IT-Sicherheitsbewertung: Das sind die sichersten Verschlüsselungstechnologien

Verschlüsselungstechnologien sind die heimlichen Helden der Informationssicherheit. Sie spielen eine Schlüsselrolle bei der Wahrung der Datenvertraulichkeit und bieten dadurch einen effektiven Schutz vor Datenklau. Allerdings bieten nicht alle auf dem Markt verfügbaren Technologien dieselbe Sicherheit. Während einige bereits kompromittiert wurden, sind andere kurz davor, als unsicher eingestuft zu werden. Das RD-Redaktionsteam präsentiert Ihnen die derzeit sichersten Verschlüsselungstechnologien. In diesem Artikel finden Sie neben den Tipps der RD-Redaktion auch Erfahrungswerte echter Datenforensiker.

Verschlüsselungstechnologien begegnen uns täglich

Durch Verschlüsselungstechnologie werden Daten in eine unverständliche Form umgewandelt, um sie für Systeme von unbefugten Personen unlesbar zu machen. 

Ein Beispiel:

Der Satz "Ich liebe Schokolade." soll mit einer einfachen Verschlüsselungstechnologie verschlüsselt werden. Eine sehr einfache Methode könnte sein, jeden Buchstaben im Satz durch einen anderen zu ersetzen. Zum Beispiel wird jeder Buchstabe durch den Buchstaben, der im Alphabet direkt nach ihm kommt, ersetzt. Aus 'I' wird ein 'J', aus 'c' ein 'd', und so weiter. Nach dieser Methode würde aus "Ich liebe Schokolade" die Verschlüsselung "Jdi mjcwf Tdipplbemf." werden. Nur wer weiß, wie die Buchstaben verschoben wurden, kann den ursprünglichen Satz wiederherstellen. Das ist die Grundidee der Verschlüsselung: Daten so umzuwandeln, dass nur bestimmte Personen sie verstehen können.

Je nachdem, welche Sicherheitsziele man verfolgt, können auch verschiedene Elemente verschlüsselt werden. Es ist möglich, einzelne Dateien, bestimmte Laufwerke, Anwendungen oder ganze Netzwerke zu verschlüsseln.

Mit einigen Verschlüsselungstechnologien kommen wir täglich in Kontakt, oft ohne es bewusst zu bemerken. Wenn wir im Web surfen, nutzen wir eine Technologie, um die Kommunikation zwischen dem eigenen Browser und der Website zu verschlüsseln (SSL/TLS). Viele Messaging-Apps wie WhatsApp oder Signal verwenden eine Verschlüsselung, um sicherzustellen, dass nur die jeweiligen Kommunikationspartner die Nachrichten lesen können. Und bei Online-Zahlungsplattformen nutzen wir Verschlüsselung, um finanzielle Transaktionen sicher durchzuführen.

Verschlüsselbare Elemente

Dateien, Laufwerke, Anwendungen oder Hardware verschlüsseln: Unterschiedliche Technologien für spezifische Anforderungen

Bevor eine Bewertung der Sicherheit verschiedener Verschlüsselungsalgorithmen erfolgen kann, ist es zunächst notwendig, die am Markt verfügbaren Technologien eingehend zu betrachten. ​​Hierzu identifiziert dieser Artikel zunächst die verschiedenen Elemente eines Computers, die einer Verschlüsselung unterzogen werden können.

Die verschlüsselbaren Elemente können in vier Kategorien unterteilt werden: 

  1. Dateien
  2. Laufwerke
  3. Anwendungen
  4. Hardware

Die Verschlüsselung von Dateien, Laufwerken und Anwendungen übernimmt eine Software. Die Hardwareverschlüsselung hingegen findet direkt auf dem physischen Gerät, beispielsweise auf einem Sicherheitschip oder einer Festplatte, statt.

1. Dateienverschlüsselung: Ordner und einzelne Dateien schützen

Eine Dateienverschlüsselung ist immer dann sinnvoll, wenn bestimmte Dateien oder Ordner mit sensiblen Informationen vor unbefugtem Zugriff geschützt werden sollen.

2. Laufwerkverschlüsselung: Schützt das gesamte System

Soll die gesamte Festplatte geschützt werden, ist die Laufwerk- bzw. Festplattenverschlüsselung das Instrument der Wahl. Diese Art der Verschlüsselung schützt das gesamte Speichermedium. Das bedeutet, dass alle Daten, die auf der Festplatte gespeichert sind (Betriebssystem, Anwendungen, Dateien) verschlüsselt werden. 

Tipp der Redaktion: Wenn es um den Schutz sensibler Informationen geht, sollte die Sicherheit Ihrer Daten sowohl auf Datei- als auch auf Laufwerksebene gewährleistet werden. 

Laufwerkverschlüsselung ist ein wichtiges Tool für mobile Geräte, die häufiger verloren gehen oder gestohlen werden können. Sie bietet aber auch eine wichtige Schutzebene für Desktop-Computer und Server.

3. Anwendungsdatenverschlüsselung: Vertraulichkeit für Anwendungen und Kommunikation

Jede Anwendung, die sensible oder vertrauliche Informationen speichert, stellt ein Sicherheitsrisiko dar. Auf Anwendungen befinden sich Passwörter, auf Banking-Apps liegen Finanzdaten und in Buchhaltungssystemen werden geschäftskritische Informationen archiviert. Messaging-Apps wie WhatsApp oder Zoom enthalten Daten über den Austausch von vertraulichen Informationen. Deshalb sind all diese Anwendungen und Apps standardmäßig mit einer Anwendungsdatenverschlüsselung ausgestattet.

Info: Nur allein auf die standardmäßige Verschlüsselung sollte man sich jedoch nicht verlassen. Besser ist es, proaktiv eigene Maßnahmen zur Verschlüsselung von Anwendungen zu ergreifen.

4. Hardwareverschlüsselung

Im Gegensatz zur Softwareverschlüsselung erfolgt die Hardwareverschlüsselung auf dedizierten Hardware-Chips oder Prozessoren.

Beispiele für Hardwareverschlüsselung sind Selbstverschlüsselnde Festplatten (SEDs), Hardware-Sicherheitsmodule (HSMs), Secure Enclaves in Mobilgeräten und Hardwarebeschleuniger für Verschlüsselung in Netzwerkgeräten.

Das könnte Sie auch interessieren: Crypto mit AES Verschlüsselung von Integral - Der USB-Stick, der sich selbst zerstört 

Tipp der Redaktion: Die alleinige Hardwareverschlüsselung eignet sich in Szenarien, in denen es darum geht, die begrenzten Rechenressourcen eines Geräts zu schonen; sprich, um keine Beeinträchtigung der Systemperformance zu verursachen. Muss schnell auf neue Cybersecurity-Bedrohungen reagiert werden oder sind regelmäßige Anpassungen an Compliance-Anforderungen erforderlich, ist die Hardwareverschlüsselung jedoch nicht ideal. In vielen Fällen ist eine Kombination aus Hardware- und Softwareverschlüsselung die beste Lösung, um die spezifischen Anforderungen zu erfüllen.

Sicherheitsbewertung: Wie sicher sind welche Verschlüsselungsarten?

Die sichersten Verschüsselungstechnologien

Nicht alle Verschlüsselungstechnologien bieten den gleichen Grad an Sicherheit. Während einige als nahezu "unknackbar" gelten, sind andere anfällig für Bedrohungen und können durch erfahrene Hacker entschlüsselt werden. 

AES (Rijndael): Das Maß aller Dinge

Aktuell arbeiten die meisten Verschlüsselungstechnologien mit Algorithmen wie AES, Serpent, RC6, Twofish oder MARS, wobei AES zu den am meistgenutzten und sichersten Verschlüsselungsverfahren zählt. Das liegt daran, dass dieser Verschlüsselungsalgorithmus vom NIST (National Institute of Standards and Technology) als Verschlüsselungsstandard ermittelt wurde.

Info: Der Name des Algorithmus ist Rijndael. Rijndael wurde später zum Advanced Encryption Standard (AES).

In mehreren Ländern wird AES sogar für Regierungsdokumente der höchsten Geheimhaltungsstufe verwendet. Auch Banken und High-Security Systeme verlassen sich auf AES. Dabei gilt: Je länger der Schlüssel, desto sicherer die Verschlüsselung.

Experten-Empfehlung: “Ich empfehle Verschlüsselungsalgorithmen wie AES mit einer Schlüssellänge von 256-Bit. Diese sind weit verbreitet und gelten als sehr sicher. Für die Verschlüsselung von E-Mails bietet sich PGP (Pretty Good Privacy) an.”

Johannes Hoffmeister, DATA REVERSE® Techniker

Ein langer Schlüssel verlangsamt aber auch das System. Deshalb ist es nicht immer die beste Lösung, sich für den längsten Schlüssel, AES-256, zu entscheiden. Für Privatpersonen ist dies in den meisten Fällen auch nicht notwendig. Auch AES mit 128-Bit gilt nach wie vor als ungebrochen. Der Vorteil ist, dass diese Schlüssellänge das System nicht zu sehr belastet und alle Anwendungen flüssig ausgeführt werden können. 

Tipp der Redaktion: Für Unternehmen, die ihre Mitarbeiter auf ungeschützten Notebooks arbeiten lassen, empfehlen wir, zumindest Windows BitLocker oder macOS FileVault zum Unternehmensstandard zu erklären. Beide Verschlüsselungssysteme arbeiten mit AES, sind standardmäßig in die Betriebssysteme integriert und verursachen somit keine separaten Kosten. 

Eine beliebte Verschlüsselungssoftware, die AES verwendet, ist VeraCrypt. Dabei handelt es sich um Freeware, die Festplatten, SSDs, USB-Sticks und SD-Karten verschlüsselt. Das Tool verwendet noch mehrere Algorithmen, darunter zum Beispiel Twofish und Serpent.

Info: Algorithmen mit langen Schlüsseln (z.B. 256-Bit) gelten als hochsicher.

VeraCrypt kann sowohl zur Verschlüsselung von Dateien als auch von kompletten Laufwerken verwendet werden.

Tipp der Redaktion: Für Privatpersonen empfehlen wir Verschlüsselungssysteme, die mit 128-Bit AES ausgestattet sind. Diese gelten als ungebrochen. AES mit 256-Bit ist nicht in allen Fällen ein Sicherheitszugewinn, insbesondere nicht im Privatbereich. Der lange Schlüssel führt gerade hier mit hoher Wahrscheinlichkeit zu einer verringerten Systemleistung. Soll die Sicherheit weiter erhöht werden, empfehlen wir, eine hybride Technologie zu wählen, die mit mehreren unterschiedlichen Algorithmen (z.B. AES und SHA-512) ausgestattet ist. Zwar ist auch hier mit Einbußen bei der Performance zu rechnen, aber nicht in demselben Maß wie bei einem Algorithmus mit sehr langem Schlüssel.

Serpent: Eine gute Alternative zu AES

Serpent ist, wie auch AES, ein symmetrischer Verschlüsselungsalgorithmus. Er gilt als ungebrochen und damit als hochsicher. Der Algorithmus kann als eine gute Alternative zu AES angesehen werden. Er arbeitet mit den aktuell als hochsicher geltenden Schlüssellängen 128-Bit, 192-Bit und 256-Bit.

Info: Die hybride Verschlüsselungssoftware VeraCrypt verwendet neben anderen auch Serpent als Verschlüsselungsalgorithmus. Das kostenlose Tool kann sowohl zur Dateienverschlüsselung als auch zur Verschlüsselung kompletter Festplatten verwendet werden.

Twofish: Ein würdiger Konkurrent

Twofish, der Nachfolger von Blowfish, ist ein symmetrischer Verschlüsselungsalgorithmus, der die Schlüssellängen von 128-Bit, 192-Bit und 256-Bit unterstützt. Der Algorithmus wurde so entwickelt, dass es sowohl in Hardware- als auch in Software-Umgebungen effizient implementiert werden kann. Twofish gilt als hochsicher und wird in vielen Sicherheitsprodukten verwendet. Es hat sich als eine solide Wahl für die Verschlüsselung von Daten in verschiedenen Umgebungen erwiesen und kann als gute Alternative zu AES angesehen werden.

Info: VeraCrypt kann wahlweise auch mit Twofish vor dem Zugriff unbefugter Dritter schützen.

RC6: “Angemessen sicher”

RC6 (Rivest Cipher 6) ist ein weiterer symmetrischer Verschlüsselungsalgorithmus, der neben 128-Bit, 192-Bit und 256-Bit noch weitere Verschlüsselungslängen unterstützt. Der Algorithmus gilt in der kryptografischen Forschung als angemessen sicher. Das Verfahren wird nur in wenigen kommerziellen Produkten genutzt. 

Info: Besonders bekannt ist RC6 im Zusammenhang mit dem Open-Source-Betriebssystem FreeBSD. Das Betriebssystem, das an Linux erinnert, bietet Unterstützung für verschiedene Verschlüsselungsalgorithmen und -technologien, welches auch RC6 einschließt. 

MARS: Hochsicher, dennoch wenig verbreitet

MARS ist ein von IBM entwickelter Verschlüsselungsalgorithmus. Er gilt als hochsicher, wurde jedoch wegen seiner Komplexität kritisiert, die eine Sicherheitsanalyse erschwert. MARS bietet variable Schlüssellängen bis zu 448-Bit.

Info: Die Freeware SecureTask für Windows verschlüsselt Dateien mithilfe mehrerer Verschlüsselungsalgorithmen, darunter auch mit MARS (448-Bit).

How to: Praktische Anwendung der Verschlüsselung

Verschlüsselung optimal verwalten

Auch die beste Methode nützt wenig, wenn man sie nicht korrekt anwendet. Eine unsachgemäße Schlüsselverwaltung, unzureichende Software-Updates oder ein fehlender Malware-Schutz können die Sicherheit beeinträchtigen.

Eine sachgemäße Schlüsselverwaltung besteht aus:

  1. einer zentralen Verwaltung
  2. einer regelmäßigen Änderung der Schlüssel (wöchentlich, monatlich, jährlich) 
  3. einer wiederkehrenden Zugriffskontrolle
  4. regelmäßigen Backups der Schlüssel
  5. einer Vernichtung der nicht mehr benötigten Schlüssel

Für Branchen mit hohem Datenschutzbedarf (z.B.: Finanzdienstleistungen, Gesundheitswesen, E-Commerce, Telekommunikation, Energieversorgung) empfiehlt sich die Rotation der Schlüssel im 90-Tage-Rhythmus. Dies gilt für Authentifizierungsschlüssel, API-Zugriffsschlüssel, Benutzerpasswörter und alle anderen sensiblen Zugriffscredentials, die regelmäßigen Zugriff auf kritische Systeme und Daten ermöglichen. Für Privatpersonen hingegen ist eine halbjährliche Aktualisierung der Schlüssel ausreichend.

Empfehlung vom Experten: “Ein Security Information and Event Management (SIEM) ist für Unternehmen das Mittel der Wahl. Sie ermöglichen die Auswertung aller sicherheitsrelevanten Informationen, die dann auf verschiedene operative Ebenen übertragen werden können. Als Datenforensiker sind wir nicht auf das Betreiben von SIEM Lösungen spezialisiert und ziehen daher selbst Experten aus unserem Netzwerk, wie beispielsweise von der kiwiko eG, hinzu.”

Jan Bindig, DATA REVERSE® Geschäftsführer

Qualität vor Quantität: Das richtige Maß an Verschlüsselung finden

Ein “zu viel” an Verschlüsselung ist nicht vorteilhaft. Die Aussage "Je mehr Verschlüsselungen, desto sicherer" ist nicht korrekt. Die Sicherheit hängt nämlich nicht von der Anzahl der eingesetzten Verschlüsselungsschichten ab, sondern von der Qualität der Verschlüsselung, der korrekten Konfiguration und der effektiven Verwaltung der Verschlüsselungsschlüssel.

Die Aussage "Je mehr Verschlüsselungen,

desto sicherer" ist nicht korrekt.

Eine übermäßige Verschlüsselung beeinträchtigt nicht nur die Systemleistung - jede Schicht der Verschlüsselung kann auch einen potenziellen Schwachpunkt darstellen. Es ist die richtige Balance zwischen Sicherheit und Benutzerfreundlichkeit, die darüber entscheidet, ob ein Verschlüsselungssystem in der Praxis tatsächlich funktionsfähig ist.

Ein Blick in die Zukunft

Die zukünftige Herausforderung heißt “quantensichere Verschlüsselung”

In naher Zukunft werden die aktuellen kryptografischen Verschlüsselungsalgorithmen ihre Effektivität verlieren. Die mathematischen Grundlagen, auf denen unsere derzeitigen Verschlüsselungen beruhen, können von Quantencomputern viel schneller gelöst werden als von herkömmlichen Computern. Mit dem Fortschreiten der Quantencomputing-Technologie werden wir daher neue Algorithmen benötigen, um uns effektiv vor Hacking zu schützen.

Um auf diese Herausforderung vorbereitet zu sein, wird intensiv an quantensicheren Verschlüsselungstechnologien gearbeitet. Die Entwicklung auf diesem Gebiet ist in vollem Gange. Verschiedene Ansätze bieten vielversprechende Lösungen, darunter die Lattice-basierte Kryptografie, die Multivariaten Polynomials und die Quantum Key Distribution (QKD). Auch die Hash-basierte Verschlüsselung (OTS) wird als potenziell quantenresistent angesehen.


Über die Mitwirkenden: Dieser Artikel ist eine gemeinsame Arbeit unseres RD-Redaktionsteams und renommierter Datenforensiker. Die Ratschläge und Empfehlungen dieser Experten sind im Text entsprechend gekennzeichnet.

Hinweis: Dieser Artikel dient ausschließlich zu Informationszwecken. Während wir uns bemühen, aktuell und genau zu bleiben, können sich Technologien und Standards schnell ändern. Wir empfehlen, sich regelmäßig über neue Entwicklungen in der Verschlüsselungstechnologie zu informieren.

Folgen Sie uns: Bleiben Sie auf dem Laufenden und folgen Sie uns auf unseren Social-Media-Kanälen für die neuesten Updates und Einblicke in die Welt der Datenrettung.

Über die/den Autor/in: Redaktion

Klicken Sie auf den unteren Button, um das Autorenprofilbild von Gravatar zu laden.

Inhalt laden