Hürden hoch! Verschlüsselung ist nur die halbe Antwort auf PRISM

So erschütternd die Wahrheit rund um PRISM und Co: Der Skandal hat IT-Sicherheit zum Stammtisch-Thema gemacht. Und das ist gut so. Denn das, was IT-Verantwortliche seit Jahren tauben Ohren predigen, ist auf einmal zum Mantra der Öffentlichkeit geworden. „Sicherheit ist nicht selbstverständlich. Wir müssen unser geistiges Eigentum aktiv schützen, wenn wir es nicht einfach mit jedem teilen wollen.“ Auch in Wirtschaftskreisen sickert die Erkenntnis. Laut VDMA gibt es in Deutschland mehr als 1.300 Weltmarktführer, allesamt ein lohnendes Ziel für Industrie- und Wirtschaftsspionage. Doch nicht wenige davon beginnen jetzt erst damit, ihre Hausaufgaben in puncto Know-how-Schutz so richtig zu machen.

Der Haken mit dem Schlüssel

Zu Recht fragen sich mittelständische Unternehmer, die ihr Wissen und ihre Patente schützen wollen, wo sie ansetzen sollen. Die Telekom hat kürzlich in einem Gespräch mit der Rheinischen Post angekündigt, gemeinsam mit anderen Netzbetreibern an einem System zu arbeiten, das E-Mails innerhalb Deutschlands auch nur über inländische Knotenpunkte schickt. Ausländischen Geheimdiensten würde so der Zugriff auf E-Mails erschwert. Für den exportorientierten Mittelstand ist dies sicherlich nicht die Lösung – denn sobald eine E-Mail mit einem vertraulichen Dokument an ein Partnerunternehmen im Ausland verschickt wird, ist dieser nationale Schutzschirm unwirksam. Nicht zuletzt deswegen wurde die Verschlüsselung von Inhalten in den letzten Wochen vielerorts zum Allheilmittel erklärt, um das Mitlesen von E-Mails zu verhindern. Aber ist es das auch?

Zugegeben: Verschlüsselung ist ein essenzieller Baustein jedes Sicherheitskonzepts, zum Beispiel um Festplatten oder Logins vor Zugriffen Fremder zu sichern. Gerade im E-Mail-Verkehr baut man damit aber Hürden auf, die die eigene Arbeit womöglich stärker behindern, als Unternehmen lieb sein kann. Denn Verschlüsselung im E-Mail-Verkehr verlangsamt die Kommunikation und ist vor allem als unternehmensübergreifendes Konzept schwer praktikabel. Schließlich müssen beim verschlüsselten Versand per E-Mail Absender und Empfänger im Besitz des richtigen Schlüsselpaars sein. Das erfordert ein recht aufwändiges Schlüsselmanagement . Über die Sicherheit entscheidet also am langen Ende die Frage, wie lange das durchgehalten wird und wann die Bequemlichkeit siegt. Weitere Negativ-Faktoren sind sicherlich der zusätzlich entstehende Arbeitsaufwand und Zusatzkosten in nach oben offener Höhe. Zu guter Letzt gilt eine Warnung, die einige Geheimdienst-Experten zum Thema äußerten: Wer verschlüsselt, macht sich verdächtig. Und gerät dadurch erst so richtig ins Visier der Geheimdienste.

Wieviel E-Mail braucht der Mensch?

Zeit also, die E-Mails selbst auf den Prüfstand zu stellen. Laut einer Datev-Studie sind sie Sicherheitsleck Nummer Eins. Schwierig, in einer Zeit, in der mehr als 100 Milliarden geschäftlicher E-Mails pro Tag weltweit empfangen und versendet werden, zahllose davon mit vertraulichen Dokumenten im Anhang. Doch nur, weil es so viele gibt, heißt nicht, dass auch so viele nötig sind. Eine jüngste Umfrage von Loudhouse im Auftrag von Alfresco ergab, dass mehr als ein Drittel im eigenen Haus versendet wird. Mithilfe so genannter Enterprise Content Management Systeme (ECM) lässt es sich vermeiden, vertrauliche Informationen als Dokumentenanhang oder E-Mail-Text zu verschicken. Stattdessen wird lediglich ein Link versendet, der nur einem bestimmten, autorisierten Personenkreis den Zugriff ermöglicht, der jederzeit wieder entzogen werden kann. Das Dokument selbst liegt gut geschützt an zentraler Stelle hinter der Firewall. Für Dokumente, die mit externen Partnern, Beratern oder Dienstleistern geteilt werden müssen, ist es zudem möglich, Dokumente in einem geschützten Unternehmens-Cloud-Bereich abzulegen.

Die Zeit ist reif für neue Tools

Vorteil: Im Gegensatz zur E-Mail-Verschlüsselung bedeutet die Einführung eines ECM-Systems keine Verlangsamung und Effizienzminderung. Wie eine Forrester Studie belegt, kann es die Effizienz und Produktivität eines Unternehmens sogar signifikant erhöhen. Ganz nebenbei lösen sich mit einer fortschrittlichen ECM-Lösung noch viele andere Sicherheitsthemen in Luft auf. Etwa die Frage zum Umgang mit der „Bring Your Own Device“-Thematik und der damit verbundenen Nutzung privater Cloud-Apps, wie etwa Dropbox. Und die Übertragungen von Content aufs Smartphone oder den Tablet gehört damit ebenfalls zum Unternehmensalltag – geschützt durch einen relativ hohen, vom Unternehmen kontrollierten Sicherheitsstandard.

Software ohne Hintertür – Was ist noch wirklich sicher?

Kritische Leser werden auch das hinterfragen. Seit Bekanntwerden der Tatsache, dass in der Mehrzahl der amerikanischen Standardprodukte sehr wahrscheinlich eine Hintertür für die NSA eingebaut wurde, ist das Vertrauen in proprietäre Systeme geschwunden. Bleibt nur ein Ausweg, der unter Experten schon vor Snowden als die einzig verlässliche Sicherheitsstrategie galt: ein Open-Source-System. Denn Open Source ist transparent. Wegen des offenen Code werden eventuelle Schwachstellen schnell erkannt und publik. Die vielen Mitentwicklickler der Community durchleuchten den Code ständig, Sicherheitslücken werden in einschlägigen Foren besprochen und „gefixt“. Dies bestätigte auch vor kurzem eine Studie des BSI zur Sicherheit von Content Management Systemen.

Hürden hoch!

Am Ende ist es mit dem Schutz von Computersystemen und elektronischen Daten nicht anders, als mit dem Einbruchsschutz für ein Wohnhaus. Wer einbrechen will, schafft das auch – und das gilt erst Recht für die NSA mit ihrer enormen Brain- und Rechnerpower. Schließlich steht selbst der Kryptologie-Experte Bruce Schneier auf dem Standpunkt, dass die NSA jedes System knacken könne, wenn sie es nur wolle. Die Frage ist letztlich, ob wir das Eindringen so schwierig und aufwändig machen wie nur möglich, oder ob wir auch noch „die Haustür offen stehen lassen“ und förmlich zur Selbstbedienung einladen.