Wer sensible Daten verarbeitet und austauscht, sollte ein besonderes Augenmerk auf eine sichere Verschlüsselung legen. Sie ist essentiell, damit die enthaltenen
Informationen vor fremden Zugriff geschützt werden.
Die unterschiedlichen Verschlüsselungstechnologien, die heutzutage zum Einsatz
kommen, gelten nicht mehr als Nischenthema der Tech-Branche, sondern sind im
Bewusstsein der breiten Gesellschaft angekommen. Inzwischen fordert beispielsweise
auch die Bundesregierung ein „Recht auf Verschlüsselung“, mit dem zum einen die
allgemeine Akzeptanz in der Gesellschaft gestärkt und zum anderen Grundrechte wie
die Privatsphäre und die Vertraulichkeit der Kommunikation gewahrt werden sollen.
Wir möchten daher die verschiedenen Verschlüsselungswege genauer beleuchten,
erklären, warum eine SSL-Verschlüsselung alleine nicht ausreicht und wie sensible
Daten tatsächlich bestmöglich geschützt werden können.
Was versteht man unter HTTPS und SSL/TLS?
TLS (Transport Layer Security) und SSL (Secure Sockets Layer) beschreiben heute im Grunde dieselbe Form der Datenübertragung, allerdings handelt es sich bei SSL um
die Vorgängerversion von TLS. In der Regel wird jedoch der Begriff SSL verwendet.
SSL/TLS
Bei SSL handelt es sich um die geläufige Bezeichnung für ein
Verschlüsselungsprotokoll zur sicheren Datenübermittlung. Werden Informationen
von einem System zum anderen übertragen, verhindert eine SSL-Verschlüsselung,
dass diese Informationen von Dritten gelesen werden können. Dies funktioniert
mithilfe von Algorithmen, die während der Übertragung die Daten kodieren. Daten,
die nicht in fremde oder gar in kriminelle Hände geraten dürfen, wie beispielsweise Bankdaten, sind somit bei der Übertragung vor fremden Zugriff geschützt.
HTTPS
Jeder kennt die Kürzel http:// und https:// aus der URL-Leiste seines Browsers. Technisch betrachtet unterscheiden sich HTTP (Hypertext Transfer Protocol) und HTTPS (Hypertext Transfer Protocol Secure) nicht, denn das Protokoll ist bei beiden Varianten identisch. Der entscheidende Unterschied liegt darin, dass bei HTTPS im Gegensatz zu HTTP ein SSL-Zertifikat und damit eine verschlüsselte Übertragung genutzt wird. Ein kleines Vorhängeschloss symbolisiert diese sichere Verbindung zusätzlich im Browser.
Warum reicht eine Verschlüsselung durch SSL jedoch alleine nicht aus?
SSL/TLS verschlüsselt also Daten, die sich in einer Übertragung zwischen Clientserver und Webserver befinden (z.B., wenn Deine Informationen auf die Server eines Cloud-Anbieters übertragen werden).
Was aber geschieht, wenn die Daten den Server erreichen?
Sofern der Anbieter keine zusätzlichen Maßnahmen ergreift, werden die
Daten nach der sicheren Übertragung wieder entschlüsselt und liegen im
Klartext auf den Servern. Dann kann zwar niemand auf sie zugreifen,
während sie übermittelt werden, auf den Servern sind sie jedoch theoretisch
unverschlüsselt für den Anbieter einsehbar.
Clientseitige Ende-zu-Ende Verschlüsselung
Wer seine Daten bestmöglich schützen und auch die Sicherheitslücke der SSL-Verschlüsselung beseitigen will, sollte mit einer clientseitigen Verschlüsselung (End-to-End) arbeiten.
Die folgende Grafik verdeutlicht den Unterschied zwischen einer clientseitigen Ende-zu-Ende Verschlüsselung und der erwähnten serverseitigen SSL-Verschlüsselung:
Serverseitige SSL-Verschlüsselung:
Clientseitige Ende-zu-Ende Verschlüsselung:
Mit einer clientseitigen Ende-zu-Ende Verschlüsselung werden die Daten vom Nutzer Paul also bereits beim Upload im Browser verschlüsselt, zusätzlich mit SSL-Zertifikat verschlüsselt übertragen, verschlüsselt auf dem Server abgelegt und auf demselben Wege von Nutzerin Anna wieder abgerufen.
Entschlüsselt werden sie also erst wieder beim Download im Browser des Nutzers. Das heißt auch, dass der Key, der zur Ver- und Entschlüsselung der Daten verwendet wird, niemals den Clientserver verlässt.
Ganz anders sieht es allerdings aus, wenn Daten serverseitig verschlüsselt werden. Die Daten werden zusammen mit dem Schlüssel auf dem Server abgespeichert, der Anbieter kann sie also theoretisch auch entschlüsseln. Plattformbetreiber, die keine Ende-zu-Ende Verschlüsselung bieten, haben somit jederzeit Einsicht in die Daten ihrer Nutzer, da sie entweder den Schlüssel besitzen oder die Daten erst gar nicht verschlüsselt in der Cloud liegen.
Es lohnt sich also, bei einer Entscheidung für eine Software genauer beim Anbieter nachzuhaken. Denn manch einer wirbt gerne mit einer Ende-zu-Ende Verschlüsselung, obwohl es sich bei der verwendeten Methode um eine reine SSL-Verschlüsselung handelt.
Die Ende-zu-Ende Verschlüsselung von Stackfield
Um eine höchstmögliche Sicherheit zu gewährleisten, bietet Stackfield eine echte Ende-zu-Ende Verschlüsselung an. Sie ist eine Kombination aus AES- und RSA-
Verschlüsselung und stellt sicher, dass niemand die Möglichkeit hat, unbefugt die
Inhalte von Chatnachrichten, Dokumenten oder Aufgaben einzusehen.
Wie unsere Ende-zu-Ende Verschlüsselung funktioniert und welche Inhalte der
täglichen Zusammenarbeit wir sicher verschlüsseln, erfährst Du in unserem
Whitepaper.
Fast fertig...Bitte klicke auf den Link in der E-Mail, um Deine E-Mail Adresse und die Anmeldung zum Newsletter zu bestätigen.
Verpasse keinen Beitrag mehr.