- Anzeigen -

Sie sind hier: Home » Markt » Interviews

Der Schlüssel zur sicheren Datenübertragung


Interview mit Marcel Mock, CTO und Mitbegründer von totemo: Das erforderliche Maß an Sicherheit kann nur eine Ende-zu-Ende-Verschlüsselung bieten
Leider hat sich für die Verschlüsselung bis heute kein allgemein gültiger Standard herauskristallisiert

Marcel Mock
Marcel Mock CTO und Mitbegründer des Schweizer Sicherheitsexperten totemo: "Thema ist hochkomplex, da neben nationalen Vorschriften auch Regelungen auf EU-Ebene existieren", Bild: totemo

(08.01.15) - Von kurzen Notizen bis hin zu geschäftskritischen Informationen mit vertraulichen Anhängen – alles wird heute via E-Mail versendet. Dennoch sind die Übertragungswege häufig nicht ausreichend vor unberechtigten Zugriffen geschützt. Warum das so ist und wie sich das mit Ende-zu-Ende Verschlüsselung mit vergleichsweise geringem Aufwand ändern ließe, erläutert Marcel Mock, CTO und Mitbegründer von totemo.

Compliance-Magazin: Stimmen Sie zu, dass ein Großteil der deutschen Unternehmen seinen E-Mail-Verkehr noch nicht ausreichend absichert?
Marcel Mock: Ja, das können wir aus unserer täglichen Praxis bestätigen. Zudem zeigen Initiativen wie die des Bayerischen Landesamtes für Datensicherheit, dass es durchaus noch Nachholbedarf gibt.

Compliance-Magazin: Was genau hat die bayerische Behörde geprüft?
Mock:
Das Amt hat bei über 2.200 Unternehmen aus allen Branchen mit einem automatisierten Verfahren das Sicherheitsniveau der genutzten Mailserver überprüft. Dabei wurde der Einsatz von Verschlüsselungsmöglichkeiten zum Schutz personenbezogener Daten unter die Lupe genommen. Das Ergebnis bestätigt, dass viele Unternehmen das Thema Sicherheit nicht wichtig genug nehmen: Bei über einem Drittel der geprüften Firmen gab es Beanstandungen. Es zeigte sich sogar, dass einige Mailserver noch die so genannte Heartbleed-Lücke aufweisen, obwohl diese bereits im April entdeckt wurde. Sie birgt die Gefahr, dass Unbefugte völlig unbemerkt via Internet Fragmente der E-Mail-Kommunikation abgreifen oder sogar den privaten Schlüssel auslesen können.

Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)

Compliance-Magazin: Müssen die Unternehmen, deren Mailserver bei der Überprüfung Sicherheitsmängel aufwiesen, mit weiteren Folgen rechnen?
Mock: Ja, in der Tat. Sie erhielten eine Aufforderung, die Sicherheitslücken zu schließen und sind verpflichtet, einen Fragebogen auszufüllen. Geschieht dies nicht innerhalb der gesetzten Frist, drohen tatsächlich Geldbußen von bis zu 50.000 Euro. Doch die Beanstandung seitens des Amtes ist sicherlich nicht das größte Problem an der Sache: Wenn Angreifer die Sicherheitslücken ausnutzen und vertrauliche Informationen abgreifen, dürfte das die Unternehmen deutlich teurer zu stehen kommen. Denn abgesehen vom Imageverlust kann dies den wirtschaftlichen Erfolg oder sogar ihre Wettbewerbsposition gefährden.

Compliance-Magazin: Betrachtet man das Risiko, ist es doch umso erstaunlicher, dass viele Unternehmen noch immer vor gezielten Sicherheitsmaßnahmen zurückschrecken. Woran liegt das?
Mock: In der Praxis stoßen wir auf unterschiedliche Begründungen. Generell lässt sich sagen, dass eingefahrene Kommunikationsprozesse nur ungerne umgestellt werden. Oft befürchten die Verantwortlichen, dass eine Umstellung mit großem zeitlichen und finanziellen Aufwand verbunden ist.

Compliance-Magazin: Wie sähe denn eine wirklich sichere Lösung aus?
Mock: Das erforderliche Maß an Sicherheit kann nur eine Ende-zu-Ende-Verschlüsselung bieten, da gibt es keine Alternative. Denn auch die zunehmende Mobilität der Mitarbeiter erfordert einen besonderen Schutz der Daten im E-Mail-Verkehr. Dieser ist nur dann gewährleistet, wenn ausschließlich Sender und Empfänger in der Lage sind, die Nachricht zu lesen.

Compliance-Magazin: An welcher Stelle müsste die Verschlüsselung sinnvollerweise erfolgen?
Mock: Um möglichst viele Gefahrenquellen auszuschließen, sollte die Verschlüsselung mit dem Versand einer Nachricht erfolgen. Denn die Gefahr beginnt nicht erst, wenn die E-Mails das Unternehmensnetz verlassen. Angriffe auf Firmendaten kommen auch von Mitarbeitern. Das kann unabsichtlich sein, beispielsweise durch Nachlässigkeit, aber auch vorsätzlich. Experten gehen von einer hohen Dunkelziffer aus.

Compliance-Magazin: Wie hoch ist der Aufwand tatsächlich, wenn sich ein Unternehmen für eine derartige Verschlüsselungslösung entscheidet?
Mock: Der Gesamtaufwand variiert und hängt ganz entscheidend vom jeweiligen Unternehmen ab. Faktoren, die dabei eine Rolle spielen sind unter anderem die speziellen Unternehmensanforderungen, die Unternehmensgröße sowie die vorhandene E-Mail-Infrastruktur. Man kann aber sagen, dass sich der Aufwand für die rein technische Installation mit etwa ein bis zwei Tagen in Grenzen hält, denn marktgängige Lösungen lassen sich inzwischen einfach in vorhandene Infrastruktur integrieren. Die Varianten reichen hier von Hardware- über Software- bis hin zu virtuellen Lösungen.

Compliance-Magazin: Wie finden Unternehmen heraus, welche für sie die passende Lösung ist?
Mock: Leider hat sich für die Verschlüsselung bis heute kein allgemein gültiger Standard herauskristallisiert. Es gibt mit PGP und S/MIME zwei Standards, die sich weltweit etabliert haben, bis heute aber beide nicht in der Breite eingesetzt werden. Zudem sind sie nicht miteinander kompatibel. Daher sollten sich Unternehmen für eine Lösung entscheiden, die beide Standards unterstützt und zudem alternative Technologien integriert, damit mit allen Partnern und Kunden problemlos kommuniziert werden kann. Außerdem ist es sehr wichtig, dass Unternehmen eine Lösung finden, die sich bestmöglich in die gewohnten Arbeitsabläufe der Mitarbeiter einfügt. Sicherheitslösungen finden nur dann Akzeptanz, wenn sie sich durch hohe Nutzerfreundlichkeit auszeichnen.

Compliance-Magazin: Gibt es gesetzliche Vorschriften in einigen Branchen und Ländern, die Unternehmen zu einer Ende-zu-Ende Verschlüsselung verpflichtet?
Mock: In der Tat, wobei Gesetze ja oft so formuliert sind, dass sie den Schutz bestimmter Daten vorschreiben, aber offen lassen, welche Maßnahmen dafür genau zu treffen sind beziehungsweise sich auf den "Stand der Technik" berufen. Das Bayerische Landesamt nennt das Bundesdatenschutzgesetz als rechtliche Grundlage für seine Prüfung und erwähnt auch explizit Ende-zu-Ende-Verschlüsselung als Maßnahme zum Schutz besonderer Personendaten wie Gesundheitsdaten. Dieses Thema ist hochkomplex, da neben nationalen Vorschriften auch Regelungen auf EU-Ebene existieren. Für das nächste Jahr ist eine wichtige Aktualisierung der EU-Regeln zum Datenschutz in den 28 Mitgliedsstaaten geplant. Zudem haben sich in verschiedenen Branchen Vorschriften etabliert, wie zum Beispiel HIPAA für die Gesundheitsbranche und PCI DSS in der Kreditkartenindustrie.

Compliance-Magazin: Wie sehen Sie die weitere Entwicklung, wird sich in Zukunft ein Verschlüsselungsstandard durchsetzen – und wird dies der Ende-zu-Ende Verschlüsselung zum Durchbruch verhelfen?
Mock: Gewisse Trends sind erkennbar, aber ich bezweifle, dass sich einer der oben genannten Standards vollständig durchsetzen wird, zumal die Situation allein durch die uneinheitliche Gesetzgebung von Land zu Land variieren kann. Dennoch sind sich immer mehr Unternehmen und auch Privatanwender der Bedrohung durch fehlende Verschlüsselung bewusst und daher bereit, in Zukunft entsprechende Maßnahmen zu ergreifen.

Kurzprofil Marcel Mock:
Marcel Mock ist Mitbegründer und CTO des Schweizer Sicherheitsspezialisten totemo. In dieser Funktion verantwortet er neben der Technologie- und Produkt-Strategie auch die strategischen Technologie-Partnerschaften. Davor war er als Head of Software Development bei der WebSemantix AG tätig. Zu seinen Aufgaben gehörte die Konzeption und Weiterentwicklung der Softwareprodukte. Bei IBM Deutschland sammelte er Erfahrungen als Consultant im Bereich objektorientierte Technologien. Marcel Mock besitzt einen BS in Wirtschaftsinformatik von der Staatlichen Studienakademie Glauchau.
(totemo: ra)

totemo: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Interviews

  • Missbrauch von Daten

    Im Zusammenhang mit den schwerwiegenden Datenschutzverletzungen insbesondere der letzten beiden Jahren stellen sich bei aller Verschiedenheit der Angriffe doch einige typische Fragen. David Lin von Varonis beantwortet sie.

  • Datenverarbeitung in den USA

    Der Europäische Gerichtshof hat in einem aktuellen Urteil festgestellt, dass das sog. Safe Harbor-Abkommen zwischen der EU und den USA ungültig ist. Das Safe Harbor-Abkommen war die wesentliche Grundlage, die es erlaubte, in der EU erhobene, personenbezogene Daten an Unternehmen in den USA zu transferieren. Dr. Fabian Niemann von der Kanzlei Bird&Bird erklärt in einem kurzen Interview mit artegic, was Unternehmen beachten müssen, die bisher Daten auf Grundlage von Safe Harbor in die USA transferiert haben.

  • Trade Compliance ist sehr rechtsbezogen

    Viele international tätige Großunternehmen stehen vor der Frage, welchem Unternehmensbereich (Recht, Finanzen, Supply-Chain-Management) sie das Thema "Trade Compliance" zuordnen können und wie sie Exportkontrollen am besten organisieren. Kai Schwab, Sales Director Germany, Amber Road, sprach darüber kürzlich mit Torsten Röser, Director Export Control & ECO, Infineon Technologies AG.

  • COBIT versteht sich als Integrator-Rahmenwerk

    COBIT hatte seinen Ursprung im Bereitstellen von Checklisten und Kontrollzielen für IT-Revisoren. Die IT-Prüfer und das IT-Management haben sich aber oft nicht wirklich verstanden, weil beide mit unterschiedlichen Begriffen und Vorgehensmodellen gearbeitet haben. ISACA, der Eigentümer und treibende Verein hinter COBIT, hat dies bereits seit der Version 3 erkannt und kontinuierlich versucht, die beiden Welten zusammenzuführen. Mit der Version 5 von COBIT hat man sich nun definitiv von Begriffen wie "Control Objectives" verabschiedet und ein ganzheitliches, ausgereiftes Governance- und Management-Framework bereitgestellt.

  • Der Schlüssel zur sicheren Datenübertragung

    Von kurzen Notizen bis hin zu geschäftskritischen Informationen mit vertraulichen Anhängen - alles wird heute via E-Mail versendet. Dennoch sind die Übertragungswege häufig nicht ausreichend vor unberechtigten Zugriffen geschützt. Warum das so ist und wie sich das mit Ende-zu-Ende Verschlüsselung mit vergleichsweise geringem Aufwand ändern ließe, erläutert Marcel Mock, CTO und Mitbegründer von totemo.