Verschlüsselung 2022 – Was kommt als Nächstes in Sachen Datenschutz und Cybersicherheit?
In den letzten Jahren ist die Nutzung echter Ende-zu-Ende-Verschlüsselung (e2ee) rasant gewachsen. Schon vor der Pandemie haben sowohl Privatnutzer als auch Unternehmen Maßnahmen ergriffen, um ihre Datensicherheit zu erhöhen. Die im Jahr 2021 zum Vorschein gekommenen erheblichen Herausforderungen im Bereich Cybersicherheit geben keinen Grund zur Annahme, dass sich dies ändern wird. Dieser Trend führt jedoch seitens der Regulierungsbehörden naturgemäß zu einer intensiveren Auseinandersetzung mit dem Thema Verschlüsselung – und wirft zugleich einige beunruhigende Fragen auf.
Tresorit gehört weiterhin zu den Vorreitern, wenn es um die Bemühung geht, das Recht auf Privatsphäre und digitale Sicherheit für alle zu gewährleisten. Dieses Recht gebührt sowohl Personen und Aktivisten als auch Nonprofits und Unternehmen. Was wird 2022 bringen? Lesen Sie nachstehend meine Prognosen.
Cybersicherheit 2022
Lieferketten- und Ransomware-Angriffe haben die letzten Monate im Jahr 2020 und das ganze Jahr 2021 dominiert. Denken Sie nur einmal an die Bedrohungslage, die durch die im Dezember aufgedeckte log4j-Sicherheitslücke verursacht wurde. Dabei mussten sogar die Updates gepatcht werden. Unternehmen entwickeln digitale Infrastrukturen mithilfe von Tools, die von verschiedenen Partnern angeboten werden. Infolge dieser Integrationen entstehen leider Schwachstellen und folglich müssen die Anbieter eng zusammenarbeiten, um zu gewährleisten, dass alle Integrationen sicher sind. Dies wird die SaaS-Branche zu einer intensiveren Zusammenarbeit an verschiedenen Cybersicherheitsproblemen zwingen. Die gesamte Infrastruktur ist nämlich nur so stark wie deren schwächstes Glied.
Parallel zu diesen branchenweiten Bemühungen werden weiterhin weltweit strengere Datenschutzregelungen eingeführt werden und die für Datenschutzverstöße auferlegten Bußgelder werden sich erhöhen. Verschiedene branchenspezifische Standards und Regelungen, die e2ee erfordern (werden), sind bereits in Kraft getreten. Es ergibt sich jedoch aus der Natur unserer datengesteuerten Wirtschaft, dass Datenpannen nach wie vor stattfinden werden.
Nichtsdestotrotz freuen wir uns zu beobachten, dass Großunternehmen Ende-zu-Ende-Verschlüsselung immer mehr als die zukunftsfähigste Option anerkennen, Datensicherheit innerhalb ihrer Organisationen zu erhöhen. In Kombination mit sichereren Integrationen, was einen beschleunigten Schritt zu Zero-Trust-Netzwerken hin bedeutet, kann e2ee zu einer sichereren digitalen Welt führen.
Die Navigation durchs Verschlüsselungsgewässer – turbulente Strömungen voraus
Da sich die Nutzung von e2ee verstärkt, äußern viele Länder ihre Bedenken bezüglich der Sicherheitsimplikationen dieser Technologie. Die clientseitige Verschlüsselung mit Zero-Knowledge-Schutz, die wir bei Tresorit als echte Ende-zu-Ende-Verschlüsselung bezeichnen, bedeutet, dass der Dienstanbieter keinen Zugriff auf die in seinem Service gehandhabten verschlüsselten Inhalte hat. Folglich kann er diese nicht an die Strafverfolgungsbehörden übergeben, auch wenn diese Daten über einen rechtmäßigen Gerichtsprozess angefordert werden. (Lesen Sie hier unseren Transparenzbericht darüber, wie wir derartige Anfragen behandeln.)
Im besten Fall hat man es hier mit einem Phänomen von kollidierenden Rechten zu tun: Jeder hat das Recht auf Privatsphäre und das Recht auf Sicherheit. Regierungen haben den Auftrag, die öffentliche Sicherheit zu garantieren. Über Jahrhunderte hinweg haben die Menschen in Kauf genommen, dass dies manchmal mit Beschränkungen ihrer Lebensweise einhergeht. Die Welt funktioniert jedoch nicht entsprechend einer Liste von Best-Case-Szenarien. Eine staatlich geförderte digitale Überwachung unter einem autokratischen Regime oder die umfassende Überwachung von Millionen Menschen auf Anordnung fraglicher Gerichtsbeschlüsse sind nur zwei Beispiele, warum Menschen sich verstärkt Ende-zu-Ende-verschlüsselten Lösungen zuwenden.
Dennoch ändert dies nichts an der Verantwortung des Staates, Sicherheit und die Einhaltung von Gesetzen zu gewährleisten. Demzufolge erwägen einige Länder und Regionen, insbesondere die EU und das Vereinigte Königreich, die Durchsetzung mandatorischer Hintertüren, durch die auf verschlüsselte Inhalte zugegriffen werden kann. Die UK Online Harm Bill hält mit ihrem Ziel, ein Angebot von e2ee-Lösungen für Kinder zu verbieten, nicht hinterm Berg. In der Bill wird behauptet, dass e2ee Behörden daran hindert, Kinder vor sexuellem Missbrauch online zu schützen. Es wird im Jahr 2022 interessant sein zu beobachten, wie sich die Bill im Laufe des Gesetzgebungsverfahrens entwickeln wird. Wie wir jedoch mehrfach hervorgehoben haben, kann eine Hintertür nicht nur vom Staat, sondern auch von anderen Personen ausgenutzt werden. Eine einzige Hintertür kann den gesamten Service in Gefahr bringen.
Deshalb müssen die Anbieter von Ende-zu-Ende-verschlüsselten Services Wege finden, die Anforderung bezüglich des rechtmäßigen, beschränkten und gezielten Zugriffs auf verschlüsselte Informationen mit dem menschlichen Recht auf Privatsphäre in Einklang zu bringen. Die Ermöglichung von Nutzermeldungen im Fall eines Missbrauchs ist nur der erste Schritt. (Lesen Sie in diesem exzellenten Artikel von Rianna Pfefferkorn nach, wie Unternehmen dies bereits in die Praxis umsetzen.) Der regulatorische Widerstand stellt einen bedeutenden Faktor für die Zukunft der e2ee-Technologie dar und ist in einigen Fällen nachvollziehbar. Wie Apple letztes Jahr am eigenen Leib erfahren musste, ist die Entwicklung von Lösungen für diese Herausforderung in Form von datenschutzkonformen Services jedoch kein einfaches Unterfangen.
Ende-zu-Ende-Verschlüsselung bleibt richtungsweisend
Trotz der oben aufgeführten Herausforderungen ist es offensichtlich, dass Ende-zu-Ende-Verschlüsselung wegweisend ist. Nachdem diese bei Privatnutzern an Beliebtheit gewonnen hat, besonders im Bereich von Messaging-Services, wird sie nun zu einer Anforderung in der Wirtschaftswelt. Sogar Microsoft Teams kann seit 2021 Ende-zu-Ende-verschlüsselt werden. Hoffentlich wird sich dieser positive Trend über Kommunikationslösungen hinaus auch auf weitere Bereiche erstrecken und eine breite Auswahl an Tools für Unternehmen umfassen. Werden wir beispielsweise je Zeuge davon werden, wie Enterprise-SaaS-Services wie Salesforce wahre e2ee einführen?
Zudem erleben wir mehr und mehr, dass verschiedene Unternehmen in streng regulierten Branchen in die Cloud wechseln. Da diese Unternehmen unter die Anforderungen von TISAX, BaFin, FINRA und ITAR fallen, benötigen sie Ende-zu-Ende-verschlüsselte Lösungen für die Umstellung. Der Wechsel von einer On-Premise-Technologie zu Cloudlösungen stellt ein großes Sicherheitsrisiko für die Unternehmen dar. Auch sie erkennen jedoch die Notwendigkeit der Migration und betrachten e2ee als die einzige nachhaltige Sicherheitsoption für ihre Anwendungszwecke, wie dies auch von einer Vielzahl dieser Standards festgelegt wird.
Natürlich lässt sich dies auch in den oben beschriebenen Trends erkennen und wird sich nicht nur auf die mit Verschlüsselung verbundenen Cybersicherheitstrends im breiteren Sinne auswirken, sondern auch auf den Regelungsrahmen, der sich in den kommenden Jahren um Verschlüsselung herum herausbilden wird.
Vieles ist noch unsicher und da die Welt weiterhin mit der Pandemie kämpft, ist Remote-Arbeit nicht länger aus der Zukunft wegzudenken. Ich weiß jedoch, dass Tresorit auch im Jahr 2022 und darüber hinaus jede Person und jede Organisation dabei unterstützen wird, die Kontrolle über ihre digitalen Assets zurückzugewinnen. Wir freuen uns darauf, Großunternehmen, Firmen und Privatnutzern dabei zu helfen, ihr digitales Leben zu schützen.