Harald Milz arbeitet als Cloud Architect mit der Spezialisierung auf Applikationssicherheit und Kryptografie für die Deutsche Telekom. Davor war er Leiter des Technical Presales Teams und hat auf seinem Berufsweg in so unterschiedlichen Funktionen wie als leitender Redakteur beim heise-Verlag, als Senior-Berater bei IBM, als Chefredakteur des Linux-Magazins sowie als Berater bei den Linux-Distributoren SUSE und Red Hat gearbeitet.

mittelstand - DIE MACHER: Herr Milz, können sie uns bitte drei entscheidende Tipps geben: Was müssen kleine Betriebe und Firmen zum Thema Verschlüsselung unbedingt wissen?

Harald Milz: Um es mit der Mathematik zu sagen: Verschlüsselung ist ein notwendiges, aber kein hinreichendes Kriterium. Ebenso wichtig sind stringente Betriebsabläufe, Mitarbeiterschulung und eine Absicherung des hauseigenen Netzwerks. Ausschließlich oder falsch angewendete Verschlüsselung vermittelt lediglich eine Scheinsicherheit. Es hilft zum Beispiel gar nichts, wenn man ein toll abgesichertes Netzwerk hat, und alle Mitarbeiter kennen die Admin-Passwörter. Genauso wenig hilfreich ist es, eine starke Verschlüsselung bei der E-Mail zu verwenden und der Adressat antwortet im Klartext, möglichst noch mit einem „Fullquote“ (Vollzitat) der ursprünglichen Nachricht.

Harald Milz Harald Milz (© 2016 Deutsche Telekom) - All rights reserved

"Verschlüsselung funktioniert nur, wenn sich alle diszipliniert an die gleichen Vorgaben halten. Also kurz gesagt: Verschlüsseln, absichern, sensibilisieren."

Harald MilzCloud Architect mit der Spezialisierung auf Applikationssicherheit und Kryptografie, Deutsche Telekom

Das Thema Cloud ist mehr und mehr ein Thema. Aber wie sieht es dabei mit der Sicherheit aus?

Harald Milz: Ein in einem deutschen Rechenzentrum von einem namhaften Provider betriebener Server ist ziemlich wahrscheinlich professioneller gemanagt als der Server im eigenen "Kabuff", den jemand "nebenher" administriert. In professionellen Rechenzentren machen das ausgebildete und regelmäßig geschulte Vollzeit-Fachkräfte nach bewährten Verfahren wie ITIL, deren Aufwand man als kleine Firma kaum leisten will und kann. Zumal bei den meisten Betrieben auch die IT als solche nicht zum Kerngeschäft zählt.

Was empfehlen Sie einem deutschen Mittelständler, der seine Firmen-Daten in die Cloud auslagern möchte?

Harald Milz: Sicherheit, mit deren Ausführung man andere beauftragt, ist unter dem Strich immer Vertrauenssache. Aber es gibt ein paar "harte" Kriterien, nach denen man sich orientieren kann, auch wenn man vielleicht kein ausgereiftes Datenschutzkonzept mit unterschiedlichen Datenschutzklassen hat. Einmal sollten Unternehmen darauf achten, dass der Provider die Daten nachvollziehbar innerhalb des Geltungsbereiches des deutschen Datenschutzgesetzes verarbeitet. Fordern Sie also ihren Provider auf, einen Vertrag zur Auftragsdatenverarbeitung (ADV) abzuschließen und lassen Sie diesen notfalls von einem in Datenschutzrecht erfahrenen Fachanwalt prüfen. Ein Vertrag ist zwar letztlich auch nur ein "juristischer Zaun", aber einen solchen zu haben, ist immer noch um Längen besser als gar keinen zu haben. Dann sollten Sie fragen: Wie sichert der Dienstleister Ihre Daten gegen Verlust? Spiegelt er etwa den Datenbestand in einem zweiten Rechenzentrum, um im Notfall ein Back-up zur Verfügung zu haben? Entsprechende Zertifizierung geben einen Hinweis darauf, ob Provider seine Prozesse im Griff hat.

Über welche technischen Lösungen sollte der Mittelständler nachdenken?

Harald Milz: Grundsätzlich sollte ich mir zuerst überlegen, welche Daten ich wirklich nach außen geben möchte. Denn nicht alles gehört in die Cloud. Die Kronjuwelen, also Daten, die existenzbestimmend sein können wie die Entwicklungsunterlagen des nächsten Kernprodukts, würde ich nur sehr zögerlich auslagern. Bei einem Thema wie E-Mail oder weniger geheimhaltungsbedürftigen Daten wie Stücklisten sieht das anders aus. Da wird man häufig bei der Verwendung von cloud-basierten Anwendungen besser fahren als mit einem "nebenher" administrierten lokalen Server, zumal viele Firmen sich dann lokal um die Verschlüsselung kümmern und beispielsweise Ende-zu-Ende verschlüsseln müssen. Hilfreich ist eine realistische Betrachtung der firmeneigenen Kompetenz in Sachen Netzwerk- und Datensicherheit sowie der internen IT-Betriebsprozesse. Es lohnt sich häufig, professionelle Hilfe zu holen.

Sichere Verschlüsselung von Daten: Verzögern sich dadurch Arbeitsprozesse nicht unnötig?

Harald Milz: Gegenfrage: Würden Sie beim Verlassen der Wohnung die Türe offen stehen lassen, nur damit Sie am Abend schneller wieder in die Wohnung kommen? Oder Ihr Auto beim Einkaufen, womöglich mit steckendem Zündschlüssel und laufenden Motor? Entscheiden Sie, was Ihnen mehr weh tut: Ein existenzbedrohender Datenverlust, oder ein vergleichbar geringer Mehraufwand bei der Sicherung dieser Daten.

Welche Gefahren können auf Firmen lauern, die ihre Daten im „Internet of Things“ (IoT) nicht sicher verschlüsseln?

Harald Milz: Die Herausforderung beim "Internet of Things" ist, dass man als Anwender bei den allermeisten Produkten keinen Einblick und keinen Einfluss hat, ob und wie verschlüsselt wird. Wie bei allen anderen am Netzwerk angeschlossenen Installationen besteht die Möglichkeit des Datendiebstahls. Im Zweifelsfall sollte man sich immer überlegen, ob ein Gerät überhaupt einen Zugang ins öffentliche Netz braucht oder daraus erreichbar sein muss. Bei einer Heizungssteuerung zu Hause ist im schlimmsten Fall am Feierabend die Heizung gehackt und die Wohnung eiskalt; bei einem Kernkraftwerk oder einer Verkehrsampelsteuerung wären die Folgen fatal.

Wie kann ich als „Chef“ meinen Angestellten das Thema Daten-Verschlüsselung sinnvoll näher bringen – hier birgt ja das Thema „Mensch“ die größte Gefahr, oder?

Harald Milz: Nach meiner Erfahrung findet häufig eher die umgekehrte Informationsrichtung statt, dass nämlich ein Mitarbeiter mit einem Hintergrund in Netzwerken und Sicherheit dem Chef erklären muss, was und warum man tun sollte. Die größte Herausforderung ist in jedem Fall die Schärfung des Bewusstseins aller Mitarbeiter für interne und externe Bedrohungen, die schlimmstenfalls existenzbedrohend sein können. Das fängt beispielsweise bei "sauer" gefahrenen Mitarbeitern an und reicht bis zu missgünstigen Konkurrenten seiner Firma.. Mitarbeitern muss bewusst sein, dass man nicht jeden Anhang in jeder von einer vermeintlich bekannten Adresse kommenden E-Mail anklickt oder neugierige Fragen vermeintlich berechtigter Anrufer beantwortet. Wie gesagt, Verschlüsselung alleine ist eine notwendige, aber keine hinreichende Maßnahme. Falsch eingesetzt kann sie für eine gefährliche Scheinsicherheit sorgen. Sie kann immer nur ein wichtiger Teil einer umfassenden Sicherheitsstrategie sein. Und diese Strategie muss Chefsache sein!

Wie lassen sich Firmen-Smartphones und -Tablets sicher verschlüsseln, etwa im Ausland (auf Geschäftsreisen)?

Harald Milz: Das hängt von den Möglichkeiten der jeweiligen Betriebssystemplattform auf dem Smartphone ab. Auf Android beispielsweise empfiehlt sich grundsätzlich die Verschlüsselung des Arbeitsspeichers auf Android-Ebene. Man muss sich aber darüber im Klaren sein, dass das nur gegen Gelegenheitsdiebe hilft, und auch nur im Zusammenhang mit einem starken Zugriffschutz wie einer langen PIN, die nicht leicht zu erraten sein darf. Regierungsstellen wie Polizei und Geheimdienste wird das in manchen Ländern nicht beeindrucken. Die halten den Mitarbeiter notfalls so lange fest, bis man die PIN und notfalls das Gerätepasswort herausrückt. Am besten ist es immer, man hat auf seinem Smartphone so wenige geheime und vertrauliche Daten wie irgend möglich und lagert diese beispielsweise in einen firmeneigenen Netzwerkspeicher mit starker Verschlüsselung und starker Authentifizierung aus. So kann man jederzeit zugreifen, die Daten können aber Unbeteiligte nicht so einfach abgreifen.

Thema Ende-zu-Ende-Verschlüsselung: Was ist da der Vorteil etwa gegenüber VPN-Netzwerken?

Harald Milz: Der wichtigste Unterschied der Ende-zu-Ende-Verschlüsselung zu allen anderen Verschlüsselungsarten ist der, dass der private Schlüssel immer beim Benutzer verbleibt, während den öffentlichen Schlüssel jedermann benutzen kann, beispielsweise um dem Benutzer eine verschlüsselte Nachricht zu schicken (die nur er mit seinem privaten Schlüssel dechiffrieren kann) oder um zu prüfen, ob eine mit dem privaten Schlüssel signierte Nachricht authentisch ist. Das ist freilich mit etwas Aufwand verbunden, ebenso wie man seine Haustür abschließt, wenn man hinaus geht. Bei verschlüsselten Netzwerkverbindungen wie einem VPN hingegen hat der Benutzer letztlich keine Kontrolle darüber, ob nicht irgendwo jemand lauscht, er muss seinem Administrator vertrauen. Dafür funktioniert Verschlüsselung auf Netzwerkebene transparent für alle Anwendungen, während die jeweilige Anwendung eine Ende-zu-Ende-Verschlüsselung selbst unterstützen muss.

Weiterführende Links zum Thema

Zur großen Artikelserie zum Thema Verschlüsselung gelangen Sie über die nachfolgenden Links:

Teil 1: Wie sicher hätten Sie es denn gerne?

Teil 2: Durchgängige Verschlüsselung für alle?

Teil 3: Verschlüsselungsverfahren und Verantwortlichkeiten

Teil 4: Wie sicher ist eigentlich Verschlüsselung?

Teil 5: Wo sind die Grenzen der Verschlüsselung?

Teil 6: Wo wird denn nun Verschlüsselung in der Cloud eingesetzt?