{"id":17406,"date":"2024-10-04T08:28:44","date_gmt":"2024-10-04T06:28:44","guid":{"rendered":"https:\/\/sits.com\/?p=17406"},"modified":"2024-11-06T10:42:36","modified_gmt":"2024-11-06T09:42:36","slug":"verschluesselung-in-den-griff-bekommen","status":"publish","type":"post","link":"https:\/\/sits.friendventure.dev\/de\/blog\/verschluesselung-in-den-griff-bekommen\/","title":{"rendered":"Verschl\u00fcsselung in den Griff bekommen"},"content":{"rendered":"

[vc_row][vc_column]

Verschl\u00fcsselung in den Griff bekommen<\/h2>[vc_column_text]Kryptografie gilt normalerweise nicht als \u201esexy\u201c Thema im komplexen Bereich der Cybersicherheit. Wenn Kryptografie in einer IT-Sicherheits-Roadmap auftaucht, ist sie oft nur ein K\u00e4stchen, das abgehakt werden muss; ein Hinweis im Rahmen eines Audits oder ein \u00fcberf\u00e4lliges Update f\u00fcr eine Komponente, die nicht zu einem fr\u00fcheren Standard \u201ezur\u00fcckfallen\u201c soll. Und immer h\u00e4ufiger sto\u00dfen wir in der Cloud auf etwas, das einfach nicht funktionieren will, wenn man die Kryptografie unber\u00fccksichtigt l\u00e4sst. Dieser Fall scheint immer h\u00e4ufiger aufzutreten, und wenn man das Problem heute aufschiebt, wird es nicht verschwinden. Dieses Thema bereitet in allen Ecken der Sicherheitswelt viel Kopfzerbrechen, was zum Teil auf verwirrende Vorschriften und unverst\u00e4ndliche technische Anweisungen zur\u00fcckzuf\u00fchren ist. Es ist immer eine l\u00e4stige Pflicht, ohne offensichtlichen Mehrwert, was es nicht einfacher macht, Entscheidungstr\u00e4ger zu \u00fcberzeugen, daf\u00fcr Geld locker zu machen. <\/strong><\/p>\n

Das Lamento der Sicherheitsexperten ist meist berechtigt. Aber... Wenn man bedenkt, dass fast jedes moderne Sicherheitsprodukt eine Menge Kryptografie unter der Haube hat - mit all der Komplexit\u00e4t, die das mit sich bringt - dann ist es nur logisch, dass das Thema immer wieder auftaucht. Und jetzt, wo Sie Ihre Infrastruktur in die Cloud verlagert haben, k\u00f6nnen Sie nicht einfach etwas Unzureichendes zusammenschustern - oder die Kryptografie ganz weglassen, wie fr\u00fcher. Es ist noch gar nicht so lange her, dass Unternehmen Verschl\u00fcsselung in ihrem eigenen Netzwerk \u201eaus Sicherheitsgr\u00fcnden\u201c verboten haben. Bis zum Jahr 2015 war das fast schon g\u00e4ngige Praxis. Der Gedanke h\u00e4lt sich bis heute in einigen K\u00f6pfen, denn Verschl\u00fcsselung macht eine \u00dcberpr\u00fcfung unm\u00f6glich. Das war's dann mit Ihrem Virenschutz und Ihrer Intrusion Protection.<\/p>\n

Es ist ein kompliziertes Puzzle, und wenn man denkt, dass man fertig ist, bleiben immer noch einige Teile \u00fcbrig. Das Thema ist so universell, dass man es fast als lebenswichtige Technologie bezeichnen kann. Das bedeutet, dass die Kenntnis und Beherrschung der Kryptografie f\u00fcr eine wirksame Sicherheit unerl\u00e4sslich ist.<\/p>\n

Im Bereich der Computersicherheit ist die Kryptographie de facto eines der wichtigsten Themen, weil sie an so vielen Stellen unter der Oberfl\u00e4che schlummert, es aber nur wenige Organisationen gibt, die ihr einen ausdr\u00fccklichen administrativen Verantwortlichen zuweisen. Die Zust\u00e4ndigkeit wird daher h\u00e4ufig zwischen Sicherheit und IT verlagert. Das f\u00fchrt zu Reibung und Tr\u00e4gheit, und die Dinge beginnen zu scheitern.<\/p>\n

In Anbetracht dessen ist es jetzt an der Zeit, dass wir alle diese bittere Pille schlucken und uns in das Thema vertiefen.<\/p>\n

Was wir dabei beobachten, sind die Nebeneffekte von drei grundlegenden Entwicklungen:<\/p>\n

    \n
  1. Upscaling<\/strong>: Die Zahl der Anwendungsgebiete von Kryptografie nimmt aufgrund von Zero Trust und der Ausweitung von mobilem Arbeiten, Telearbeit und der Cloud st\u00e4ndig zu; Daten, die au\u00dferhalb der eigenen Infrastruktur gespeichert werden, m\u00fcssen f\u00fcr die Speicherung und den Transport verschl\u00fcsselt werden (in unserem typischen Fachjargon: Deperimiterisation). Gleichzeitig sind kryptografische Schl\u00fcssel f\u00fcr immer k\u00fcrzere Zeitr\u00e4ume g\u00fcltig, was eine h\u00e4ufiger erfolgende Rotation und andere Wartungsarbeiten erforderlich macht, allein schon aus Gr\u00fcnden der Verf\u00fcgbarkeit. Diese wachsende Bedeutung hat dazu gef\u00fchrt, dass das Thema f\u00fcr die Aufsichtsbeh\u00f6rden (und damit f\u00fcr Compliance-Verpflichtungen wie NIS2 und DORA) und f\u00fcr die betriebliche IT (gezwungen durch St\u00f6rungen und Migrationen) unausweichlich geworden ist.<\/li>\n
  2. Verlagerung der Sicherheit <\/strong>von der Netz- und Infrastrukturebene (Anwendungen, Verzeichnisse, RBAC, Firewalls und Proxys) zunehmend auf die Datenebene (Speicherung und Transport). Dieser Prozess beschleunigt sich, weil ein gr\u00f6\u00dferer Teil der Daten in separaten Ordnern gespeichert wird, anstatt in einer logischen Sammlung in Anwendungen und Datenbanken. Da wir nicht genau wissen, was und\/oder wo diese \u201eunstrukturierten\u201c Daten liegen (und somit die Risiken nicht quantifizieren k\u00f6nnen), m\u00fcssen wir die allgemeinen Sicherheitsnetze verst\u00e4rken: Wir verschl\u00fcsseln die Speicherorte der Daten (\u201edata at rest\u201c, oder das Dateisystem) und die Orte, durch die sie sich bewegen (das Netz, oder \u201edata in transit\u201c). Noch mehr Komplexit\u00e4t.Die Sicherheitsindustrie verspricht auch eine zukunftsweisende Verschl\u00fcsselung von \u201eData in Use\u201c, manchmal in Kombination mit einer Verschl\u00fcsselung auf der Ebene der einzelnen Datei; in DLP, Kapselungen und vor allem der \u201eSovereign Cloud\u201c - um ausl\u00e4ndische Geheimdienste und Big Tech davon abzuhalten, uns auszuspionieren. Sie sprechen auch gerne \u00fcber C2PA - eine neue Kryptotechnik zum Nachweis der Authentizit\u00e4t digitaler Inhalte; eine logische L\u00f6sung in Zeiten von Deepfakes und KI-Desinformation. Das klingt kompliziert und ist es auch: Es garantiert zus\u00e4tzliche Komplexit\u00e4t, die Ihr Unternehmen bew\u00e4ltigen muss.<\/li>\n
  3. \u00dcberf\u00e4llige Wartung<\/strong>. Wir durchlaufen derzeit den \u00dcbergang von der ersten Generation der Kryptotechnologie (ab etwa 2000) zur Einf\u00fchrung der zweiten Generation (ab etwa 2015, jedoch bei weitem heute noch nicht abgeschlossen). Der \u00dcbergang geht langsam vonstatten, weil er \u00e4u\u00dferst anspruchsvoll ist, und wir beginnen bereits mit den ersten Migrationen zur dritten Generation der Kryptotechnik. Bei dieser dritten Generation geht es vor allem um kurzlebige Kryptoschl\u00fcssel und modernere \u201ePost-Quantum\u201c-Algorithmen. Apropos kompliziert: Der sich abzeichnende Durchbruch von Quantencomputern macht es m\u00f6glich, die Schl\u00fcssel f\u00fcr \u00e4ltere Algorithmen zu knacken, so dass wir im Grunde alles, was wir heute verwenden, durch die neue Post-Quantum-Kryptografie ersetzen m\u00fcssen.<\/li>\n<\/ol>\n

    Oh Mann.[\/vc_column_text]

    <\/div>\n

    Kryptographie in den Griff kriegen<\/h2>
    <\/div>\n[vc_single_image image=\"17415\" img_size=\"large\" alignment=\"center\" style=\"vc_box_rounded\" add_border_to_image=\"yes\" dont_stretch_image=\"yes\" activate_fancybox=\"yes\" css=\".vc_custom_1728034632356{background-color: #ffffff !important;}\"][vc_column_text]Noch nicht jeder ist zu der Einsicht gelangt, dass das Management und das Beherrschen von Kryptographie (\u201eKrypto-Transparenz\u201c) eine absolute Notwendigkeit f\u00fcr jede sinnvolle kryptographische Anwendung im Sicherheitsbereich ist. Um es ganz klar zu sagen: Wenn man die Kryptographie falsch einsetzt, ist die Sicherheit der eigenen Projekte wahrscheinlich nicht mehr gew\u00e4hrleistet. Sie wird oft als eine wartungsarme Technologie dargestellt, insbesondere von den Tool-Verk\u00e4ufern. Aber die Sicherheit, die sie bietet, ist in Wirklichkeit das Ergebnis des sicheren Umgangs mit Keys und der richtigen Organisation von Prozessen und Systemen. In dem Ma\u00dfe, in dem der Umfang zunimmt und immer breitere Anwendung findet, ist ein gr\u00fcndliches Verst\u00e4ndnis der Technologie von entscheidender Bedeutung. Und das erfordert ein kreatives und spezialisiertes Team, das Improvisationen beherrscht. Leider haben nur die wirklich gro\u00dfen Unternehmen die n\u00f6tige Kapazit\u00e4t, um dies zu bew\u00e4ltigen. Der Rest muss mit einem Langzeitanbieter zusammenarbeiten, der \u00fcber ein solches Team verf\u00fcgt.<\/p>\n

    Dies ist der wichtigste Faktor, der unseren Kryptodienstleistungen zugrunde liegt: Wir sind ein Sparringspartner f\u00fcr Innovation und Wachstum, mit einer klaren und vertrauten Prozessorganisation, gest\u00fctzt durch eine geeignete Prozessautomatisierung.[\/vc_column_text]

    <\/div>\n

    Unser Ansatz<\/h2>[vc_column_text]Um die Kryptographie in einer Organisation in den Griff zu bekommen, ist ein struktureller Ansatz erforderlich. Unserer Erfahrung nach besteht dieser Ansatz aus Discovery, Onboarding (\u00dcbernahme der Kontrolle) und Governance (gutes Management).[\/vc_column_text]
    <\/div>\n[vc_single_image image=\"17420\" img_size=\"large\" alignment=\"center\" dont_stretch_image=\"yes\" activate_fancybox=\"yes\"]
    <\/div>\n

    Discovery<\/h2>[vc_column_text]Ohne Einblick in die Bereiche, in denen Sie Verschl\u00fcsselung einsetzen (und in denen Sie dies noch nicht tun, aber tun sollten), werden Sie nicht in der Lage sein, eine angemessene, zeitgem\u00e4\u00dfe Sicherheit zu erreichen, geschweige denn aufrechtzuerhalten. Discovery ist ein hybrider Prozess zwischen einem technischen Scan Ihres eigenen Netzes, der Abfrage ma\u00dfgeschneiderter Internetdienste (die von der OSINT-Welt bereitgestellt werden), der Befragung von IT-Spezialisten und Lieferanten sowie der Analyse von Designs. Discovery hilft Ihnen dabei, Folgendes zu ermitteln:<\/p>\n