Verschlüsselung

 

Worum geht es?

Die Datenschutz-Grundverordnung (DS-GVO) schützt die Grundrechte und Grundfreiheiten natürlicher Personen und deren personenbezogene Daten. Hierfür sind unter anderem geeignete technische und organisatorische Maßnahmen (toMs) z.B. in Form einer Verschlüsselung umzusetzen.

Ziel der Verschlüsselung

Das Ziel von Verschlüsselung ist es, dass nur berechtigte Kommunikationspartner Zugriff auf die Inhalte der Kommunikation erlangen können, es soll somit die Vertraulichkeit gewahrt werden. Neben der Vertraulichkeit wird zeitgleich die Integrität der Daten sichergestellt. Nur der jeweilige Kommunikationspartner ist in der Lage Daten zu verändern. Dritte sind nicht in der Lage die Daten zu lesen oder zu verändern.

Funktionsweise Verschlüsselung

Das grundlegende Prinzip der Verschlüsselung basiert auf der Veränderung der jeweiligen Inhalte und der Möglichkeit diese Änderungen mit einem (geheimen) Schlüssel wieder rückgängig zu machen. In einem einfachen Fall der Verschlüsselung werden die Buchstaben des Alphabets durch einen fest definierten „Tauschpartner“ getauscht. Der vorliegende, so verschlüsselte Text macht für die meisten Betrachter dann keinen Sinn mehr. Sofern der Empfänger der Nachricht jedoch die Kenntnis darüber hat, welche Buchstaben mit welchem „Tauschpartner“ gewechselt werden müssen, um den Text zu rekonstruieren, wird der Text wieder lesbar – die Verschlüsselung wurde aufgehoben. In diesem simplen Beispiel ist der „Schlüssel“ die Kenntnis der zu substituierenden Buchstaben.

Komplexere Verschlüsselungsalgorithmen werden im Forschungsgebiet der Kryptografie entwickelt und basieren auf mathematisch hoch komplexen Berechnungen, wie dem diskreten Logarithmus. Allen gemein ist, dass die Berechnung der Verschlüsselung ohne den zugehörigen Schlüssel mit aktuellen Computern nicht in vertretbarer Zeit zu knacken ist.

Die Unterschiede zwischen symmetrischer und asymmetrischer Verschlüsselung

Das obige Beispiel beschreibt ein symmetrisches Verfahren. In diesem Fall erfolgt sowohl das Verschlüsseln, als auch das Entschlüsseln mit demselben Schlüssel (in dem Fall das Geheimnis welcher Buchstabe mit welchem Tauschpartner gewechselt werden muss). Das Problem bei symmetrischen Verfahren ist der Schlüsselaustausch. Der Kommunikationspartner muss die Kenntnis erlangen, wie die Verschlüsselung aufzuheben ist. Dabei dürfen Dritte keinen Zugang zu dem Schlüssel erhalten. Der Austausch mit einem ZIP-verschlüsseltem Archiv oder einer passwortgeschützten PDF-Datei ist ebenfalls ein Beispiel für eine symmetrische Verschlüsselung.

Neben der symmetrischen Verschlüsselung gibt es die Möglichkeit der asymmetrischen Verschlüsselung. Bei dieser Methode kommen für die Kommunikation unterschiedliche Schlüssel zum Einsatz. Jeder Kommunikationspartner hat einen öffentlichen Schlüssel, sowie einen geheimen, privaten Schlüssel. Die Verschlüsselung nutzt, wie oben beschrieben, komplexe mathematische Algorithmen. Nur unter Zuhilfenahme des Schlüsselpaars (öffentlicher und privater Schlüssel) ist die Lösung der mathematischen Berechnungen in vertretbarer Zeit möglich. Der öffentliche Schlüssel kann von jedem beliebigen Kommunikationspartner verwendet werden, um eine Nachricht zu verschlüsseln. Die Entschlüsselung funktioniert jedoch ausschließlich mit der Kenntnis des geheimen Schlüssels. Vorteil dieser Methode ist, dass kein geheimer Schlüssel ausgetauscht werden muss. Ein klassisches Beispiel für eine asymmetrische Verschlüsselung ist die E-Mail Verschlüsselung.

In der Praxis sind durchaus Kombinationen aus beiden Verfahren im Einsatz.

Ihr Nutzen

Überall dort, wo die Verarbeitung von personenbezogenen Daten voraussichtlich ein hohes Risiko für die betroffenen Personen birgt, ist die Verantwortliche Stelle dazu verpflichtet geeignete technische und organisatorische Maßnahmen zu treffen. Dies könnte z.B. im Falle einer Datenübermittlung von Mitarbeiterdaten an ein externes Steuerbüro der Fall sein. Die getroffene Maßnahme (Verschlüsselung) stellt in dem Fall sicher, dass nur berechtigte Personen Zugriff zu den Daten erhalten und ermöglicht so die geplante Datenverarbeitung. Ohne die Maßnahme der Verschlüsselung wäre in diesem Fall die Verarbeitung nicht datenschutzkonform. Die Verschlüsselung kann somit als Werkzeug im „Datenschutz-Werkzeugkoffer“ eines jeden Datenschutzbeauftragten betrachtet werden, die das Risiko, welches eine jede Verarbeitung birgt, reduzieren kann. Die Verschlüsselung ist das Schweizer Messer um Risiken bei Datenverarbeitungen zu reduzieren.

Hilfreiche Links:

Bundesamt für Sicherheit in der Informationstechnik – Wie funktioniert Verschlüsselung?

Verfasser: Steven Bösel