Verschlüsselung

Grundsätzlich wird unter Verschlüsselung die Umwandlung eines Klartextes in einen Geheimtext verstanden. Wie der Begriff Schlüssel im Wort Verschlüsselung verrät, kann dieser Vorgang mit Hilfe des passenden Schlüssels wieder rückgängig gemacht werden. In diesem Fall wird von Entschlüsselung gesprochen.

• Symmetrische Verfahren:

Die ersten dokumentierten Verschlüsselungsverfahren reichen bis ins Altertum zurück. Bei ihnen handelte es sich jeweils um symmetrische Verfahren, das heisst es wird zum Ver- und Entschlüsseln derselbe Schlüssel verwendet. Die sogenannte Caesar-Verschlüsselung beispielsweise war ein einfaches symmetrisches Verfahren, um die militärische Korrespondenz geheim zu halten. Dabei wird jeder Buchstabe im Klartext durch eine Rechtsverschiebung im Alphabet geändert, so dass dadurch ein Geheimtext entsteht. Diese Verschiebung basiert auf einem definierten Wert, zum Beispiel drei. Dieser Wert entspricht somit dem Schlüssel, der bekannt sein muss, um den Text verschlüsseln bzw. entschlüsseln zu können. So wird beispielsweise aus den Buchstaben A der Buchstabe D und aus G wird J. Aus dem Klartext «Kryptographie ist toll» entsteht nach Anwendung der Verschlüsselung folgender Geheimtext: NUBSWRJUDSKLHLVWWROO (Bemerkung: in der Kryptographie werden in der Regel die Geheimtexte in Grossbuchstaben dargestellt.) Mit dem vorhin definierten Wert drei (Schlüssel) kann der Prozess nun mittels Linksverschiebung umgekehrt und der Klartext wiederhergestellt werden (Entschlüsselung). In diesem einfachen Beispiel werden Leer- und Sonderzeichen nicht berücksichtigt.

Es ist offensichtlich, dass dieses einfache Verschlüsselungsverfahren aus heutiger Sicht als nicht sicher angesehen wird. Unter anderem ist die Anzahl an möglichen Schlüsseln (Schlüsselraum) viel zu klein, so dass bereits durch einfaches Ausprobieren von 25 unterschiedlichen Möglichkeiten auf den Klartext Rückschlüsse gezogen werden können. Dennoch werden auch heute noch symmetrische Verschlüsselungsverfahren eingesetzt, allerdings auf Basis deutlich komplexerer Schlüssel.

Ein grosser Vorteil der symmetrischen Verschlüsselung ist etwa die Geschwindigkeit bei der Ver- bzw. Entschlüsselung. Ein Nachteil dagegen ist das Problem der sicheren Schlüsselverteilung, denn unbefugte Dritte, die Kenntnis über den Schlüssel erhalten, können jeden Geheimtext entschlüsseln, der mit diesem Schlüssel verschlüsselt worden ist. Ein typischer Anwendungsfall symmetrischer Verfahren ist deshalb oft die Verschlüsselung von Festplatten oder Speicherkarten. Hier ist nicht nur Geschwindigkeit bei der Ver- und Entschlüsselung gefragt, sondern es besteht in der Regel auch keine Notwendigkeit, das Passwort mit mehreren Personen teilen zu müssen. Das Problem mit der sicheren Schlüsselverteilung entfällt somit.

• Asymmetrische Verfahren:

Daneben existieren auch asymmetrische Verfahren. Asymmetrisch deshalb, da unterschiedliche Schlüssel für das Ver- und Entschlüsseln zum Einsatz kommen, sprich ein Schlüsselpaar aus öffentlichem und privatem Schlüssel. Aus diesem Grund wird auch vom Public-Key-Verschlüsselungsverfahren gesprochen.

Beim asymmetrischen Verfahren wird der öffentliche Schlüssel zum Verschlüsseln einer Nachricht verwendet. Nur noch der Besitzer des privaten Schlüssels kann daraufhin die Nachricht entschlüsseln. Dieses Prinzip hat einen grossen Vorteil gegenüber dem symmetrischen Verfahren: Die Schlüsselverteilung muss nicht über einen sicheren Kommunikationskanal erfolgen, da der öffentliche Schlüssel, im Gegensatz zum privaten Schlüssel, nicht geheim gehalten werden muss. Typische Anwendungsbereiche sind E-Mail- Verschlüsselungsverfahren (z.B. S/MIME) oder auch digitale Signaturen beispielsweise auf Basis des RSA-Verfahrens.

• Hybride Verfahren:

In der Praxis werden oft hybride Verfahren, das heisst eine Kombination der symmetrischen und asymmetrischen Verfahren, eingesetzt, um die Vorteile beider Verfahren nutzen zu können. So erfolgt etwa beim Besuch einer Webseite (https-Verschlüsselt) aufgrund des hybriden Verfahrens die Schlüsselvereinbarung zwischen Client und Server mittels asymmetrischer Verschlüsselung (z.B. via Diffie-Hellman-Verfahren auf Basis elliptischer Kurven (ECDHE)) und die Inhaltsverschlüsselung mittels symmetrischer Verfahren (z.B. Advanced Encription Standard (AES 256-Bit)).

Weitere Anwendungsbeispiele hybrider Verfahren sind unter anderem ebenfalls E-Mail-Verschlüsselungsverfahren (z.B. OpenPGP) oder auch diverse Messenger Dienste, die vermehrt eine durchgängige (Ende-zu-Ende) Verschlüsselung anbieten. Durchgängig bedeutet in diesem Fall, dass nur die Kommunikationspartner der jeweiligen Endpunkte die Nachricht lesen können. Für die Übertragung eingebundene Dritte, beispielsweise Telekommunikationsbetreiber, sind hingegen nicht in der Lage, die Nachricht zu lesen.

Doch wo liegen die Grenzen bzw. Gefahren beim Einsatz von Verschlüsselung? Neben der Herausforderung des Schlüsselmanagements sind in der Praxis oft veraltete Verschlüsselungs-Algorithmen oder zu kurze Schlüssellängen im Einsatz. Zum Zeitpunkt, als das Verfahren gewählt und die Schlüssel erstellt wurden, können sie durchaus sicher gewesen sein, doch mit der heutigen Rechenleistung können sie unter Umständen einfach gebrochen werden und bieten somit keinen ausreichenden Schutz mehr. Des Weiteren finden sich oft Unzulänglichkeiten bei der konkreten technischen Umsetzung von Verschlüsselungsverfahren. Ebenso muss klar sein, dass beim Empfang einer verschlüsselten Nachricht die Echtheit des Absenders (Authentizität) nicht automatisch gegeben ist. Um die Echtheit eines Kommunikationspartners zu überprüfen, kommen zusätzliche Massnahmen, wie beispielsweise digitale Signaturverfahren, zum Einsatz.

Wenn ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten verarbeitet, so muss er gemäss der europäischen Datenschutz-Grundverordnung (DSGVO) auch geeignete technische und organisatorische Massnahmen treffen, um einen dem Risiko angemessenen Schutz dieser Daten sicherzustellen (Art. 25 und 32 DSGVO). Zu solch technischen Massnahmen, die dazu ergriffen werden können, zählt unter anderem auch die Verschlüsselung. Sie kann beispielsweise bei den folgenden Themen zur Anwendung kommen (nicht abschliessende Aufzählung):

• Schutz der Kommunikation via E-Mail:

Die E-Mail-Übertragung kann mittels TLS (Transport Layer Security) sicher verschlüsselt werden. Um sicherzustellen, dass nur der beabsichtigte Empfänger auf den Inhalt der E-Mail zugreifen kann (sogenannte Ende-zu-Ende-Verschlüsselung), muss dieser ordnungsgemäss identifiziert werden. Dies wird in der Regel durch bewährte Lösungen erreicht, die auf asymmetrischen Public-Key-Verschlüsselungsverfahren basieren und seit vielen Jahren in kommerziellen Anwendungen eingesetzt werden: PGP (Pretty Good Privacy) und S/MIME (Secure / Multipurpose Internet Mail Extensions).

• Schutz der Datenübermittlung einer Webseite:

Als Alternative zur verschlüsselten E-Mail können personenbezogene Daten auch über einen sicheren Webserver ausgetauscht oder übermittelt werden. Die sichere Übermittlung erfolgt dabei in der Regel über ein Online-Formular, welches die zu übertragenen Daten über eine HTTPS (Hypertext Transfer Protocol Secure) Verbindung verschlüsselt überträgt. HTTPS stellt überdies heute den Standard für den sicheren Betrieb einer Webseite dar und sollte in Verbindung mit einem entsprechenden, autorisierten Zertifikat eingerichtet werden.

• Schutz der Datenspeicher:

Ähnlich wie bei der sicheren Datenübermittlung über das Internet können Daten auch auf dem physischen Speichermedium mittels Festplatten-Verschlüsselung vor unbefugtem Zugriff geschützt werden (etwa bei Diebstahl oder Verlust mobiler Endgeräte). Dazu stehen unter den gängigen Betriebssystemen wie Windows oder Linux geeignete Lösungen zur Verfügung.