Wie funktioniert eigentlich Verschlüsselung?

Autor: Brigitta Strigl
Veröffentlicht am 11. April 2019

Keine Frage: Sicheres Kommunizieren – beispielsweise über einen Messenger – steht und fällt mit der Verschlüsselung. Aber wissen Sie eigentlich, wie Verschlüsselung funktioniert? Können Sie mit Begriffen wie „Ende-zu-Ende“ oder „Public Key“ konkret etwas anfangen? Keine Sorge – Sie müssen natürlich kein Experte sein, um die Kommunikation in Ihrem Unternehmen zu schützen, denn gute Kommunikationslösungen nehmen Ihnen all das ab. Nichtsdestotrotz ist es hilfreich, die Grundlagen zu kennen – schon allein um zu wissen, worauf es bei guten Kommunikationslösungen ankommt. Falls Sie sich also näher mit dem Thema beschäftigen möchten, wollen wir Ihnen mit diesem Artikel den Einstieg erleichtern.

Inhalt:

  1. Welche Verschlüsselungsarten gibt es?
  2. Auf welchen Ebenen muss verschlüsselt werden?
  3. Was wird in Zukunft wichtig?

1. Welche Verschlüsselungsarten gibt es?

Beim Verschlüsseln werden Daten, z. B. der Inhalt einer Nachricht, von „Klartext“ in unlesbaren „Geheimtext“ überführt. Damit soll sichergestellt werden, dass niemand außer dem Absender und dem Empfänger etwas mit der Nachricht anfangen kann. Sensible Unternehmensinterna werden so vor dem ungewollten Einblick Dritter geschützt. Damit jedoch der Empfänger die Daten wieder in Klartext umwandeln kann, muss er den entsprechenden Schlüssel besitzen – das kann z. B. ein Passwort sein oder eine vom System generierte Bitfolge, also letztlich eine sehr lange Zahl. Dabei gilt: Je länger die Bitanzahl, umso sicherer ist der Schlüssel. 

Falls Sie Sorge haben, dass Sie wichtige Nachrichten verpassen könnten: Kommunizieren Sie vorab mit Ihren Kollegen und im wichtigsten Umfeld, wie Sie Ihre Messenger-Kanäle benutzen. Dann werden Sie zum einen weniger Nachrichten außerhalb Ihrer eingeplanten „Medien-Zeiten“ bekommen und zum anderen wissen alle, dass Sie in Notfällen anders zu erreichen sind – beispielsweise über das Festnetz.

Symmetrische Verschlüsselung

Bei dieser Methode gibt es genau einen Schlüssel, der sowohl zum Ver- als auch zum Entschlüsseln verwendet wird. Nach diesem Prinzip werden z. B. Dateien auf der Festplatte verschlüsselt. Schwierig wird es, wenn die Daten an anderer Stelle entschlüsselt werden sollen, etwa beim Versand von Nachrichten. Dann muss natürlich auch der Schlüssel zum Empfänger gelangen, und zwar so, dass er unterwegs nicht in fremde Hände fallen kann. In Einzelfällen lässt sich der Schlüssel über einen separaten Kanal austauschen. Dann schicken Sie z. B. die verschlüsselte Datei per E-Mail und das als Schlüssel dienende Passwort per SMS. Bei der fortlaufenden Kommunikation, z. B. im Messenger, funktioniert das natürlich nicht mehr. Hier kommen dann meist asymmetrische Verfahren zum Einsatz.

Asymmetrische Verschlüsselung
Statt eines einzelnen Schlüssels für die zu schützenden Daten gibt es hier für jeden beteiligten Nutzer ein Schlüsselpaar: Der sogenannte „Public Key“, also der öffentliche Schlüssel, ist dafür gedacht, an andere Personen weitergegeben zu werden; mit ihm lassen sich Nachrichten, Dokumente und andere Daten für den betreffenden Nutzer verschlüsseln. Zum Entschlüsseln verwendet dieser dann seinen geheimen privaten Schlüssel (engl. „Private Key“). Beide Schlüssel werden meist im Hintergrund – also ohne Zutun des Nutzers – erzeugt und in der entsprechenden Anwendung auf dem Gerät gespeichert.

Hybride Verschlüsselung
Der Nachteil der asymmetrischen Methode: Sie ist deutlich langsamer als die symmetrische und daher für große Datenmengen nicht geeignet. Dann werden oft beide Varianten miteinander kombiniert. Dabei werden die zu schützenden Daten mit dem schnellen symmetrischen Verfahren verschlüsselt. Der Schlüssel, der dabei zum Einsatz kommt, wird dann nach der asymmetrischen Methode verschlüsselt, bevor er zum Empfänger geschickt wird.

2. Auf welchen Ebenen muss verschlüsselt werden?

Die beste Verschlüsselung nützt aber wenig, wenn sie nicht durchgängig ist und an irgendeiner Stelle vor, während oder nach dem Versand dann doch der Zugriff auf Klartextdaten möglich ist. Damit das nicht passiert, sollten Sie auf Lösungen setzen, deren Verschlüsselungskonzept mehrere Ebenen abdeckt:

  •  Inhalt (Ende-zu-Ende-Verschlüsselung)
    Ein wichtiger Baustein ist die Ende-zu-Ende-Verschlüsselung. Dabei werden die Inhaltsdaten beim Absender verschlüsselt und erst beim Empfänger wieder entschlüsselt. Auf dem Weg dahin liegen sie nirgends im Klartext vor – auch nicht bei der (Zwischen-)Speicherung auf fremden Servern, z. B. eines Cloud-Anbieters.
  • Versandkanal
    Neben den Inhaltsdaten fallen beim Nachrichtenversand auch immer diverse Metadaten an, z. B. Versanddatum und Uhrzeit, oder der Name bzw. eine ID des Kommunikationspartners. Auch solche Informationen können Außenstehenden, z. B. einem Angreifer, mehr verraten als einem lieb ist. Da diese Daten von der Ende-zu-Ende-Verschlüsselung nicht abgedeckt sind, sollte der Übertragungsweg selbst noch einmal zusätzlich verschlüsselt werden.
  • Endgerät
    Dank Verschlüsselung von Inhalt und Versandkanal kommt die Nachricht also sicher auf dem Gerät des Empfängers an. Doch was passiert dann? Für wirklich durchgängigen Schutz müssen die Daten auch dort verschlüsselt gespeichert werden. Liegen sie jedoch im Klartext vor, sind sie dem potenziellen Zugriff von Drittanwendungen ausgesetzt  oder können in fremde Hände fallen, wenn das Gerät verloren geht oder gestohlen wird.

3. Was wird in Zukunft wichtig?

Neben der Durchgängigkeit der Verschlüsselung kommt es aber auch auf die technische Umsetzung an. Zu den derzeit stärksten und daher empfohlenen Algorithmen zählen: 

  • AES (Advanced Encryption Standard)
    AES wurde im Jahr 2000 von der US-amerikanischen Standardisierungsbehörde “National Institute of Standards and Technology” (NIST) als Standard bekannt gegeben. Er kommt bei der symmetrischen Verschlüsselung zum Einsatz.
  • RSA 
    RSA ist ein asymmetrisches Verfahren, das Ende der 70er Jahre von Ron Rivest, Adi Shamir und Len Adleman am Massachusetts Institute of Technology (MIT entwickelt). Aus den Nachnamen der drei Erfinder leitet sich auch der Name „RSA“ ab.
  • ECC (Elliptic Curve Cryptography)
    Die Elliptic Curve Cryptography kommt ebenfalls bei asymmetrischer Verschlüsselung zum Einsatz. Das Konzept, Operationen auf elliptischen Kurven über endlichen Körpern zu verwenden, wurde Mitte der 80er Jahre von Victor S. Miller und Neal Koblitz unabhängig voneinander vorgeschlagen

Wie bei jeder Technologie hört natürlich auch bei der Verschlüsselung die Weiterentwicklung nie auf: Bei RSA etwa muss die Schlüssellänge kontinuierlich angepasst werden, um das Sicherheitsniveau zu halten. So empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI)  für den Zeitraum ab 2023 eine Schlüssellänge von etwa 3000 Bit, während vor einigen Jahren noch etwa 1000 Bit ausreichend war. Eine langfristige Strategie sind immer längere Schlüssel jedoch nicht, da diese – verglichen mit dem dafür nötigen Rechenaufwand – nur einen vergleichsweise kleinen Sicherheitsgewinn  bringen.

Bei ECC hängt die Schlüssellänge von der verwendeten Kurve ab. Derzeit übliche Kurven bieten laut BSI nur noch mittelfristig ausreichende Sicherheit, während neue und dadurch sichere Kurven erst aufwändig konstruiert und standardisiert werden. 

Langfristig werden jedoch ganz neue Verschlüsselungsalgorithmen nötig sein - insbesondere mit Blick auf die Entwicklung der Quantencomputer. Sie sind in der Lage, Berechnungen durchführen, die für traditionelle Computer zu komplex sind.  Analysten wie etwa Gartner gehen  daher davon aus, dass sich mit diesen Rechnern künftig auch die derzeit verwendeten Kryptosysteme überwinden lassen.  Bis dahin wird es aber noch eine ganze Weile dauern, denn momentan dienen Quantencomputer vorwiegend als Forschungsobjekte. Nichtsdestotrotz gilt es, die Entwicklung zu verfolgen und Antworten darauf zu finden. Gute Lösungen von hochspezialisierten Anbietern werden das auch tun – sodass Sie als Kunde auch in Zukunft kein Verschlüsselungsexperte werden müssen.