Was ist Verschlüsselung? At rest, in transit und in use – ein Überblick für Einsteiger

EINLEITUNG

„Verschlüsselung“ ist einer dieser Begriffe, die in jeder Datenschutzerklärung, jedem Sicherheitsaudit und jedem Angebot auftauchen – und doch kann kaum jemand erklären, was sie eigentlich bewirkt. Dieser Leitfaden deckt die Grundlagen ab: Was Verschlüsselung ist, welche drei Dimensionen von Daten sie schützen kann und warum die dritte Dimension diejenige ist, von der die meisten noch nie gehört haben.

Keine technischen Vorkenntnisse erforderlich.

‍

‍

‍

WAS IST VERSCHLÜSSELUNG?

Verschlüsselung ist der Prozess, bei dem lesbare Daten (Klartext) mithilfe einer mathematischen Funktion und eines geheimen Wertes, dem sogenannten Schlüssel, in eine unlesbare Form (Geheimtext) umgewandelt werden. Nur wer den richtigen Schlüssel besitzt, kann den Vorgang umkehren und die ursprünglichen Daten lesen.

Ein praktischer Vergleich: Stellen Sie sich ein Dokument vor, das in einer Sprache verfasst ist, die nur Sie und der Empfänger beherrschen. Jeder, der es abfängt, sieht nur Unsinn. Nur der Empfänger kann die Nachricht lesen – dank seiner Sprachkenntnisse.

In der Informatik ist moderne Verschlüsselung (speziell AES-256) mathematisch so komplex, dass ein Supercomputer, der versuchen würde, den Schlüssel durch bloßes Raten (Brute-Force) zu knacken, länger brauchen würde als unser Universum alt ist.

‍

‍

DIE DREI DIMENSIONEN VON DATEN

‍

Dimension 1: Data at rest (Ruhende Daten)

Data at rest sind Daten, die auf einer Festplatte, in einer Datenbank, auf einem USB-Stick oder einem anderen Speichermedium gespeichert sind. Wenn nicht auf sie zugegriffen wird, „ruhen“ sie. Die Verschlüsselung ruhender Daten bedeutet: Selbst wenn jemand die Festplatte physisch stiehlt, kann er ihren Inhalt ohne den Entschlüsselungsschlüssel nicht lesen. Dies ist die am weitesten verbreitete Form der Verschlüsselung. Fast alle modernen Cloud-Speicherdienste verschlüsseln ruhende Daten standardmäßig.

Schützt vor: Physischem Diebstahl von Speichermedien, unbefugtem Zugriff auf Backup-Dateien, Datenlecks bei ausgemusterter Hardware.

Dimension 2: Data in transit (Daten in Übertragung)

Data in transit sind Daten, die sich durch ein Netzwerk bewegen – von Ihrem Browser zu einem Server, von einem Server zum anderen oder von einer mobilen App zu einer Datenbank. Die Verschlüsselung dieser Daten (meist über TLS – Transport Layer Security) stellt sicher, dass sie selbst dann nicht gelesen werden können, wenn sie unterwegs . Das Vorhängeschloss-Symbol in Ihrem Browser zeigt an, dass die TLS-Verschlüsselung aktiv ist. Heutzutage ist dies fast überall Standard.

Schützt vor: Abhören von Netzwerken, „Man-in-the-Middle“-Angriffen, Ausspähen von Datenpaketen in öffentlichem WLAN.

‍

Dimension 3: Data in use (Daten in Verarbeitung) – Die Sicherheitslücke

Data in use sind Daten, die gerade aktiv von einem Computer verarbeitet werden. Wenn eine Datenbank eine Abfrage ausführt, ein Server eine Webseite erstellt oder eine Anwendung eine Berechnung durchführt, müssen die Daten entschlüsselt und in den Arbeitsspeicher (RAM) geladen werden, damit der Prozessor mit ihnen arbeiten kann.

Dies ist die ungeschützte Dimension. Während die Daten in Gebrauch sind, liegen sie als Klartext im RAM vor. Jeder, der Zugriff auf diesen Speicher hat – ein Cloud-Administrator, ein kompromittierter Hypervisor (die Steuerungssoftware der Cloud) oder Schadsoftware mit erweiterten Rechten – kann sie lesen.

Dies ist die „Data-in-use“-Lücke. Sie ist das Einfallstor für viele der schwerwiegendsten Datendiebstähle des letzten Jahrzehnts.

‍

‍

‍

WARUM DIE DATA-IN-USE-LÜCKE EIN PROBLEM IST

Stellen Sie sich ein Krankenhaus vor, das einen Cloud-Anbieter nutzt, um Patientendaten abzufragen. Die Datensätze sind auf der Festplatte (at rest) und während der Übertragung in die Cloudverschlüsselt (in transit). Wenn die Cloud jedoch die eigentliche Abfrage durchführt – also Patientendaten liest, verarbeitet und Ergebnisse liefert –, werden die Daten im Arbeitsspeicher des Cloud-Anbieters entschlüsselt.

Die Administratoren der Cloud-Infrastruktur könnten theoretisch auf diesen Speicher zugreifen. Ebenso jeder Angreifer, der die Kontrolle über die Verwaltungsebene der Cloud (Hypervisor) erlangt hat. Die Verschlüsselung des Krankenhauses hat also eine „Hintertür“.

Dies ist kein theoretisches Problem. Bei Datenlecks im Gesundheitswesen, im Finanzsektor und beim Diebstahl von geistigem Eigentum wurde diese Lücke immer wieder ausgenutzt.

‍

‍

‍

DIE LÖSUNG: CONFIDENTIAL COMPUTING

Confidential Computing ist ein neuer Sicherheitsansatz, der die „Data-in-use“-Lücke schließt. Mithilfe hardwarebasierter, isolierter Bereiche – sogenannten Trusted Execution Environments (TEEs) – bleiben die Daten im Arbeitsspeicher verschlüsselt, selbst während der Prozessor (CPU) aktiv mit ihnen arbeitet.

Durch die Hardware-Isolation bleibt der Schlüssel stets in der CPU. Die Daten werden an der Prozessorgrenze in Nanosekunden entschlüsselt und wieder verschlüsselt – unsichtbar für das Betriebssystem, die Cloud-Software und den Cloud-Anbieter selbst.

Dies ist das dritte Schloss – und damit ist eine durchgängige Verschlüsselung über alle drei Datendimensionen hinweg gewährleistet.

‍

‍

ZUSAMMENFASSUNG

• Data at rest → Verschlüsselt auf der Festplatte → Schützt vor Diebstahl des Speichers
• Data in transit → Verschlüsselung im Netzwerk → Schützt vor Abfangen der Daten
• Data in use → RAM-Verschlüsselung (Confidential Computing) → Schützt vor Zugriff durch Infrastruktur-Admins oder Angreifer

‍

‍