Zuletzt aktuaÂliÂsiert am 24. März 2019 durch JürÂgen Voskuhl
Nicht nur vor dem HinÂterÂgrund der DSGVO und deren ForÂdeÂrung nach PriÂvaÂcy by Design, bzw. PriÂvaÂcy by Default ist es immer eine gute Idee, senÂsiÂble Daten verÂschlüsÂselt zu speiÂchern. AbhänÂgig vom Umfang der zu verÂschlüsÂselnÂden DatenÂmenÂge und dem AnwenÂdungsÂzweck komÂmen dabei unterÂschiedÂliÂche LösunÂgen zum EinÂsatz. DieÂser BeiÂtrag verÂmitÂtelt einen Überblick.
Die Qual der Wahl
Die Suche nach dem Begriff VerÂschlüsÂseÂlungsÂsoftÂware auf GoogÂle lieÂfert 112.000 ErgebÂnisÂse. Sucht man nach HardÂwareÂverÂschlüsÂseÂlung, erhält man annäÂhernd 90.000 ErgebÂnisÂse. DieÂse ZahÂlen machen deutÂlich, dass der Markt der VerÂschlüsÂseÂlungsÂlöÂsunÂgen recht unüberÂsichtÂlich ist.
Ein ÜberÂblick
Die nachÂfolÂgenÂde TabelÂle bieÂtet einen ÜberÂblick über sinnÂvolÂle VerÂschlüsÂseÂlungsÂlöÂsunÂgen, abhänÂgig von der zu verÂschlüsÂselnÂden DatenÂmenÂge und dem jeweiÂliÂgen AnwenÂdungsÂzweck. Die angeÂgeÂbeÂne ProÂduktÂbeÂzeichÂnunÂgen steÂhen selbstÂverÂständÂlich nur stellÂverÂtreÂtend für die jeweiÂliÂge ProÂduktÂgatÂtung und könÂnen je nach GusÂto ausÂgeÂtauscht werden.
UnterÂhalb der TabelÂle finÂden Sie ausÂführÂliÂche erläuÂternÂde Hinweise.
Wir unterÂscheiÂden drei verÂschieÂdeÂne Anwendungsfälle:
BackÂup | Die verÂschlüsÂselÂte SpeiÂcheÂrung erfolgt ausÂschließÂlich zu Datensicherungszwecken. |
DatenÂtransÂport | Die Daten solÂlen zum ZweÂcke des TransÂports von einem Ort zu einem andeÂren verÂschlüsÂselt gespeiÂchert werÂden. Sie haben dabei die Hoheit (sprich: AdmiÂnisÂtraÂtorÂrechÂte) an beiÂden Orten. |
DatenÂweiÂterÂgaÂbe | Die Daten solÂlen verÂschlüsÂselt einer andeÂren PerÂson überÂgeÂben und von dieÂser an einem entÂfernÂten Ort genutzt werÂden könÂnen. Das ZielÂsysÂtem ist dabei unbeÂkannt und Sie verÂfüÂgen auch nicht über die Hoheit darüber. |
Auch hinÂsichtÂlich der DatenÂmenÂge haben wir eine UnterÂteiÂlung in drei verÂschieÂdeÂne KateÂgoÂrien vorÂgeÂnomÂmen, je nachÂdem ob es um die Verschlüsselung
- von einiÂgen weniÂgen DateiÂen oder
- um vieÂle DateiÂen, bzw. ganÂze VerÂzeichÂnisÂse oder
- um eine groÂße DatenÂmenÂge bis hin zu einem ganÂzen LaufÂwerk mit mehÂreÂren hunÂdert GigaÂbyte geht
BackÂup verschlüsseln
Bei einem lokaÂlen BackÂup ist die Sache klar: die Daten werÂden auf einem verÂschlüsÂselÂten exterÂnen LaufÂwerk gespeiÂchert. Im IdeÂalÂfall ist die VerÂschlüsÂseÂlungsÂhardÂware bereits im LaufÂwerk inteÂgriert. KorÂrekÂtur vom 31. 01.2019: AufÂgrund neueÂrer ErkenntÂnisÂse (s. u.) raten wir vom EinÂsatz von LaufÂwerÂken mit HardÂwareÂverÂschlüsÂseÂlung ab! Dies ist beiÂspielsÂweiÂse bei den WesÂtern DigiÂtal LaufÂwerÂken der MyPassÂport-ReiÂhe der Fall. Sind die SicherÂheitsÂanÂforÂdeÂrunÂgen höher, könÂnen auch zerÂtiÂfiÂzierÂte LaufÂwerÂke oder LaufÂwerÂke mit 2‑FakÂtor-AuthenÂtiÂfiÂzieÂrung (2FA) zum EinÂsatz kommen.
AlterÂnaÂtiv könÂnen Sie auch eine exterÂne StanÂdardÂfestÂplatÂte mit entÂspreÂchenÂden Tools wie etwa VerÂaCrypt oder BitÂloÂcker verschlüsseln.
WichÂtig in jedem Fall: Das BackÂupÂmeÂdiÂum unbeÂdingt nach dem Sichern (oder WieÂderÂherÂstelÂlen) der Daten vom HostÂrechÂner trenÂnen! Nur so ist ein Schutz gegen RanÂsomÂwaÂre gewährleistet.
Soll das BackÂup bei einem ClouÂdanÂbieÂter wie DropÂbox, GoogÂle One (früÂher GoogÂle DriÂve) oder in der MagenÂta Cloud gespeiÂchert werÂden, ist eine VerÂschlüsÂseÂlung unabÂdingÂbar! HierÂbei ist auf eine Zero-KnowÂledge-VerÂschlüsÂseÂlung zu achÂten, das heißt der jeweiÂliÂge ClouÂdanÂbieÂter kennt das PassÂwort zum EntÂschlüsÂseln der Daten nicht (u. U. nicht einÂmal das VerÂschlüsÂseÂlungsÂverÂfahÂren). Tools wie BoxcrypÂtor oder CrypÂtoÂmaÂtor stelÂlen dies sicher.
Lesen Sie hierÂzu auch unseÂren RatÂgeÂber CloudÂverÂschlüsÂseÂlung auf unseÂrer SchwesÂter-SeiÂte PCsi​cher​.com.
WerÂden die DatenÂmenÂgen gröÂßer, ist CloudÂspeiÂcher nicht mehr kosÂtenÂlos. Die PreisÂunÂterÂschieÂde sind dann teilÂweiÂse erhebÂlich. Im BusiÂness-Umfeld spielt zudem regelÂmäÂßig auch ein proÂfesÂsioÂnelÂles RechÂtemaÂnageÂment und die VerÂfügÂbarÂkeit auf verÂschieÂdeÂnen BetriebsÂsysÂtemÂplattÂforÂmen eine wichÂtiÂge Rolle.
Sehen Sie sich daher bei entÂspreÂchenÂdem Bedarf auch andeÂre proÂfesÂsioÂnelÂle ClouÂdanÂbieÂter, wie etwa SpiÂdeÂrOak an. Wer Wert auf eine SpeiÂcheÂrung der Daten außerÂhalb der Five-Eyes-LänÂder legt, fühlt sich beiÂspielsÂweiÂse bei TreÂsorit besÂser aufgehoben.
Ob Sie dann der Zero-KnowÂledge-VerÂschlüsÂseÂlung dieÂser AnbieÂter verÂtrauÂen oder die BusiÂness-VerÂsioÂnen von BoxcrypÂtor & Co. nutÂzen, ist neben funkÂtioÂnaÂlen KriÂteÂriÂen letztÂendÂlich auch eine FraÂge des Vertrauens.
Daten transÂporÂtieÂren
Beim DatenÂtransÂport geht es um DatenÂbeÂweÂgunÂgen von A nach B. HierÂbei ist zu unterÂscheiÂden, ob dies offÂline, also per HardÂware erfolÂgen soll oder online über einen ClouÂdanÂbieÂter (weil es bequeÂmer ist). In beiÂden FälÂlen gehen wir davon aus, das Sie über AdmiÂnisÂtraÂtorÂrechÂte sowohl für die QuelÂle wie auch für das Ziel verfügen.
HinÂsichtÂlich eines phyÂsiÂkaÂliÂschen TransÂports tut es im einÂfachsÂten Fall und bei einer begrenzÂten DatenÂmenÂge bereits ein verÂschlüsÂselÂtes Archiv, welÂches Sie auf einem belieÂbiÂgen USB-Stick speiÂchern. HierÂzu könÂnen Sie beiÂspielsÂweiÂse 7‑Zip nutÂzen. StelÂlen Sie als VerÂschlüsÂseÂlungsÂverÂfahÂren unbeÂdingt AES-256 ein: Für das StanÂdard-VerÂfahÂren ZipCrypÂto gibt es eine VielÂzahl an EntÂschlüsÂseÂlungsÂproÂgramÂmen, es ist daher als "nicht sicher" einzustufen.
HöherÂwerÂtiÂger sind dediÂzierÂte VerÂschlüsÂseÂlungs-Sticks, wie beiÂspielsÂweiÂse KingÂsÂton DataTraÂveÂler oder iStoÂrage-ProÂdukÂte. DieÂse sind nach gänÂgiÂgen StanÂdards (z. B. FIPS140‑2) zerÂtiÂfiÂziert und – wichÂtig für den EinÂsatz in UnterÂnehÂmen – es steht eine entÂspreÂchenÂde ManageÂmentÂsoftÂware (z. B. zum ZurückÂsetÂzen des PassÂworts) zur Verfügung.
Wird die DatenÂmenÂge gröÂßer, sind Self-EncrypÂtÂing DriÂves (SED) wie etwa die der MarÂken DataÂLoÂcker oder DigittraÂde das MitÂtel der Wahl. HierÂbei hanÂdelt es sich um exterÂne FestÂplatÂten mit inteÂgrierÂtem VerÂschlüsÂseÂlungschip. Bei Bedarf kann sogar eine 2‑FakÂtor-AuthenÂtiÂfiÂzieÂrung (z. B. über einen zusätzÂliÂchen RFID-Chip oder eine SmartÂCard) reaÂliÂsiert werden.
Soll der TransÂport über einen ClouÂdanÂbieÂter erfolÂgen, komÂmen auch hier die bereits beim AnwenÂdungsÂfall BackÂup beschrieÂbeÂnen LösunÂgen zum Einsatz.
Daten weiÂterÂgeÂben
Bei der DatenÂweiÂterÂgaÂbe per HardÂware schlaÂgen wir den EinÂsatz der gleiÂchen MediÂen wie beim DatenÂtransÂport vor.
Soll die WeiÂterÂgaÂbe per DropÂBox, OneÂDriÂve oder GoogÂle One erfolÂgen, haben wir einen besonÂdeÂren Tipp: Für eine DatenÂmenÂge bis zu einem GigaÂbyte verÂwenÂden Sie einÂfach Whisply!
Whisply nutzt die in aktuÂelÂlen BrowÂsern vorÂhanÂdeÂne Web CrypÂtoÂgraÂphic API (WebCrypÂto) um die Daten bereits lokal, also auf Ihrem RechÂner, mitÂtels AES-256 und einer von Ihnen vorÂgeÂgeÂbeÂnen PIN oder einem PassÂwort zu verÂschlüsÂseln. Es hanÂdelt sich also um eine echÂte Ende-Zu-Ende-VerÂschlüsÂseÂlung: Whisply kennt die von Ihnen verÂgeÂbeÂne PIN, bzw. Ihr PassÂwort nicht. AnschlieÂßend stellt Ihnen Whisply einen Link zur VerÂfüÂgung, unter dem die verÂschlüsÂselÂten Datei(en) in ihrer Cloud gespeiÂchert sind. DieÂsen könÂnen Sie wahlÂweiÂse per E‑Mail oder per SMS verÂsenÂden. ZusätzÂlich bieÂtet Ihnen Whisply das KopieÂren des Links in die ZwiÂschenÂabÂlaÂge an. So lässt sich der Link dann beiÂspielsÂweiÂse auch per WhatsÂApp übermitteln.
Danach forÂdert Whisply Sie zur ÜberÂmittÂlung der PIN, bzw. des PassÂworts auf. Um die SicherÂheit zu erhöÂhen, wähÂlen Sie hier bitÂte einen andeÂren Kanal. Ein BeiÂspiel: Wenn Sie den Link per E‑Mail verÂsenÂdet haben, verÂsenÂden Sie die PIN etwa per SMS.
DatenÂweiÂterÂgaÂbe im Do-it-yourself-Verfahren
Wenn Sie Whisply nicht nutÂzen möchÂten, könÂnen Sie alterÂnaÂtiv auch ein verÂschlüsÂselÂtes Archiv auf Ihrem RechÂner erstelÂlen, welÂches Sie dann dem EmpÂfänÂger als E‑Mail-Anhang maiÂlen. Auch hierÂbei sollÂte die ÜberÂmittÂlung des PassÂworts über einen sepaÂraÂten Kanal (z. B. WhatsÂApp, TeleÂfon, SMS) erfolgen.
WeiÂterÂfühÂrenÂde LiteÂraÂtur (ErgänÂzung v. 31.01.2019)
SSD-SchwachÂstelÂle hebelt (BitÂloÂcker) VerÂschlüsÂseÂlung aus
Fazit
Der Markt der VerÂschlüsÂseÂlungs-Hard- und ‑SoftÂware ist auf den ersÂten Blick unüberÂsichtÂlich. Kennt man jedoch das AnwenÂdungsÂszeÂnaÂrio, die DatenÂmenÂge und das zur VerÂfüÂgung steÂhenÂde BudÂget, sind die in FraÂge komÂmenÂden LösunÂgen offenÂsichtÂlich. UnseÂre TabelÂle hilft Ihnen dabei.
VerÂschlüsÂseln Sie mit andeÂren Tools? Wenn ja, welÂche sind das? WelÂche ErfahÂrunÂgen haben Sie mit VerÂschlüsÂseÂlung gemacht? Wir freuÂen uns auf Ihre KomÂmenÂtaÂre unten!
Wenn Sie auf der Suche nach einer VerÂschlüsÂseÂlungsÂlöÂsung für Ihr UnterÂnehÂmen sind, spreÂchen Sie uns an. Wir beraÂten Sie gerne!