Verschlüsselung in Unternehmen

Key- & Lifecycle-Management als Schlüsselfaktor

25.07.2016
Von 
Thorsten Krüger ist Regional Director DACH, CEE, CIS bei Thales. Er beschäftigt sich seit über 20 Jahren mit dem Vertrieb und der Beratung von IT und IT-Sicherheitslösungen. Er ist Experte für die Themen Verschlüsselung, Key Management und starke Authentifizierung. Vor Thales und Gemalto war Herr Krüger für internationale Unternehmen wie ActivCard tätig, in denen er unterschiedliche Vertriebs- und Managementpositionen innehatte.
Datenverschlüsselung gehört zur Standardausrüstung in der IT. Anders sieht es mit dem Key- und Lifecycle-Management aus. Hier handeln Unternehmen fahrlässig.

Die Verschlüsselung unternehmenskritischer Daten und Informationen setzt sich durch - in der Cloud, in virtuellen und physischen Umgebungen. Im vergangenen Jahr waren laut Bitkom 45 Prozent der Daten auf Festplatten und anderen Datenträgern in deutschen Unternehmen chiffriert.

Verschlüsselte Daten, unsichere Umgebung

Ein anderes Bild zeigt sich beim Key- und -Lifecycle-Management: Das Gros der Befragten einer weltweiten Studie von Ponemon empfindet die Verwaltung der Schlüssel als größten "Pain Point" innerhalb von Verschlüsselungsstrategien. Demnach fehlt es vielen Anwendern an klaren Richtlinien für das Management der Schlüssel, am Überblick darüber, wo sich die verschlüsselten Informationen in den verteilten Systemen befinden und an Werkzeugen. Die Folge: Die meisten Unternehmen lagern ihre Schlüssel aus Bequemlichkeit in den gleichen Systemen, in denen sich auch die chiffrierten Daten befinden. Andere wiederum geben ihre Keys in die Obhut von Anbietern, die auch für die Speicherung der verschlüsselten Informationen verantwortlich sind. Nur 27 Prozent der IT-Verantwortlichen jedenfalls speichern die Schlüssel in sicheren Umgebungen und nutzen dafür beispielsweise spezielle Hardware. Da drängt sich der Vergleich mit dem Haustürschlüssel unter der Fußmatte regelrecht auf.

IT-Compliance setzt Key Management voraus

Häufig sind Unternehmen die Konsequenzen nicht klar: Eine sorgfältige Verwaltung und ein akkurates Handling bei der Erstellung, Verteilung und Verwaltung von Crypto-Keys ist Pflicht, wenn es in Audits und Revisionen um den Datenschutz geht. IT-Compliance lässt sich ohne Verschlüsselung und Key-Management nicht erreichen. Dabei beginnt ein wirksames Key- und Lifecycle-Management bereits mit dem Verständnis dafür, wer für das Schlüsselmanagement verantwortlich zeichnet. Hier verderben viele Köche den Brei: Je mehr Personen Zugriff auf die Schlüssel erhalten, desto größer ist die Gefahr des Missbrauchs. Nicht selten fehlt es in der Praxis auch an der Übersicht darüber, wer für die Schlüssel verantwortlich ist und wie, beziehungsweise wo, sie abgelegt wurden. Das aber führt besonders in heterogenen Systemumgebungen zu so genannten "Islands of Encryption".

Eine entsprechende Lösung sollte deshalb zwingend dokumentieren können, wer welchen Schlüssel genommen hat und wofür dieser verwendet wurde. Entscheidend ist zudem, dass der digitale Schlüssel - und damit die Möglichkeit der Entschlüsselung von sensiblen Informationen - in den Händen des Unternehmens verbleibt und dass die Keys getrennt von den Daten sowie zentral gespeichert und verwaltet werden können. Bewährt haben sich in dem Zusammenhang so genannte Hardware Security Module (HSM). Sie gewährleisten, dass die Eigentümerschaft und volle Kontrolle im Unternehmen verbleibt. Ein professionelles Key-Management unterstützt neben der sicheren Aufbewahrung und dem Backup auch die Vergabe für Schlüssel sowie die Identitätsprüfung für Antragsteller und ermöglicht zudem individuelle Berechtigungen für die Verwendung einzelner Personen oder Personengruppen. Hinzu kommen klare Richtlinien nach einem Verlust - etwa, wenn ein Mitarbeiter das Unternehmen verlässt und die Berechtigung entzogen werden soll. So ist es beispielsweise möglich, Schlüssel remote zu löschen. Technisch gesehen unterstützen HSM unterschiedliche kryptografische Algorithmen wie asymmetrische und symmetrische Ver-, beziehungsweise Entschlüsselung.

HSMs in Verbindung mit Key-Management dienen als leistungsfähige und manipulationssichere Tresore für kryptografische Schlüssel. Somit können Unternehmen Datenverschlüsselung einfach in gängige Anwendungen integrieren und unternehmensweit mit virtuellen Maschinen und Cloud-Anwendungen verknüpfen. (fm)