„E-Mail ist wie ein Brief mit Klarsichtkuvert“

digitalbusiness CLOUD: Herr Steiner, was erleben Sie als Geschäftsführer in der täglichen Praxis?

Dr. Dieter Steiner: Im März dieses Jahres berichtete mir ein Geschäftspartner, dass sein Notar Unterlagen für eine Patentanmeldung – die für ihn essenziell war – per E-Mail und unverschlüsselt übermittelt hatte. Ich konnte es kaum glauben, dass Berufsstände wie Patentanwälte sich keine Gedanken über Datensicherheit machen – und dies in einer Zeit, in der täglich über Wirtschaftsspionage und NSA-Affären berichtet wird.

Sind wir bei unseren Kunden vor Ort, so treffen wir überwiegend unzureichend informierte Mitarbeiter und Geschäftsführer an. Bevor wir über „Sicherheitstechniken“ sprechen, klären wir die Geschäftsleitung über die Risiken bei der Datenübermittlung auf und suchen dann die entsprechende Lösung.

digitalbusiness CLOUD: Wo sehen Sie die größten Gefahrenpotenziale?

Dr. Dieter Steiner: In der E-Mail! E-Mail ist wie ein Brief mit Klarsichtkuvert, jeder kann mitlesen. Die E-Mail passiert zahlreiche Rechenzentren weltweit auf ihrem Weg zum Empfänger und kann von jedem IT-Mitarbeiter, der Zugang zu den Servern hat, mitgelesen werden. Regierungen, Wettbewerber oder auch einfach „Freaks“ können sich in die Nachrichtenübermittlung einklinken und die Inhalte auf „Verwertbares“ scannen.

Aber auch die Speicherung von Daten auf externen Servern birgt Risiken. Nahezu jedes neu ausgelieferte Gerät, gleich ob Smartphone oder PC, fordert zum Speichern in die Cloud auf. So verlangt zum Beispiel das iPhone vehement bei der Installation die Aktivierung der iCloud – die Konsequenz: nahezu alle Daten befinden sich bei Apple und damit in den USA und außerhalb der Kontrolle des Anwenders.

digitalbusiness CLOUD: Wie funktioniert Spionage?

Dr. Dieter Steiner: Hier muss man deutlich unterscheiden zwischen Geheimdiensten und Hackern.  Geheimdienste können oft auf sogenannte „Backdoors“ zurückgreifen. Also „Hintertüren“ im Programmcode, die den Geheimdiensten helfen, die Sicherheitsmaßnahmen zu umgehen. Hinzu kommt, dass die Geheimdienste Programme und Ressourcen haben, um selbst verschlüsselte Datenströme mitlesen zu können. Der amerikanische „Patriot ACT“ ermöglicht es, dass Geheimdienste dazu auch noch Einblick in die Daten der Kunden amerikanischer Unternehmen bekommen.

Hacker wiederum nutzen meistens eher die „bekannteren“ Formen für den Datenklau wie Trojaner, Sniffer oder Keylogger. Diese können auf unterschiedlichste Weise auf Computer und Geräte gelangen. Zum Teil werden auch WLANs gehackt, insbesondere an Flughäfen und öffentlichen Plätzen, wo sich überwiegend Geschäftsleute aufhalten.

digitalbusiness CLOUD: Was empfehlen Sie Unternehmen für eine sichere Übermittlung und Speicherung von Daten?

Dr. Dieter Steiner: Erstens: Kein unverschlüsselter Versand wichtiger Dateien/Daten per E-Mail. Dies begünstigt nicht nur Datenspionage, man verstößt damit in bestimmten Fällen auch gegen Datenschutzrichtlinien, was rechtliche Konsequenzen zur Folge haben kann. Dies trifft insbesondere im Umfeld von bestimmten Branchen wie etwa Banken, Steuerberatern, Notaren oder Rechtsanwälten zu. Die übliche, leider aber meist aufwendige, Form der E-Mail-Verschlüsselung ist die asymmetrische Kryptografie. Entsprechende Softwarelösungen sind am Markt. Selbst Großrechner würden hier Monate für die Lösung brauchen. Alternativ kann man Dateien über sogenannte Dateiaustauschplattformen versenden. Dabei achtet man auf Anbieter mit entsprechenden Verschlüsselungsverfahren.

Zweitens: Dateien sollten aber nicht nur bei der Übertragung verschlüsselt sein, sondern auch auf dem Gerät oder auf externen Servern/in der Cloud.

Bei der Verschlüsselung sensibler Unternehmensdaten wird häufig der Datensatz nur in einer einzigen Instanz verschlüsselt und übertragen, liegt dann jedoch unverschlüsselt und für jeden versierten zugänglich auf den Servern externer Anbieter. Nur durch eine unmittelbare Verschlüsselung auf dem eigenen Gerät und ohne Zugang des Cloud-Service-Anbieters zum Verschlüsselungscode können Unternehmensdaten wirklich sicher extern gespeichert und ausgetauscht werden.

Dabei wird in der Regel für jeden Anwender in der Gerätesoftware ein Schlüsselpaar generiert. Indem der öffentliche Schlüssel auf dem Server gespeichert wird, ist es dem Administrator jederzeit möglich, weitere Daten für den Anwender zu codieren, jedoch keine Daten des Anwenders damit zu decodieren. Der Anwender kann seinen privaten Schlüssel mit einem persönlichen Kennwort gesichert auf dem Server ablegen, wodurch er ihn von beliebigen Geräten aus abrufen und verwenden kann. 

Drittens: Information und Schulung der Mitarbeiter, um das Bewusstsein für Risiken zu schärfen. Das Unternehmen muss Regeln (IT-Compliance) aufstellen und diese kommunizieren.

Viertens: Dateien sollten nur über deutsche Server ausgetauscht werden, da wir in Deutschland eines der schärfsten Datenschutzgesetze haben. Unternehmen sollten auf „Anbieter“ achten, die „hosted in Germany“ nachweisen können. Nutzen Sie ausschließlich nach DIN ISO 27001 zertifizierte europäische Provider mit ausreichender Encryption (Verschlüsselung).

digitalbusiness CLOUD: IT-Sicherheitsanbieter gibt es viele. Worin liegen die konkreten Vorteile der SSP- Lösungen?

Dr. Dieter Steiner: Die SSP Europe hat 20 Jahre Erfahrung im Bereich IT-Security. SSP-Kunden bekommen kostengünstige Lösungen mit den derzeit besten Sicherheitsstandards, beispielsweise beim Datenaustausch oder bei der E-Mail-Kommunikation.

Um die Sicherheit bei der Speicherung von Unternehmensdaten so hoch und gleichzeitig so einfach wie möglich zu gestalten, verfolgt SSP Europe einen innovativen Ansatz bei der Anwendung der Triple-Crypt-Technologie für den Secure Data Space: Die Verwaltung, Verteilung und Installation von Zertifikaten erfolgt automatisiert und sicher über das integrierte Public-Private-Key-Verfahren durch die nur dem Anwender bekannten Zugangsdaten. 

digitalbusiness CLOUD: Herr Dr. Steiner, wir bedanken uns für das Gespräch.

SSP Europe GmbH

Die SSP Europe GmbH aus München/Regensburg ist ein Anbieter im Bereich Secure Service Providing. Ihr modulares Produktportfolio ist komplett skalierbar, für Kleinunternehmen bis hin zu internationalen Großkonzernen.

Kernprodukt ist der Secure Data Space, der eine hochsichere Dateiaustauschplattform aus der Cloud bietet. Namhafte Unternehmen wie Fujitsu, Bechtle und Hutchison 3G Austria vertreiben die Services von SSP Europe erfolgreich als OEM-Lösungen.

Dr. Dieter Steiner, CEO