Einsatz elektronischer Verschlüsselung Vorgaben gehören umgesetzt
5. März 2018Im Rahmen der Digitalen Strategie 2025 wurde vom Bundesministerium für Wirtschaft und Energie (BMWi) die Studie „Einsatz von elektronischer Verschlüsselung – Hemmnisse für die Wirtschaft“ in Auftrag gegeben. Zu den daraus entwickelten Handlungsempfehlungen zählen erwartungsgemäß „Awareness-Kampagnen“, zusätzlich soll ein IT-Kompass den Verantwortlichen Orientierung geben, wo Branchenvorgaben unter Anleitung des BSI (Bundesamt für Sicherheit in der Informationstechnik) fehlen. Dass solche Vorgaben höchst effektiv sind, beweist die Energiebranche. Durch die dort flächendeckend erzwungene Verschlüsselung wird auch neuen Bedrohungen durch Big Data Analytics wirksam begegnet.
Stand der Technik
Im Wesentlichen sind es zwei Triebkräfte, die Entscheider dazu bringen, sich mit dem Thema Verschlüsselung zu beschäftigen. Zum einen besitzen Unternehmer ein ureigenstes Interesse, bestimmte Daten wirklich geheim zu halten. Kunden- und Finanzdaten, Konzepte und neue Entwicklungen sollen zum Schutz vor Industriespionage und Manipulation verschlüsselt werden. Zum anderen gilt es, die Compliance zu erfüllen.
Der Gesetzgeber macht beispielsweise im Bundesdatenschutzgesetz (BDSG) Vorgaben zum Umgang mit personenbezogenen Daten und nimmt die Geschäftsführung persönlich in die Haftung. Hinzu kommt eine Vielzahl nationaler und internationaler, teils branchenspezifischer Vorgaben, die unter anderem die Kreditwürdigkeit mit dem Stand der eingesetzten IT-Sicherheit verknüpfen. Alle Verordnungen fordern mindestens: Verschlüsselung nach dem Stand der Technik. Verschlüsselung nach dem Stand der Technik bezieht sich auf marktübliche Angebote, Industrienormen und die Wirtschaftlichkeit der Lösungen.
Doch auch die BMWi-Studie „Einsatz von elektronischer Verschlüsselung – Hemmnisse für die Wirtschaft“ bestätigt wenig überraschend, dass nur getan wird, was unbedingt getan werden muss. 94 Prozent der Befragten sehen Verschlüsselung als Grundsatz einer ordentlichen Geschäftsführung. Technisch möglich sei Verschlüsselung in 72 Prozent der Unternehmen. Die Sorge vor Aufwand und Kosten schiebt jedoch Investitionen auf die lange Bank. Schlechte Usability oder mangelnde Fachkenntnisse behinderten den Einsatz vorhandener Lösungen.
Die Eigenmotivation, aus der Analyse der Bedrohungslagen heraus die E-Mail-Kommunikation zu verschlüsseln, ist in vielen Fällen entsprechend nicht ausreichend. Um Verschlüsselung zum Standard zu machen, muss eine gewisse Fremdmotivation über den Druck von Geschäftspartnern, Kunden und auch gesetzlichen oder branchenspezifischen Vorgaben hinzukommen.
Ein erfolgreiches Beispiel ist die Einführung der „EDI@Energy – Regelungen zum Übertragungsweg“ in der Energiewirtschaft im letzten Jahr. Die gesamte elektronische Marktkommunikation der deutschen Energiewirtschaft ist nun nach aktuellsten Sicherheitsstandards verschlüsselt. Verantwortlichkeiten und Sanktionen für die möglichen Fehlerfälle wurden definiert, was dazu führt, dass es keine unverschlüsselten E-Mails zwischen Marktpartnern der Energiebranche mehr gibt. Technisch wird die Verschlüsselung über Secure Email Gateways gelöst, die automatisiert im Hintergrund arbeiten.
28 Prozent ohne Verschlüsselung
Eine verschlüsselte Datenübertragung – zu der auch E-Mails zählen – sei laut der BMWi-Studie bei 72 Prozent der KMU und über 91 Prozent der Großunternehmen verfügbar. Dies bedeutet aber nicht, dass die vorhandenen Verschlüsselungslösungen flächendeckend genutzt werden. Dies ist jedoch von großer Wichtigkeit. Die einzelne E-Mail mit brisanten, schützenswerten Inhalten zu verschlüsseln, ist nur die halbe Miete, denn was passiert mit den verbleibenden E-Mails, die das Unternehmen ungeschützt erreichen und verlassen?
In Zeiten günstigen Speicherplatzes und effizienter Big-Data-Analysen ist ein mögliches Angriffsszenario, den gesamten E-Mail-Verkehr eines Unternehmens abzufangen und strukturiert auszuwerten. Dies gewährt einen sehr intimen Einblick in Unternehmen und deren Geschäftsbeziehungen. Dieser realen Sicherheitsbedrohung kann nur mit Secure Email Gateways als hoch automatisierter Infrastrukturlösungen begegnet werden. Oft kostenfreie Einzelplatzlösungen, wie sie derzeit beim Großteil der KMU im Einsatz sind, skalieren nicht und führen tatsächlich zu hohen Aufwänden und Schulungsbedarf.
Vorgaben, die den Einsatz flächendeckender Verschlüsselungslösungen unter Verwendung sicherer Technologien fordern, wären die logische Folge der Studie. Gesetzgeber und Branchenverbände wären aufgefordert, feste Regeln zu etablieren. Stattdessen werden neue Awareness-Kampagnen ins Leben gerufen und an die Vernunft der Unternehmen appelliert, mit einem IT-Kompass als Handreichung, der die aktuelle Marktsituation nur unzureichend erfasst.
Unabhängig von der BMWi-Studie werden in Kürze Vorgaben gültig, welche die Verschlüsselung in Unternehmen forcieren. Aufgrund des IT-Sicherheitsgesetzes stehen nach der Energiebranche demnächst weitere kritische Infrastrukturen im Fokus. Ähnliche Vorgaben zur sicheren elektronischen Kommunikation werden erwartet. Auch die Europäische Datenschutzgrundverordnung (EU DSGVO) nimmt Unternehmen bei der Verarbeitung personenbezogener Daten in die Pflicht. Wir werden sehen, dass Regulierungen den Hemmnissen beim Einsatz elektronischer Verschlüsselung effektiv entgegenwirken. (rhh)