Blog Datensicherheit

Verschlüsselung hat ihre Grenzen

Warum verschlüsselt nicht jeder einfach alles? Wäre man damit in der Lage sämtliche Sicherheitsvorfälle zu verhindern? Eher nicht. Verstehen Sie mich nicht falsch. Verschlüsselung ist eine gute Sache. Wenn Sie...
Michael Buckbee
2 Min. Lesezeit
Letzte Aktualisierung am 1. November 2021

Contents

    Warum verschlüsselt nicht jeder einfach alles? Wäre man damit in der Lage sämtliche Sicherheitsvorfälle zu verhindern? Eher nicht.

    Verstehen Sie mich nicht falsch. Verschlüsselung ist eine gute Sache. Wenn Sie eine Datenbank oder Datei verschlüsseln, kann sie nur von jemandem entschlüsselt werden, der den richtigen Schlüssel hat oder errät. Und das Erraten kann sehr lange dauern. Verschlüsselung ist eine ausgezeichnete präventive Kontrollmaßnahme und möglicherweise der einzige logische Kontrollmechanismus, der selbst bei physischer Inbesitznahme noch greift: Selbst wenn Sie ein Speichermedium mit den Daten in Ihren Besitz bringen, können Sie nicht auf die Informationen zugreifen.

    Warum also nicht einfach alles verschlüsseln?

    Ganz so einfach ist es nicht. Lassen wir den Rechenaufwand, den das verursachen würde, einmal außer Acht. Das ist ein reales praktisches Problem, aber nicht annähernd so schwer zu lösen wie ein anderes, nämlich die Verwaltung aller benötigten Schlüssel.

    Solange nur eine Person Daten verschlüsselt, hält sich der Aufwand in Grenzen: eine Person, ein Schlüssel. Doch das ist nicht der Sinn von Netzwerken, Dateifreigaben und dem Web. Wir verwenden diese technischen Hilfsmittel, um Daten mit Kollegen, Geschäftspartnern und Kunden auszutauschen. Eine Datei, die man nicht freigeben kann, ist wie ein Euro, den man nicht ausgeben kann. Ein Wirtschaftsgut, das sich nicht nutzen lässt.

    Um verschlüsselte Daten mit mehreren Personen gemeinsam zu nutzen und effektiv zusammenzuarbeiten, müssen Sie eine Menge Schlüssel verwalten. Zudem müssen sich die Dateien auf möglichst unkomplizierte Weise entschlüsseln lassen. Ein Endnutzer sollte bei Bedarf ohne größere Umstände auf die Dateien zugreifen können. Hinzu kommt, dass beim Durchsuchen und Klassifizieren von Daten auch Anwendungen in der Lage sein müssen Dateien zu entschlüsseln.

    Der Verwaltungsaufwand ist bei Schlüsseln ebenso groß wie bei anderen präventiven Kontrollmaßnahmen in der digitalen Welt, beispielsweise bei Listen zur Zugriffssteuerung. Jemand muss regelmäßig überprüfen, wer auf welche Daten zugreifen kann, und Nutzern den Zugriff wieder entziehen, wenn sie ihn nicht mehr brauchen. In Unternehmen und Behörden tut man sich sehr schwer damit, das ohne automatisierte Abläufe umzusetzen. Laut einer von Varonis gesponserten Ponemon-Studie können 71% der befragten Mitarbeiter auf Daten zugreifen, die sie gar nicht benötigen.

    Es ist sicherlich möglich, die Listen für die Zugriffsberechtigungen richtig zu konfigurieren und das Prinzip der minimalen Rechtevergabe nachhaltig umzusetzen (das ist einer der Bereiche, in denen Varonis seine Kunden unterstützt), doch das ist definitiv der schwierigste Aspekt einer präventiven Kontrolle. Dabei spielt es keine Rolle, welche Kontrollmaßnahmen Sie durchführen.

    Ein Praxisbeispiel sind die in einigen Behörden verwendeten Smartcards. Sie werden vom Mitarbeiter in den Rechner eingelegt und entschlüsseln automatisch die Dateien auf die er gemäß Sicherheitsüberprüfung zugreifen darf. Das funktioniert gut, weil die verschlüsselten Dateien ausschließlich innerhalb der staatlichen Stellen (oder mit anderen Smartcard-Nutzern) gemeinsam verwendet werden und den Nutzern kein übermäßiger Aufwand durch Entschlüsselung, Zugriff auf benötigte Dateien und Freigabe entsteht. Der Nutzer und die jeweiligen Stellen müssen nur sicherstellen, dass die richtigen Dateien verschlüsselt werden (selbst in solchen Behörden werden nicht alle Dateien verschlüsselt, weil das bei mehreren Petabyte an Daten praktisch kaum umsetzbar ist).

    Letztendlich – und das ist vermutlich die wichtigste Einschränkung – können die präventiven Kontrollmaßnahmen noch so perfekt sein, einige vertrauenswürdige Personen benötigen dennoch immer Zugriff auf die Daten. Und Unternehmen und Behörden müssen beobachten und analysieren, wie diese Personen die Daten verwenden. Die Analyse des Nutzerverhaltens und andere Kriterien sind die einzige Möglichkeit, sich vor dem unvermeidlichen Versagen der präventiven Kontrollmaßnahmen zu schützen.

    Mitarbeiter in Vertrauensstellungen können das in sie gesetzte Vertrauen missbrauchen, ihre Konten werden angegriffen und sie laden Malware herunter. Verschlüsselung allein reicht nicht aus. Aber wenn Sie darauf achten, können Sie Vorgänge erkennen, die auf einen potenziellen Missbrauch hindeuten.

    The post Verschlüsselung hat ihre Grenzen appeared first on Varonis Deutsch.

    Wie soll ich vorgehen?

    Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

    1

    Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

    2

    Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

    3

    Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

    Michael Buckbee
    Michael Buckbee Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    ein-leitfaden-zur-ki-datensicherheit:-warum-sie-wichtig-ist-und-wie-man-es-richtig-umsetzen
    Ein Leitfaden zur KI-Datensicherheit: Warum sie wichtig ist und wie man es richtig umsetzen
    ein-leitfaden-zur-ki-datensicherheit:-warum-sie-wichtig-ist-und-wie-man-es-richtig-umsetzen
    Lexi Croisdale
    11. Juli 2025
    Erfahren Sie mehr darüber, was KI-Datensicherheit wirklich bedeutet, warum sie wichtig ist und wie Sie sensitive Daten schützen, die von KI-Systemen und -Workflows verwendet oder von diesen offengelegt werden.
    varonis-kündigt-eine-strategische-partnerschaft-mit-microsoft-an,-um-die-zukunft-der-ki-zu-sichern.
    Varonis kündigt eine strategische Partnerschaft mit Microsoft an, um die Zukunft der KI zu sichern.
    varonis-kündigt-eine-strategische-partnerschaft-mit-microsoft-an,-um-die-zukunft-der-ki-zu-sichern.
    Yaki Faitelson
    11. Juli 2025
    Die Unternehmen haben eine strategische Produktpartnerschaft geschlossen, um skalierbare Datensicherheit, Governance und Compliance für das KI-Zeitalter bereitzustellen.
    verborgene-risiken-von-shadow-ai
    Verborgene Risiken von Shadow AI
    verborgene-risiken-von-shadow-ai
    Jonathan Villa
    11. Juli 2025
    Shadow AI ist auf dem Vormarsch, da Mitarbeitende nicht genehmigte KI-Tools verwenden. Erfahren Sie, welche Risiken dies für Sicherheit und Compliance darstellt und wie Sie verantwortungsvoll damit umgehen.
    ki-modellvergiftung:-was-sie-wissen-müssen
    KI-Modellvergiftung: Was Sie wissen müssen
    ki-modellvergiftung:-was-sie-wissen-müssen
    Jonathan Villa
    30. Juni 2025
    Erkunden Sie die zunehmende Bedrohung durch „Modellvergiftung“ – Cyberangriffe, bei denen Modelle des maschinellen Lernens manipuliert werden –, und erfahren Sie, wie Ihr Unternehmen sich dagegen verteidigen kann.