8 Arten von Daten, die Sie unbedingt verschlüsseln müssen
Mit der zunehmenden Menge an personenbezogenen Daten und geschützten Gesundheitsinformationen, die von Unternehmen und anderen Institutionen erfasst werden, zählt die Verschlüsselung nicht nur zu den Best Practices, sondern ist fester Bestandteil einer umfassenden Cyber-Sicherheitsstrategie.
Die Zeiten, in denen effektive Datenverschlüsselung als ein zusätzlicher Kostenfaktor angesehen wurde, sind vorbei. Personenbezogene und vertrauliche Daten sind für Kriminelle sehr wertvoll, und angesichts der Tatsache, dass die im Jahr 2022 bei 4,35 Millionen US-Dollar liegen werden, ist es kostspielig, sensible Daten nicht zu schützen.
Verschlüsselung auf hohem Niveau
Verschlüsselung ist eine Technik, die dazu dient, Informationen vor unbefugtem Zugriff zu schützen. Dabei werden unverschlüsselte Daten in einen unlesbaren Code umgewandelt, der nur durch einen bestimmten umgekehrten Prozess entschlüsselt werden kann. Häufig wird ein “Schlüssel” verwendet, der die Entschlüsselung als eine Form der Authentifizierung erleichtert.
Um sicherzustellen, dass verschlüsselte Daten geschützt bleiben, beruhen Verschlüsselungsmethoden auf komplexen Transformationen, die es praktisch unmöglich machen auf die Originaldaten zuzugreifen.
Wenn es um den Schutz persönlicher Daten geht, ist die Verschlüsselung eines der effektivsten Werkzeuge, die es gibt. Durch die Verschlüsselung von Daten können Unternehmen sicherstellen, dass Hacker, sollte es ihnen gelingen auf diese sensiblen Informationen zuzugreifen, sie nicht lesen können. Dadurch wird es für Kriminelle sehr viel schwieriger, diese Daten für Identitätsdiebstahl oder andere betrügerische Zwecke zu verwenden. Außerdem können verschlüsselte Daten immer noch für Geschäftsanalysen und andere Zwecke nützlich sein, auch wenn der eigentliche Inhalt der Daten verborgen ist.
Wenn Sie Ihre personenbezogenen Daten verschlüsseln möchten, finden Sie hier ein paar Tipps für den Anfang. Überlegen Sie zunächst, welche Art der Verschlüsselung Sie benötigen. Es gibt zwei Haupttypen von Verschlüsselungssystemen: symmetrische und asymmetrische.
Die symmetrische Verschlüsselung ist schneller und einfacher zu implementieren, aber sie verwendet denselben Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung von Daten. Bei der asymmetrischen Verschlüsselung hingegen wird für jeden Prozess ein anderer Schlüssel verwendet, was sie sicherer macht. Allerdings kann es schwieriger sein, sie einzurichten und effektiv zu nutzen.
Faktoren für die Verschlüsselung
Neben den katastrophalen Folgen einer Datenpanne ist ein weiterer Grund, warum Sie Daten verschlüsseln sollten, die Einhaltung gesetzlicher Vorgaben. Einige Gesetze wie der Health Insurance Portability and Accountability Act (HIPAA), der Health Information Technology for Economic and Clinical Health (HITECH) Act, die General Data Protection Regulation (DSGVO) und andere verweisen ausdrücklich auf die Verschlüsselung, während andere, wie der Gramm-Leach-Bliley Act (GLBA), die Verschlüsselung nicht vorschreiben, aber dringend empfehlen.
Fragen und Antworten zur Datenverschlüsselung
Die folgende Tabelle enthält kurze Antworten auf einige der häufig gestellten Fragen zur Datenverschlüsselung (Tabelle 1).
| Frage | Antwort |
| Welche Tools kann ich verwenden, um sensible Daten zu verschlüsseln? | Verschiedene Verschlüsselungstools verwenden unterschiedliche Verschlüsselungsalgorithmen, basierend auf den verwendeten Schlüsseln, der Schlüssellänge und der Größe der verschlüsselten Datenblöcke. Die gängigsten Algorithmen sind , RSA, TripleDES, Blowfish und Twofish. |
| Was bedeutet Ende-zu-Ende-Verschlüsselung? | Die Ende-zu-Ende-Verschlüsselung ist eine sichere Kommunikationsmethode, die sicherstellt, dass nur der Sender und der Empfänger auf Daten zugreifen können, die von einem System/Gerät an ein anderes weitergegeben werden. Das sendende Gerät verschlüsselt die Daten, und nur das empfangende Gerät kann sie entschlüsseln. Dritte, einschließlich Hacker, können nicht auf diese Daten zugreifen. |
| Was bedeutet Verschlüsselung im ruhenden Zustand? | Die Verschlüsselung im ruhenden Zustand ist eine zunehmend verbreitete Cybersicherheitsstrategie, die gespeicherte Daten schützt, die nicht aktiv von einem Gerät/Benutzer zum anderen übertragen werden. Selbst wenn Cyberkriminelle in der Lage wären, Ihre sonstigen Verteidigungsmaßnahmen zu überwinden, könnten sie nicht auf verschlüsselte Daten im Ruhezustand zugreifen, was oft ihr Hauptziel ist. Jedes Unternehmen, das hochsensible Daten wie personenbezogene Informationen, Gesundheitsdaten und Finanzinformationen speichert, sollte die Verschlüsselung seiner Daten im ruhenden Zustand erwägen. |
Tabelle 1. Häufig gestellte Fragen und Antworten zur Datenverschlüsselung.
8 unterschiedliche Arten vertraulicher Daten, die eine Verschlüsselung erfordern
Im Folgenden finden Sie acht verschiedene Arten von vertraulichen Daten, die Unternehmen verschlüsseln müssen, um die Einhaltung gesetzlicher Vorgaben sowie die Integrität ihrer Geschäftsabläufe und ihrer Supply Chains zu gewährleisten.
Personenbezogene Daten
Die meisten Unternehmen verfügen in irgendeiner Form über personenbezogene Daten, die sie vor Cyberkriminellen und Schurkenstaaten schützen müssen. Datenschutzbestimmungen wie die GDPR in der Europäischen Union, der Personal Information Protection and Electronic Documents Act (PIPEDA) in Kanada und der California Consumer Privacy Act (CCPA) verlangen von Unternehmen unter anderem, dass sie personenbezogene Daten sowohl bei der Übertragung als auch im ruhenden Zustand nachverfolgen, kontrollieren und schützen.
Geschützte Gesundheitsinformationen
Institutionen des Gesundheitswesens sind zweifellos ein wichtiges Angriffsziel, wenn es um geschützte Gesundheitsinformationen geht. Da solche Daten jedoch von vielen Personalabteilungen verwaltet werden, gilt der Schutz von Gesundheitsinformationen und die Einhaltung der entsprechenden Bestimmungen für jeden Wirtschaftszweig. Gesundheitsbezogene Daten können zwischen Systemen ausgetauscht werden, die von Dienstleistern im Gesundheitswesen zur Behandlung von Patienten verwendet werden. Sie können über eine mobile App erfasst und an verschiedene Patientensysteme gesendet oder mit diesen geteilt werden. Sobald die Patienteninformationen empfangen wurden, werden sie in dem Format, in dem sie empfangen wurden, auf einer beliebigen Anzahl von Systemen gespeichert – vor Ort oder in der Cloud.
Verschlüsselung – von E-Mail, File-Sharing, Managed File Transfer, Web-Formularen bis hin zu APIs (Application Programming Interfaces) – ist eine Voraussetzung für Unternehmen, die vertrauliche Gesundheitsdaten vor böswilligen Zugriffen schützen und brancheninterne sowie gesetzliche Vorschriften wie den HIPAA einhalten wollen, die vorschreiben, dass Patienteninformationen und elektronische Patientenakten verschlüsselt werden müssen, wenn sie sich im Ruhezustand befinden. Darüber hinaus müssen Unternehmen beim Versand und Austausch medizinischer Informationen Verschlüsselung oder andere TLS-Protokolle (Transport Layer Security) verwenden. Dies schließt die Verschlüsselung von E-Mails ein.
Finanzdaten
Der GLBA schützt die nicht-öffentlichen, personenbezogenen Finanzinformationen vor dem Missbrauch durch Finanzinstitute. Dazu gehören sensible Daten wie Adressen, Sozialversicherungsnummern und Einkommen, aber auch weitere Details wie Höhe der Einlagen, Kreditinformationen und Zahlungsverhalten, die durch die Identifizierung oder Auswertung von persönlichen Finanzdaten offengelegt werden könnten.
Auch wenn die Verschlüsselung keine ausdrückliche Anforderung des GLBA ist, gehört sie doch zu den Best Practices für den Schutz von Daten im ruhenden Zustand und bei der Übertragung. Gemäß der Safeguards Rule, die von der FTC (Federal Trade Commission) im Rahmen der Umsetzung des GLBA erlassen wurde, müssen Unternehmen Kundendaten sicher aufbewahren. Die Pretexting-Bestimmungen desselben Gesetzes sehen vor, dass Unternehmen den Zugriff auf personenbezogene Daten unter Vorspiegelung falscher Tatsachen, z. B. durch Betrug, verhindern müssen.
Die Verschlüsselung stellt sicher, dass Institute Finanzdaten vor unbefugtem Zugriff schützen und die Integrität und Vertraulichkeit aller Kundeninformationen wahren können.
Personalinformationen
Sofern Sie kein Einzelunternehmer sind, hat jedes Unternehmen Mitarbeiter, und das bringt eine große Menge an sensiblen Daten mit sich, die geschützt werden müssen. Personalbezogene Daten umfassen persönliche und finanzielle Informationen. Zu den Personaldaten gehören auch vertrauliche Informationen wie Verträge, Zeiterfassungsbögen, Krankmeldungen und mehr.
Diese Informationen könnten für Hacker ungemein nützlich sein, um sie im Darknet zu verkaufen, Lösegeld zu erpressen oder für andere üble Zwecke zu verwenden. Viele dieser digitalen Informationen werden zwischen verschiedenen Parteien und Systemen innerhalb von Unternehmen sowie mit Drittunternehmen – einschließlich Einzelpersonen und Systemen – versendet und ausgetauscht.
Wenn beispielsweise ein Vertrag mit einem Consultant endet, werden sensible Inhalte im Zusammenhang mit der Vertragsbeendigung gesendet, geteilt, empfangen und gespeichert. Dieser digitale Austausch bietet Kriminellen die Möglichkeit, die privaten Daten zu hacken und sie auf unlautere Weise zu missbrauchen. Darüber hinaus werden Lohn- und Gehaltsabrechnungen, Stundenzettel und Krankmeldungen in einigen Unternehmen auch von und zu Anwendungen wie Personal-, Lohnbuchhaltungs-, Finanz- und anderen Systemen über Managed File Transfer (MFT) übertragen.
Geschäftsinformationen
Informationen über Kunden, Einzelheiten zu Verträgen mit Lieferanten und Unterlagen zu Angeboten und Ausschreibungen sind nur einige der Arten von Geschäftsdaten, die jedes Unternehmen in der einen oder anderen Form besitzt. Einige dieser Informationen können als personenbezogene Daten oder Finanzinformationen eingestuft werden. In anderen Fällen handelt es sich um vertrauliche Verträge, Antworten auf Angebotsanfragen und andere verkaufsbezogene Inhalte.
Die Offenlegung dieser geschäftlichen Daten könnte negative Auswirkungen haben – von der Preisgabe vertraulicher Informationen an Konkurrenten bis hin zur Aufdeckung potenzieller rechtlicher Verpflichtungen und Risiken. Diese Informationen werden häufig per E-Mail verschickt, aber auch über File-Sharing ausgetauscht. Darüber hinaus werden viele dieser Daten über MFT in ERP-, CRM- und anderen Systemen gespeichert. In all diesen Fällen sollten standardmäßige Richtlinien und Verschlüsselung eingesetzt werden.
Rechtliche Informationen
Die Menge der rechtlich relevanten Informationen, die verschlüsselt werden müssen, kann enorm groß und weitreichend sein. So sind beispielsweise E-Mail-Diskussionen zwischen Vorstandsmitgliedern über zukünftige Strategien, Investitionen und Fusions- und Übernahmeaktivitäten höchst vertraulich und müssen verschlüsselt werden. Die Korrespondenz über rechtliche Angelegenheiten, einschließlich der Zusammenarbeit an juristischen Schriftsätzen, zwischen Unternehmensanwälten und externen Anwälten ist hochsensibel. Daher müssen Unternehmen sicherstellen, dass die gesamte Kommunikation und alle Inhalte verschlüsselt sind – geschützt vor böswilligen Zugriffen. Die Liste der potenziellen juristischen Anwendungsfälle ist lang.
Verschlusssachen (Controlled Unclassified Information – CUI)
Der Begriff CUI (Controlled Unclassified Information) wird von der Regierung der Vereinigten Staaten verwendet, um sensible, aber nicht klassifizierte Informationen zu beschreiben. Obwohl diese Art von Informationen nicht klassifiziert ist, müssen sie dennoch besonders behandelt und vor unbefugtem Zugriff oder Offenlegung geschützt werden. Der Schutz von CUI ist für die nationale Sicherheit und die Sicherheit von US-Regierungsangestellten und deren Vertragspartnern unerlässlich. Zu den CUI gehören Informationen, die, wenn sie veröffentlicht werden, der nationalen Sicherheit schaden oder die öffentliche Sicherheit gefährden könnten.
Während einige Arten von CUI per Gesetz verschlüsselt werden müssen, sollten alle CUI zum Schutz vor unbefugter Offenlegung verschlüsselt werden. Nach Angaben des US-Verteidigungsministeriums (DoD) sollten alle CUI, die nicht zur Veröffentlichung freigegeben sind und auf Wechseldatenträgern oder mobilen Geräten gespeichert sind, verschlüsselt werden. Ein gutes Beispiel dafür, wo der Schutz von CUI vorgeschrieben ist, findet sich in der Cybersecurity Maturität Model Certification (CMMC) 2.0, die für Auftragnehmer und Unterauftragnehmer des DoD gilt und letztlich darüber entscheidet, ob ein Auftragnehmer und/oder Unterauftragnehmer Geschäfte mit dem DoD tätigen kann.
Informationen zu Fusionen und Übernahmen (M&A)
Die Bedeutung der Datenverschlüsselung bei Fusionen und Übernahmen kann gar nicht hoch genug eingeschätzt werden. In der heutigen digitalisierten Geschäftswelt sind Daten mit das Wertvollste, was ein Unternehmen besitzt. Wenn zwei Unternehmen fusionieren oder ein Unternehmen ein anderes aufkauft, wechselt eine riesige Menge an Daten den Besitzer. Dazu gehören Finanzinformationen, Kundenlisten, geistiges Eigentum und Geschäftsgeheimnisse. Wenn diese Informationen in die falschen Hände geraten, kann das für die beteiligten Unternehmen katastrophale Folgen haben. Aus diesem Grund müssen Unternehmen alle Daten verschlüsseln, bevor sie bei einer Fusion oder Übernahme übertragen werden – sowohl intern als auch extern. Auf diese Weise können Sie sicherstellen, dass die vertraulichen Daten geschützt bleiben und gleichzeitig die gesetzlichen und branchenspezifischen Vorgaben eingehalten werden.
Die Bedeutung des Schutzes sensibler M&A-Informationen wird durch die öffentlichkeitswirksamen Fälle der letzten Jahre unterstrichen, in denen vertrauliche Daten offengelegt wurden – mit der Konsequenz, dass M&A-Aktivitäten abgebrochen und Geldstrafen verhängt werden mussten.
Kiteworks Private Content Network für Datenschutz und Compliance
Datenverschlüsselung hilft Ihnen, Ihre Datensicherheit zu verbessern, die Einhaltung gesetzlicher Vorgaben zu gewährleisten und Vertrauen bei Ihren Kunden aufzubauen. Unternehmen müssen sich um die richtige Plattform zum Schutz ihrer Daten bemühen, sowohl im ruhenden Zustand als auch bei der Übertragung, und zwar mit Hilfe von Verschlüsselungs- und anderen Cybersicherheitstechnologien sowie Best Practices.
Das Kiteworks Private Content Network verschlüsselt alle sensiblen Inhalte, die gesendet oder weitergegeben werden, mit einem eindeutigen, starken Schlüssel auf der Dateiebene und mit einem anderen starken Schlüssel auf der Festplattenebene. Dadurch wird sichergestellt, dass jede Datei doppelt verschlüsselt ist. Außerdem werden Dateischlüssel, Volume-Schlüssel und andere Zwischenschlüssel bei der Speicherung verschlüsselt.
Unternehmen können mit Kiteworks zentrale Governance- und Sicherheitsrichtlinien für alle ihre Kommunikationskanäle konfigurieren, um sicherzustellen, dass vertrauliche Inhalte, die intern und extern versendet und weitergegeben werden, vertraulich bleiben und darüber hinaus mit verschiedenen gesetzlichen Vorgaben konform sind.
Vereinbaren Sie einen Termin für eine individuelle Demo von Kiteworks, um zu sehen, wie das Kiteworks Private Content Network die Überwachung des Datenschutzes und der Compliance auf alle Ihre Kommunikationskanäle ausdehnt.