Die zunehmende Digitalisierung verändert Arbeitsformen und Geschäftsmodelle. IT-Verantwortliche stehen vor der Herausforderung, Daten und Systeme rund um die Uhr und auf jedem Gerät verfügbar zu halten – und zwar sicher. Ein zentrales Prinzip hierfür ist die konsequente Verschlüsselung von bewegten Daten (»Data in Motion«).
Sichere Datentransportwege sind die Grundlage für die erfolgreiche Umsetzung von Konzepten wie Industrie 4.0, BYOD (Bring Your Own Device) oder auch das Internet der Dinge (Internet of Things, IoT). Der Begriff steht für miteinander vernetzte Geräte, die per Fernzugriff Daten liefern oder in Aktionen umsetzen können. Der Zugriff ist beispielsweise mit Hilfe mobiler Geräte jederzeit und überall möglich. Neben einer schnelleren Kommunikation verspricht das IoT aus betriebswirtschaftlicher Sicht erweiterte Umsatzmöglichkeiten, Produktivitätssteigerungen und Kosteneinsparungen.
Bei aller Euphorie darf aber nicht vergessen werden, dass Unternehmen durch das Internet der Dinge potenziell auch anfälliger für Cyber-Angriffe werden. Denn Daten sind im Zeitalter der Digitalisierung nicht mehr nur an bestimmten Orten verfügbar, sondern permanent in Bewegung. Über unterschiedliche Endgeräte werden sie von einem Punkt zum nächsten transferiert – Stichwort: Data in Motion. Die lokale Speicherung von Daten auf den Endgeräten hingegen wird als »Data at Rest« bezeichnet.
Stark im Trend: Mobile Geräte und Anwendungen. Dreh- und Angelpunkt für die mobile Datenkommunikation ist das allgegenwärtige Internet. Nach Erhebungen der ITU (Internationale Fernmeldeunion) hat die globale Internet-Nutzung 2014 erstmals die Schwelle von drei Milliarden Nutzern überschritten. Bei der aktuellen Weltbevölkerung von nahezu 7,3 Milliarden Menschen liegt die Penetrationsrate damit bei 41 Prozent. Die Zahl der Mobil-Nutzer beziffern die Analysten sogar mit rund 3,6 Milliarden. Demnach nutzt jeder zweite Weltbürger Mobilfunkdienste.
Laut einer Studie der Gartner Group wird die Zahl der Tablets 2016 mit 259 Millionen verkauften Einheiten erstmals die Zahl der traditionellen PCs (248 Millionen) überflügeln. Hinzu kommt der zu erwartende Absatz von etwa 1,9 Milliarden mobilen Telefonen, von denen nach Einschätzung der Analysten der weit überwiegende Teil aus internetfähigen Smartphones bestehen wird. Auf rund 484 Milliarden US-Dollar schätzt das Marktforschungsunternehmen IDC den Umsatz, der 2015 allein mit Smartphones und Tablets erzielt werden wird. Das entspricht einem Anteil von 40 Prozent der weltweiten IT-Ausgaben.
Sicherheitsbewusstsein schärfen. Mit dieser Entwicklung können die Prozesse in Sachen Sicherheit oft nicht mithalten. So hinken die meisten Unternehmen beispielsweise beim Thema Verschlüsselung dem technologischen Fortschritt noch weit hinterher, viele Unternehmen verzichten sogar komplett auf eine Verschlüsselung bei der Datenübertragung. Laut einer repräsentativen Umfrage des Hightech-Verbands Bitkom ist beispielsweise in den meisten Unternehmen der verschlüsselte Versand von E-Mails immer noch die große Ausnahme. Dadurch können E-Mails im Prinzip von jedermann mitgelesen werden. Auch das für Datenübertragungen häufig genutzte File-Transfer-Protokoll (FTP) bietet keinen ausreichenden Schutz, da sich derartig übermittelte Dateien problemlos abfangen lassen. Da Passwörter zudem im Klartext übertragen werden, gleicht es sicherheitstechnisch einem Super-GAU.
Hinzu kommt mangelndes Sicherheitsbewusstsein bei Mitarbeitern und Management. Schäden durch Datenklau oder Manipulationen sind deshalb schon jetzt enorm: Das Analystenhaus PricewaterhouseCoopers (PwC) hat berechnet, dass größere Unternehmen oder Konzerne weltweit durch Sicherheitsprobleme oder -verletzungen im Jahr 2014 durchschnittlich 5,9 Millionen US-Dollar verloren haben – während die Verluste im Jahr davor noch mit etwa 3,9 Millionen US-Dollar beziffert wurden.
Abgesehen vom Sicherheitsaspekt spricht noch ein weiterer Grund für eine Verschlüsselungslösung, die sich mit wenigen Schritten für alle genutzten Geräte und Applikationen einsetzen lässt: Immer mehr Mitarbeiter werden in Zukunft fordern, mit mobilen Endgeräten wie Smartphones oder Tablets auf Unternehmensanwendungen zugreifen zu können, um ihre Aufgaben flexibler und an jedem beliebigen Ort erledigen zu können. Stellen Unternehmen keine Mobilgeräte oder Anwendungen zur Verfügung, weichen die Mitarbeiter häufig auf eigene Geräte und privat genutzte Apps aus, Stichwort Schatten-IT. Das birgt immense Sicherheitsrisiken. Ist hingegen ein mit der IT-Abteilung abgestimmter und Compliance-gerechter Weg vom Unternehmen vorgegeben, brauchen die User nicht selbst zu unsicheren Anwendungen greifen.
Gefahrenpotenzial aus verschiedenen Ecken. Was häufig übersehen wird: Nicht nur gezielte Angriffe durch Wirtschaftsspione und Cyberkriminelle bedrohen die Vertraulichkeit geschäftlicher Daten und Prozesse, sondern auch ganz alltägliche Vorgänge. Jeder kann sich ausmalen, was passiert, wenn ein verlorenes Handy mit vertraulichen Daten in falsche Hände gerät. Dennoch verzichten Anwender häufig auf angemessene Sicherheitsmaßnahmen beim E-Mail- und Datenaustausch – meist aus Bequemlichkeit oder Nichtwissen. Die Dunkelziffer für diese Lücken ist hoch.
Eine Schutzmaßnahme für die Kommunikation via E-Mail ist die Ende-zu-Ende-Verschlüsselung, bei der nur der Berechtigte die Daten entschlüsseln kann. Auf dem Weg bleiben sie hingegen durchgängig verschlüsselt, und zwar vom Absender bis zum Empfänger und auch ganz unabhängig von Provider und Verbindungsart in ungesicherten Netzen. Selbst wenn es jemanden gelingen sollte, an die Daten zu kommen, sieht er nur unverständlichen Codesalat.
Auch bei Datentransfers zwischen Menschen oder von System-zu-System gilt es, wichtige Informationen durch konsequente Verschlüsselung zu schützen. Das gilt beispielsweise für den Datenabgleich zwischen geografisch getrennten Standorten, die Erstellung automatischer Backups oder den Datenaustausch mit Systemen externer Behörden oder Geschäftspartner. Kurz: Sicherheitslösungen mit Verschlüsselungsfunktion sind ein wesentliches Element, um im Zeitalter der mobilen Anwendungen und globalen Geschäftsbeziehungen Sicherheit und Vertraulichkeit zu gewährleisten und eines der wichtigsten Unternehmensgüter zu schützen – Daten.
Marcel Mock ist CTO und Mitbegründer des Schweizer Sicherheitsexperten totemo. Davor war er als Head of Software Development bei WebSemantix AG tätig sowie als Consultant bei IBM Deutschland. Marcel Mock besitzt einen BS in Wirtschaftsinformatik von der staatlichen Studienakademie Glauchau.
Bilder: © totemo