Sie sind hier: Home » Markt » Interviews

Der Schlüssel zur sicheren Datenübertragung


Interview mit Marcel Mock, CTO und Mitbegründer von totemo: Das erforderliche Maß an Sicherheit kann nur eine Ende-zu-Ende-Verschlüsselung bieten
Leider hat sich für die Verschlüsselung bis heute kein allgemein gültiger Standard herauskristallisiert

Marcel Mock
Marcel Mock CTO und Mitbegründer des Schweizer Sicherheitsexperten totemo: "Thema ist hochkomplex, da neben nationalen Vorschriften auch Regelungen auf EU-Ebene existieren", Bild: totemo

(08.01.15) - Von kurzen Notizen bis hin zu geschäftskritischen Informationen mit vertraulichen Anhängen – alles wird heute via E-Mail versendet. Dennoch sind die Übertragungswege häufig nicht ausreichend vor unberechtigten Zugriffen geschützt. Warum das so ist und wie sich das mit Ende-zu-Ende Verschlüsselung mit vergleichsweise geringem Aufwand ändern ließe, erläutert Marcel Mock, CTO und Mitbegründer von totemo.

Compliance-Magazin: Stimmen Sie zu, dass ein Großteil der deutschen Unternehmen seinen E-Mail-Verkehr noch nicht ausreichend absichert?
Marcel Mock: Ja, das können wir aus unserer täglichen Praxis bestätigen. Zudem zeigen Initiativen wie die des Bayerischen Landesamtes für Datensicherheit, dass es durchaus noch Nachholbedarf gibt.

Compliance-Magazin: Was genau hat die bayerische Behörde geprüft?
Mock:
Das Amt hat bei über 2.200 Unternehmen aus allen Branchen mit einem automatisierten Verfahren das Sicherheitsniveau der genutzten Mailserver überprüft. Dabei wurde der Einsatz von Verschlüsselungsmöglichkeiten zum Schutz personenbezogener Daten unter die Lupe genommen. Das Ergebnis bestätigt, dass viele Unternehmen das Thema Sicherheit nicht wichtig genug nehmen: Bei über einem Drittel der geprüften Firmen gab es Beanstandungen. Es zeigte sich sogar, dass einige Mailserver noch die so genannte Heartbleed-Lücke aufweisen, obwohl diese bereits im April entdeckt wurde. Sie birgt die Gefahr, dass Unbefugte völlig unbemerkt via Internet Fragmente der E-Mail-Kommunikation abgreifen oder sogar den privaten Schlüssel auslesen können.

Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)

Compliance-Magazin: Müssen die Unternehmen, deren Mailserver bei der Überprüfung Sicherheitsmängel aufwiesen, mit weiteren Folgen rechnen?
Mock: Ja, in der Tat. Sie erhielten eine Aufforderung, die Sicherheitslücken zu schließen und sind verpflichtet, einen Fragebogen auszufüllen. Geschieht dies nicht innerhalb der gesetzten Frist, drohen tatsächlich Geldbußen von bis zu 50.000 Euro. Doch die Beanstandung seitens des Amtes ist sicherlich nicht das größte Problem an der Sache: Wenn Angreifer die Sicherheitslücken ausnutzen und vertrauliche Informationen abgreifen, dürfte das die Unternehmen deutlich teurer zu stehen kommen. Denn abgesehen vom Imageverlust kann dies den wirtschaftlichen Erfolg oder sogar ihre Wettbewerbsposition gefährden.

Compliance-Magazin: Betrachtet man das Risiko, ist es doch umso erstaunlicher, dass viele Unternehmen noch immer vor gezielten Sicherheitsmaßnahmen zurückschrecken. Woran liegt das?
Mock: In der Praxis stoßen wir auf unterschiedliche Begründungen. Generell lässt sich sagen, dass eingefahrene Kommunikationsprozesse nur ungerne umgestellt werden. Oft befürchten die Verantwortlichen, dass eine Umstellung mit großem zeitlichen und finanziellen Aufwand verbunden ist.

Compliance-Magazin: Wie sähe denn eine wirklich sichere Lösung aus?
Mock: Das erforderliche Maß an Sicherheit kann nur eine Ende-zu-Ende-Verschlüsselung bieten, da gibt es keine Alternative. Denn auch die zunehmende Mobilität der Mitarbeiter erfordert einen besonderen Schutz der Daten im E-Mail-Verkehr. Dieser ist nur dann gewährleistet, wenn ausschließlich Sender und Empfänger in der Lage sind, die Nachricht zu lesen.

Compliance-Magazin: An welcher Stelle müsste die Verschlüsselung sinnvollerweise erfolgen?
Mock: Um möglichst viele Gefahrenquellen auszuschließen, sollte die Verschlüsselung mit dem Versand einer Nachricht erfolgen. Denn die Gefahr beginnt nicht erst, wenn die E-Mails das Unternehmensnetz verlassen. Angriffe auf Firmendaten kommen auch von Mitarbeitern. Das kann unabsichtlich sein, beispielsweise durch Nachlässigkeit, aber auch vorsätzlich. Experten gehen von einer hohen Dunkelziffer aus.

Compliance-Magazin: Wie hoch ist der Aufwand tatsächlich, wenn sich ein Unternehmen für eine derartige Verschlüsselungslösung entscheidet?
Mock: Der Gesamtaufwand variiert und hängt ganz entscheidend vom jeweiligen Unternehmen ab. Faktoren, die dabei eine Rolle spielen sind unter anderem die speziellen Unternehmensanforderungen, die Unternehmensgröße sowie die vorhandene E-Mail-Infrastruktur. Man kann aber sagen, dass sich der Aufwand für die rein technische Installation mit etwa ein bis zwei Tagen in Grenzen hält, denn marktgängige Lösungen lassen sich inzwischen einfach in vorhandene Infrastruktur integrieren. Die Varianten reichen hier von Hardware- über Software- bis hin zu virtuellen Lösungen.

Compliance-Magazin: Wie finden Unternehmen heraus, welche für sie die passende Lösung ist?
Mock: Leider hat sich für die Verschlüsselung bis heute kein allgemein gültiger Standard herauskristallisiert. Es gibt mit PGP und S/MIME zwei Standards, die sich weltweit etabliert haben, bis heute aber beide nicht in der Breite eingesetzt werden. Zudem sind sie nicht miteinander kompatibel. Daher sollten sich Unternehmen für eine Lösung entscheiden, die beide Standards unterstützt und zudem alternative Technologien integriert, damit mit allen Partnern und Kunden problemlos kommuniziert werden kann. Außerdem ist es sehr wichtig, dass Unternehmen eine Lösung finden, die sich bestmöglich in die gewohnten Arbeitsabläufe der Mitarbeiter einfügt. Sicherheitslösungen finden nur dann Akzeptanz, wenn sie sich durch hohe Nutzerfreundlichkeit auszeichnen.

Compliance-Magazin: Gibt es gesetzliche Vorschriften in einigen Branchen und Ländern, die Unternehmen zu einer Ende-zu-Ende Verschlüsselung verpflichtet?
Mock: In der Tat, wobei Gesetze ja oft so formuliert sind, dass sie den Schutz bestimmter Daten vorschreiben, aber offen lassen, welche Maßnahmen dafür genau zu treffen sind beziehungsweise sich auf den "Stand der Technik" berufen. Das Bayerische Landesamt nennt das Bundesdatenschutzgesetz als rechtliche Grundlage für seine Prüfung und erwähnt auch explizit Ende-zu-Ende-Verschlüsselung als Maßnahme zum Schutz besonderer Personendaten wie Gesundheitsdaten. Dieses Thema ist hochkomplex, da neben nationalen Vorschriften auch Regelungen auf EU-Ebene existieren. Für das nächste Jahr ist eine wichtige Aktualisierung der EU-Regeln zum Datenschutz in den 28 Mitgliedsstaaten geplant. Zudem haben sich in verschiedenen Branchen Vorschriften etabliert, wie zum Beispiel HIPAA für die Gesundheitsbranche und PCI DSS in der Kreditkartenindustrie.

Compliance-Magazin: Wie sehen Sie die weitere Entwicklung, wird sich in Zukunft ein Verschlüsselungsstandard durchsetzen – und wird dies der Ende-zu-Ende Verschlüsselung zum Durchbruch verhelfen?
Mock: Gewisse Trends sind erkennbar, aber ich bezweifle, dass sich einer der oben genannten Standards vollständig durchsetzen wird, zumal die Situation allein durch die uneinheitliche Gesetzgebung von Land zu Land variieren kann. Dennoch sind sich immer mehr Unternehmen und auch Privatanwender der Bedrohung durch fehlende Verschlüsselung bewusst und daher bereit, in Zukunft entsprechende Maßnahmen zu ergreifen.

Kurzprofil Marcel Mock:
Marcel Mock ist Mitbegründer und CTO des Schweizer Sicherheitsspezialisten totemo. In dieser Funktion verantwortet er neben der Technologie- und Produkt-Strategie auch die strategischen Technologie-Partnerschaften. Davor war er als Head of Software Development bei der WebSemantix AG tätig. Zu seinen Aufgaben gehörte die Konzeption und Weiterentwicklung der Softwareprodukte. Bei IBM Deutschland sammelte er Erfahrungen als Consultant im Bereich objektorientierte Technologien. Marcel Mock besitzt einen BS in Wirtschaftsinformatik von der Staatlichen Studienakademie Glauchau.
(totemo: ra)

totemo: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Interviews

  • Elektronischer Rechnungsaustausch

    Die Experten Prof. Dr. Georg Rainer Hofmann vom eco - Verband der Internetwirtschaft e.V., Stefan Groß vom VeR, Verband elektronische Rechnung sowie Ha Doan von Comarch diskutieren Status und Entwicklung der elektronischen Rechnung. Sie alle sind beim Impulstag Digitalisierung am 25.06. in Garching vor Ort und werden dort mit Mirjana Stanisic-Petrovic vom Fraunhofer IAO umfangreiche Einblicke in ihre Erfahrungen geben.

  • Test auf das Down-Syndrom

    Der Theologe und Vorsitzende des Ethikrates, Peter Dabrock, befürwortet die kostenlose Abgabe eines Bluttests zur Früherkennung der Trisomie 21 bei schwangeren Frauen. Angesichts der Rechtslage und im Vergleich zu dem, was schon bezahlt werde, sehe er keinen Grund dafür, weshalb die Gesetzliche Krankenversicherung (GKV) diesen Test auf das Down-Syndrom bei Risikoschwangerschaften nicht bezahlen sollte, sagte Dabrock der Wochenzeitung "Das Parlament" (Montagausgabe). Der Wissenschaftler von der Friedrich-Alexander-Universität Erlangen-Nürnberg geht nicht davon aus, dass mit der kostenlosen Abgabe eines solchen Tests die Zahl der Schwangerschaftsabbrüche stark steigt. Er sagte: "Wir haben jetzt schon eine sehr hohe Zahl an Abbrüchen nach identifizierter Trisomie 21. Die würde vielleicht noch etwas steigen, aber es würde nicht auf ein Vielfaches hochschnellen mit der Neuregelung." Was die Spätabtreibungen betreffe, dürften die Zahlen eher rückläufig sein. Dabrock betonte: "So zu tun, als würde mit dem nichtinvasiven Test ein Damm gebrochen oder eine Grenze überschritten, das trifft einfach nicht zu."

  • Gut für Anwälte, schlecht für Anwender

    Das Bundeskabinett hat einen Gesetzentwurf zum Datenschutz beschlossen. Das geplante Ausführungs- bzw. Anpassungsgesetz soll die ab Mai 2018 geltende EU-Datenschutz-Grundverordnung (DSGVO) in nationales Recht umsetzen. Im Folgenden bewerten und erläutern drei Experten den Gesetzentwurf: Dr. Stefan Brink: Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg; Mitherausgeber eines der führenden Datenschutzkommentare in Deutschland, Jan Philipp Albrecht: Mitglied des Europaparlaments; Berichterstatter des EU-Parlaments für die DSGVO-Gesetzgebungsverfahren, und Tim Wybitul: Partner der Wirtschaftskanzlei Hogan Lovells; JUVE führt ihn als einen der führenden deutschen Rechtsanwälte im Datenschutz; Herausgeber der Zeitschrift für Datenschutz (ZD) und Autor des Praxisleitfadens EU-Datenschutz-Grundverordnung im Unternehmen. Die Fragen stellte Peter Herkenhoff, Corporate Communications Manager bei Hogan Lovells in Düsseldorf.

  • Forderungsmanagement: Aufgabe für die Kommune

    Kirsten Pedd, Präsidentin des Bundesverbands Deutscher Inkasso-Unternehmen (BDIU), kritisiert in einem Interview die schlechte Zahlungsmoral der öffentlichen Hand. Pedd sagt: "Kommunale Forderungen werden zu fast 90 Prozent vollständig und pünktlich beglichen. Die 10 Prozent, bei denen das nicht der Fall ist, bereiten aber Probleme."

  • Missbrauch von Daten

    Im Zusammenhang mit den schwerwiegenden Datenschutzverletzungen insbesondere der letzten beiden Jahren stellen sich bei aller Verschiedenheit der Angriffe doch einige typische Fragen. David Lin von Varonis beantwortet sie.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen