Verschlüsselung: Welche Lösung für welchen Zweck? Die ultimative Übersicht

Nicht nur vor dem Hin­ter­grund der DSGVO und deren For­de­rung nach Pri­va­cy by Design, bzw. Pri­va­cy by Default ist es immer eine gute Idee, sen­si­ble Daten ver­schlüs­selt zu spei­chern. Abhän­gig vom Umfang der zu ver­schlüs­seln­den Daten­men­ge und dem Anwen­dungs­zweck kom­men dabei unter­schied­li­che Lösun­gen zum Ein­satz. Die­ser Bei­trag ver­mit­telt einen Ãœber­blick.

Die Qual der Wahl

Die Suche nach dem Begriff Ver­schlüs­se­lungs­soft­ware auf Goog­le lie­fert 112.000 Ergeb­nis­se. Sucht man nach Hard­ware­ver­schlüs­se­lung, erhält man annä­hernd 90.000 Ergeb­nis­se. Die­se Zah­len machen deut­lich, dass der Markt der Ver­schlüs­se­lungs­lö­sun­gen recht unüber­sicht­lich ist.

Ein Ãœberblick

Die nach­fol­gen­de Tabel­le bie­tet einen Über­blick über sinn­vol­le Ver­schlüs­se­lungs­lö­sun­gen, abhän­gig von der zu ver­schlüs­seln­den Daten­men­ge und dem jewei­li­gen Anwen­dungs­zweck. Die ange­ge­be­ne Pro­dukt­be­zeich­nun­gen ste­hen selbst­ver­ständ­lich nur stell­ver­tre­tend für die jewei­li­ge Pro­dukt­gat­tung und kön­nen je nach Gus­to aus­ge­tauscht wer­den.
Unter­halb der Tabel­le fin­den Sie aus­führ­li­che erläu­tern­de Hin­wei­se.

Wir unter­schei­den drei ver­schie­de­ne Anwen­dungs­fäl­le:

Back­up	Die ver­schlüs­sel­te Spei­che­rung erfolgt aus­schließ­lich zu Daten­si­che­rungs­zwe­cken.
Daten­trans­port	Die Daten sol­len zum Zwe­cke des Trans­ports von einem Ort zu einem ande­ren ver­schlüs­selt gespei­chert wer­den. Sie haben dabei die Hoheit (sprich: Admi­nis­tra­tor­rech­te) an bei­den Orten.
Daten­wei­ter­ga­be	Die Daten sol­len ver­schlüs­selt einer ande­ren Per­son über­ge­ben und von die­ser an einem ent­fern­ten Ort genutzt wer­den kön­nen. Das Ziel­sys­tem ist dabei unbe­kannt und Sie ver­fü­gen auch nicht über die Hoheit dar­über.

Auch hin­sicht­lich der Daten­men­ge haben wir eine Unter­tei­lung in drei ver­schie­de­ne Kate­go­ri­en vor­ge­nom­men, je nach­dem ob es um die Ver­schlüs­se­lung

• von eini­gen weni­gen Datei­en oder
• um vie­le Datei­en, bzw. gan­ze Ver­zeich­nis­se oder
• um eine gro­ße Daten­men­ge bis hin zu einem gan­zen Lauf­werk mit meh­re­ren hun­dert Giga­byte geht

Backup verschlüsseln

Bei einem loka­len Back­up ist die Sache klar: die Daten wer­den auf einem ver­schlüs­sel­ten exter­nen Lauf­werk gespei­chert. Im Ide­al­fall ist die Ver­schlüs­se­lungs­hard­ware bereits im Lauf­werk inte­griert. Kor­rek­tur vom 31. 01.2019: Auf­grund neue­rer Erkennt­nis­se (s. u.) raten wir vom Ein­satz von Lauf­wer­ken mit Hard­ware­ver­schlüs­se­lung ab! Dies ist bei­spiels­wei­se bei den Wes­tern Digi­tal Lauf­wer­ken der MyPass­port-Rei­he der Fall. Sind die Sicher­heits­an­for­de­run­gen höher, kön­nen auch zer­ti­fi­zier­te Lauf­wer­ke oder Lauf­wer­ke mit 2-Fak­tor-Authen­ti­fi­zie­rung (2FA) zum Ein­satz kom­men.
Alter­na­tiv kön­nen Sie auch eine exter­ne Stan­dard­fest­plat­te mit ent­spre­chen­den Tools wie etwa Ver­aCrypt oder Bit­lo­cker ver­schlüs­seln.
Wich­tig in jedem Fall: Das Back­up­me­di­um unbe­dingt nach dem Sichern (oder Wie­der­her­stel­len) der Daten vom Host­rech­ner tren­nen! Nur so ist ein Schutz gegen Ran­som­ware gewähr­leis­tet.

Soll das Back­up bei einem Clou­dan­bie­ter wie Drop­box, Goog­le One (frü­her Goog­le Dri­ve) oder in der Magen­ta Cloud gespei­chert wer­den, ist eine Ver­schlüs­se­lung unab­ding­bar! Hier­bei ist auf eine Zero-Know­ledge-Ver­schlüs­se­lung zu ach­ten, das heißt der jewei­li­ge Clou­dan­bie­ter kennt das Pass­wort zum Ent­schlüs­seln der Daten nicht (u. U. nicht ein­mal das Ver­schlüs­se­lungs­ver­fah­ren). Tools wie Boxcryp­tor oder Cryp­to­ma­tor stel­len dies sicher.
Lesen Sie hier­zu auch unse­ren Rat­ge­ber Cloud­ver­schlüs­se­lung auf unse­rer Schwes­ter-Sei­te PCsi​cher​.com.

Wer­den die Daten­men­gen grö­ßer, ist Cloud­spei­cher nicht mehr kos­ten­los. Die Preis­un­ter­schie­de sind dann teil­wei­se erheb­lich. Im Busi­ness-Umfeld spielt zudem regel­mä­ßig auch ein pro­fes­sio­nel­les Rech­tema­nage­ment und die Ver­füg­bar­keit auf ver­schie­de­nen Betriebs­sys­tem­platt­for­men eine wich­ti­ge Rol­le.
Sehen Sie sich daher bei ent­spre­chen­dem Bedarf auch ande­re pro­fes­sio­nel­le Clou­dan­bie­ter, wie etwa Spi­de­rO­ak an. Wer Wert auf eine Spei­che­rung der Daten außer­halb der Five-Eyes-Län­der legt, fühlt sich bei­spiels­wei­se bei Tre­sorit bes­ser auf­ge­ho­ben.
Ob Sie dann der Zero-Know­ledge-Ver­schlüs­se­lung die­ser Anbie­ter ver­trau­en oder die Busi­ness-Ver­sio­nen von Boxcryp­tor & Co. nut­zen, ist neben funk­tio­na­len Kri­te­ri­en letzt­end­lich auch eine Fra­ge des Ver­trau­ens.

Daten transportieren

Beim Daten­trans­port geht es um Daten­be­we­gun­gen von A nach B. Hier­bei ist zu unter­schei­den, ob dies off­line, also per Hard­ware erfol­gen soll oder online über einen Clou­dan­bie­ter (weil es beque­mer ist). In bei­den Fäl­len gehen wir davon aus, das Sie über Admi­nis­tra­tor­rech­te sowohl für die Quel­le wie auch für das Ziel ver­fü­gen.

Hin­sicht­lich eines phy­si­ka­li­schen Trans­ports tut es im ein­fachs­ten Fall und bei einer begrenz­ten Daten­men­ge bereits ein ver­schlüs­sel­tes Archiv, wel­ches Sie auf einem belie­bi­gen USB-Stick spei­chern. Hier­zu kön­nen Sie bei­spiels­wei­se 7-Zip nut­zen. Stel­len Sie als Ver­schlüs­se­lungs­ver­fah­ren unbe­dingt AES-256 ein: Für das Stan­dard-Ver­fah­ren Zip­Cryp­to gibt es eine Viel­zahl an Ent­schlüs­se­lungs­pro­gram­men, es ist daher als "nicht sicher" ein­zu­stu­fen.

Höher­wer­ti­ger sind dedi­zier­te Ver­schlüs­se­lungs-Sticks, wie bei­spiels­wei­se King­s­ton DataTra­ve­ler oder iSto­rage-Pro­duk­te. Die­se sind nach gän­gi­gen Stan­dards (z. B. FIPS140-2) zer­ti­fi­ziert und – wich­tig für den Ein­satz in Unter­neh­men – es steht eine ent­spre­chen­de Manage­ment­soft­ware (z. B. zum Zurück­set­zen des Pass­worts) zur Ver­fü­gung.

Wird die Daten­men­ge grö­ßer, sind Self-Encryp­t­ing Dri­ves (SED) wie etwa die der Mar­ken Data­Lo­cker oder Digittra­de das Mit­tel der Wahl. Hier­bei han­delt es sich um exter­ne Fest­plat­ten mit inte­grier­tem Ver­schlüs­se­lungschip. Bei Bedarf kann sogar eine 2-Fak­tor-Authen­ti­fi­zie­rung (z. B. über einen zusätz­li­chen RFID-Chip oder eine Smart­Card) rea­li­siert wer­den.

Soll der Trans­port über einen Clou­dan­bie­ter erfol­gen, kom­men auch hier die bereits beim Anwen­dungs­fall Back­up beschrie­be­nen Lösun­gen zum Ein­satz.

Daten weitergeben

Bei der Daten­wei­ter­ga­be per Hard­ware schla­gen wir den Ein­satz der glei­chen Medi­en wie beim Daten­trans­port vor.

Soll die Wei­ter­ga­be per Drop­Box, One­Dri­ve oder Goog­le One erfol­gen, haben wir einen beson­de­ren Tipp: Für eine Daten­men­ge bis zu einem Giga­byte ver­wen­den Sie ein­fach Whis­ply!
Whis­ply nutzt die in aktu­el­len Brow­sern vor­han­de­ne Web Cryp­to­gra­phic API (WebCryp­to) um die Daten bereits lokal, also auf Ihrem Rech­ner, mit­tels AES-256 und einer von Ihnen vor­ge­ge­be­nen PIN oder einem Pass­wort zu ver­schlüs­seln. Es han­delt sich also um eine ech­te Ende-Zu-Ende-Ver­schlüs­se­lung: Whis­ply kennt die von Ihnen ver­ge­be­ne PIN, bzw. Ihr Pass­wort nicht. Anschlie­ßend stellt Ihnen Whis­ply einen Link zur Ver­fü­gung, unter dem die ver­schlüs­sel­ten Datei(en) in ihrer Cloud gespei­chert sind. Die­sen kön­nen Sie wahl­wei­se per E-Mail oder per SMS ver­sen­den. Zusätz­lich bie­tet Ihnen Whis­ply das Kopie­ren des Links in die Zwi­schen­ab­la­ge an. So lässt sich der Link dann bei­spiels­wei­se auch per Whats­App über­mit­teln.
Danach for­dert Whis­ply Sie zur Über­mitt­lung der PIN, bzw. des Pass­worts auf. Um die Sicher­heit zu erhö­hen, wäh­len Sie hier bit­te einen ande­ren Kanal. Ein Bei­spiel: Wenn Sie den Link per E-Mail ver­sen­det haben, ver­sen­den Sie die PIN etwa per SMS.

Datenweitergabe im Do-it-yourself-Verfahren

Wenn Sie Whis­ply nicht nut­zen möch­ten, kön­nen Sie alter­na­tiv auch ein ver­schlüs­sel­tes Archiv auf Ihrem Rech­ner erstel­len, wel­ches Sie dann dem Emp­fän­ger als E-Mail-Anhang mai­len. Auch hier­bei soll­te die Über­mitt­lung des Pass­worts über einen sepa­ra­ten Kanal (z. B. Whats­App, Tele­fon, SMS) erfol­gen.

Weiterführende Literatur (Ergänzung v. 31.01.2019)

SSD-Schwach­stel­le hebelt (Bit­lo­cker) Ver­schlüs­se­lung aus

Fazit

Der Markt der Ver­schlüs­se­lungs-Hard- und -Soft­ware ist auf den ers­ten Blick unüber­sicht­lich. Kennt man jedoch das Anwen­dungs­sze­na­rio, die Daten­men­ge und das zur Ver­fü­gung ste­hen­de Bud­get, sind die in Fra­ge kom­men­den Lösun­gen offen­sicht­lich. Unse­re Tabel­le hilft Ihnen dabei.

Ver­schlüs­seln Sie mit ande­ren Tools? Wenn ja, wel­che sind das? Wel­che Erfah­run­gen haben Sie mit Ver­schlüs­se­lung gemacht? Wir freu­en uns auf Ihre Kom­men­ta­re unten!

Wenn Sie auf der Suche nach einer Ver­schlüs­se­lungs­lö­sung für Ihr Unter­neh­men sind, spre­chen Sie uns an. Wir bera­ten Sie ger­ne!