- Was ist Cloud Computing?›
- Hub für Cloud-Computing-Konzepte›
- Sicherheit, Identität und Compliance›
- Was ist Datenverschlüsselung?
Was ist Datenverschlüsselung?
Themen der Seite
- Was ist Datenverschlüsselung?
- Wie funktioniert Datenverschlüsselung?
- Wozu dient die Datenverschlüsselung?
- Welche Arten von Daten sollten verschlüsselt werden?
- Was ist der Unterschied zwischen Hashing und Datenverschlüsselung?
- Was ist der Unterschied zwischen digitalen Signaturen und Datenverschlüsselung?
- Was sind gängige Datenverschlüsselungsstandards?
- Was ist bei der Auswahl einer Datenverschlüsselungstechnik zu beachten?
- Wie kann AWS Sie bei Ihren Datenverschlüsselungsanforderungen unterstützen?
Was ist Datenverschlüsselung?
Bei der Datenverschlüsselung werden Daten verschlüsselt, sodass sie für Personen, Service oder Geräte ohne den Schlüssel zum Entschlüsseln des Inhalts unlesbar sind. Durch die Verschlüsselung werden Dateien, Festplatten, Objekte, Streams und andere Arten von Daten zwischen einem Verschlüsseler und einem Schlüsselinhaber privat gehalten. Selbst wenn Dritte auf verschlüsselte Daten zugreifen können, können sie ohne den Schlüssel nicht auf die Daten zugreifen. Die Datenverschlüsselung ist ein grundlegender Bestandteil der Cybersicherheit in Unternehmen.
Wie funktioniert Datenverschlüsselung?
Moderne Verschlüsselungssysteme verwenden in der Regel entweder symmetrische oder asymmetrische Verschlüsselung, beides Formen der Kryptografie.
Symmetrische Verschlüsselung
Bei der symmetrischen Schlüsselverschlüsselung wird ein einziger privater Schlüssel sowohl zum Ver- als auch zum Entschlüsseln von Daten verwendet. Die Funktionsweise symmetrischer Schlüssel bedeutet, dass sowohl der Absender als auch der Empfänger im Voraus über den Verschlüsselungsschlüssel verfügen müssen.
Im Allgemeinen ist die symmetrische Verschlüsselung schneller und effizienter als die asymmetrische Verschlüsselung, wodurch sie sich gut für die Verschlüsselung großer Datenmengen eignet.
Asymmetrische Verschlüsselung
Bei der symmetrischen Verschlüsselung wird ein Paar aus einem öffentlichen und einem privaten Schlüssel verwendet:
- Ein öffentlicher Schlüssel ist ein Schlüssel, der zum Verschlüsseln von Daten verwendet wird, die andere Personen an Sie senden. Sie geben diesen Verschlüsselungsschlüssel öffentlich an Ihre Kontakte weiter. Er muss nicht geheim gehalten werden.
- Ein privater Schlüssel ist ein Schlüssel, den Sie geheim halten und zum Entschlüsseln vertraulicher Daten verwenden, die Ihnen andere Personen mit dem öffentlichen Schlüssel senden.
Dieses System macht den sicheren Austausch eines gemeinsamen Schlüssels überflüssig, was eine der größten Einschränkungen der symmetrischen Verschlüsselung darstellt.
Unternehmen verwenden asymmetrische Verschlüsselung häufig auf folgende Weise:
- Verwendung digitaler Signaturen
- Sichern von Webbrowsing-Sitzungen (HTTPS)
- Verschlüsselung sensibler Nachrichten zwischen Parteien, die zuvor keine Schlüssel ausgetauscht haben
Asymmetrische Verschlüsselung wird manchmal auch als Public-Key-Kryptografie aufgerufen.
Wozu dient die Datenverschlüsselung?
Einzelpersonen und Organisationen verwenden Verschlüsselungsmethoden, um Daten zu schützen und gesetzliche Vorschriften einzuhalten. Es ist möglich, Daten im Ruhezustand, während der Übertragung und durchgängig zwischen Geräten in einem Netzwerk zu verschlüsseln.
Verschlüsselung im Ruhezustand
Daten im Ruhezustand sind Daten, die Sie gespeichert haben. Gespeicherte Daten können Daten sein, die auf einer Festplatte, in der Cloud oder in einer Datenbank gespeichert sind. Beispielsweise führen Organisationen häufig eine synchronisierte Sicherung wichtiger Daten durch, die in der Cloud im Ruhezustand verschlüsselt sind.
Verschlüsselung während der Übertragung
Daten während der Übertragung beziehen sich auf Daten, die über ein Netzwerk von einem System zu einem anderen übertragen werden. Ein Beispiel hierfür ist die Interaktion zwischen einem Webbrowser und einem Server. Wenn Sie eine sichere Website, wie beispielsweise die einer Bank, besuchen, verwenden der Browser und der Server eine Form der Verschlüsselung während der Übertragung. Diese Verschlüsselung der Kommunikation während der Übertragung wird als Transport Layer Security (TLS) aufgerufen. Jemand könnte diese Bankdaten über das Netzwerk abfangen, aber sie wären unlesbar.
End-to-End-Verschlüsselung (E2EE)
Bei der End-to-End-Datenverschlüsselung werden die Daten vor der Übertragung auf dem sendenden System verschlüsselt. Das empfangende System verwendet nach dem Empfang lokal einen Entschlüsselungsschlüssel. Beispielsweise führt eine sichere Messaging-App eine End-to-End-Verschlüsselung der Nachrichteninhalte auf Ihrem Gerät durch. Die Daten werden erst entschlüsselt, wenn Ihr genehmigter Kontakt sie in seiner App empfängt.
Welche Arten von Daten sollten verschlüsselt werden?
Unternehmen verwenden Verschlüsselung häufig, um sensible oder regulierte Daten zu schützen.
Finanzdaten
Die Verschlüsselung während der Speicherung und während der Übertragung ist eine bewährte Methode zum Schutz sensibler Finanzdaten, einschließlich Transaktionen, Kontodaten und Kreditgeschichten. Im Finanzsektor verlangen zahlreiche Compliance-Vorschriften, wie beispielsweise der Payment Card Industry Data Security Standard (PCI-DSS), strenge Regeln und Prozesse für die Datenverschlüsselung. Die Verschlüsselung trägt hier dazu bei, Betrug und das unbefugte Zugreifen zu verhindern.
Kommerzielle Daten
Viele Unternehmen möchten auch sensible Geschäftsdaten wie Angebote, Kundenverträge, Service Level Agreements (SLAs) und Lieferantenverträge verschlüsseln. Bestimmte Branchen und Länder verlangen die Einhaltung von Vorschriften und Gesetzen, wie beispielsweise der Datenschutz-Grundverordnung (DSGVO), die Verschlüsselungsstandards regeln. Unternehmen verschlüsseln Daten, um finanzielle Schäden oder Reputationsverluste im Falle einer Datenverletzung zu vermeiden.
Personaldaten
Eine Kombination aus Bundes- und Landesgesetzen regelt in der Regel, wie Unternehmen Personaldaten, insbesondere personenbezogene Daten (PII) von Mitarbeitern, schützen müssen. HR-Daten werden häufig auch an Plattformen von Drittanbietern weitergegeben, wodurch eine Gelegenheit besteht, dass sie offengelegt oder abgefangen werden.
Personenbezogene Daten (PII)
Zu den personenbezogenen Daten (PII) gehören Daten, die bei Offenlegung zur Identifizierung einer Person verwendet werden könnten. Namen, Adressen und Sozialversicherungsnummern sind Beispiele für PII. Durch die Verschlüsselung von PII können Unternehmen Identitätsdiebstahl verhindern und die Einhaltung globaler Datenschutzgesetze sicherstellen.
Beispielsweise verlangen Vorschriften wie die DSGVO in der Europäischen Union und der California Consumer Privacy Act (CCPA) von Unternehmen, dass sie die in ihrer Obhut befindlichen PII schützen. Verschlüsselung ist ein häufig verwendetes Tool, um diese Standards zu erfüllen.
Geschützte Gesundheitsdaten (PHI)
Gesundheitsdienstleister, Versicherer und Personalabteilungen verarbeiten geschützte Gesundheitsdaten (PHI), darunter medizinische oder gesundheitsbezogene Informationen, die mit einer Person in Verbindung stehen. Beispiele für PHI sind elektronische Krankenakten, Behandlungshistorien und Daten zu verschreibungspflichtigen Medikamenten.
Gesetze wie der Health Insurance Portability and Accountability Act (HIPAA) in den USA schreiben die Umsetzung von Datensicherheitsmaßnahmen vor. Diese Maßnahmen schützen die Vertraulichkeit, Integrität und Verfügbarkeit elektronischer PHI (ePHI). Wie bei PII ist Verschlüsselung ein gängiges Tool, um HIPAA- und andere PHI-Standards zu erfüllen.
Was ist der Unterschied zwischen Hashing und Datenverschlüsselung?
Ein Hashing-Algorithmus nimmt Daten wie eine Datei oder eine Nachricht und berechnet eine für die Daten einzigartige Zeichenfolge, die als Hash aufgerufen wird. Wenn jemand oder etwas die Originaldaten auch nur geringfügig verändert, ändert sich auch der Hash-Wert. Daher werden Hashes häufig verwendet, um die Datenintegrität und -authentizität zu überprüfen.
Im Gegensatz zur Verschlüsselung sind Hash-Algorithmen mathematische Einwegfunktionen. Sie verfügen über keine kryptografischen Schlüssel und können nicht rückgängig gemacht werden. Unternehmen verwenden häufig Hashing und Verschlüsselung zusammen, um zu überprüfen, ob Daten authentisch und unverändert sind.
Was ist der Unterschied zwischen digitalen Signaturen und Datenverschlüsselung?
Digitale Signaturen sind ein Tool zur Überprüfung der Authentizität eines Absenders. Digitale Signaturen nutzen sowohl die Verschlüsselung mit öffentlichen Schlüsseln als auch Hash-Funktionen.
Digitale Signaturen funktionieren nach folgendem Verfahren:
- Ein Absender erstellt einen Hash seiner Daten, um deren Authentizität und Unverfälschtheit zu beweisen.
- Anschließend verschlüsselt der Absender diesen Hash, um eine digitale Signatur zu erstellen.
- Der Empfänger erhält die Daten zusammen mit der zugehörigen Signatur. Er führt den Entschlüsselungsschlüssel für die Signatur aus und generiert einen neuen Hash der Daten, um ihn mit dem entschlüsselten Original zu vergleichen.
Wenn beide Hashes übereinstimmen, kann der Empfänger mit Vertrauen behaupten, dass der identifizierte Absender die Daten gesendet hat und dass während der Übertragung keine Veränderungen vorgenommen wurden.
Was sind gängige Datenverschlüsselungsstandards?
Der heute am weitesten verbreitete symmetrische Verschlüsselungsstandard ist Advanced Encryption Standard (AES), mit dem ein Großteil des weltweiten Internetverkehrs verschlüsselt wird. Der gängigste asymmetrische Standard ist Rivest-Shamir-Adleman (RSA). RSA ist rechenintensiver als AES und wird häufiger zur Verschlüsselung kleinerer Volume, wie z. B. digitaler Signaturen, verwendet.
Sie können AES und RSA kombiniert einsetzen. Da RSA am effizientesten bei der Verschlüsselung kleinerer Volume ist, kann es AES-Schlüssel verschlüsseln, die mit symmetrischen Schlüsseln in großen Volume übertragen werden.
Advanced Encryption Standard (AES)
AES ist eine Spezifikation für symmetrische Verschlüsselung, die 2001 vom US-amerikanischen National Institute of Standards and Technology (NIST) festgelegt wurde. AES verwendet einen von den Kryptographen Joan Daemen und Vincent Rijmen entwickelten Verschlüsselungsalgorithmus und unterstützt Verschlüsselungsschlüsselgrößen von 128 oder 256 Bit (bekannt als AES-128 und AES-256).
RSA
Der Name RSA stammt von den MIT-Wissenschaftlern, die ihn 1977 entwickelt haben: Rivest, Shamir und Adleman. Er verwendet Paare von geheim generierten, großen Primzahlen, um private und öffentliche Schlüssel zu erstellen. RSA nutzt das „Faktorisierungsproblem” aus der Mathematik für sein Verschlüsselungsmodell. Es gibt keine rechnerisch effiziente Methode, um die Primfaktoren außergewöhnlich großer Zahlen, wie sie zur Generierung von RSA-Schlüsseln verwendet werden, zurückzuverfolgen.
Data Encryption Standard (DES)
Der Data Encryption Standard (DES) ist ein älterer Verschlüsselungsstandard, der 2002 vom NIST zugunsten von AES aufgegeben wurde. Er verwendet einen 56-Bit-Schlüssel, um Daten in 64-Bit-Blöcken zu verschlüsseln, was nach Erkenntnissen der Forscher anfällig für Brute-Force-Angriffe ist. Obwohl DES anfällig für moderne Angriffstechniken und Datenverletzungen ist, wird es heute noch in Legacy-Systemen verwendet.
Was ist bei der Auswahl einer Datenverschlüsselungstechnik zu beachten?
Die von Ihnen gewählten Datenverschlüsselungstechniken sollten mehr als nur die Sicherheit der Daten gewährleisten. Diese Techniken sollten mit den Geschäftszielen in Einklang stehen und den gesetzlichen Anforderungen entsprechen.
Berücksichtigen Sie bei der Auswahl von Verschlüsselungstechniken für Ihr Unternehmen die folgenden vier Faktoren.
Bewerten Sie die Sensibilität der Daten
Nicht alle Daten erfordern das gleiche Maß an Sicherheit. Sensible Daten erfordern möglicherweise eine vollständige End-to-End-Verschlüsselung. Weniger sensible Daten benötigen möglicherweise weniger oder gar keine Verschlüsselung.
Verstehen Sie die Sicherheitsumgebung
Einige Unternehmen als Ganzes können Ziele sein, beispielsweise Finanzinstitute oder Regierungsbehörden. Andere, wie App-Unternehmen, verfügen möglicherweise nur über minimale Daten im Ruhezustand in ihrer eigenen Infrastruktur, was ein Sicherheitsrisiko darstellen könnte. Wählen Sie Verfahren, die dem Risikoprofil jeder Gruppe digitaler Assets in Ihrem Unternehmen angemessen sind.
Verwenden Sie moderne Standards
Nicht alle Verschlüsselungsalgorithmen bieten das gleiche Schutzniveau. DES, sein Derivat 3DES und andere ältere Standards können in der Regel keinen Schutz vor modernen Angriffen bieten. Suchen Sie nach Verschlüsselungs-Services, die die Nutzung aktueller Standards verwenden, wie z. B. AES-256-Verschlüsselung und RSA mit 2048-Bit-Schlüsseln.
Erfüllen Sie die Compliance-Anforderungen
In vielen Branchen und Rechtsordnungen gibt es spezifische Vorschriften, die eine Verschlüsselung zum Schutz sensibler Daten vorschreiben. Beispielsweise schreibt PCI-DSS vor, dass Unternehmen Kreditkartendaten von Verbrauchern sicher verarbeiten und übertragen müssen.
Wie kann AWS Sie bei Ihren Datenverschlüsselungsanforderungen unterstützen?
AWS bietet eine Reihe von Diensten zum Support der cloudbasierten Verschlüsselung und Schlüsselverwaltung.
Mit AWS CloudHSM können Sie kryptografische Schlüssel auf dedizierten HSM-Instances (Hardware Security Module) der Stufe 3 gemäß Federal Information Processing Standards (FIPS) 140-2 generieren und verwenden. AWS CloudHSM fördert die Compliance durch kundeneigene Single-Tenant-HSM-Instanzen, die in Ihrer eigenen Virtual Private Cloud (VPC) ausgeführt werden.
AWS Key Management Service (AWS KMS) ist ein Service, mit dem Sie Schlüssel erstellen und verwalten können, die zur Verschlüsselung von Daten in Ihren Anwendungen verwendet werden. AWS KMS verwendet die Datenverschlüsselungsbibliothek AWS-Verschlüsselungs-SDK (Software Development Kit).
AWS Payment Cryptography vereinfacht Kryptografieoperationen in Ihren Cloud-gehosteten Zahlungsanwendungen.
AWS Secrets Manager verschlüsselt Daten im Ruhezustand mit Verschlüsselungsschlüsseln, die Sie besitzen und in AWS KMS speichern.
Beginnen Sie noch heute mit der Datenverschlüsselung in AWS, indem Sie ein kostenloses Konto erstellen.