Datendiebstahl, Spionage oder Sabotage: Neun von zehn Unternehmen werden Opfer eines Cyberangriffs, schätzt das deutsche Kompetenzzentrum gegen Cyberkriminalität (G4C). Ende März war auch CH Media, zu dem dieses Portal gehört, von einem Cyberangriff betroffen.
Oft bleiben die Angriffe über lange Zeit unerkannt. Kriminelle können teils über Monate hinweg Daten absaugen, ohne dass dies überhaupt bemerkt wird. Die Zahlen machen klar: Fast jede Firma wird wohl früher oder später von Cyberkriminellen angegriffen - und muss sich entsprechend schützen.
Absenderin dieser alarmierenden Botschaft ist Comforte, eine auf Datensicherheit spezialisierte deutsche Firma. Laut eigenen Angaben schützt Comforte 60 Prozent der weltweiten Kartenzahlungstransaktionen, so etwa jene von Visa und Mastercard.
Laut Comforte-CEO Michael Deissner braucht es einen Paradigmenwechsel beim Datenschutz. Bisher würden sich die meisten Firmen bei der Sicherheit auf die Infrastruktur und Netzwerke konzentrieren. Sie ergreifen Massnahmen, die verhindern sollen, dass Kriminelle ins System eindringen können. Die Eingangstüren zum System werden quasi möglichst gut verriegelt. Das reicht nach Deissners Ansicht nicht.
Immer mehr Unternehmen, aber auch private Nutzerinnen und Nutzer speichern ihre Daten in Cloud-Lösungen. Damit verlieren sie ein Stück weit die Kontrolle über ihre Daten, da diese auf den Servern des Cloud-Anbieters gespeichert werden. Zwar bietet die Cloud einen gewissen Schutz. Doch sind die Mauern einmal durchbrochen, liegen die Daten oft auf dem Präsentierteller – ein Schreckszenario für jede Firma.
Deshalb müssten die Firmen laut Deissner auf die sogenannte «datenzentrierte Sicherheit» achten, also den Schutz der Daten selbst. Konkret sollen diese standardmässig verschlüsselt werden. Dabei sollen Daten über ihre gesamte Lebensdauer – von der Erhebung über die Speicherung, Verarbeitung und Übertragung bis hin zur Löschung – geschützt bleiben.
Das Ziel:
Ein Weg, dies zu tun, ist die klassische Verschlüsselung. Dabei werden die Daten mithilfe eines Algorithmus und eines Schlüssels in ein unlesbares Format verwandelt.
Eine zweite Möglichkeit ist die sogenannte Tokenisierung. Laut Comforte-Chef Deissner gibt es die Tokenisierung schon seit 2018, doch die Methode sei noch immer wenig bekannt. Dabei werden Klartextdaten durch sogenannte Tokens ersetzt.
Im Unterschied zur klassischen Verschlüsselung behält das Token das Format der ursprünglichen Daten bei. So werden beispielsweise bei einer Kreditkartennummer nur die Ziffern ausgetauscht – es entsteht wieder eine Zahlenreihe mit 16 Ziffern. Oder bei einer Mailadresse bleibt das «@»-Zeichen am korrekten Ort stehen.
Die Verschlüsselung und die Tokenisierung haben unterschiedliche Vor- und Nachteile. Bei der Verschlüsselung gibt es einen mathematischen Zusammenhang zwischen dem Originalwert und dem verschlüsselten Wert.
Dadurch ist die Verschlüsselung umkehrbar, was eine Gefahr mit sich bringt: Wenn ein Hacker den Algorithmus knackt, ist er in der Lage, alle verschlüsselten Werte zu entziffern.
Zudem sind die Daten komplett unkenntlich gemacht und müssen für jede Verarbeitung wieder entschlüsselt werden.
Bei der Tokenisierung dagegen können die Daten selbst im geschützten Zustand in Geschäftsprozessen und Analysen verwertet werden, da das Format nicht verändert wird. Zudem ist die Gefahr geringer, dass der Code geknackt wird, besteht doch kein mathematischer Zusammenhang zwischen dem Originalwert und seinem gesicherten Pendant.
Dies bedeutet aber auch: Da es keinen Zusammenhang gibt, ist es viel schwieriger, eine Tokenisierung rückgängig zu machen. Wenn es also zu einem Datendiebstahl kommt, kann man die Token nicht einfach in die Originaldaten umwandeln und ein neues Token einsetzen.
Zudem ist die Anzahl möglicher Kombinationen begrenzt: Je mehr Token etwa für Kreditkartennummern im Umlauf sind, desto grösser ist das Risiko, dass das gleiche Token mehrmals verwendet wird. Eine absolute Sicherheit kann also auch die Tokenisierung nicht bieten.
Ob mittels Verschlüsselung oder Tokenisierung: Unternehmen werden kaum um die datenzentrische Sicherheit herumkommen. Die durch Cyberangriffe verursachten Risiken und Schäden sind einfach zu gross.