Verschlüsselung

Definition

Verschlüsselung (englisch: Encryption) ist ein kryptographisches Verfahren, bei dem Klartext mithilfe eines Algorithmus und eines Schlüssels in Chiffretext umgewandelt wird, der ohne den passenden Entschlüsselungsschlüssel nicht lesbar ist. Man unterscheidet grundsätzlich zwischen symmetrischer Verschlüsselung, bei der derselbe Schlüssel zum Ver- und Entschlüsseln verwendet wird (z. B. AES-256), und asymmetrischer Verschlüsselung, bei der ein Schlüsselpaar aus öffentlichem und privatem Schlüssel zum Einsatz kommt (z. B. RSA, ECC).

Im Kontext des Datenschutzes wird Verschlüsselung in Art. 32 der Datenschutz-Grundverordnung (DSGVO) als eine der wichtigsten technischen Maßnahmen zum Schutz personenbezogener Daten genannt. Man unterscheidet zwischen Verschlüsselung bei der Übertragung (Encryption in Transit, z. B. über TLS), Verschlüsselung im Ruhezustand (Encryption at Rest, z. B. AES-256 auf dem Speichermedium) und Ende-zu-Ende-Verschlüsselung, bei der die Daten vom Absender bis zum Empfänger durchgehend verschlüsselt bleiben.

Einfach erklärt

Stellen Sie sich vor, Sie schreiben eine geheime Nachricht auf ein Blatt Papier. Dann übersetzen Sie jeden Buchstaben in einen Code, den nur Sie und der Empfänger kennen. Selbst wenn jemand das Papier findet, sieht er nur unverständliche Zeichen. Erst der Empfänger, der den Code kennt, kann die Nachricht zurückübersetzen und lesen.

Digitale Verschlüsselung funktioniert nach demselben Prinzip, nur mathematisch deutlich komplexer. Moderne Verschlüsselungsalgorithmen wie AES-256 verwenden Schlüssel mit 256 Bit Länge. Um einen solchen Schlüssel durch Ausprobieren zu knacken, bräuchte selbst der leistungsfähigste Supercomputer der Welt länger als das Universum alt ist. Ihre Daten sind also so sicher verschlossen wie ein Tresor, zu dem nur Sie den Schlüssel haben.

Warum ist das wichtig?

Verschlüsselung ist die grundlegende Technologie, die digitale Kommunikation und Datenspeicherung sicher macht:

• Datenschutzpflicht: Die DSGVO nennt Verschlüsselung in Art. 32 als wesentliche technische und organisatorische Maßnahme. Unternehmen, die personenbezogene Daten ohne Verschlüsselung übertragen oder speichern, riskieren Bußgelder.
• Schutz vor Datenlecks: Selbst wenn ein Angreifer Zugang zu verschlüsselten Daten erlangt, kann er den Inhalt nicht lesen. Bei einer Datenpanne mit verschlüsselten Daten ist eine Benachrichtigung der Betroffenen unter Umständen nicht erforderlich (Art. 34 Abs. 3 lit. a DSGVO).
• Transportschutz: Ohne Verschlüsselung können Daten auf dem Übertragungsweg abgefangen und gelesen werden (Man-in-the-Middle-Angriff). TLS-Verschlüsselung verhindert dies.
• Speicherschutz: Verschlüsselung im Ruhezustand schützt Daten, auch wenn physische Datenträger gestohlen werden oder unbefugt auf Server zugegriffen wird.
• Regulatorische Anforderungen: In vielen Branchen (Gesundheitswesen, Finanzsektor, Rechtsberatung) ist Verschlüsselung gesetzlich vorgeschrieben oder wird von Branchenstandards gefordert.

Praxisbeispiel

Ein Architekturbüro arbeitet mit internationalen Partnern zusammen und tauscht regelmäßig Baupläne, Verträge und Projektberichte aus. Die Dokumente enthalten personenbezogene Daten von Bauherren, Grundstücksinformationen und vertrauliche Kostenkalkulationen.

Bisher wurden die Dateien als E-Mail-Anhänge versendet. Eine Analyse zeigt zwei Schwachstellen: Die E-Mails werden zwar über eine TLS-verschlüsselte Verbindung zum E-Mail-Server übertragen, aber auf dem Server des E-Mail-Providers liegen sie unverschlüsselt vor. Zudem gibt es keine Garantie, dass der E-Mail-Server des Empfängers ebenfalls TLS unterstützt.

Das Büro stellt auf eine sichere Upload-Plattform um: Partner laden ihre Dokumente über passwortgeschützte Upload-Links hoch. Die Übertragung erfolgt über TLS 1.3, und die Dateien werden auf dem Server mit AES-256 verschlüsselt gespeichert. Selbst bei einem Servereinbruch wären die Daten für Angreifer wertlos. Beim Teilen von Dateien über Share-Links können zusätzlich Passwortschutz und Download-Limits aktiviert werden.

So setzt SendMeSafe das um

SendMeSafe implementiert ein mehrstufiges Verschlüsselungskonzept, das Ihre Daten in jeder Phase schützt:

• Verschlüsselung bei der Übertragung: Alle Dateiübertragungen erfolgen ausschließlich über TLS 1.3 verschlüsselte Verbindungen. Pre-Signed URLs stellen sicher, dass der Upload direkt und sicher zum Speicherort erfolgt.
• Verschlüsselung im Ruhezustand: Alle auf dem Server gespeicherten Dateien werden mit AES-256 verschlüsselt. Dies gilt für Dateien, die über Upload-Links empfangen werden, ebenso wie für Dateien, die über Share-Links geteilt werden.
• Passwortschutz: Upload-Links und Share-Links können mit individuellen Passwörtern geschützt werden, die eine zusätzliche Sicherheitsschicht bieten.
• Temporäre Zugriffstoken: Pre-Signed URLs für den direkten Dateizugriff sind zeitlich begrenzt gültig und können nach Ablauf nicht mehr verwendet werden.
• Sichere Schlüsselverwaltung: Verschlüsselungsschlüssel werden getrennt von den verschlüsselten Daten gespeichert und regelmäßig rotiert.
• HTTPS-Pflicht: Die gesamte Plattform ist ausschließlich über HTTPS erreichbar. Unverschlüsselte HTTP-Verbindungen werden automatisch umgeleitet.

Häufig gestellte Fragen

Was ist der Unterschied zwischen AES-128 und AES-256?

Beide sind symmetrische Verschlüsselungsalgorithmen des Advanced Encryption Standard. Der Unterschied liegt in der Schlüssellänge: AES-128 verwendet 128-Bit-Schlüssel, AES-256 verwendet 256-Bit-Schlüssel. AES-256 bietet ein exponentiell höheres Sicherheitsniveau und gilt als praktisch unknackbar. SendMeSafe verwendet ausschließlich AES-256, den gleichen Standard, den auch Regierungen und Militärs für die Verschlüsselung geheimer Informationen verwenden.

Reicht Transportverschlüsselung (TLS) allein aus?

TLS schützt Daten nur während der Übertragung zwischen zwei Punkten. Auf dem Server selbst liegen die Daten ohne zusätzliche Maßnahmen im Klartext vor. Für einen umfassenden Schutz sollte TLS immer mit Verschlüsselung im Ruhezustand kombiniert werden. Bei Ende-zu-Ende-Verschlüsselung bleibt zusätzlich sichergestellt, dass auch der Serverbetreiber die Daten nicht im Klartext lesen kann.

Kann Verschlüsselung geknackt werden?

Theoretisch ja, praktisch nein, zumindest nicht mit heutiger Technologie. AES-256 hat 2^256 mögliche Schlüsselkombinationen. Selbst mit allen Computern der Welt würde das Durchprobieren aller Schlüssel Billionen von Jahren dauern. Die größere Gefahr geht nicht von der Verschlüsselung selbst aus, sondern von der unsachgemäßen Handhabung der Schlüssel oder von Schwachstellen in der Implementierung.

Verlangsamt Verschlüsselung den Dateitransfer?

Moderne Prozessoren verfügen über Hardware-Beschleunigung für AES-Verschlüsselung (AES-NI). Dadurch ist der Geschwindigkeitsunterschied zwischen verschlüsselter und unverschlüsselter Übertragung in der Praxis kaum messbar. Bei SendMeSafe erfolgt die Verschlüsselung transparent im Hintergrund, ohne spürbare Auswirkungen auf die Upload- oder Download-Geschwindigkeit.