
Verschlüsselung: Wann ist welche Methode sinnvoll?
Es sollte bereits jedem klar sein, wie wichtig es ist, die personenbezogenen Daten, mit denen jedes Unternehmen arbeitet, ordnungsgemäß zu speichern und zu schützen. Wichtig ist die Entscheidung, wie man Daten schützt, deren Reise man nicht von Anfang bis Ende kontrollieren kann.
Man unterscheidet bei der Verschlüsselung von E-Mails grundsätzlich zwei Wege: Die Transport- und die Inhaltsverschlüsselung.
– Transportverschlüsselung: Die E-Mail-Nachrichten werden durch einen verschlüsselten Tunnel geschickt. Jedoch liegen die E-Mails nicht nur bei Absender und Empfänger im Klartext vor, sondern auch auf dazwischenliegenden Knoten. Nachrichten können also mitgelesen werden. TLS („Transport Layer Security“) ist das Standardprotokoll für die Transportverschlüsselung. TLS kommt häufig bei der Übertragung von Webseiten zum Einsatz und verhindert, dass Fremde etwa beim Online-Banking Daten mitlesen oder sogar manipulieren können.
– Inhaltsverschlüsselung: Hierbei wird der E-Mail-Inhalt verschlüsselt. Jedoch bleiben die sogenannten Metadaten (Absender, Betreff der Nachricht, Empfänger usw.) unverschlüsselt und damit lesbar. Protokolle für die Inhaltsverschlüsselung sind beispielsweise PGP und S/MIME. Sie sind besonders im Bereich von E-Mails weit verbreitet. Aber auch wer eine verschlüsselte ZIP-Datei erstellt, verschlüsselt den Inhalt der zugrunde liegenden Daten.
Beide Verschlüsselungsmethoden haben also ihre Nachteile:
- Die meist fehlende Ende-zu-Ende-Verschlüsselung bei der Transportverschlüsselung,
- der unverschlüsselte Transport von Metadaten bei der Inhaltsverschlüsselung.
Durch die Kombination beider Verfahren können die jeweiligen Nachteile vermieden werden. Das ist aber häufig recht aufwendig. Dabei hängt es vom Anwendungsszenario ab, ob die Vor- und Nachteile tatsächlich Auswirkungen auf die Sicherheit haben.
Ob nun eine Transport- oder Inhaltsverschlüsselung angewendet wird, hängt von den Strukturen und der Branche des Unternehmens oder der Organisation, der Mitarbeiterstruktur und den internen Arbeitsabläufen ab. Gehört die Arbeit mit sensiblen Daten zum Kerngeschäft des Unternehmens, ist eine Ende-zu-Ende-Verschlüsselung dringend zu empfehlen..
Was angemessen ist, sollte immer individuell beurteilt werden. Es gibt jedoch keine allgemeine Regel bei der Auswahl einer Methode. Beide Verfahren haben ihre Vor- und Nachteile, und die Verfahren zu kombinieren, ist oft aufwendig.
Deshalb ist es sinnvoll, risikobasiert auszuwählen.
Wenn Sie Hilfe brauchen, unterstützen wir Sie gerne bei der Auswahl – nehmen Sie einfach Kontakt zu uns auf: www.lexkonnex-datenschutz.de