Informationssicherheit und die End2End-Lüge

Der Sicherheit in der Informationsverarbeitung, vor allem für Cloud-basierte Lösungen wird ein immer größerer Stellenwert zugeschrieben. Leider ist die Umsetzung mit allerhand Fallstricken verbunden, wobei klar ist: eine einfach und generalisierte Lösung gibt es nicht. Hier kommt dann die End-to-End Verschlüsselung (kurz: E2E-Encryption) als Lösungsbaustein zutage, doch handelt es sich keinesfalls um eine Pauschallösung für die Sicherheitsprobleme, wie dies im Cloud-Kontext suggeriert wird.

First Step: Sicherheitsbedarf ermitteln mit der Schutzbedarfsanalyse

Aber fangen wir am Anfang an, denn es geht zunächst nicht um Lösungen, sondern um die Fragen: Was für einen konkreten Bedarf haben Sie? Welche Sicherheitsanforderungen bestehen bei Ihnen? Hierzu dient eine Sicherheitsanalyse oder auch VIVA-Analyse genannt. VIVA steht für die Kernaspekte von Sicherheit:

  • Vertraulichkeit – Nur berechtigte Personen sollen Zugriff auf die Informationen erhalten.
  • Integrität – Die Informationen sollen nicht unbemerkt ergänzt, verändert oder gekürzt werden können.
  • Verfügbarkeit – Die Informationen sollen dann zur Verfügung stehen, wenn sie gebraucht werden.
  • Authentizität – Es soll sichergestellt sein, dass eine Information auch aus der Quelle stammt, für die sie sich ausgibt.

Sicherheit bedeutet also weit mehr als der vertrauliche Umgang mit Informationen.

Die richtige Dosierung finden

Neben der Art des Sicherheitsbedarfes muss auch geklärt werden, wie hoch der Schutzbedarf ist. Eine Möglichkeit ist die Klassifizierung in die üblichen Kategorien:

  • öffentlich
  • intern (z.B. „normale“ Arbeitsunterlagen)
  • vertraulich
  • streng vertraulich

Unüberlegte oder überzogene Anforderungen können kontraproduktiv für die Sicherheit sein oder Auswirkungen z.B. auf Akzeptanz und Kosten haben. Ausgangsbasis ist hier die richtige Einstufung von Inhalten, denn nicht alle Inhalte sind gleich schützenswert.

Warum ist eine solche Unterteilung wichtig? Ganz einfach: Je größer der Schutzbedarf ist, desto größer ist der damit verbundene Aufwand und oft auch die damit einhergehenden Einschränkungen. Wer mag schon seine normalen Arbeitsunterlagen (Klassifizierung „intern“), die problemlos im Ablagefach auf dem Schreibtisch liegen können, in den Tresor sperren? Das ist nicht nur lästig und behindert die Arbeit, sondern verwandelt sich schnell in Kontraproduktivität.

Nehmen wir das altbekannte Spiel mit den „Passwortregeln“: Kontinuierliche Passwortwechsel und Regeln, um sicherere Passwörter zu erzwingen sind bis zu einem gewissen Grad sinnvoll. Erreichen die Regeln allerdings die Schmerzgrenze der Mitarbeiter, suchen sich diese Auswege. Das Passwort wird z.B. aufgeschrieben und steht unter der Tastatur oder baumelt sogar auf einem Post-It am unteren Rand des Monitors – damit ist niemandem geholfen.

Die Erkenntnis: Auf die Verhältnismäßigkeit der Mittel kommt es an.

Warum E2E-Encryption ?

Der Einsatz von End2End-Encryption kann selbstverständlich ein sinnvolles Mittel sein. Aber es sollte stets im Blick behalten werden, dass es nicht pauschal ist und am tatsächlichen Sicherheitsbedarf vorbei gehen kann.

Doch woher kommt die End2End-Lüge, vor allem im Kontext von Cloud-Lösungen?

  1. Es liegt vielfach keine fundierte Sicherheitsanalyse und Ableitung verhältnismäßiger Maßnahmen vor. Stattdessen wird auf Marketing-Aussagen vertraut.
  2. Cloud-Angebote gelten als unsicher, nicht vertrauenswürdig und benötigen daher besonderen Schutz.

Zur Absicherung nicht vertrauenswürdiger Angebote ist End2End-Encryption tatsächlich eine sinnvolle Maßnahme, wenn ein entsprechender Schutzbedarf vorliegt. Gegebenenfalls muss man sich aber auch über die angesprochenen Seiteneffekte bewusst sein. Usability, Funktionen und auch die Sicherheit kann davon negativ betroffen sein.

 

Wie kann End2End-Encryption die Sicherheit negativ beeinflussen?

Beispiel: Jedes moderne Email-System in Unternehmen besitzt Schutzmechanismen vor Spam und gefährlichen Anhängen mit Malware.

Ein Cloud-Storage-System mit End2End-Encryption bietet diese Option nicht. Grund ist die durchgängige Verschlüsselung, die es verwehrt, an zentraler Stelle entsprechende Schutzmaßnahmen zu realisieren. So gesehen reißen solche Systeme ein Loch in die Sicherheitsarchitektur eines Unternehmens.

Von anderen Risiken ganz zu schweigen: Wer garantiert bspw. die Verfügbarkeit? Gibt es Backups? So ganz außer Acht lassen sollte man diese Aspekte nicht, auch wenn es Zusicherungen gibt – schließlich liegt ja ein Misstrauen gegenüber dem Anbieter vor.

Wie funktioniert die e2e Lüge

Was ist die Alternative?

Ausgangspunkt sollte immer eine Sicherheitsanalyse samt Ableitung von angemessener Maßnahmen sein.

Angenommen, wir sprechen nicht von einer Hochsicherheitslösung, ist eine vertrauenswürdige Umgebung ausreichend, um z.B. End2End-Encryption durch verschlüsselte Kommunikation und evtl. verschlüsselte Ablage der Daten zu ersetzen. Zwei Beispiele hierfür sind:

  • Private Cloud – Ein Unternehmen kann Software auch selbst on premise / in der eigenen Cloud betreiben.
  • SaaS Angebote vertrauenswürdiger Anbieter – Handelt es sich um interne oder vertrauliche Daten, können auch SaaS-Angebote in Betracht kommen, die über entsprechende Service Level Agreements (SLAs) verfügen und deren Einhaltung über sinnvolle Zertifizierungen (z.B. ISO 27001, Informationssicherheitsmanagementsystem (ISMS)) verfügen.

 

Fazit – ein Weg aus der End2End-Lüge

Angemessene Lösungen zu finden muss das Ziel sein. Die Basis hierfür stellt eine umfassende Schutzbedarfsanalyse (VIVA) samt Schutzkonzept (Security Design) dar. Auf jeden Fall lohnt sich ein tiefergehender Blick, um einerseits bei keiner Scheinsicherheit zu enden, die andererseits das Business behindert.

 

Datensicherheit in Ihrer Fileshare Cloud

 

 

Spam-E-Mails erkennen: Tipps und Tricks

Spam-E-Mails landen regelmäßig in unserem Posteingang. Dabei wird es immer schwerer, sie als solche zu erkennen. Denn die Professionalität mit der sie gestaltet werden, hat in den letzten Jahren stark zugenommen. Zugleich steigt auch die Gefährdung, die von Spam E-Mails ausgeht: Angefangen mit lästiger Werbung und Hoaxes (Falschmeldungen) [1] über Phishing (Diebstahl von digitalen Identitäten) [2] bis hin zur Ramsonware (Erpressungstrojaner).
Mehr

End2End-Verschlüsselung – Das Allheilmittel für die Cloud?

end2end-Verschlüsselung_CloudDass die Cloud neben vielen Vorteilen auch Probleme mit sich bringt ist  mittlerweile bekannt. Eines der Hauptprobleme sind Sicherheitsfragen. Sie resultieren daraus, dass bislang in vertrauenswürdigem Kontext wie z.B. dem geschützten Firmennetzwerk, abgelegte Daten nun an einem deutlich weniger vertrauenswürdigen Ort – eben der Cloud –  abgelegt werden.

Mehr

Passwort Management in 5 Minuten

Nach dem Gespräch mit unserem Informationssicherheitsbeauftragten im Unternehmen (ISB) [1] bin ich also schon etwas schlauer. Ich kenne unseren ISB und auch die aktuelle Kennwort-Richtlinie.

Was aber, wenn aus der „ISO-Umsetzungsempfehlungen von Richtlinien“ keine konkrete Tool-Empfehlung ausformuliert wurde oder der Einfachheit halber in den Kennwort-Richtlinien nur auf kryptografische Verschlüsselung und Sorgfalt verwiesen wird?  Sind die Anwender aus dem Schneider und die PostIts gerettet?

Mehr

Passwort Management in Unternehmen

Login-Passwort, Passwort Management in UnternehmenVor einer Weile habe ich mich mit einem Kollegen über Passwörter und Passwort Manager unterhalten und wir kamen überein, dass beides ziemlich genial ist. Trotzdem verwendet mein Kollege keine digitale Lösung sondern setzt auf Brain 2.0, verknüpft mit einer embedded Passwort-Rule-Engine. Ich hingegen setze auf Open Source und verwende meinen Passwort Manager von der Stange schon seit geraumer Zeit. Brain 2.0 setze ich seitdem nur noch aus nostalgischen Gründen z.B. für meine Kreditkarten und Handy Pins ein.

Mehr

Managed File Transfer (MFT): Wann der Einsatz für Dateiaustausch in Unternehmen sinnvoll ist

Managed File Transfer MFT, wann der Einsatz für Dateiaustausch in Unternehmen sinnvoll istDie digitale Transformation und die damit verbundenen Anforderungen an Unternehmen schaffen diverse Gefährdungspotentiale für moderne Unternehmen. Mit diesen einhergehend wachsen gleichzeitig die Anforderungen der Unternehmen an eine sichere Übertragung von strukturierten und unstrukturierten Daten.
Es gibt eine Menge an Daten, die täglich im Unternehmenskontext ausgetauscht werden:

Mehr

Dateitransfer: FTP, MFT, EFSS: Ein Streifzug durch die Geschichte

Geschichte des Dateitransfers_Julien-Eichinger-Fotolia.comZum Austausch von Dateien wurden bereits in den 1980er Jahren mit FTP (File Transfer Protokoll), Email-Attachments und Co. technische Lösungen geschaffen. Diese sind auch heute noch vielfach im Einsatz, weisen jedoch einige Schwachstellen auf. Sicherheitsprobleme, das Fehlen einer zentralen Verwaltung und Usability-Schwächen sind nur die wichtigsten.
Mehr