Um hybrides Arbeiten zu ermöglichen, setzen Unternehmen auf Kollaborationsplattformen und Software zur digitalen Zusammenarbeit. Diese bieten, was die Produktivität angeht, bestechende Vorteile: Daten sind teil- und speicherbar, wie es für ein Team am besten passt. Was die Sicherheit angeht, bedarf es aber meist zusätzlicher Werkzeuge. Schrittweise setzen immer mehr Unternehmen Ende-zu-Ende-Verschlüsselung (E2EE) ein, der Goldstandard liegt hier in Softwareanwendungen, die E2EE nach dem Zero-Knowledge-Prinzip bieten. Da die großen Anbieter für Kollaborationssoftware dies nur stellenweise oder optional anbieten, müssen Organisationen zusätzliche Prozesse oder Maßnahmen einführen, um die Anwendung von E2EE voranzutreiben. Außerdem besteht die Gefahr bei der Vielzahl an Software von risikoreichen Medienbrüchen. Unterbrochene Workflows und unbegrenzte Zugriffsrechte öffnen Tür und Tor für Datenkriminelle, interne Fehler und externe Angriffe.

Datenschutz – nur ein vermeintlicher Produktivitätshemmer
Als Türöffner für ihre Angriffe nutzen Cyberkriminelle vor allem die Mitarbeiter. Für IT-Administratoren in Unternehmen, egal welcher Größe, ist dies eine stetige Herausforderung: Die IT wird Opfer eines Angriffs, weil jemand mit einem einzigen Klick auf einen Link in einer Mail Ransomware ins Unternehmen geschleust hat. Für Unternehmen besonders heikel: Die Erpresser drohen gehäuft mit der Veröffentlichung personenbezogener Daten und damit mit einer nachhaltigen Rufschädigung des Unternehmens.

Um solche Vorfälle zu vermeiden, schulen die meisten Unternehmen die Mitarbeiter in Sachen Datenschutz. Zumal die DSGVO derartige Schulungen zwar nicht explizit vorschreibt, jedoch indirekt zumindest die Unterrichtung und Beratung aller Beschäftigten vorsieht (DSGVO, Art. 39, Abs. 1a), die mit personenbezogenen Daten, also zum Beispiel Namen, Adressen oder Alter, arbeiten. Artikel 5 der DSGVO legt in Absatz 2 Verantwortlichen zudem eine Rechenschaftspflicht darüber auf, was sie für die Einhaltung der Datenvorschriften getan haben. Und dafür ist der Nachweis wiederkehrender Datenschutzschulungen ein wichtiger Baustein.

So sinnvoll derartige Schulungen aus Datenschutzsicht auch sind, Mitarbeiter nehmen sie zum Teil nur hin oder empfinden sie sogar als eher lästig. Gleiches gilt für Datenschutz-Regeln, die Unternehmen ihren Angestellten (zurecht) auferlegen, zum Beispiel zusätzliche Authentifizierungsverfahren und regelmäßige Passwortänderungen. Da aber Regeln immer nur dann wirksam sind, wenn sie im Alltag auch Anwendung finden, sollten IT-Administratoren diese Widerstände ernst nehmen und ihnen entgegenwirken. Zu ihren Aufgaben gehört letztlich auch, Strategien für möglichst umfassende wie einfach anwendbare Sicherheitsmaßnahmen zu finden, sodass das Unternehmen kein weiterer Produktivitätshemmer im Weg steht.

Die Lösung: Security-by-Design
Eine Strategie für einen solch umfassenden Datenschutz ist, diese Aufgabe an das IT-System zu übertragen. Mitarbeiter haben so nicht länger die Verantwortung dafür, dass IT-Sicherheitsmaßnahmen eingehalten werden und Unternehmen können sicher sein, dass alles genauso so läuft, wie sie es sich wünschen. Als höchster Standard für IT-Systeme, die ein Maximum an IT-Sicherheit bieten, sind Werkzeuge wie Tresorit, die auf E2EE nach dem Zero-Knowledge-Prinzip basieren und damit quasi Security-by-Design bieten.

Die Verschlüsselung funktioniert nach dem RSA-Verfahren. Dabei werden Informationen verschlüsselt, bevor sie übertragen werden und erst auf dem Endgerät des Adressaten wieder entschlüsselt. Da es sich um eine asymmetrische Verschlüsselung handelt, stellt E2EE sicher, dass außer Sender und Empfänger niemand in der Lage ist, die Inhalte einzusehen oder zu modifizieren. Asymmetrische Verschlüsselung bedeutet, dass die Nachricht beim Versenden zwar mit einem öffentlichen Schlüssel verschlüsselt wird, sie sich aber nur mit einem privaten Schlüssel (Private Key) entschlüsseln lässt, der ausschließlich dem Empfänger vorliegt.

Sicherheitslücken offenbaren sich oft erst im Detail
Wurde die E2E-Verschlüsselung noch vor wenigen Jahren nur selten in Unternehmen eingesetzt, ist sie mittlerweile auch in der Breite der gängigen Anwendungen für hybrides Arbeiten angekommen, um Datensicherheit zu gewährleisten. Auch die marktführenden Anbieter wie Meta und Apple haben daher in einzelnen Funktionen Ende-zu-Ende-Verschlüsselung integriert. Für IT-Administratoren macht das vieles erst einmal schwieriger als leichter. Denn Verschlüsselung ist nicht gleich Verschlüsselung: Hintertüren und Ausnahmen sind die Regel. Bei der Entscheidung für eine digitale Sicherheitsplattform sollte daher berücksichtigt werden, was sie im Detail leistet und welche Funktionalitäten sie für Administratoren bereithält, denn Security-by-Design bedeutet auch mehr Kontrolle auf der Admin-Ebene.

Diese Kontrolle führt dazu, dass Admins schon im Voraus Richtlinien und Regeln für die Bereiche erstellen können, in denen es klassischerweise zu IT-Sicherheitslücken kommt: Sie können dafür sorgen, E-Mail-Anhänge automatisiert zu verschlüsseln, nachverfolgen, wer welche integrierten Produkte wie beispielsweise eSign nutzt oder über Richtlinien zum Teil von Dateien und Ordnern innerhalb und außerhalb der eigenen Organisation festlegen, wer welche Inhalte sehen, modifizieren oder teilen kann. So wahren Unternehmen mithilfe ihrer eigenen Administratoren die Kontrolle über ihre Daten und stellen sicher, dass so viele Sicherheitslücken wie nur möglich geschlossen werden und die Teams dennoch kollaborativ und produktiv zusammenarbeiten können.

Security-Lecks bei Clouddiensten schließen
Als eine weitere potenzielle Schwachstelle gelten Clouddienste. Dort liegen Unternehmensdaten, die nicht mit einer Ende-zu-Ende-Verschlüsselung geschützt werden, da es nicht um die Kommunikation zwischen zwei Endpunkten geht. Laut einer Umfrage des Marktforschungsinstitut Civey zum Thema Datensicherheit haben mehr als die Hälfte der befragten IT-Fachkräfte (55,5 Prozent) große Sicherheitsbedenken, wenn es um die Speicherung von Daten in der Cloud geht. Dennoch nutzen fast drei Viertel von ihnen (69,9 Prozent) Clouddienste. In diesen Fällen greift jedoch die Cloudverschlüsselung nach dem Zero-Knowledge-Prinzip. Mit ihr können selbst die Anbieter des Clouddienstes weder den Verschlüsselungscode der Benutzer noch die auf den Servern gespeicherten oder bearbeiteten Daten einsehen. Alle Aktivitäten und Daten der Nutzer werden kodiert, bevor sie die Server erreichen, wobei der Verschlüsselungscode für den Anbieter stets verborgen bleibt.

Fazit
Die heutige digitale Arbeitswelt erfordert eine Zusammenarbeit, die sowohl sicher als auch produktiv funktioniert. Entgegen der landläufigen Meinung, dass Datenschutz und IT-Sicherheit die Produktivität hemmen, ist jedoch eher das Gegenteil der Fall – Datenschutz und Produktivität bedingen einander. Denn nur ein sicherer Umgang mit Daten reduziert das Risiko von Datenschutzverletzungen und schafft dadurch die Voraussetzung für einen kontinuierlichen Betrieb. Und erst tatsächliche Ende-zu-Ende-Verschlüsselung per Technikgestaltung gewährleistet den Schutz von Daten, Geräten und Nutzern und sorgt für einen sorgenfreien, effizienten und produktiven Einsatz. Dies ermöglicht den sicheren Austausch von Daten innerhalb und außerhalb eines Unternehmens und minimiert Schäden bei Cyberangriffen. Für die Nutzung von Cloud- und Onlinediensten sollte E2E-Verschlüsselung nach dem Zero-Knowledge-Prinzip konsequent Standard sein. Ist dies der Fall, wird IT-Sicherheit nicht zum Hemmnis, sondern trägt dazu bei, Medienbrüche zu vermeiden, Produktivität zu steigern und Workflows zu etablieren, die wirklich nutzungsfreundlich sind.

ln/Szilveszter Szebeni, CISO bei Tresorit