Wie KMUs ihre Kronjuwelen gemäss Ispin schützen können
Es gibt zahlreiche Wege, etwas zu verschlüsseln: DES, AES, Twofish, ROT13, Red Pike und noch viele mehr. Was es dabei zu beachten gelte und warum eine gute Verschlüsselung nicht nur etwas für Spione und Geheimagenten sei, sagt Boris Achermann, CTO von Ispin.
Verschlüsselungslösungen sind doch nur etwas für James Bond. Wofür braucht ein normales Schweizer KMU so etwas?
Boris Achermann: Verschlüsselung ist heute - oft gut versteckt - Teil alltäglicher Vorgänge. Vertraulichkeit von Daten ist nur ein Aspekt neben "glaubhafter Abstreitbarkeit" oder Integritätsnachweisen, insbesondere rund um besonders sensible Daten. Gesetze, Regulatorien und Zertifizierungen sind ebenfalls Treiber für Verschlüsselung, und zahlreiche Schweizer KMUs bauen ihre Existenz auf selbst angereichertes Wissen, also geistiges Eigentum.
Welches Potenzial gibt es auf dem Schweizer Markt für Verschlüsselungslösungen?
Beginnen wir mit wichtigen Fällen von Data-at-Rest beziehungsweise gespeicherten Daten und Data-in-Transit, also übertragenen Daten: Festplattenverschlüsselung für schützenswerte Daten, alle Formen von traditionellen Fernzugriffen / VPN. Weiter folgen modernere Geschmacksrichtungen, beispielsweise Cloud-native-Netzwerk-Sicherheit in Form von SWG, SD-WAN und Co., einschliesslich Data-in-Use. Dazu kommen lokal relevante Themen wie Regulatorien und der Schutz geistigen Eigentums. Mir sind leider mehrere Fälle bekannt, in denen die Kronjuwelen eines KMU auf einmal in ein Billiglohnland repliziert worden sind, was das Ableben des KMUs bewirkt hat.
Was gilt es beim Vertrieb oder bei der Implementierung von Verschlüsselungslösungen zu beachten?
Verschlüsselung sollte Teil einer Strategie sein. Zunächst werden Use Case und Schutzbedarf analysiert: Link-, Session-, File- oder Datenträgerverschlüsselung? Je nach Data-at-Rest, Data-in-Use, Data-in-Transit Situation ist eine andere Antwort korrekt. Benutzerfreundlichkeit ist ein zentraler Punkt, um Umgehungslösungen zu verhindern. Die Kontrolle über das Schlüsselmaterial ist ebenfalls entscheidend, besonders in Cloud-Anwendungen. Zu guter Letzt ist eine gute OPSEC für den Erfolg einer Verschlüsselungslösung vital. Die Geschichte der Enigma dient als gutes Negativbeispiel hierfür.
Asymmetrisch, Symmetrisch, Substitution, Transposition, Stromverschlüsselung, Blockverschlüsselung und und und … Was ist Ihr Favorit?
Auch hier: je nach Anwendungsfall. Symmetrische Verfahren sind schnell, günstig und relativ sicher, erfordern aber ein sicheres Schlüsselhandling und bieten weniger Use Cases als asymmetrische Verfahren. Auswahlkriterien sind u.a. Langlebigkeit sowie die Kritikalität der zu schützenden Information. Beide Ansätze wirken im Verbund - etwa für Schlüsselaustausch und Datenverschlüsselung. Flankierende Massnahmen sind auf die Auswahl abzustimmen, bis hin zu physischer Sicherheit.
Wie werden sich Quantencomputer auf heutige Verschlüsselungsverfahren auswirken? Sind die heutigen Methoden morgen schon obsolet?
Asymmetrische Verschlüsselung auf Basis von Primfaktorzerlegung ist am anfälligsten für quantenbasierte Angriffe - diese haben noch für mehrere Jahre lediglich Laborreife, sodass wir noch Zeit haben, resistentere Verfahren im Feld auszurollen. Symmetrische Verfahren sind weniger gefährdet. Quantencomputer halbieren deren effektive Wirkung der Schlüssellänge.
Die Antworten der anderen Podiumsteilnehmer:
Daniele Casella, Samsung: "Bei der Implementierung muss darauf geachtet werden, dass diese einfach bedienbar, verständlich und integrierbar ist."
Matthias Hostettler, Avantec: "Die Kosten sind bestimmt ein Grund für die noch nicht flächendeckende Verbreitung."
Stefan Klein, Seppmail: "Branchen wie der Finanzsektor und die Industrie hinken beim Thema Verschlüsselung deutlich hinterher."
Marcel Mock, Totemo: "Es ist sinnvoll, Lösungen einzusetzen, die alle Anforderungen abdecken und mit offenen Standards arbeiten"
Bremtane Moudjeb, Cisco: "Bei der Wahl einer Lösung sollte man auf Stärke und Komplexität des Verschlüsselungsalgorithmus achten"
Ingo Schubert, RSA Security: "Es besteht kein Grund zur Panik wegen Quantencomputern."
Von der Skytale bis zur Post-Quanten-Kryptografie: Wie Gaius Iulius Caesar, die Spartaner, Freimaurer und Co. früher versuchten, ihre Geheimnisse geheim zu behalten und warum das auch für die moderne Kryptografie interessant ist, lesen Sie hier im Hintergrundbericht zum Thema Verschlüsselung.