Verschlüsselung entscheidend für Cyber-Sicherheit: Eine Million Gründe, um sensible Daten zu verschlüsseln

Sie fragen sich, warum Sie alle wichtigen Daten auf Ihrem Computer verschlüsseln sollten? Die Antwort hierauf können Sie ganz leicht finden, indem Sie die folgenden zwei Wörter googeln: Datenleck unverschlüsselt. Schon ein flüchtiger Blick auf die lange Liste der Suchergebnisse wird Ihnen zeigen, wie viele Probleme sich Organisationen und Unternehmen einhandeln, wenn sie sensible Informationen nicht verschlüsseln – vor allem, wenn es um personenbezogene Informationen geht.

Besonders für Unternehmen und Organisationen bringt der Mangel an angemessener Verschlüsselung einige Schwierigkeiten mit – angefangen bei einer schlechten Reputation und dadurch entstehende schlechte Geschäfte, weil sich Kunden entscheiden, ihnen nicht mehr ihre Daten anzuvertrauen, bis hin zu Bußgeldern von bis zu einer Million Dollar oder mehr. Das sind Budget sprengende Kosten, die man vermeiden kann, indem man einen Bruchteil dessen in ein Programm zur Verschlüsselung aller Unternehmensrechner investiert.

Die Kosten einer ungenügenden Verschlüsselung

Denken Sie an Concentra, ein Unternehmen, von dem Sie bis April dieses Jahres vermutlich noch nie etwas gehört haben und das mit OCR eine Einigung im Wert von 1.725.220 Dollar erwirkt hat. Sie haben noch nie von OCR gehört? Das ist die Abteilung für Menschenrechte (Office for Civil Rights) im amerikanischen Gesundheitsministerium, die Abteilung der Regierung, die 1996 den Health Insurance Portability and Accountability Act (HIPAA) durchgesetzt hat. Die hier festgelegten Regeln bezüglich der Privatsphäre und Sicherheit fordern von jeder Organisation, die über gesundheitsbezogene, persönliche Informationen verfügt, dass sie diese Daten gemäß gewisser Standards schützt. (Darüber hinaus fordern viele Staaten von Unternehmen, dass sie die Leute informieren, deren personenbezogenen Informationen eventuell kompromittiert wurden. Dazu gleich aber mehr.)

Hält man die festgelegten HIPAA-Standards nicht ein, könnte man in Probleme geraten – vor allem, wenn es zu einem Vorfall kommen sollte, bei dem sensible Daten offengelegt werden. Vorfälle mit mehr als 500 unverschlüsselten PHI-Akten (Protected Health Information) müssen gemeldet werden. Das OCR führt eine Wall of Shame, eine Datenbank mit Vorfällen, bei denen vermeintlich geschützte Informationen kompromittiert wurden sowie eine Liste mit Fallbeispielen und Einigungen (wie der Fall mit Concentra).

Was also hat Concentra – wie auch viele andere Organisationen innerhalb und außerhalb der Gesundheitsindustrie – falsch gemacht? Laut der Einigung mit OCR hat das Unternehmen:

„keine ausreichenden Richtlinien und Maßnahmen implementiert, um entsprechend dem Sicherheitsmanagementprozessstandard Sicherheitsverletzungen zu verhindern, zu erkennen, einzugrenzen und zu korrigieren. Es hat keine adäquaten Risikomanagement-Maßnahmen durchgeführt, mit denen der identifizierte Mangel an Verschlüsselung zu einem vernünftigen und angebrachten Niveau hätte verringert werden können…“

Mit anderen Worten: Das Unternehmen ist nicht nur daran gescheitert, ausreichende Verschlüsselungen zu verwenden, sondern hatte zudem keinen angemessenen Geschäftsprozess (Risikomanagement), um das angemessene Ausmaß an Verschlüsselung zu bestimmen. Wie diese PDF über den Fall zeigt, wusste das Unternehmen bereits im Oktober 2008, dass nur 434 von 597 Laptops verschlüsselt waren, hat aber bis Anfang Juni 2012 keine Anstalten gemacht, dies zu ändern. Das geschah dann erst nach einer Inventur des IT-Bestands.

Wenn es um das Versagen bei der Verschlüsselung von Daten geht, ist Concentra bei weitem nicht allein. Weitere Beispiele für vergleichbare Fehltritte im Gesundheitssektor sind sowohl Blue Cross Blue Shield of Tennessee (BCBST) als auch Massachusetts Eye and Ear Infirmary and Massachusetts Eye and Ear Associates, Inc., die jeweils ein Bußgeld von 1,5 Millionen Dollar zahlen mussten. Hinzu kommen Schlagzeilen wie: Humana members notified of Atlanta data breach. Scheinbar wurde in das Auto eines Mitarbeiters bei Atlanta Humana eingebrochen und der verschlüsselte Laptop gestohlen. Leider konnten die Diebe zudem einen USB-Stick erbeuten, auf dem unverschlüsselte Dateien gespeichert waren – mit Namen, Krankenakten und Sozialversicherungsnummern von fast 3.000 Antragsstellern.

Natürlich betrifft dieses Problem nicht nur den Gesundheitssektor, sondern reicht in alle Bereiche hinein, in denen mit Daten gehandhabt wird: Regierung, Bildung und natürlich auch große Unternehmen. So haben wir beispielsweise im Januar durch SC Magazine erfahren, dass „aufgrund eines Diebstahls von unverschlüsselten Laptops bei Coca-Cola rund 74.000 derzeitige und ehemalige Mitarbeiter des Unternehmens gefährdet sind, einem Identitätsdiebstahl oder -betrug zum Opfer zu fallen.“

Coca-Cola war also in der unglücklichen Position, Tausende von Leute informieren zu müssen, dass wichtige Informationen – Name, Adresse, Sozialversicherungsnummer, Gehalt, Herkunft und Führerscheinnummer – über sie offengelegt wurden und ein Identitätsdiebstahl nicht ausgeschlossen werden kann. Es ist eine nahezu sichere Wette, dass einige der Leute, die bei Coca-Cola gearbeitet haben oder es noch tun, in Kalifornien leben und hier existieren die anspruchsvollsten Anforderungen bezüglich der Meldepflicht eines Datenlecks. Das Gesetz fordert eine zeitnahe Aufdeckung der Betroffenen, selbst wenn nur die Vermutung besteht, dass eine unbefugte Person an persönliche Informationen gelangen konnte.

Über den HIPAA hinaus, bietet Kalifornien einen sogenannten Safe Harbor. Heißt: Solange Sie verschlüsselte Dateien oder Ordner mit personenbezogenen Informationen auf Ihrem Gerät haben und es verlieren, sind Sie nicht verpflichtet, das zu melden. Und auch, wenn Sie aus Versehen eine Tabelle mit Mitarbeiterdaten an die falsche Adresse senden: Wenn der Anhang verschlüsselt ist, müssen Sie sich keine Sorgen machen.

Verschlüsselungsstandards

Die Verschlüsselung von Dateien – ob nun auf einem Gerät gespeichert oder über Outlook versendet – gewährleistet Ihnen nicht nur den Safe Harbor, wenn mal etwas schief läuft, sondern zudem ein ruhiges Gewissen. Wenn Sie aber ein altes Verschlüsselungsprogramm nutzen, sollten Sie nicht mit diesem Komfort rechnen. Der Trend geht dahin, dass die Latte bei Datenschutz-Gesetzen immer höher gesetzt wird. So hat Kalifornien ein Gesetz verabschiedet, das einen Mindeststandard für Verschlüsselungen festlegt. Phil Lee, ein Partner bei Fieldfisher erklärte DataGuidance gegenüber Folgendes:

„Die Maßnahmen bezüglich Safe Harbor und der Datenleck-Meldung in AB 1710 machen deutlich, dass Verschlüsselung nicht gleich Verschlüsselung ist. Kurz zusammengefasst wird in AB 1710 gesagt, dass Unternehmen ihre Kunden über ein Datenleck informieren müssen, selbst wenn die verlorenen Daten verschlüsselt waren. Ausnahmen gelten nur, wenn die Verschlüsselung dem strengen Advanced Encryption Standard (AES) von NIST entspricht. Der einfache Verweis auf einen ungenauen, nicht deutlich formulierten Verschlüsselungsstandard wird dann nicht länger ausreichen, um sich bei Versäumnis einer Meldung aus der Affäre zu ziehen.“

Ein Grund für die Härte gegen diejenigen, die keine ausreichende Verschlüsselung implementiert haben, liegt darin, dass es nicht mehr schwierig ist, Daten zu verschlüsseln und damit einen unerlaubten Zugriff zu verhindern. Für diejenigen, die den Umgang mit persönlichen Informationen beaufsichtigen, ist das Versäumnis einer guten Verschlüsselung daher reine Unachtsamkeit.

Und die Behörden sind nicht die einzigen, die sich um den Mangel an Verschlüsselung kümmern. Die Öffentlichkeit ist heutzutage viel besser informiert, als sie es vor ein paar Jahren noch war. Zwölf Monate an Schlagzeilen über elektronische Massenüberwachung vonseiten gewisser Regierungsbehörden (NSA und GCHQ) und große Datenlücken bei namhaften Unternehmen (z.B. Target) gehen nicht spurlos an den Leuten vorbei: Sie können heute mit dem Begriff „verschlüsselt“ weit mehr anfangen und dementsprechend Vorfälle auch besser bewerten. Der Fehler eines Unternehmens, sensible Daten nicht ausreichend zu verschlüsseln, wird stark verurteilt – nicht nur in den Gerichten des Gesetzes, sondern auch in den Gerichten namens Medien und Öffentlichkeit.

Glücklicherweise ist Verschlüsselung nicht mehr der große IT-Aufwand, der sie mal war. Mittlerweile gibt es Produkte, die sowohl in großen als auch in kleinen Unternehmen leicht zu implementieren sind. Alle Funktionalitäten und Einstellungen können zudem von einem Server aus zentral verwaltet werden. Sie können mit einer grundlegenden Verschlüsselung von Dateien und Ordnern beginnen. Integrieren Sie die Verschlüsselung in Outlook, um wichtige Dateien beim Versenden zu schützen. Später können Sie zusätzlich automatische Verschlüsselungen von Wechselmedien und Festplattenverschlüsselung hinzufügen. In keinem Fall sollten Sie die Notwendigkeit einer gut dokumentierten und implementierten Verschlüsselungsrichtlinie ignorieren, mit der der Umgang mit wichtigen Daten innerhalb und außerhalb des Unternehmens festgelegt wird. Denn sollte ein Datenleck auftreten, werden Sie schnell merken, dass es keine Entschuldigung mehr dafür gibt, dass Sie derartigen Anforderungen nicht nachgekommen sind.

Autor Stephen Cobb, ESET