einer Datenverschlüsselung ab, ergeben sich zwei Möglichkeiten. Entweder werden die Daten bereits bei der Speicherung verschlüsselt oder aber erst im Falle einer Übertragung. Außerdem ist es ebenso möglich, dass Sie sowohl bei der Speicherung als auch bei der Übertragung Ihre Daten verschlüsseln.

Grundsätzlich gilt für die Datenverschlüsselung, dass Daten niemals unverschlüsselt aufbewahrt werden sollten. Das gilt sowohl für gespeicherte Daten in der Cloud als auch für herkömmliche Speichermedien. Während bei der Übertragung von Daten eine Verschlüsselung im Allgemeinen selbstverständlich ist, ist das bei der Speicherung häufig nicht der Fall.

Wichtig ist in diesem Zusammenhang, dass die Sicherung von Daten mittels Zugangspasswort keinesfalls ausreichend ist und als Schutzmaßnahme zusätzlicher Schutzvorkehrungen bedarf. Gerade Passwörter sind ein beliebtes Ziel von Hackern und stellen häufig genau die Sicherheitslücke dar, durch die Unternehmen Opfer von Cyberattacken werden. Auch hier hat lawpilots eine Lösung parat: Mit unserem E-Learning „Sicherer Umgang mit Passwörtern“ können Sie Ihre Beschäftigten für den sicheren Umgang mit Passwörtern trainieren und Ihr Unternehmen vor Datenverlust und den damit einhergehenden Schäden schützen. 

Nicht vergessen darf man auch, dass das Thema IT-Sicherheit immer wieder eine neue Relevanz bekommt – besonders vor dem Hintergrund neuer Arbeitsplatzmodelle. Auch Mitarbeitende, die mobil oder aus dem Homeoffice arbeiten, müssen rund um verschiedenste Risiken geschult werden, die in Anbetracht der neuen Arbeitsumgebung oft sogar diverser sind. Mit unserer Online-Schulung „Sicher mobil arbeiten“ erfahren Ihre Beschäftigten, wie sie sich und ihr Unternehmen vor Hackerattacken schützen, wenn sie nicht auf die IT-Infrastruktur im Betrieb zurückgreifen können.

Warum ist es so wichtig, Daten zu verschlüsseln?

Unternehmen und Organisationen, die ihre Daten verschlüsseln, kommen nicht nur der Aufforderung der DSGVO zum Schutz personenbezogener Daten nach. Wer auf die Verschlüsselung von Daten verzichtet, riskiert neben den Sanktionen aus der Datenschutz-Grundverordnung auch den Verlust oder die Manipulation von wichtigen Daten, die sich im schlechtesten Fall sogar existenziell gefährdend auswirken können. 

Trotzdem zeigt die Praxis, dass viele Unternehmen ihre Daten weiterhin nicht verschlüsseln. Laut einer aktuellen Erhebung nutzen nur 13,5 % aller Befragten beim E-Mail-Versand eine Verschlüsselung. Dies wird mit fehlendem Know-how begründet, aber auch mit dem zusätzlichen Aufwand, der mit einer Verschlüsselung einhergeht. Dadurch wird deutlich: Unternehmen wissen abseits der DSGVO häufig nicht, wie Daten richtig verschlüsselt werden können und wie sich Zugriffsrechte richtig definieren und zuordnen lassen. 

Dennoch bleibt festzuhalten, dass Datenverschlüsselung einen wesentlichen Beitrag zur eigenen IT-Sicherheit leistet und damit auch zur Sicherheit des Unternehmens. Mittlerweile bieten zahlreiche Hersteller Verschlüsselungssoftware unterschiedlicher Art an und helfen Unternehmen damit, personenbezogene Daten nach den Vorgaben der DSGVO und sich selbst zu schützen.

Können Hacker verschlüsselte Daten knacken?

Cyberkriminelle entwickeln immer neue Methoden und Angriffsvarianten, um an vertrauliche Daten und Informationen zu gelangen. Auch die beste Verschlüsselung bietet realistisch keinen hundertprozentigen Schutz, erschwert die Angriffsmöglichkeiten aber erheblich. 

Notwendig ist dabei, dass Verschlüsselungsalgorithmen den Hackern immer technisch voraus sind. Denn sind Algorithmen zur Verschlüsselung einmal geknackt, bieten diese keinen zuverlässigen Schutz mehr. 
Übrigens: Wenn Sie Ihre Daten verschlüsseln, schützt Sie das lange nicht vor allen Arten von Cyberangriffen. Malware-Angriffe lassen sich beispielsweise nicht durch Verschlüsselungen verhindern. Hier sind andere Maßnahmen gefragt. Welche das sind und was Sie sonst noch tun können, um Angriffe auf Ihre IT-Sicherheit zu unterbinden, erfahren Sie in unserem kostenlose Whitepaper „Cyberangriffe verhindern“.

Wie lassen sich Daten zusätzlich zur Verschlüsselung schützen?

Ein funktionierendes IT-Sicherheitskonzept beinhaltet in Unternehmen nicht nur die Verschlüsselung von Daten, sondern auch eine Reihe anderer Maßnahmen. 

Dazu zählen unter anderem:

Besondere Relevanz fällt in diesem Zusammenhang der Schulung von Mitarbeitenden zu. Eine Datenverschlüsselung kann nur dort Wirkung entfalten, wo auch alle anderen Sicherheitslücken geschlossen werden. Der Faktor Mensch ist im Bereich der Informationssicherheit sogar am häufigsten der Grund für den Erfolg digitaler Angriffe. Für Unternehmen bedeutet das: Beschäftigte, die nicht ausreichend geschult werden, können zum direkten Sicherheitsrisiko für ihre Organisation werden. 
Dies gilt gerade auch für die Sensibilisierung im Bereich Datenschutz. Mitarbeitende, die mit personenbezogenen Daten in Kontakt kommen, müssen für den Umgang geschult werden. Durch innovative E-Learnings von lawpilots zum Thema Datenschutz haben Unternehmen die Möglichkeit, die eigene Belegschaft nachhaltig und passend zu den Anforderungen der jeweiligen Branche zu sensibilisieren und damit maßgeblich zum Schutz des Unternehmens beizutragen.

Fazit

Die Datenverschlüsselung erfüllt im Unternehmen gleich drei Funktionen. Zum einen stellt sie als DSGVO-konforme TOM eine Möglichkeit zum Datenschutz dar, zum anderen können Sie wertvolle Informationen umfassend vor dem Zugriff von außen schützen, wenn Sie sowohl bei der Speicherung als auch beim Versand Ihre Daten verschlüsseln.

Ebenfalls zu erwähnen ist, dass in manchen Fällen eine Verschlüsselung von Daten auch Bestandteil der eigenen Compliance sein kann. Das betrifft beispielsweise Unternehmen aus dem Finanzbereich und ergibt sich zumindest indirekt aus Gesetzesvorgaben wie §§ 91, 93 des Aktiengesetzes (kurz: AktG) und § 43 des GmbH-Gesetzes (kurz: GmbHG). 

lawpilots ist Marktführer in Bereich E-Learnings zu rechtlich-regulatorischen Themen und schult Ihre Mitarbeitenden nicht nur rund um das Thema Datenverschlüsselung, sondern auch zu Fragestellungen und Themen aus den Bereichen Datenschutz, Compliance, IT-Sicherheit und Arbeitsschutz
Wappnen Sie Ihre Belegschaft erfolgreich und nachhaltig für den Arbeitsalltag durch Online-Schulungen zu den Themen Datenschutz und IT-Sicherheit und schützen Sie sich damit aktiv vor Cyberattacken und den damit einhergehenden Gefahren. So stellen Sie auch sicher, dass Sie den Anforderungen der DSGVO zum Schutz personenbezogener Daten genügen und keine Bußgelder oder Imageschäden aufgrund von Datenschutzverstößen riskieren.

18. November 2022
Nachhaltigkeit für Unternehmen per Gesetz: Was kommt durch die neuen Nachhaltigkeitsgesetze auf Unternehmen zu?
21. Oktober 2022
Biometrische Daten und Datenschutz: Gilt die DSGVO auch für Fingerabdruck & Co.?
lawpilots GmbH hat 4,64 von 5 Sternen 2330 Bewertungen auf ProvenExpert.com