Der itcv-Blog
Verschlüsselung - Kryptografie

Verschlüsselung: Welche Lösung für welchen Zweck? Die ultimative Übersicht

,

Nicht nur vor dem Hin­ter­grund der DSGVO und deren For­de­rung nach Pri­va­cy by Design, bzw. Pri­va­cy by Default ist es immer eine gute Idee, sen­si­ble Daten ver­schlüs­selt zu spei­chern. Abhän­gig vom Umfang der zu ver­schlüs­seln­den Daten­men­ge und dem Anwen­dungs­zweck kom­men dabei unter­schied­li­che Lösun­gen zum Ein­satz. Die­ser Bei­trag ver­mit­telt einen Ãœber­blick.

Die Qual der Wahl

Die Suche nach dem Begriff Ver­schlüs­se­lungs­soft­ware auf Goog­le lie­fert 112.000 Ergeb­nis­se. Sucht man nach Hard­ware­ver­schlüs­se­lung, erhält man annä­hernd 90.000 Ergeb­nis­se. Die­se Zah­len machen deut­lich, dass der Markt der Ver­schlüs­se­lungs­lö­sun­gen recht unüber­sicht­lich ist.

Ein Ãœberblick

Die nach­fol­gen­de Tabel­le bie­tet einen Über­blick über sinn­vol­le Ver­schlüs­se­lungs­lö­sun­gen, abhän­gig von der zu ver­schlüs­seln­den Daten­men­ge und dem jewei­li­gen Anwen­dungs­zweck. Die ange­ge­be­ne Pro­dukt­be­zeich­nun­gen ste­hen selbst­ver­ständ­lich nur stell­ver­tre­tend für die jewei­li­ge Pro­dukt­gat­tung und kön­nen je nach Gus­to aus­ge­tauscht wer­den.
Unter­halb der Tabel­le fin­den Sie aus­führ­li­che erläu­tern­de Hin­wei­se.

Verschlüsselungslösungen nach Datenmenge und Anwendung

Wir unter­schei­den drei ver­schie­de­ne Anwen­dungs­fäl­le:

Back­up Die ver­schlüs­sel­te Spei­che­rung erfolgt aus­schließ­lich zu Daten­si­che­rungs­zwe­cken.
Daten­trans­port Die Daten sol­len zum Zwe­cke des Trans­ports von einem Ort zu einem ande­ren ver­schlüs­selt gespei­chert wer­den. Sie haben dabei die Hoheit (sprich: Admi­nis­tra­tor­rech­te) an bei­den Orten.
Daten­wei­ter­ga­be Die Daten sol­len ver­schlüs­selt einer ande­ren Per­son über­ge­ben und von die­ser an einem ent­fern­ten Ort genutzt wer­den kön­nen. Das Ziel­sys­tem ist dabei unbe­kannt und Sie ver­fü­gen auch nicht über die Hoheit dar­über.

Auch hin­sicht­lich der Daten­men­ge haben wir eine Unter­tei­lung in drei ver­schie­de­ne Kate­go­ri­en vor­ge­nom­men, je nach­dem ob es um die Ver­schlüs­se­lung

  • von eini­gen weni­gen Datei­en oder
  • um vie­le Datei­en, bzw. gan­ze Ver­zeich­nis­se oder
  • um eine gro­ße Daten­men­ge bis hin zu einem gan­zen Lauf­werk mit meh­re­ren hun­dert Giga­byte geht

Backup verschlüsseln

Bei einem loka­len Back­up ist die Sache klar: die Daten wer­den auf einem ver­schlüs­sel­ten exter­nen Lauf­werk gespei­chert. Im Ide­al­fall ist die Ver­schlüs­se­lungs­hard­ware bereits im Lauf­werk inte­griert. Kor­rek­tur vom 31. 01.2019: Auf­grund neue­rer Erkennt­nis­se (s. u.) raten wir vom Ein­satz von Lauf­wer­ken mit Hard­ware­ver­schlüs­se­lung ab! Dies ist bei­spiels­wei­se bei den Wes­tern Digi­tal Lauf­wer­ken der MyPass­port-Rei­he der Fall. Sind die Sicher­heits­an­for­de­run­gen höher, kön­nen auch zer­ti­fi­zier­te Lauf­wer­ke oder Lauf­wer­ke mit 2‑Fak­tor-Authen­ti­fi­zie­rung (2FA) zum Ein­satz kom­men.
Alter­na­tiv kön­nen Sie auch eine exter­ne Stan­dard­fest­plat­te mit ent­spre­chen­den Tools wie etwa Ver­aCrypt oder Bit­lo­cker ver­schlüs­seln.
Wich­tig in jedem Fall: Das Back­up­me­di­um unbe­dingt nach dem Sichern (oder Wie­der­her­stel­len) der Daten vom Host­rech­ner tren­nen! Nur so ist ein Schutz gegen Ran­som­ware gewähr­leis­tet.

Soll das Back­up bei einem Clou­dan­bie­ter wie Drop­box, Goog­le One (frü­her Goog­le Dri­ve) oder in der Magen­ta Cloud gespei­chert wer­den, ist eine Ver­schlüs­se­lung unab­ding­bar! Hier­bei ist auf eine Zero-Know­ledge-Ver­schlüs­se­lung zu ach­ten, das heißt der jewei­li­ge Clou­dan­bie­ter kennt das Pass­wort zum Ent­schlüs­seln der Daten nicht (u. U. nicht ein­mal das Ver­schlüs­se­lungs­ver­fah­ren). Tools wie Boxcryp­tor oder Cryp­to­ma­tor stel­len dies sicher.
Lesen Sie hier­zu auch unse­ren Rat­ge­ber Cloud­ver­schlüs­se­lung auf unse­rer Schwes­ter-Sei­te PCsi​cher​.com.

PCsicher Banner

Wer­den die Daten­men­gen grö­ßer, ist Cloud­spei­cher nicht mehr kos­ten­los. Die Preis­un­ter­schie­de sind dann teil­wei­se erheb­lich. Im Busi­ness-Umfeld spielt zudem regel­mä­ßig auch ein pro­fes­sio­nel­les Rech­tema­nage­ment und die Ver­füg­bar­keit auf ver­schie­de­nen Betriebs­sys­tem­platt­for­men eine wich­ti­ge Rol­le.
Sehen Sie sich daher bei ent­spre­chen­dem Bedarf auch ande­re pro­fes­sio­nel­le Clou­dan­bie­ter, wie etwa Spi­de­rO­ak an. Wer Wert auf eine Spei­che­rung der Daten außer­halb der Five-Eyes-Län­der legt, fühlt sich bei­spiels­wei­se bei Tre­sorit bes­ser auf­ge­ho­ben.
Ob Sie dann der Zero-Know­ledge-Ver­schlüs­se­lung die­ser Anbie­ter ver­trau­en oder die Busi­ness-Ver­sio­nen von Boxcryp­tor & Co. nut­zen, ist neben funk­tio­na­len Kri­te­ri­en letzt­end­lich auch eine Fra­ge des Ver­trau­ens.

Daten transportieren

Beim Daten­trans­port geht es um Daten­be­we­gun­gen von A nach B. Hier­bei ist zu unter­schei­den, ob dies off­line, also per Hard­ware erfol­gen soll oder online über einen Clou­dan­bie­ter (weil es beque­mer ist). In bei­den Fäl­len gehen wir davon aus, das Sie über Admi­nis­tra­tor­rech­te sowohl für die Quel­le wie auch für das Ziel ver­fü­gen.

Hin­sicht­lich eines phy­si­ka­li­schen Trans­ports tut es im ein­fachs­ten Fall und bei einer begrenz­ten Daten­men­ge bereits ein ver­schlüs­sel­tes Archiv, wel­ches Sie auf einem belie­bi­gen USB-Stick spei­chern. Hier­zu kön­nen Sie bei­spiels­wei­se 7‑Zip nut­zen. Stel­len Sie als Ver­schlüs­se­lungs­ver­fah­ren unbe­dingt AES-256 ein: Für das Stan­dard-Ver­fah­ren Zip­Cryp­to gibt es eine Viel­zahl an Ent­schlüs­se­lungs­pro­gram­men, es ist daher als "nicht sicher" ein­zu­stu­fen.

Höher­wer­ti­ger sind dedi­zier­te Ver­schlüs­se­lungs-Sticks, wie bei­spiels­wei­se King­s­ton DataTra­ve­ler oder iSto­rage-Pro­duk­te. Die­se sind nach gän­gi­gen Stan­dards (z. B. FIPS140‑2) zer­ti­fi­ziert und – wich­tig für den Ein­satz in Unter­neh­men – es steht eine ent­spre­chen­de Manage­ment­soft­ware (z. B. zum Zurück­set­zen des Pass­worts) zur Ver­fü­gung.

Wird die Daten­men­ge grö­ßer, sind Self-Encryp­t­ing Dri­ves (SED) wie etwa die der Mar­ken Data­Lo­cker oder Digittra­de das Mit­tel der Wahl. Hier­bei han­delt es sich um exter­ne Fest­plat­ten mit inte­grier­tem Ver­schlüs­se­lungschip. Bei Bedarf kann sogar eine 2‑Fak­tor-Authen­ti­fi­zie­rung (z. B. über einen zusätz­li­chen RFID-Chip oder eine Smart­Card) rea­li­siert wer­den.

Soll der Trans­port über einen Clou­dan­bie­ter erfol­gen, kom­men auch hier die bereits beim Anwen­dungs­fall Back­up beschrie­be­nen Lösun­gen zum Ein­satz.

Daten weitergeben

Bei der Daten­wei­ter­ga­be per Hard­ware schla­gen wir den Ein­satz der glei­chen Medi­en wie beim Daten­trans­port vor.

Soll die Wei­ter­ga­be per Drop­Box, One­Dri­ve oder Goog­le One erfol­gen, haben wir einen beson­de­ren Tipp: Für eine Daten­men­ge bis zu einem Giga­byte ver­wen­den Sie ein­fach Whis­ply!
Whis­ply nutzt die in aktu­el­len Brow­sern vor­han­de­ne Web Cryp­to­gra­phic API (WebCryp­to) um die Daten bereits lokal, also auf Ihrem Rech­ner, mit­tels AES-256 und einer von Ihnen vor­ge­ge­be­nen PIN oder einem Pass­wort zu ver­schlüs­seln. Es han­delt sich also um eine ech­te Ende-Zu-Ende-Ver­schlüs­se­lung: Whis­ply kennt die von Ihnen ver­ge­be­ne PIN, bzw. Ihr Pass­wort nicht. Anschlie­ßend stellt Ihnen Whis­ply einen Link zur Ver­fü­gung, unter dem die ver­schlüs­sel­ten Datei(en) in ihrer Cloud gespei­chert sind. Die­sen kön­nen Sie wahl­wei­se per E‑Mail oder per SMS ver­sen­den. Zusätz­lich bie­tet Ihnen Whis­ply das Kopie­ren des Links in die Zwi­schen­ab­la­ge an. So lässt sich der Link dann bei­spiels­wei­se auch per Whats­App über­mit­teln.
Danach for­dert Whis­ply Sie zur Über­mitt­lung der PIN, bzw. des Pass­worts auf. Um die Sicher­heit zu erhö­hen, wäh­len Sie hier bit­te einen ande­ren Kanal. Ein Bei­spiel: Wenn Sie den Link per E‑Mail ver­sen­det haben, ver­sen­den Sie die PIN etwa per SMS.

Datenweitergabe im Do-it-yourself-Verfahren

Wenn Sie Whis­ply nicht nut­zen möch­ten, kön­nen Sie alter­na­tiv auch ein ver­schlüs­sel­tes Archiv auf Ihrem Rech­ner erstel­len, wel­ches Sie dann dem Emp­fän­ger als E‑Mail-Anhang mai­len. Auch hier­bei soll­te die Über­mitt­lung des Pass­worts über einen sepa­ra­ten Kanal (z. B. Whats­App, Tele­fon, SMS) erfol­gen.

Weiterführende Literatur (Ergänzung v. 31.01.2019)

SSD-Schwach­stel­le hebelt (Bit­lo­cker) Ver­schlüs­se­lung aus

Fazit

Der Markt der Ver­schlüs­se­lungs-Hard- und ‑Soft­ware ist auf den ers­ten Blick unüber­sicht­lich. Kennt man jedoch das Anwen­dungs­sze­na­rio, die Daten­men­ge und das zur Ver­fü­gung ste­hen­de Bud­get, sind die in Fra­ge kom­men­den Lösun­gen offen­sicht­lich. Unse­re Tabel­le hilft Ihnen dabei.

Ver­schlüs­seln Sie mit ande­ren Tools? Wenn ja, wel­che sind das? Wel­che Erfah­run­gen haben Sie mit Ver­schlüs­se­lung gemacht? Wir freu­en uns auf Ihre Kom­men­ta­re unten!

Wenn Sie auf der Suche nach einer Ver­schlüs­se­lungs­lö­sung für Ihr Unter­neh­men sind, spre­chen Sie uns an. Wir bera­ten Sie ger­ne!

/von
Möglicherweise interessiert Sie:
Windows 7: Jetzt noch schnell auf Windows 10 umsteigen oder besser gleich einen neuen Rechner kaufen?
Kryptografie - Verschlüsselung Verschlüsselung bei Messaging-Diensten
PCsicher-Logo quer, mit Rahmen PCsicher: Günstige und qualifizierte IT-Sicherheits-Lösung speziell für KMU
Hessische Datenschutz­behörde hoffnungslos überlastet!
Newsletter Newsletter-Versand: Wie funktioniert das eigentlich und was muss man beachten?
Quantencomputer Quantencomputer: Eine Bedrohung für unsere Privatsphäre?
Wasabi + Synology Datensicherung: Cloud-Backup von Synology NAS auf Wasabi Hot Cloud Storage
Verschlüsselung - Backup IT-Sicherheit auf Basis von Windows-Bordmitteln, Teil 2: Verschlüsselung

Kontakt

Fon +49.69.24742919–0
Fax +49.69.24742919–9
E‑Mail info@​itcv-​software.​com
Face­book

itcv GmbH

Solms­str. 71
D‑60486 Frank­furt

SICHERHEIT

Ihre Daten sind bei uns sicher

Logo SSL-Verschlüsselung

Microsoft Office Versionen: Das Versions-Wirr-Warr einfach erklärt Microsoft Office Logo Kryptografie - Verschlüsselung Verschlüsselung bei Messaging-Diensten

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Nähere Informationen dazu und zu Ihren Rechten als Benutzer finden Sie in unserer Datenschutzerklärung. Klicken Sie auf „Ich stimme zu“, um Cookies zu akzeptieren und direkt unsere Website besuchen zu können. Oder klicken Sie auf "Cookie-Einstellungen", um Ihre Cookies selbst verwalten zu können.

Ich stimme zuCookie-Einstellungen