Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > AES-256-Verschlüsselung reicht nicht aus: Warum Unternehmen für Dateisicherheit mehrschichtigen Schutz benötigen

AES-256-Verschlüsselung reicht nicht aus: Warum Unternehmen für Dateisicherheit mehrschichtigen Schutz benötigen

von Bob Ertl updated November 21, 2025 Sicheres Filesharing
Lesezeit: 12 Minuten

AES-256-Verschlüsselung schützt Dateien, die auf Servern und in Datenbanken gespeichert sind, indem sie Daten in unleserlichen Geheimtext umwandelt. Allerdings existieren Daten während ihres Lebenszyklus in drei unterschiedlichen Zuständen: im ruhenden Zustand, während der Übertragung und in der Nutzung. Jeder Zustand erfordert spezielle Verschlüsselungstechnologien, um den Schutz zu gewährleisten. Ohne Verschlüsselung in allen drei Zuständen sind vertrauliche Daten während Transfers zwischen Systemen, bei der Verarbeitung im Anwendungsspeicher oder bei unsicherer Speicherung von Verschlüsselungsschlüsseln angreifbar.

In diesem Beitrag beleuchten wir alle drei Verschlüsselungsarten, um besser zu verstehen, wie sie sich unterscheiden und warum sie alle entscheidend sind, um Ihre vertraulichen Daten zu schützen – unabhängig davon, wo sie gespeichert werden, mit wem sie geteilt werden oder wie sie genutzt werden.

Was sind die wichtigsten Use Cases für sicheres Filesharing in verschiedenen Branchen?

Jetzt lesen

Executive Summary

Kernaussage: AES-256-Verschlüsselung schützt Daten im ruhenden Zustand, lässt sie jedoch ohne zusätzliche Verschlüsselungstechnologien während der Übertragung, der aktiven Verarbeitung und im gesamten Lebenszyklus der Verschlüsselungsschlüssel angreifbar.

Warum ist das wichtig? Unternehmen, die ausschließlich Daten im ruhenden Zustand verschlüsseln, setzen vertrauliche Dateien dem Risiko der Abfangung bei Transfers, der Kompromittierung während der Verarbeitung und dem Diebstahl durch unsichere Schlüsselaufbewahrung aus – selbst wenn die Dateien auf dem Datenträger verschlüsselt bleiben.

5 wichtige Erkenntnisse

1. Daten existieren in drei Zuständen, die jeweils Verschlüsselung erfordern: im ruhenden Zustand auf Speichersystemen, während der Übertragung über Netzwerke und in der Nutzung während der aktiven Verarbeitung. AES-256-Verschlüsselung adressiert nur den ersten Zustand und lässt zwei kritische Schwachstellen ungeschützt.

2. TLS 1.2 oder höher verschlüsselt Daten während der Übertragung mit denselben AES-Cipher Suites, die auch ruhende Daten schützen. Unternehmen benötigen beide Technologien im Zusammenspiel, um Verschlüsselungsschutz während des gesamten Dateitransfers zwischen Systemen sicherzustellen.

3. Verschlüsselung in der Nutzung schützt Daten, während Anwendungen sie aktiv im Speicher verarbeiten oder auf Bildschirmen anzeigen. Technologien wie Intel SGX, ARM TrustZone und Confidential Computing verhindern, dass Speicherabbilder und Seitenkanalangriffe entschlüsselte Daten offenlegen.

4. Hardware Security Modules speichern und verwalten Verschlüsselungsschlüssel in manipulationssicheren Geräten, die selbst bei kompromittierten Servern den Diebstahl der Schlüssel verhindern. HSMs bieten FIPS 140-3 Level 1-validierte Verschlüsselung oder höheren Schutz für die kryptografischen Schlüssel, die verschlüsselte Daten entschlüsseln.

5. Das Management der Verschlüsselungsschlüssel entscheidet, ob Ihr Datenschutz sicher bleibt oder zum schwächsten Glied Ihrer Sicherheitsarchitektur wird. Unsichere Schlüsselaufbewahrung, unzureichende Rotationsrichtlinien und fehlende Wiederherstellungsverfahren untergraben selbst die stärksten Verschlüsselungsalgorithmen.

Was schützt AES-256-Verschlüsselung tatsächlich?

AES-256 ist ein symmetrischer Verschlüsselungsalgorithmus, der 256-Bit-Schlüssel verwendet, um Daten im ruhenden Zustand auf Speichermedien, Datenbanken und Backup-Systemen zu verschlüsseln.

Der Algorithmus wandelt lesbare Dateien in Geheimtext um, der für Unbefugte ohne Entschlüsselungsschlüssel wie zufällige Zeichen aussieht. Bei korrekter Implementierung schützt AES-256-Verschlüsselung Daten auf Festplatten, SSDs und Storage Area Networks vor unbefugtem Zugriff. Das NIST hat AES zur Absicherung von Verschlusssachen bis zur Geheimhaltungsstufe „Secret“ zugelassen, und der Algorithmus hat jahrzehntelanger kryptografischer Analyse ohne erfolgreiche Angriffe auf sein Kerndesign standgehalten.

Allerdings bietet AES-256-Verschlüsselung im ruhenden Zustand keinen Schutz, sobald Daten das Speichersystem verlassen. Dateien müssen entschlüsselt werden, bevor sie an andere Systeme übertragen, Benutzern angezeigt oder von Anwendungen verarbeitet werden können. Diese Übergangspunkte schaffen Schwachstellen, in denen Daten unverschlüsselt vorliegen, sofern keine zusätzlichen Verschlüsselungs-Best Practices greifen.

Wovor schützt AES-256-Datenverschlüsselung im ruhenden Zustand:

  • Dateien auf Servern, Datenbanken und Storage Arrays
  • Daten auf Backup-Tapes und Archivmedien
  • Informationen auf verlorenen oder gestohlenen Geräten

Wovor schützt AES-256-Datenverschlüsselung im ruhenden Zustand nicht:

  • Daten, die über Netzwerke zwischen Systemen übertragen werden
  • Dateien, die im Anwendungsspeicher verarbeitet werden
  • Informationen, die auf Benutzerbildschirmen angezeigt oder per E-Mail übertragen werden

Die drei Zustände von Daten verstehen

In welchen drei Zuständen benötigen Daten Verschlüsselung?

Daten durchlaufen während ihres Lebenszyklus drei unterschiedliche Zustände, die jeweils eigene Sicherheitsherausforderungen mit spezifischen Verschlüsselungsansätzen erfordern.

Daten im ruhenden Zustand beschreibt Informationen, die auf physischen oder virtuellen Speichermedien wie Festplatten, Datenbanken, Fileservern und Backup-Systemen gespeichert sind. AES-256-Verschlüsselung schützt Daten im ruhenden Zustand, indem sie ganze Festplatten, einzelne Dateien oder Datenbankfelder verschlüsselt, sodass physischer Diebstahl oder unbefugter Systemzugriff keine vertraulichen Informationen offenlegen kann.

Daten während der Übertragung bezeichnet Informationen, die aktiv über Netzwerke übertragen werden – etwa zwischen Rechenzentren, von Servern zu Endgeräten oder über E-Mail-Systeme. Während der Übertragung passieren Daten Router, Switches, Firewalls und andere Netzwerkinfrastruktur, wo sie abgefangen werden könnten. Netzwerkbasierte Verschlüsselungsprotokolle schützen Daten während der Übertragung, indem sie verschlüsselte Tunnel schaffen, die Abhören verhindern.

Daten in der Nutzung sind Informationen, die von Anwendungen aktiv verarbeitet, im Systemspeicher geladen oder auf Benutzerbildschirmen angezeigt werden. Anwendungen müssen Daten entschlüsseln, um sie zu verarbeiten, wodurch ein Zeitfenster entsteht, in dem Informationen im Klartext im RAM vorliegen. Spezialisierte Verschlüsselungstechnologien schützen Daten in der Nutzung, indem sie sichere Rechenumgebungen schaffen, die sensible Verarbeitung vom restlichen System isolieren.

Verschlüsselungsanforderungen für jeden Zustand:

  • Daten im ruhenden Zustand: AES-256-Datei- oder Festplattenverschlüsselung mit sicherer Schlüsselaufbewahrung
  • Daten während der Übertragung: TLS 1.2 oder höher mit starken Cipher Suites
  • Daten in der Nutzung: Confidential Computing, sichere Enklaven oder Speicherverschlüsselung

Verschlüsselung für Daten während der Übertragung

Wie schützt TLS-Verschlüsselung Daten, die über Netzwerke übertragen werden?

Transport Layer Security (TLS) verschlüsselt Daten während der Übertragung zwischen Mandanten und Servern und schafft verschlüsselte Kommunikationskanäle, die Abfangen und Manipulation verhindern.

TLS 1.2 und TLS 1.3 nutzen AES-Cipher Suites zur Verschlüsselung des Netzwerkverkehrs und bieten so dieselbe kryptografische Stärke für Daten während der Übertragung wie AES-256 für ruhende Daten. Beim Verbindungsaufbau zwischen Mandant und Server verhandeln beide Systeme die Verschlüsselungsparameter, authentifizieren sich gegenseitig mit digitalen Zertifikaten und erzeugen Sitzungsschlüssel, die alle weiteren Kommunikationen verschlüsseln.

Moderne TLS-Implementierungen unterstützen Perfect Forward Secrecy, wobei für jede Verbindung eindeutige Sitzungsschlüssel generiert werden. Dadurch können Angreifer selbst bei später kompromittiertem privaten Server-Schlüssel keinen zuvor aufgezeichneten Netzwerkverkehr entschlüsseln.

Unternehmen sollten veraltete Protokolle wie SSL 3.0, TLS 1.0 und TLS 1.1 deaktivieren, da diese bekannte Schwachstellen enthalten. Das NIST empfiehlt TLS 1.2 als Mindeststandard, wobei TLS 1.3 für neue Implementierungen bevorzugt wird.

Kritische TLS-Konfigurationsanforderungen:

  • TLS 1.2 oder höher mit starken Cipher Suites (bevorzugt AES-GCM)
  • Gültige digitale Zertifikate von vertrauenswürdigen Zertifizierungsstellen
  • Aktivierte Perfect Forward Secrecy

Welche weiteren Protokolle verschlüsseln Daten während der Übertragung?

E-Mail-Verschlüsselungsprotokolle schützen Nachrichten und Anhänge während der Übertragung zwischen Mailservern und bei der Speicherung im Postfach des Empfängers.

S/MIME (Secure/Multipurpose Internet Mail Extensions) verschlüsselt E-Mails mit den öffentlichen Schlüsseln der Empfänger und signiert Nachrichten mit privaten Schlüsseln der Absender. Dies ermöglicht Ende-zu-Ende-Verschlüsselung, bei der nur der beabsichtigte Empfänger Nachrichten entschlüsseln kann, sowie digitale Signaturen zur Authentifizierung des Absenders.

Sichere Dateiübertragungsprotokolle verschlüsseln Dateien bei Uploads, Downloads und Server-zu-Server-Transfers. SFTP (SSH File Transfer Protocol) nutzt SSH-Verschlüsselung zum Schutz der Dateiübertragung, während FTPS (FTP Secure) FTP-Kommandos über TLS-Verbindungen abwickelt.

Optionen zur E-Mail- und Dateiübertragung mit Verschlüsselung:

  • S/MIME oder PGP für Ende-zu-Ende-E-Mail-Verschlüsselung
  • SFTP oder FTPS für verschlüsselte Dateiübertragungen
  • AS2- oder AS4-Protokolle für den B2B-Dokumentenaustausch

Verschlüsselung für Daten in der Nutzung

Wie verschlüsseln Unternehmen Daten während der Verarbeitung?

Verschlüsselung von Daten in der Nutzung schützt Informationen, während Anwendungen sie aktiv im Systemspeicher verarbeiten, und verhindert, dass Angreifer auf entschlüsselte Daten zugreifen – selbst wenn sie das Betriebssystem oder den Hypervisor kompromittieren.

Intel Software Guard Extensions (SGX) schaffen isolierte Ausführungsumgebungen („Enklaven“), in denen Anwendungen vertrauliche Daten verarbeiten. Code und Daten innerhalb der Enklaven bleiben im Speicher verschlüsselt, und der Prozessor entschlüsselt Anweisungen nur innerhalb der sicheren Enklave. Diese Isolation verhindert, dass privilegierte Malware, kompromittierte Betriebssysteme oder physische Speicherangriffe auf die verarbeiteten Daten zugreifen können.

ARM TrustZone bietet ähnliche Funktionen, indem Prozessorressourcen in sichere und normale Welten unterteilt werden. Sensible Operationen laufen in der sicheren Welt ab und sind so von Anwendungen in der normalen Welt isoliert.

AMD Secure Encrypted Virtualization (SEV) verschlüsselt den Speicher virtueller Maschinen mit Schlüsseln, die vom Prozessor und nicht vom Hypervisor verwaltet werden. Dies schützt Workloads in Cloud-Umgebungen, in denen Unternehmen keine Kontrolle über die zugrunde liegende Infrastruktur haben.

Technologien zum Schutz von Daten in der Nutzung:

  • Intel SGX-Enklaven für isolierte Verarbeitungsumgebungen
  • ARM TrustZone zur Partitionierung in sichere Welten
  • AMD SEV für verschlüsselten VM-Speicher
  • Confidential Computing Frameworks, die diese Technologien kombinieren

Was ist Confidential Computing?

Confidential Computing schützt Daten während der Verarbeitung, indem Berechnungen in hardwarebasierten Trusted Execution Environments durchgeführt werden, die Daten vom Betriebssystem, Hypervisor und anderer Systemsoftware isolieren.

Diese Technologien adressieren Szenarien, in denen Daten für die Verarbeitung entschlüsselt werden müssen, die Verarbeitungsumgebung selbst aber kompromittiert oder von potenziell nicht vertrauenswürdigen Parteien kontrolliert sein kann. Finanzinstitute nutzen Confidential Computing für Transaktionen in Cloud-Umgebungen, Gesundheitsorganisationen analysieren Patientendaten, ohne sie Cloud-Anbietern offenzulegen, und Behörden verarbeiten Verschlusssachen auf geteilter Infrastruktur.

Confidential Computing Use Cases:

  • Verarbeitung regulierter Daten in Public-Cloud-Umgebungen
  • Multi-Party-Computing, bei dem keine Partei alle Eingaben sehen darf
  • Analyse verschlüsselter Datensätze ohne Entschlüsselung auf nicht vertrauenswürdigen Systemen

Hardware Security Modules und Schlüsselmanagement

Warum benötigen Verschlüsselungsschlüssel dedizierten Hardwareschutz?

Hardware Security Modules sind manipulationssichere physische Geräte, die kryptografische Schlüssel in einer sicheren Umgebung getrennt von allgemeinen Servern erzeugen, speichern und verwalten.

HSMs schützen Verschlüsselungsschlüssel durch physische Sicherheitsmechanismen, die Manipulationsversuche erkennen und darauf reagieren. FIPS 140-2 Level 3-HSMs zerstören Schlüssel, wenn jemand versucht, das Gerät physisch zu öffnen; Level 4-Geräte verfügen über aktive Manipulationserkennung und löschen Schlüssel bei veränderten Umgebungsbedingungen.

Die Geräte führen kryptografische Operationen intern aus, ohne die Schlüssel in den Serverspeicher zu übertragen, wo Malware sie abgreifen könnte. Wenn eine Anwendung Daten verschlüsseln oder entschlüsseln muss, sendet sie die Anforderung an das HSM, das die Kryptografie ausführt und nur das Ergebnis zurückgibt. Schlüssel verlassen nie die geschützte Hardwareumgebung.

Unternehmen mit Compliance-Anforderungen müssen häufig FIPS 140-2-validierte HSMs für das Schlüsselmanagement einsetzen. PCI DSS verlangt HSMs zum Schutz von Zahlungskartenschlüsseln, während CMMC Level 3 und höher den Einsatz von HSMs für den Schutz von Verschlusssachen vorschreiben.

HSM-Sicherheitsfunktionen:

  • FIPS 140-2 Level 3 oder 4 manipulationssichere Hardware
  • Sichere Schlüsselerzeugung mit Hardware-Zufallszahlengeneratoren
  • Beschleunigung kryptografischer Operationen
  • Verfahren zur Schlüssel-Backup und -Wiederherstellung

Was passiert bei schlechtem Schlüsselmanagement?

Fehler im Schlüsselmanagement untergraben selbst die stärksten Verschlüsselungsalgorithmen. Unsichere Schlüsselaufbewahrung, mangelhafte Rotationsrichtlinien und fehlende Wiederherstellungsprozesse schaffen Schwachstellen, die Angreifer ausnutzen, um auf verschlüsselte Daten zuzugreifen.

Die Speicherung von Schlüsseln auf denselben Servern wie die verschlüsselten Daten hebt den Schutz der Verschlüsselung auf. Ein Angreifer, der den Server kompromittiert, erhält Zugriff auf verschlüsselte Dateien und die zugehörigen Schlüssel.

Werden Verschlüsselungsschlüssel nicht regelmäßig rotiert, steigt das Risiko bei Kompromittierung. Wird ein Schlüssel über Jahre genutzt und schließlich gestohlen, können Angreifer sämtliche damit geschützten historischen Daten entschlüsseln.

Fehlende Wiederherstellungsverfahren für Schlüssel gefährden die Geschäftskontinuität. Wenn Schlüsselverantwortliche das Unternehmen verlassen, ohne Speicherorte oder Wiederherstellungswege zu dokumentieren, können verschlüsselte Daten dauerhaft unzugänglich werden.

Schlüsselmanagement-Fehler, die Verschlüsselung kompromittieren:

  • Schlüssel werden zusammen mit verschlüsselten Daten gespeichert
  • Verschlüsselungsschlüssel werden nie rotiert
  • Fehlende Backup- und Wiederherstellungsverfahren für Schlüssel
  • Unzureichende Zugriffskontrollen für Schlüsselmanagementsysteme

Wie diese Verschlüsselungstechnologien zusammenwirken

Wie sieht vollständiger Verschlüsselungsschutz aus?

Vollständiger Verschlüsselungsschutz sichert Daten während des gesamten Lebenszyklus, indem für jeden Zustand und Übergang die passende Verschlüsselungstechnologie eingesetzt wird.

Eine Datei, die auf einem Laptop erstellt wird, ist zunächst durch Verschlüsselung im ruhenden Zustand auf der lokalen Festplatte geschützt. Wird sie auf einen Unternehmensserver hochgeladen, schützt TLS die Übertragung über das Netzwerk. Auf dem Server wird die Datei erneut mit AES-256 verschlüsselt, wobei die Schlüssel in einem HSM gespeichert werden. Greift ein anderer Anwender auf die Datei zu, schützt TLS den Download, und das empfangende Gerät verschlüsselt die Datei erneut im ruhenden Zustand.

Dieser mehrschichtige Ansatz stellt sicher, dass Daten überall verschlüsselt bleiben – außer in den minimalen Zeitfenstern, in denen eine Entschlüsselung zwingend erforderlich ist.

Ende-zu-Ende-Verschlüsselungsschutz:

  • Daten im ruhenden Zustand mit AES-256 auf allen Speichersystemen verschlüsselt
  • Daten während der Übertragung mit TLS 1.2 oder höher für alle Netzwerkkommunikationen geschützt
  • Daten in der Nutzung werden bei besonders sensiblen Informationen in sicheren Enklaven verarbeitet
  • Verschlüsselungsschlüssel werden durch FIPS 140-2-validierte HSMs verwaltet

Wo treten in Unternehmen am häufigsten Verschlüsselungslücken auf?

Filesharing- und Kollaborationssysteme weisen häufig Lücken bei der Verschlüsselung während der Übertragung auf, wenn Anwender Dateien über Consumer-Dienste oder E-Mail-Anhänge ohne S/MIME-Schutz teilen.

Unternehmen verschlüsseln Daten im ruhenden Zustand auf Servern, versäumen es aber, sie während der E-Mail-Übertragung zu schützen, sodass jeder, der den Netzwerkverkehr überwacht, vertrauliche Dateien abfangen kann. Ebenso nutzen Cloud-Filesharing-Dienste zwar HTTPS für Web-Uploads, verzichten aber auf Verschlüsselung bei API-Transfers oder mobiler Synchronisation.

Backup- und Archivsysteme sind eine weitere typische Schwachstelle. Unternehmen verschlüsseln Produktionsdaten, speichern Backups jedoch unverschlüsselt oder legen die Schlüssel zusammen mit den Backups auf demselben Medium ab.

Typische Szenarien für Verschlüsselungslücken:

  • E-Mail-Anhänge, die ohne S/MIME oder TLS übertragen werden
  • Backup-Systeme, die inkonsistent verschlüsseln oder Schlüssel unsicher speichern
  • Legacy-Anwendungen, die moderne Verschlüsselungsanforderungen nicht erfüllen
  • Mobile Geräte ohne vollständige Festplattenverschlüsselung

Ergänzende Technologien, die Verschlüsselung unterstützen

Wie schützen Authentifizierungssysteme Verschlüsselungsschlüssel?

Identity and Access Management (IAM)-Systeme steuern, welche Anwender und Anwendungen auf Verschlüsselungsschlüssel zugreifen und geschützte Daten entschlüsseln dürfen.

Multi-Faktor-Authentifizierung (MFA) verlangt mehrere Nachweise, bevor Anwender auf Systeme mit Verschlüsselungsschlüsseln zugreifen können. Selbst wenn Angreifer Passwörter stehlen, können sie Daten ohne den zweiten Faktor nicht entschlüsseln. Das NIST empfiehlt MFA für alle Systeme mit sensiblen Daten, und Compliance-Frameworks wie CMMC Level 2 und HIPAA verlangen MFA für Systeme mit regulierten Informationen.

Authentifizierungskontrollen für Verschlüsselungssysteme:

  • Multi-Faktor-Authentifizierung für alle Schlüsselmanagement-Zugriffe
  • Rollenbasierte Zugriffskontrollen mit eingeschränkten Schlüsselberechtigungen
  • Just-in-Time-Zugriff mit temporären Entschlüsselungsrechten

Was ist Digital Rights Management für verschlüsselte Dateien?

Digital Rights Management hält den Schutz für Dateien auch nach Authentifizierung und Entschlüsselung beim Anzeigen oder Bearbeiten aufrecht.

Kiteworks safeVIEW- und safeEDIT-Funktionen verhindern, dass Anwender verschlüsselte Dateien lokal herunterladen, und erlauben stattdessen das Anzeigen oder Bearbeiten im kontrollierten Browser. So bleiben vertrauliche Daten auf sicheren Servern und werden nicht auf potenziell unverwaltete Endgeräte verteilt, wo sie kopiert, weitergeleitet oder durch Geräteverlust kompromittiert werden könnten.

DRM-Funktionen, die den Verschlüsselungsschutz erweitern:

  • Nur-Anzeige-Zugriff, der Downloads verhindert
  • Sicheres Bearbeiten ohne lokale Dateikopien
  • Ablaufende Zugriffsrechte für geteilte Inhalte

Wie sorgt E-Mail-Schutz für durchgehende Verschlüsselung?

E-Mail stellt für viele Unternehmen eine erhebliche Verschlüsselungslücke dar, da SMTP-Übertragungen standardmäßig unverschlüsselt sind und Anwender häufig vertrauliche Dateien als Anhänge über unsichere Kanäle versenden.

Das Kiteworks E-Mail-Schutz-Gateway verschlüsselt alle ausgehenden E-Mails und Anhänge vor der Übertragung automatisch mit S/MIME oder TLS, ohne dass Anwender Zertifikate oder Schlüssel verwalten müssen. Das Gateway scannt Nachrichten auf sensible Inhalte und kann Richtlinien durchsetzen, die Verschlüsselung für Nachrichten mit regulierten Daten vorschreiben.

E-Mail-Schutzfunktionen:

  • Automatische S/MIME- oder PGP-Verschlüsselung für ausgehende Nachrichten
  • TLS-Erzwingung für Server-zu-Server-E-Mail-Übertragungen
  • Inhaltsscans vor der Verschlüsselung zur Durchsetzung von Datenschutzrichtlinien

Wie Kiteworks mehrschichtige Verschlüsselung implementiert

Kiteworks bietet Verschlüsselungsschutz in allen drei Datenzuständen durch integrierte Technologien, die Dateien während ihres gesamten Lebenszyklus schützen.

AES-256-Verschlüsselung im ruhenden Zustand schützt alle in Kiteworks gespeicherten Dateien, wobei die Schlüssel durch integrierte HSM-Unterstützung oder kundengesteuerte Schlüsselmanagementsysteme verwaltet werden. Unternehmen können FIPS 140-3 Level 1-validierte Verschlüsselung für die Einhaltung gesetzlicher Vorgaben umsetzen.

TLS 1.2- und 1.3-Verschlüsselung für Daten während der Übertragung schützt Dateien bei Uploads, Downloads und beim Teilen. Die Plattform erzwingt starke Cipher Suites und Perfect Forward Secrecy für alle Netzwerkkommunikationen.

Integration von Hardware Security Modules bietet FIPS 140-2 Level 3-Schutz für Verschlüsselungsschlüssel und unterstützt sowohl Cloud-HSM-Services als auch On-Premises-HSM-Appliances. Unternehmen behalten die Kontrolle über das Schlüsselmanagement und profitieren von manipulationssicherem Hardwareschutz.

Private Data Network-Architektur vereint E-Mail, Filesharing, Managed File Transfer und Web-Formulare in einer einheitlichen verschlüsselten Umgebung. So werden Verschlüsselungslücken vermieden, die durch den Einsatz separater Einzellösungen für verschiedene Kommunikationskanäle entstehen.

S/MIME- und PGP-E-Mail-Verschlüsselung schützt Nachrichten und Anhänge über das Kiteworks E-Mail-Schutz-Gateway, das vertrauliche Inhalte automatisch verschlüsselt, ohne dass Anwender Zertifikate oder Einstellungen verwalten müssen.

safeVIEW- und safeEDIT-Funktionen verhindern Dateidownloads und ermöglichen das Anzeigen und Bearbeiten von Inhalten in sicheren Browsersitzungen, sodass verschlüsselte Dateien auf geschützten Servern verbleiben und nicht auf Endgeräte verteilt werden.

Wie Kiteworks verschlüsselte Datenübertragung umsetzt

AES-256-Verschlüsselung bietet essenziellen Schutz für Daten im ruhenden Zustand, deckt jedoch nur einen von drei Zuständen ab, in denen Verschlüsselung erforderlich ist. Unternehmen benötigen TLS-Verschlüsselung für Daten während der Übertragung, Confidential Computing für Daten in der Nutzung und Hardware Security Modules für das Schlüsselmanagement, um Schutz während des gesamten Datenlebenszyklus zu gewährleisten.

Verschlüsselungslücken an den Übergangspunkten schaffen Schwachstellen, die Angreifer ausnutzen, um auf vertrauliche Informationen zuzugreifen. Dateien können auf Servern verschlüsselt sein, aber während der Netzwerkübertragung exponiert werden, beim Transfer geschützt, aber während der Verarbeitung kompromittiert werden, oder durch starke Algorithmen gesichert sein, aber durch schlechtes Schlüsselmanagement untergraben werden.

Vollständiger Verschlüsselungsschutz erfordert, dass für jeden Datenzustand die passenden Technologien als integriertes System zusammenarbeiten. Authentifizierungskontrollen bestimmen, wer Daten entschlüsseln darf, während Digital Rights Management den Schutz über den Entschlüsselungspunkt hinaus verlängert und unbefugte Verbreitung verhindert.

Kiteworks setzt diesen mehrschichtigen Verschlüsselungsansatz mit einem Private Data Network um, das Daten im ruhenden Zustand mit AES-256 schützt, Daten während der Übertragung mit TLS 1.3 absichert, Schlüssel durch HSM-Integration verwaltet und mit safeVIEW- und safeEDIT-Funktionen die Kontrolle über entschlüsselte Inhalte behält. Die Plattform vereint sichere E-Mail, sicheres Filesharing, Managed File Transfer, SFTP und sichere Datenformulare in einer verschlüsselten Umgebung und eliminiert so Lücken, die durch unterschiedliche Einzellösungen entstehen.

Erfahren Sie mehr über Verschlüsselung und den Schutz sensibler Daten, die Sie verarbeiten, speichern und teilen – vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Sie benötigen TLS 1.2 oder höher zur Verschlüsselung von Daten während der Übertragung sowie S/MIME oder PGP für Ende-zu-Ende-E-Mail-Verschlüsselung. TLS schützt Dateien beim Transfer zwischen Servern und Mandanten, während S/MIME E-Mails und Anhänge so verschlüsselt, dass nur die vorgesehenen Empfänger sie entschlüsseln können. Unternehmen sollten zudem SFTP oder FTPS für verschlüsselte Dateiübertragungen einsetzen und sicherstellen, dass alle Filesharing-Systeme TLS für Uploads und Downloads erzwingen.

Die Speicherung von Schlüsseln in Software erfolgt in Konfigurationsdateien, Datenbanken oder Schlüsselmanagementdiensten auf allgemeinen Servern, wo Malware oder kompromittierte Administratoren darauf zugreifen können. HSMs speichern Schlüssel in manipulationssicherer Hardware, zerstören diese bei physischer Manipulation, führen kryptografische Operationen intern aus, ohne Schlüssel in den Serverspeicher zu übertragen, und bieten FIPS 140-3 Level 1-validierte Verschlüsselung oder höheren Schutz, wie von vielen Compliance-Frameworks gefordert.

Nein, für die Verarbeitung durch Anwendungen müssen Daten entschlüsselt werden, wodurch ein Zeitfenster entsteht, in dem Angreifer mit Anwendungszugriff Informationen abgreifen können. Unternehmen, die besonders sensible Daten verarbeiten, sollten Confidential Computing-Technologien wie Intel SGX oder AMD SEV einsetzen, die Daten in der Nutzung schützen, indem sie sie in hardware-isolierten sicheren Enklaven verarbeiten, auf die selbst privilegierte Malware keinen Zugriff hat.

CMMC Level 2 verlangt Verschlüsselung für CUI im ruhenden Zustand und während der Übertragung, d. h. sowohl AES-256 für gespeicherte Daten als auch TLS 1.2 oder höher für Netzwerkkommunikation. Das Framework fordert außerdem FIPS 140-3 Level 1-validierte Verschlüsselungsmodule, sicheres Schlüsselmanagement und dokumentierte Verfahren für Schlüsselerzeugung, -verteilung, -speicherung und -vernichtung während des gesamten Schlüssel-Lebenszyklus.

Branchentypische Best Practices empfehlen, Verschlüsselungsschlüssel mindestens jährlich zu rotieren, bei besonders sensiblen Daten vorzugsweise quartalsweise. Nach der Rotation sollten Systeme frühere Schlüsselversionen vorhalten, um historische Daten entschlüsseln zu können, während neue Daten mit aktuellen Schlüsseln verschlüsselt werden. Unternehmen benötigen Schlüsselversionierungssysteme, die dokumentieren, welcher Schlüssel welche Datei verschlüsselt hat, sowie automatisierte Prozesse, um ältere Daten schrittweise mit aktuellen Schlüsseln neu zu verschlüsseln.

Weitere Ressourcen

 

  • Blog Post Public vs. Private Key Encryption: Eine ausführliche Erklärung
  • Blog Post Wichtige Best Practices für Datenverschlüsselung
  • eBook
    Top 10 Trends bei der Datenverschlüsselung: Eine ausführliche Analyse zu AES-256
  • Blog Post E2EE im Praxiseinsatz: Beispiele für Ende-zu-Ende-Verschlüsselung
  • Blog Post Ultimativer Leitfaden zu AES-256-Verschlüsselung: Datensicherheit auf höchstem Niveau

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks