Studie - Wie verschlüsseln Unternehmen ihre Daten ?

Wie verschlüsseln Unternehmen ihre wichtigen Daten ?

Das Ponemon Institut hat in seiner aktuellen Studie zu Verschlüsselungstrends in Unternehmen ("Global Encryption Trends Study 2018") 5.252 Personen aus unterschiedlichsten Berufsbranchen zum Einsatz von Verschlüsselungstechnologien und Strategien befragt. Ziel der Untersuchung war es herauszufinden, wie sich im Vergleich zur ersten Studie dieser Art im Jahr 2005 sich der weltweite Einsatz von Verschlüsselungstechnologien im Unternehmen verändert hat. Befragt wurden hierbei unterschiedliche Personen in Unternehmen aus 12 Ländern.

Infografik - 43 % aller befragten Firmen verwenden eine Verschlüsselung ihrer Daten

43 % aller befragten Unternehmen verfügen über eine konsistente Strategie zur Verschlüsselung

Viele Unternehmen haben erkannt, dass der Schutz von Daten durch Verschlüsselung wichtig ist. Über entsprechende Strategien zu verfügen gaben 43 % aller befragten Organisationen an. 44% gaben an über eingeschränkte Pläne zu verfügen, die sich auf die Verschlüsselung spezifischer Applikationen oder Dateiarten und Datentypen beschränken.

Wie verschlüsseln Unternehmen Daten - Strategie und Adaption

Der Einsatz von unternehmensweiten Verschlüsselungsstrategien steigt an.Seit der erstmaligen Erhebung dieser Studie im Jahr 2005 in den USA, gab es eine stetige Aufwärtsentwicklung innerhab der Umsetzung von Verschlüsselungsstrategien. Im Umkehrschluß gibt es ein stetig sinkende Zahl von Unternehmen die sich mit dieser Thematik noch nicht auseinandergesetzt haben und über keine entsprechenden Pläne verfügen.

Einige Länder sind weiter als andere beim Einsatz von Verschlüsselung. Die höchste Präferenz einer Verschlüsselungsstrategie wird in Deutschland gesichtet, gefolgt von den USA und Japan. Befragte in Mexiko, Russische Föderation, Arabien, Brasilien und Australien melden die geringste Übernahmen einer entsprechenden Verschlüsselungsstrategie.

Ländervergleich zum Einsatz von Verschlüsselung im Unternehmen

Deutschland an Weltspitze beim Einsatz von Verschlüsselung im Unternehmen

Funktionalität ohne Einschränkungen auf operative IT ist der wichtigste Faktor für Organisationen wenn es um die Umsetzung von Verschlüsselungstechnologien von Daten geht. Jedoch sind in einigen Ländern die Geschäftsbereiche einflußreicher, hierzu zählen die USA, Australien und Mexico. IT-Sicherheit und reibungsloser IT-Betrieb haben hierbei einen ähnlichen Einfluß auf entsprechende Entscheidungsfindungen.

Der Einsatz von Verschlüsselung steigt in allen Industriezweigen. Innerhalb von 10 Industrie-Sektoren wurden in den letzen 7 Jahren ein stetiger Anstieg von Encryption-Massnahmen in Unternehmen festgestellt. Am stärksten ist der Einsatz in den Industriezweigen Pharma- und Gesundheit, dem Handel sowie bei den Finanzdienstleistungen.

Bedrohungen der IT-Sicherheit sind zentraler Antrieb Daten zu verschlüsseln

Fehl- oder fehlerhaftes Verhalten von Mitarbeitern sind stärkste Bedrohung für sensible Daten. Im Gegensatz hierzu gaben die Befragten an, die geringsten signifikanten Gefährdungen für die Offenlegung sensibler oder vertraulicher Daten in evtl. Abhörmaßnahmen der Regierung und / oder rechtmäßigen Datenanfragen zu sehen. Bedenken über ungewollte Exposition (Mitarbeiterfehler und Fehlfunktion des Systems) überwiegen hierbei die Bedenken hinsichtlich tatsächlicher Angriffe von internen Mitarbeiter und böswilligen Insidern erheblich. Es ist interessant festzustellen, dass die Bedrohung durch Mitarbeiterfehler fast der kombinierten Bedrohung durch Hackern und Insider gleichkommt.


Die Herausforderung, die eine Verschlüsselungsstrategie für Unternehmen darstellt ist gleich geblieben. Mit Ausnahme der Erkennung sensibler Daten, die als Reaktion auf Compliance-Aktivitäten deutlich zugenommen hat.

Larry Ponemon, Chairman and Founder of the Ponemon Institute

Der Haupttreiber für die Verschlüsselung ist der Schutz von Informationen gegen erkannte Bedrohungen. Unternehmen verwenden Verschlüsselung, um Informationen vor spezifischen, identifizierten Bedrohungen zu schützen (54 Prozent der Befragten). Die wichtigsten Informationen sind das geistige Eigentum des Unternehmens und die persönlichen Informationen der Kunden (52 Prozent bzw. 50 Prozent der Befragten). Die Einhaltung von Vorschriften bleibt laut 49 Prozent der Befragten ein wesentlicher Treiber für die Verschlüsselung.

Ein Hindernis für eine erfolgreiche Verschlüsselungsstrategie ist die Fähigkeit zu erkennen, wo sich sensible Daten innerhalb der Organisation befinden. Siebenundsechzig Prozent der Befragten sagen, dass die Entdeckung, wo sich sensible Daten in der Organisation befinden, die größte Herausforderung darstellt. Diese Herausforderung rückt in den Mittelpunkt, da die Compliance-Aktivitäten, die von der Datenschutz-Grundverordnung und anderen Datenschutzvorschriften vorangetrieben werden, zugenommen haben. Darüber hinaus geben 44 Prozent aller Befragten an, die Verschlüsselungstechnologie zunächst als bedeutende Herausforderung zu nutzen. Vierunddreißig Prozent geben an, welche Daten als schwierig zu verschlüsseln sind.


Die Herausforderung von Unternehmen bei der Verschlüsselung von Daten

  • 67 % - Heraus zu finden wo sensitive Daten im Unternehmen anfallen und gespeichert werden
  • 44 % - Einführung und Bereitstellung einer entsprechenden Verschlüsselungstechnologie
  • 34 % - Klassifizierung welche Daten zu verschlüsseln sind
  • 29 % - Fortlaufende Management von Verschlüsselung und Schlüsseln
  • 13 % - Schulung von Nutzern und Anwendern zum Einsatz von Verschlüsselung

In Unternehmen dominiert keine einzige Verschlüsselungstechnologie. Organisationen haben sehr unterschiedliche Bedürfnisse. Internet-Kommunikation, Datenbanken und Laptop-Festplatten sind am ehesten verschlüsselt und entsprechen ausgereiften Anwendungsfällen. Zum ersten Mal wurde in der Studie der Einsatz von Verschlüsselung auf IoT-Geräten und -Plattformen nachverfolgt. Neunundvierzig Prozent der Befragten geben an, dass die IoT-Verschlüsselung zumindest teilweise auf IoT-Geräten und IoT-Plattformen implementiert wurde.

Verschlüsselungsfunktionen werden als am wichtigsten angesehen.

Bestimmte Verschlüsselungsfunktionen werden als kritischer angesehen als andere. Laut den konsolidierten Ergebnissen sind die Systemleistung und Latenzzeit, die Durchsetzung der Richtlinien und die Unterstützung für die Cloud- und Vor-Ort-Bereitstellung die drei wichtigsten Merkmale. Die Unterstützung sowohl für die Bereitstellung für die Cloud- als auch Vor-Ort hat an Bedeutung gewonnen, da sich Unternehmen zunehmend für Cloud Computing entschieden haben und nach Konsistenz zwischen den verschiedenen Computing-Stilen Ausschau halten.


Wie wichtig sind bestimmte Funktionen ?

  • 78 % - Systemleistung und Latenzzeiten
  • 72 % - Durchsetzung entsprechender Richtlinien und Policies
  • 71 % - Unterstützung und Bereitstellung von Diensten in der Cloud- und Vor-Ort
  • 68 % - Skalierbarkeit
  • 68 % - Mangement von Schlüsseln

Welche Daten werden am häufigsten verschlüsselt ?

Am häufigsten werden Daten zum Zahlungsverkehr sowie personenbezogene Daten im Personalwesen verschlüsselt - was die logische Schlussfolgerung mit sich zieht, dass nun der Schutz von Daten dieser Art ausnahmslos für alle Unternehmen umgesetzt werden müsste, da sie gleichermaßen hiervon betroffen sind. Ein sehr überraschendes Ergebnis ist hierbei, dass der Schutz von Gesundheitsdaten in der Auflistung als Schlußlicht auftaucht, gerade weil es in jüngster Zeit zu schwerwiegenden Datendiebstählen im Gesundheitssektor gekommen ist.

  • 54 % - Daten zur Zahlungsabwicklung
  • 53 % - Personenbezogene Daten Personalwesen
  • 52 % - Geistiges Eigentum (Patente, etc.)
  • 50 % - Finanzdaten
  • 43 % - Kundeninformationen
  • 26 % - Gesundheitsinformationen / Medizinische Daten

Managemant von Schlüsseln ? Disliked !

Die Verwaltung von Schlüsseln ist bei vielen IT-Admins unbeliebt, glaubt man den Befragten, dann bereitet die Verwaltung von Schlüsseln mehr als 57% der Befragten arges Kopfzerbrechen. Insbesondere das Mangement von Schlüsseln für Cloud-Dienste scheint hierbei besonders unbeliebt zu sein

.
  • 59 % - Schlüsselverwaltung für externe Dienste wie Could oder Hoster inklusive der Verwaltung von BYOK (Bring your own Key)
  • 55 % - SSH Keys
  • 51 % - Digitale Signaturen (e.g., Code Signaturen, Digitale Unterschriften)
  • 46 % - Keys in Verbindung mit SSL / TLS
  • 39 % - Endanwender Verschlüsselung (z.B. E-Mail oder Festplattenverschlüsselung)
  • 38 % - Zahlungsdaten (z.B. ATM, POS, etc.)

Zwar schrumpft Zahl der Anwender die noch auf eine manuelle Verwaltung von Schlüsseln setzen kontinuierlich, dennoch finden sich rund um die Schlüsselverwaltung häufig noch manuelle Prozesse. Der Trend zeigt jedoch auf eine Zunahme von KMI (Key Mangement Infrastructure) mit entsprechenden Richtlinien. Deutschland, die USA und auch Japan favorisieren hierbei offensichtlich den Einsatz von sog. HSM (Hardware Sicherheits Modulen), diese werden vorzugshalber Vor-Ort für den Zugang von Cloud-Applikationen eingesetzt. Ein Großteil setzt hierbei auf eigene HSM bzw. gemietete HSM durch den Cloud-Service Provider. 57% aller Befragten erachten Hardware Security Module innerhalb Ihres Key-Managements und der Verschlüsselungsstrategie als wichtig, bzw. besonders wichtig ein. 61 % aller Teilnehmer der Umfrage gaben an, dass ihr Unternehmen ein zentralisiertes Team zur Erbringung von kryptographischen Diensten verfügt und hierzu auch HSMs zählen. 39% gaben an, dass jeder Anwender, bzw. Team für die ihre eigenen Kryptographiedienste eigenverantwortlich handeln müssen. Vergleicht man die Zahlen mit der Studie aus dem Vorjahr lässt sich jedoch ein Trend zur Zentralisierung von kryptografischen Diensten ablesen. Der Hauptanwendungszweck von HSM in Unternehmen ist die Nutzung von SSL / TLS und Verschlüsselung auf Applikationsebene, gefolgt von der Verschlüsselung von Datenbanken sowie dem Zahlungsverkehr.

Weitere Interessante Daten der Studie...

  • 10.6 % des IT-Budgets geht in die IT-Sicherheit / 12.3 % des IT-Sicherheits-Budgets geht in die Kryptografie
  • Cloud Verschlüsselung - 61% nutzen mehr als einen Cloud-Service Provider
  • 84 % aller Befragten nutzen die Cloud für sensible / unsensible Applikationen und Daten oder planen dies zukünftig zu tun
  • 39 % aller Unternehmen verschlüsseln ihre Daten in der Public-Cloud [Vorjahr 2017: 28 %]
  • Wichtigste Verschlüsselungsfunktionen in der Cloud: - KMIP / - SIEM / -Granulare Zugriffsrechte

Ob nun public / private oder hybrid Cloud ob nun verschlüsselt oder unverschlüsselt, es sollte jedem IT-Entscheider klar sein, dass er bei seiner Entscheidung für einen Diensleister die Kontrolle über die Datenhoheit abgibt. Anfänglich ist dies zumeist kein Problem, da die Speicherung solcher Daten in die Cloud in den meisten Fällen zunächst mit nicht-sensiblen Daten durchgeführt wird oder die Cloud als Backup-Speicher behandelt wird, in Kombination mit lokalen Backups.

Wir kennen die Prozesse und die Denkweise(n) dieser Entscheider sehr gut, denn sie weichen nicht stark ab von den Trends im Storage der letzen 20 Jahre. Mit zunehmender Zeit werden diese IT-Entscheider bequemer, denn sie beklagen kaum Probleme und beginnen irgendwann darüber nachzudenken, wie sie bestehende Backup-Prozesse verschlanken können und rationalisieren ihre Backup-Chain entsprechend. Dies führt dazu, dass im Zuge der Zeit immer wichtigere Daten in die Cloud verschoben werden, natürlich verschlüsselt. Vergessen wird hierbei jedoch leider, dass ein Cloud-Service Provider kein Datenretter ist und ein Labor in den seltensten Fällen hier noch weiterhelfen kann.

Enstehen in einem solchen Szenario Inkonsistenzen ganz gleich welcher Art, dann beginnt der Streit um Verantwortlichkeiten. Unterm Strich sind Cloud-Services nichts anderes als einige Racks mit Festplatten die innerhalb eines Arrays, bzw. Laufwerksverbunds die Daten Ihren Kunden zugänglich machen. In allen Fällen von Datenverlust benötigen Labore jedoch einen vollumfänglichen Zugriff auf alle Datenspeicher innerhalb eines Arrays, wenn sie Ihre Arbeit für den Kunden bestmöglich erledigen wollen. An diesem Punkt kollidieren die Interessen mehrerer Beteiligter mit unterschiedlichen Ansichten zu Unternehmensrichtlinien, Datenschutzaspekten und grundsätzlicher Wiederherstellungsmöglichkeiten von verschlüsselten Daten in der Cloud. Allein diese Aspekte aus dem Weg zu räumen kostet jede Menge Zeit, bis ein Labor überhaupt einen physikalischen Zugriff auf diese Systeme erlangen kann.

Kurzum - Kann man Daten in der Cloud verlieren ? Ja man kann ! Kann man sie besser wiederherstellen als einen lokalen Datenverlust ? Nein, kann man nicht !

Jeder IT-Verantwortliche der bereits einmal mit einem ernsthaften und kritischen Verlust von Daten konfrontiert war, wird seine Backup-Strategie auf diese beiden Fragen ausrichten und seine Datenstruktur somit Recovery-orientiert gliedern und entsprechend auslagern. Im Ernstfall behält er hierbei die Kontrolle über die geschäftskritischsten Elemente und kann hierdurch zeitnahe Lösungen finden.

Vorheriger Beitrag




Sie haben noch Fragen ?

Datenrettung ist ein komplizierter und beratungsintensiver Prozess. Wir beraten Sie gerne telefonisch unter :
Tel. 0234 - 962 90 390.
Oder stellen Sie uns einfach hier direkt Ihre Frage: