Lifecycle von der Generierung bis zur Beendigung

Verschlüsselung: Nur hilfreich mit umfassendem Key-Management

09.01.2008 von Christiane Pütter

Verschlüsselung allein ist nicht mehr genug. Wer sich wirksam schützen will, muss den gesamten Life Cycle der Keys organisieren. So lautet die These der Analysten von Aberdeen. Nicht selten scheitert die Datensicherheit aber schon daran, dass die Unternehmen gar nicht angeben können, welche und wie viele Daten überhaupt als sensibel einzustufen sind.

Die Treiber für Verschlüsselung.

Wichtigster Treiber für den Einsatz von Verschlüsselung ist mit zwei Drittel der Nennungen der Schutz sensibler Daten. Mit großem Abstand nennen die Studienteilnehmer erst dann den Schutz vor externen und internen Attacken (19 Prozent beziehungsweise dreizehn Prozent). Elf Prozent sehen in der Verschlüsselung außerdem ein Mittel, die Mobilität der Mitarbeiter zu unterstützen.

Dabei stellen die Analysten jedoch fest, dass im Durchschnitt nur gut jedes vierte Unternehmen (27 Prozent) weiß, welche und wie viele Daten als sensibel einzustufen sind. Auch unter den Firmen, die Aberdeen wegen ihres erfolgreichen Abschneidens zu den "Best in Class" adelt, sind es nur 36 Prozent.

Die Autoren der Studie haben sich genauer angesehen, wo mit Verschlüsselung gearbeitet wird. Ein Blick auf das Durchschnittsunternehmen zeigt, dass File Encryption (Desktop/Laptop) mit 51 Prozent vorn liegt. Die Verschlüsselung der Dateien auf dem Server kommt auf 32 Prozent.

Client Certificates werden von 37 Prozent genannt, Datenbank-Verschlüsselung von 26 Prozent und Full Disk Encryption von 22 Prozent.

Der Grad der Automatisierung.

Verschlüsselung an sich ist das Eine, der strategische Ansatz dahinter das Andere. Die Analysten geben zu Bedenken, dass Verschlüsselung einen Lebenszyklus durchläuft. Vom Generieren über Distribution, Storage und Einsatz bis zum Ersatz, der Archivierung oder Beendigung muss der Ablauf organisiert und kontrolliert werden. Für einen umfassenden Schutz und eine wirksame Nutzung der Verschlüsselungs-Technologien sei es daher notwendig, einen Verantwortlichen zu benennen.

Automatisierung als Unterstützer

Aberdeen erwartet, dass in den kommenden zwölf Monaten auch die Automatisierung des Key Managements steigt. Damit ließen sich der Einsatz von Verschlüsselung ausweiten - und die Kosten senken.

Über das Gesagte hinaus sprechen die Analysten folgende Tipps aus:

Zunächst einmal muss der gesamte Bestand an Daten und Informationen identifiziert und klassifiziert werden. Dann geht es darum,
konsistente Policies zu etablieren,

festzulegen, wer im Unternehmen für Verschlüsselung und Key Management verantwortlich ist,
das Einhalten von Regularien zu kontrollieren und
nicht zu vergessen: Sicherheit steht und fällt mit dem End User, also müssen die Mitarbeiter ausreichend geschult werden.

Aberdeen hat für die Studie "Encryption and Key Management" mit Entscheidern aus mehr als 150 Unternehmen gesprochen.