Sensible Unternehmensdaten gehören verschlüsselt – logisch, denn dann kann ja nichts mehr passieren. Leider zu einfach gedacht, wie viele Unternehmen mittlerweile schmerzhaft erfahren mussten. Encryption ist dummerweise eine sichere Lösung, die ein neues Problem schafft: Die verschlüsselten Daten sind zwar sicher, aber der Schlüssel darf tunlichst nicht verloren oder gestohlen werden. Und überhaupt: Wer bekommt ihn idealerweise in die Hand? Aus dieser simplen Gemengelage ergibt sich fast von alleine, dass Encryption Management keine triviale, sondern eine höchst komplexe Herausforderung ist. Die Anbieter Venafi und Symantec beleuchten in zwei Studien den Ist-Zustand und Trends für das kommende Jahr.
Zumindest in Großunternehmen, von denen Symantec weltweit über 1500 befragt hat, sind mittlerweile 42 Prozent der Daten zumindest an irgendeinem Punkt im Lebenszyklus verschlüsselt. 48 Prozent der Konzerne haben in den vergangenen beiden Jahren Data Encryption ausgebaut, nur 15 Prozent haben sie zurückgefahren. Eine erste Sollbruchstelle ist die ausgeprägte Fragmentierung. "Wir beobachten keine Verständigung auf ein einziges Verschlüsselungsprodukt, das allen Anforderungen gerecht wird", heißt es in der Studie. "Manche Firmen berichteten, dass sie in ihrem Rechenzentrum fünf verschiedene Lösungen im Einsatz hätten."
Mehr als die Hälfte der Anwender hat laut Symantec veritable Probleme, die durch ihre Verschlüsselungslösung verursacht wurden. Jeweils ein Drittel hat bereits Keys verloren oder musste feststellen, dass Schlüssel nicht mehr funktionierten. Mehr als ein Viertel litt unter ehemaligen Mitarbeitern, die die Herausgabe von Keys verweigerten. Ein weiteres Symantec-Ergebnis: Unautorisierte Verschlüsselungen durch Mitarbeiter kommen in einem Drittel der Unternehmen häufig vor.
Venafi befragte 500 IT-Spezialisten und bestätigt auf dieser Grundlage, dass hier einiges im Argen liegt. So gaben 23 Prozent der Befragten an, nicht mehr auf wertvolle Datensätze zugreifen zu können, falls die für die Verschlüsselung verantwortliche Person die Firma verlasse.
Bereits in einer früheren Studie hatte Venafi herausgefunden, dass sich zwei Fünftel der IT-Mitarbeiter darüber bewusst seien, ihr Unternehmen durch Einbehalten von Keys erpressen zu können. Ein Drittel gehe sogar davon aus, durch eine Kombination aus eigenem Wissen und Zugang zu Verschlüsselung-Codes sowie fehlendem Überblick und mangelhaften Kontrollen auf Unternehmensseite ihrem Arbeitgeber spürbaren Schaden zufügen zu können.
Venafi: Zu viel Macht bei der IT
Nach Einschätzung von Venafi haben die IT-Abteilungen in diesem Feld schlichtweg zu viel Macht. In 65 Prozent der Firmen hätten IT-Mitarbeiter den leichtesten Zugang zu den Keys; dahinter folgt mit weitem Abstand und 30 Prozent der CEO. "Das Problem ist nicht die Technologie, sondern die Unfähigkeit, sie korrekt zu managen", so Venafi. Vorstände hätten immer noch zu wenig dafür unternommen, kritische Information zu schützen. Und sie erlaubten ihren IT-Abteilungen immer noch, den Zugang zu den Daten zu diktieren.
Die Symantec-Ergebnisse machen nicht wirklich mehr Mut. Zwei Fünftel der Befragten äußern sich nicht zuversichtlich, in dringenden Fällen einen benötigten Key schnell zu finden. Ebenso groß ist der Anteil der Firmen, die sich gegen verstimmte Mitarbeiter in Code-Besitz nicht gewappnet fühlen.
Umso schlimmer ist, dass Encryption-Vorfälle Zeit, Geld und Produktivität kosten und mit rechtlichen Konsequenzen verbunden sein können. Laut Symantec-Studie waren 48 Prozent der Betroffenen nicht in der Lage, Compliance-Anforderungen zu erfüllen. 42 Prozent mussten in der Folge unbeantworteter Anfragen Bußgelder zahlen.
Jeweils zwei Fünftel der betroffenen Firmen klagen darüber, dass geschäftliche wichtige Informationen unzugänglich gewesen seien und das Firmen-Prestige Schaden genommen habe. Ein Drittel bedauert die Verschwendung von IT-Ressourcen durch erfolglose Versuche, benötigte Daten zu entschlüsseln. Im Durchschnitt koste ein Encryption-Problem in einem Großunternehmen knapp 125.000 US-Dollar, so Symantec.
Alles das führt laut Venafi in jedem vierten Unternehmen zu Blockaden und Passivität gegenüber dem Risiko von Datenverlusten. Überraschend viele Firmen zeigten sich paralysiert und verzichteten aus Angst vor verlorenen Schlüsseln auf Encryption – was jedoch auch keine Lösung sein kann. Nicht frei von Eigenwerbung des Spezialanbieters Venafi ist seine Handlungsempfehlung: "Encryption ist nur die Hälfte der Lösung", sagt Jeff Hudson, CEO von Venafi. "Die Anwender müssen wissen, wo die Schlüssel liegen, und der einzige Weg zum Key-Management ist ein automatische Management-System für Zertifikate und Keys."
Symantec rät zu Antizipation
Symantec rät dazu, den Lifecycle von Encryption-Prozessen verstehen zu lernen, Data Recovery-Prozesse zu planen und vor der Implementierung ein unternehmensweites Encryption- und Key Management zu konzipieren. Mobile Endgeräte sollte in jedem Fall verschlüsselt werden, bevor es zu Datenverlust kommt. Angesicht von Mobile IT und Cloud Computing sei stets zu antizipieren, welche Daten – auch in der Wolke – mit Encryption zu versehen seien.
Die Studie "Enterprise Encryption Trends Survey" ist bei Symantec erhältlich; die Venafi-Studie trägt den Titel "Info Security 2011 Enterprise Encryption Key And Digital Certificate Mangement Awareness Survey, Part Two".