Verschlüsselung kann für viele kleine und mittelständige Unternehmen die Antwort in viele Sicherheitsbelangen sein. Sie schützt sensible Informationen nicht nur vor unautorisierten Zugriffen und minimiert Risiken aus Sicherheitslücken, die Implementierung von Verschlüsselungstechnologien repräsentiert gleichzeitig einen Schritt in die Richtung der Einhaltung von bald geltenden Rechtsvorschriften. Denn im Mai 2018 tritt die Datenschutz-Grundverordnung in Kraft.
In der Welt der Cyber Security gibt es allerdings keine Patentlösung. Kein einzelnes Produkt oder kein einzelner Dienst kann mit allen potentiellen Bedrohungen fertig werden. Das gilt natürlich auch für Verschlüsselung. Selbst Verschlüsselungstechnologien haben – obwohl sie sehr viele Vorteile besitzen – Einschränkungen, die man bei einer möglichen Einführung im Unternehmen bedenken sollte. Bevor die Entscheidung für ein bestimmtes Produkt fällt, sollten sich die Verantwortlichen einig sein, welche Anforderungen das Sicherheitsprodukt erfüllen muss, um den Sicherheitsbedürfnissen des Unternehmens gerecht zu werden.
Einfachheit im Fokus
Nach der kürzlich erschienenen Studie des Ponemon Instituts steht menschliches Versagen erst an zweiter Stelle, was die Hauptgründe für Datenpannen anbelangt. Dabei könnte die Anzahl der durch den Menschen verursachten Datenpannen sinken, wenn dem Mitarbeiter einfach zu benutzende Sicherheitslösungen angeboten werden würden.
“Mitarbeiter tendieren dazu, den einfachen Weg zu gehen.“
Je nach Unterrichtung und Richtline wird es immer ein Mindestmaß an Verschlüsselung geben, die vom Angestellten durchgeführt wird. Benötigt dieses Eingreifen allerdings Expertenwissen und sind die Sicherheitsprodukte nicht nutzerfreundlich, tendieren die Mitarbeiter dazu, einen einfachen Weg zu gehen. Dabei könnten sie unter Umständen Unternehmensregeln verletzen. Nutzerfreundliche Verschlüsselungssoftware kann das verhindern.
Verschlüsselungslösungen mit einfacher Administration
Eine von ESET bei der IDC in Auftrag gegebene Umfrage zeigt, dass die Einfachheit des Managements und der Wiederherstellungsmöglichkeit von verlorenen Zugangsschlüsseln mit die wichtigsten Kriterien für die Entscheidung einer Implementierung von Verschlüsselungstechnologie sind.
Fälle, in denen Mitarbeiter wegen des Vergessens des Entschlüsselungsschlüssels keinen Zugriff mehr auf ihre Daten haben, lassen sich vermeiden. On-Site-Systemadministratoren können gemeinsam zu nutzende Verschlüsselungsschlüssel vergeben.
Das kommt dem Prinzip eines mechanischen Schlüssels gleich. Ein Schlüssel, der in mehrere Schlösser passt. Dieses Prinzip vereinfacht das Teilen von verschlüsselten Daten innerhalb einer Zielgruppe und gestaltet es zugleich transparent.
Anpassungsfähigkeit, Skalierbarkeit und Flexibilität
Die gewählte Sicherheitslösung sollte skalierbar und flexibel sein. Das Hinzufügen von erweiterten Funktionen darf kein Problem darstellen. Im Idealfall können Richtlinien und digitale Schlüssel von der Ferne aus angepasst bzw. geändert werden.
Unternehmensverantwortliche sollten eine Sicherheitslösung auswählen, die bei Updates und Neuerungen keine Neuinstallation erfordern. Darüber hinaus haben fortlaufende Lizenzen mit Wartung und Support den Vorteil, dass der Überblick über Kosten und die finanzielle Flexibilität gewahrt bleiben.
Wem kann ich vertrauen?
Ausgewählt werden, sollten Sicherheitslösungen, die auf industrie-standardisierte Verschlüsselungsalgorithmen und ausgereiftes Key-Sharing setzen. Das gewährleistet den sicheren Datenaustausch unter den Mitarbeitern.
Die in Erwägung gezogene Verschlüsselungslösung sollte den strengen FIPS-140-2-Standard des NIST entsprechen. Darüber hinaus ist auf eine Zertifizierung von einem der großen Zertifizierer wie beispielsweise OPSWAT sowie auf unabhängige Tests zu achten.
Keine schlechten Fragen in Sachen Datenschutz
Datenschutzrichtlinien sind sorgfältig zu setzen. Verschlüsselungslösungen sollen die Mitarbeiter dabei so nutzerfreundlich wie möglich unterstützen. Bei der Auswahl der richtigen Verschlüsselungssoftware soll nicht davor zurückgeschreckt werden, Fragen nach der Usability oder anderen Features des Produkts zu stellen. Es ist überraschend, wie viele Verschlüsselungslösungen auf dem Markt nicht einmal grundlegende Anforderungen erfüllen.
In einem nächsten Beitrag beantworten wir weitere aufkommende Fragen zum Thema.