Was ist symmetrische Verschlüsselung?

Bei der Verschlüsselung wird lesbarer Klartext in unlesbaren Chiffretext umgewandelt, um sensible Daten vor unbefugten Benutzern zu verbergen. Laut dem IBM Data Breach Kostenreport können Unternehmen, die Verschlüsselung einsetzen, die finanziellen Auswirkungen einer Datenschutzverletzung um über 240.000 US-Dollar reduzieren.

Fast alles, was Menschen auf ihren Computern, Telefonen und IoT-Geräten tun, beruht auf Verschlüsselung, um Daten zu schützen und die Kommunikation zu sichern. Sie kann Daten im Speicher, bei der Übertragung und während der Verarbeitung schützen und ist damit für die Cybersicherheit fast jedes Unternehmens von entscheidender Bedeutung.

Die symmetrische Verschlüsselung, auch bekannt als symmetrische Verschlüsselungskryptographie oder Verschlüsselung mit geheimen Schlüsseln, ist neben der asymmetrischen Verschlüsselung eine von zwei Hauptmethoden der Verschlüsselung. Bei der symmetrischen Verschlüsselung wird ein einziger gemeinsamer Schlüssel zur Ver- und Entschlüsselung sensibler Daten erstellt. Der Hauptvorteil der symmetrischen Verschlüsselung besteht darin, dass sie im Allgemeinen einfach und effizient bei der Sicherung von Daten ist.

Allerdings gilt die symmetrische Verschlüsselung oft als weniger sicher als die asymmetrische Verschlüsselung, vor allem weil sie auf einem sicheren Schlüsselaustausch und einer sorgfältigen Schlüsselverwaltung beruht. Jeder, der den symmetrischen Schlüssel abfängt oder sich verschafft, kann auf die Daten zugreifen.

Aus diesem Grund verlassen sich Unternehmen und Messaging-Apps zunehmend auf eine hybride Verschlüsselungsmethode, die asymmetrische Verschlüsselung für die sichere Schlüsselverteilung und symmetrische Verschlüsselung für den nachfolgenden Datenaustausch verwendet.

Da die Fortschritte im Bereich der künstlichen Intelligenz (KI) und des Quantencomputing traditionelle Verschlüsselungsmethoden unbrauchbar machen, verlassen sich viele Unternehmen auf integrierte Verschlüsselungslösungen, um sensible Daten zu schützen.

Die beiden Arten der Verschlüsselung haben unterschiedliche Eigenschaften und Anwendungsfälle. Bei der asymmetrischen Verschlüsselung werden zwei Schlüssel – ein öffentlicher Schlüssel und ein privater Schlüssel – zum Verschlüsseln und Entschlüsseln von Daten verwendet, während bei der symmetrischen Verschlüsselung nur einer verwendet wird.

Durch zwei verschiedene Schlüssel ist die asymmetrische Verschlüsselung (auch bekannt als Public-Key-Kryptographie und Public-Key-Verschlüsselung) in der Regel sicherer und vielseitiger.

Die asymmetrische Schlüsselkryptografie kann die Erstellung digitaler Signaturen erleichtern und wichtige Prinzipien der Informationssicherheit wie Integrität, Authentifizierung und Nichtabstreitbarkeit gewährleisten. Durch Integrität wird sichergestellt, dass die Daten nicht von unbefugten Dritten manipuliert werden. Durch Authentifizierung wird der Ursprung der Daten verifiziert und durch Nichtabstreitbarkeit wird verhindert, dass Benutzer legitime Aktivitäten leugnen.

Der Nachteil der asymmetrischen Verschlüsselung besteht jedoch darin, dass sie häufig eine höhere Verarbeitungsleistung erfordert und daher für große Datenmengen relativ undurchführbar ist.

Aus diesem Grund entscheiden sich Unternehmen in der Regel für die symmetrische Verschlüsselung, wenn die Effizienz entscheidend ist, z. B. bei der Verschlüsselung großer Datenmengen oder der Sicherung der internen Kommunikation innerhalb eines geschlossenen Systems. Sie entscheiden sich für asymmetrische Verschlüsselung, wenn Sicherheit an erster Stelle steht, z. B. bei der Verschlüsselung sensibler Daten oder der Sicherung der Kommunikation innerhalb eines offenen Systems.

Die symmetrische Verschlüsselung beginnt mit der Schlüsselgenerierung, bei der ein einzelner geheimer Schlüssel erstellt wird, den alle Beteiligten vertraulich behandeln müssen.

Während des Verschlüsselungsprozesses speist das System Klartext (die Originaldaten) und den geheimen Schlüssel in einen Datenverschlüsselungsalgorithmus ein. Dieser Prozess verwendet mathematische Operationen, um den Klartext in Chiffretext (verschlüsselte Daten) umzuwandeln. Ohne einen Entschlüsselungsschlüssel ist das Entschlüsseln von verschlüsselten Nachrichten praktisch unmöglich.

Das System überträgt den Chiffretext dann an den Empfänger, der denselben geheimen Schlüssel verwendet, um den Chiffretext wieder in Klartext zu entschlüsseln, wobei der Verschlüsselungsprozess umkehrt wird.

Bei der symmetrischen Verschlüsselung gibt es zwei Haupttypen von symmetrischen Chiffren: Blockchiffren und Stromchiffren.

• Blockchiffren wie der Advanced Encryption Standard (AES) verschlüsseln Daten in Blöcken fester Größe.
  
  
• Stromchiffren wie RC4 verschlüsseln Daten Bit für Bit oder Byte für Byte und eignen sich daher für die Echtzeit-Datenverarbeitung.

Benutzer entscheiden sich häufig für Blockchiffren, um die Datenintegrität und Sicherheit großer Datenmengen zu gewährleisten. Sie wählen Stromchiffren, um kleinere, kontinuierliche Datenströme effizient zu verschlüsseln, z. B. für die Echtzeitkommunikation.

Unternehmen kombinieren zunehmend symmetrische und asymmetrische Verschlüsselung aus Sicherheits- und Effizienzgründen. Dieser hybride Prozess beginnt mit einem sicheren Schlüsselaustausch, bei dem eine asymmetrische Verschlüsselung verwendet wird, um den symmetrischen Schlüssel sicher auszutauschen.

Webbrowser und Webserver stellen beispielsweise eine sichere Kommunikation über einen SSL/TLS-Handshake her. Bei diesem Prozess wird ein gemeinsamer symmetrischer Schlüssel, ein sogenannter Sitzungsschlüssel, generiert und der öffentliche Schlüssel des Servers verwendet, um diesen Sitzungsschlüssel zu verschlüsseln und zwischen beiden Parteien auszutauschen.

Eine vertrauenswürdige dritte Partei, die sogenannte Zertifizierungsstelle (CA), bestätigt die Gültigkeit des öffentlichen Schlüssels des Servers und stellt ein digitales Zertifikat aus, das die Authentizität des Servers gewährleistet und Man-in-the-Middle-Angriffe verhindert.

Sobald der symmetrische Schlüssel geteilt wurde, kann er alle Daten effizient ver- und entschlüsseln. Beispielsweise könnte ein Live-Video-Streaming-Service asymmetrische Verschlüsselung zum Sichern des Schlüsselaustauschs und symmetrische Stromchiffren zur Echtzeit-Datenverschlüsselung verwenden. Diese effiziente Nutzung des symmetrischen Schlüssels ist ein entscheidender Vorteil dieses kombinierten Verschlüsselungsansatzes.

Zwei gängige Methoden, die für den sicheren Schlüsselaustausch verwendet werden, sind Diffie-Hellman und Rivest-Shamir-Adleman (RSA). Diffie-Hellman ist ein asymmetrischer Algorithmus, der nach seinen Erfindern benannt ist. Beides trägt dazu bei, einen sicheren Schlüsselaustausch herzustellen und sicherzustellen, dass der symmetrische Schlüssel vertraulich bleibt.

• Diffie-Hellman ermöglicht es zwei Parteien, ein gemeinsames Geheimnis – wie einen symmetrischen Schlüssel – über einen unsicheren Kanal zu generieren, ohne zuvor gemeinsame Geheimnisse zu haben. Diese Methode stellt sicher, dass ein Angreifer, selbst wenn er den Austausch abfängt, das gemeinsame Geheimnis nicht entschlüsseln kann, ohne ein komplexes mathematisches Problem zu lösen.
  
  
• Alternativ verwendet RSA ein öffentliches und privates Schlüsselpaar. Der Absender verschlüsselt den symmetrischen Schlüssel mit dem öffentlichen Schlüssel des Empfängers, den nur der Empfänger mit seinem privaten Schlüssel entschlüsseln kann. Diese Methode stellt sicher, dass nur der vorgesehene Empfänger auf den symmetrischen Schlüssel zugreifen kann.

Stellen Sie sich vor, Alice möchte ein vertrauliches Dokument an Bob schicken. In diesem Szenario würde die symmetrische Verschlüsselung wie folgt funktionieren:

1. Alice und Bob einigen sich auf einen geheimen Schlüssel oder verwenden eine asymmetrische Verschlüsselung für den sicheren Schlüsselaustausch.
2. Alice verschlüsselt das Dokument mit dem geheimen Schlüssel und verwandelt es in unlesbaren Chiffretext.
3. Alice sendet den Chiffretext an Bob.
4. Nach Erhalt des verschlüsselten Dokuments verwendet Bob denselben geheimen Schlüssel, um es wieder in seine ursprüngliche Form zu entschlüsseln und so die Vertraulichkeit während der gesamten Übertragung zu gewährleisten.
   

Die Verwaltung von Verschlüsselungsschlüsseln ist der Prozess der Generierung, des Austauschs und der Verwaltung kryptografischer Schlüssel, um die Sicherheit verschlüsselter Daten zu gewährleisten.

Effektives Schlüsselmanagement ist für alle Verschlüsselungsmethoden entscheidend. Sie ist jedoch insbesondere entscheidend für die symmetrische Verschlüsselung, die von vielen Experten aufgrund ihres einzigen gemeinsamen Schlüssels und der Notwendigkeit eines sicheren Schlüsselaustauschs als weniger sicher angesehen wird.

Wenn der Verschlüsselungsprozess wie ein Tresor für sensible Informationen funktioniert, dann ist ein Verschlüsselungsschlüssel der Schlosscode, der zum Öffnen des Tresors benötigt wird. Wenn dieser Code in die falschen Hände gerät oder abgefangen wird, riskieren Sie, den Zugang zu Ihren Wertsachen zu verlieren oder bestohlen zu werden. Ebenso können Unternehmen, die ihre kryptografischen Schlüssel nicht ordnungsgemäß verwalten, den Zugriff auf ihre verschlüsselten Daten verlieren oder sich Datenschutzverletzungen aussetzen.

So gab Microsoft beispielsweise kürzlich bekannt, dass eine von China unterstützte Hackergruppe einen wichtigen kryptografischen Schlüssel aus den Systemen des Unternehmens gestohlen hatte.¹ Dieser Schlüssel ermöglichte es Hackern, legitime Authentifizierungstoken zu generieren und auf cloudbasierte Outlook-E-Mail-Systeme für 25 Organisationen zuzugreifen, darunter mehrere US-Regierungsbehörden.

Um sich vor Angriffen wie diesen zu schützen, investieren Organisationen häufig in Schlüsselverwaltungssysteme. Diese Services sind von entscheidender Bedeutung, da Organisationen häufig ein komplexes Netzwerk kryptografischer Schlüssel verwalten und viele Bedrohungsakteure wissen, wo sie nach diesen suchen müssen.

Lösungen zur Verwaltung von Chiffrierschlüsseln enthalten oft Funktionen wie die Folgenden:

• eine zentrale Verwaltungskonsole für Richtlinien und Konfigurationen zur Verschlüsselung und zu Chiffrierschlüsseln

• Verschlüsselung auf Datei-, Datenbank- und Anwendungsebene für lokale und cloudbasierte Daten

• Rollen- und gruppenbasierte Zugriffskontrollen und Auditprotokollierung zur Einhaltung von Vorschriften

• Automatisierung wichtiger Lebenszyklusprozesse

• Integration in neueste Technologien wie KI, um die Schlüsselverwaltung anhand von Analysen und Automatisierung zu verbessern

Unternehmen setzen zunehmend KI-Systeme ein, um die Schlüsselverwaltung zu automatisieren, einschließlich der Erstellung, Verteilung und Rotation von Schlüsseln.

KI-gestützte Schlüsselverwaltungslösungen können beispielsweise dynamisch Verschlüsselungsschlüssel auf der Grundlage von Datennutzungsmustern und Bedrohungsbewertungen in Echtzeit generieren und verteilen.

Durch die Automatisierung von Schlüsselverwaltungsprozessen kann KI das Risiko menschlicher Fehler erheblich reduzieren und sicherstellen, dass die Verschlüsselungsschlüssel regelmäßig aktualisiert und sicher sind. Die automatisierte Schlüsselrotation erschwert es Bedrohungsakteuren auch, Schlüssel zu verwenden, die sie stehlen können.

Die symmetrische Verschlüsselung ist für moderne Datensicherheitspraktiken von entscheidender Bedeutung. Seine Effizienz und Einfachheit machen es oft zu einer bevorzugten Wahl für verschiedene Anwendungen. Zu den gängigen Anwendungen der symmetrischen Verschlüsselung gehören:

• Datensicherheit (insbesondere bei großen Datenmengen)

• Sichere Kommunikation und sicheres Surfen im Internet

• Cloudsicherheit

• Verschlüsselung von Datenbanken

• Datenintegrität

• Datei-, Ordner- und Festplattenverschlüsselung

• Hardwarebasierte Verschlüsselung

• Compliance-Management

Die symmetrische Verschlüsselung gehört zu den kritischsten und am weitesten verbreiteten Tools für die Datensicherheit.l Ein kürzlich veröffentlichter Bericht von TechTarget ergab, dass die fehlende Verschlüsselung die Hauptursache für den Datenverlust war. ²

Durch die Kodierung von Klartext als Chiffretext kann die Verschlüsselung Unternehmen dabei helfen, Daten vor einer Reihe von Cyberangriffen zu schützen, einschließlich Ransomware und anderer Malware.

Laut dem IBM X-Force Threat Intelligence Index von 2024 ist der Einsatz von Malware, die sensible Daten stiehlt, gegenüber 2022 um 266 % gestiegen. Verschlüsselung hilft bei der Bekämpfung dieser Bedrohung, da die Daten für Hacker unbrauchbar gemacht werden und so den Zweck des Datendiebstahls untergraben.

Die symmetrische Verschlüsselung eignet sich effektiv für die Verschlüsselung großer Datenmengen, da sie rechnerisch effizient ist und große Datenmengen schnell verarbeiten kann.

Unternehmen nutzen die symmetrische Verschlüsselung häufig zur Sicherung von Kommunikationskanälen. Protokolle wie Transport Layer Security (TLS) verwenden symmetrische Verschlüsselung, um die Integrität und Vertraulichkeit von Daten, die über das Internet übertragen werden, einschließlich E-Mails, Instant Messaging und Web-Browsing, effizient zu schützen.

Bei einem SSL/TLS-Handshake erhält der Client den öffentlichen Schlüssel der Website aus ihrem SSL/TSL-Zertifikat, um einen sicheren Sitzungsschlüssel zu erstellen, während die Website ihren privaten Schlüssel geheim hält.

Beim anfänglichen Handshake wird eine asymmetrische Verschlüsselung verwendet, um Informationen auszutauschen und einen sicheren Sitzungsschlüssel zu erstellen, bevor auf eine symmetrische Verschlüsselung für eine effizientere Datenübertragung umgestellt wird. Diese Kombination stellt sicher, dass sensible Daten während der Übertragung privat und fälschungssicher bleiben.

Während Anbieter von Cloud-Services (Cloud Service Provider, CSP) für die Sicherheit der Cloud verantwortlich sind, sind die Kunden für die Sicherheit in der Cloud verantwortlich, einschließlich der Sicherheit aller Daten.

Die unternehmensweite Datenverschlüsselung kann Unternehmen dabei helfen, ihre sensiblen Daten vor Ort und in der Cloud zu schützen, indem sie sicherstellt, dass gestohlene Daten ohne den Verschlüsselungscode unzugänglich bleiben, selbst wenn es zu einer Datenschutzverletzung kommt.

Aktuelle Untersuchungen zeigen, dass die meisten Unternehmen heute eine hybride kryptografische Infrastruktur sowohl in cloudbasierten als auch in Form von On-Premises-Kryptografielösungen einsetzen.²

In Datenbanken werden oft große Mengen sensibler Informationen gespeichert, von persönlichen Daten bis hin zu Finanzdaten. Die symmetrische Verschlüsselung kann dabei helfen, diese Datenbanken oder bestimmte Felder darin zu verschlüsseln, wie z. B. Kreditkarten- und Sozialversicherungsnummern.

Durch die Verschlüsselung von Daten im Ruhezustand können Unternehmen sicherstellen, dass sensible Daten geschützt bleiben, selbst wenn die Datenbank kompromittiert wird.

Symmetrische Verschlüsselungsalgorithmen gewährleisten nicht nur die Vertraulichkeit, sondern auch die Integrität der Daten, ein kritischer Faktor bei Finanztransaktionen. Durch die Generierung von Nachrichtenauthentifizierungscodes (MACs) können symmetrische Schlüssel dabei helfen, zu bestätigen, dass niemand die Daten während der Übertragung verändert hat.

Hash-Funktionen spielen auch eine wichtige Rolle bei der Überprüfung der Datenintegrität. Hash-Funktionen erzeugen aus Eingabedaten einen Hashwert fester Größe. Diese „digitalen Fingerabdrücke“ können vor und nach der Übertragung verglichen werden. Wenn sich der Hash geändert hat, bedeutet das, dass jemand ihn manipuliert hat.

Unternehmen nutzen häufig symmetrische Verschlüsselung, um Dateien zu schützen, die auf lokalen Systemen, gemeinsam genutzten Laufwerken und Wechselmedien gespeichert sind.

Die Verschlüsselung von Dateien stellt sicher, dass sensible Daten vertraulich bleiben, selbst wenn das Speichermedium verloren geht oder gestohlen wird. Die Whole Disk Encryption erweitert diesen Schutz, indem sie ganze Speichergeräte verschlüsselt und so sensible Daten auf Endgeräten wie Laptops und mobilen Geräten schützt.

Für einen besseren Schutz sensibler Daten, insbesondere wenn softwarebasierte Verschlüsselung nicht ausreicht, setzen Organisationen häufig spezielle Hardware-Komponenten wie Verschlüsselungschips oder -module ein. Diese hardwarebasierten Verschlüsselungslösungen sind häufig in Smartphones, Laptops und Speichergeräten zu finden.

In vielen Branchen und Gerichtsbarkeiten gibt es gesetzliche Vorschriften, die Unternehmen die Verwendung bestimmter Arten der Verschlüsselung zum Schutz sensibler Daten vorschreiben. Die Einhaltung dieser Vorschriften hilft Unternehmen, rechtliche Strafen zu vermeiden und das Vertrauen ihrer Kunden zu erhalten.

Die Federal Information Processing Standards (FIPS) sind eine Reihe von Standards, die vom National Institute of Standards and Technology (NIST) für Computersysteme entwickelt wurden, die von nichtmilitärischen US-Regierung und Auftragnehmern verwendet werden. Sie konzentrieren sich auf die Gewährleistung der Sicherheit und Interoperabilität von Daten und kryptografischen Prozessen.

Zu den bekanntesten symmetrischen Schlüsselalgorithmen gehören:

• Data Encryption Standard (DES) und Triple DES (3DES)

• Advanced Encryption Standard (AES)
  

• Twofish

• Blowfish

IBM® führte DES erstmals in den 1970er Jahren als Standardverschlüsselungsalgorithmus ein, eine Rolle, die er viele Jahre lang innehatte. Seine relativ kurze Schlüssellänge (56 Bits) machte es jedoch anfällig für Brute-Force-Angriffe, bei denen Bedrohungsakteure verschiedene Schlüssel ausprobieren, bis einer funktioniert.

Triple DES, das als Erweiterung entwickelt wurde, wendet den DES-Algorithmus dreimal auf jeden Datenblock an und erhöht so die Schlüsselgröße und die Gesamtsicherheit erheblich.

Schließlich ersetzten sicherere symmetrische Algorithmen sowohl DES als auch Triple DES.

AES gilt allgemein als der Goldstandard unter den symmetrischen Verschlüsselungsalgorithmen. Er wird von Unternehmen und Regierungen auf der ganzen Welt eingesetzt, auch von der US-Regierung. AES bietet hohe Sicherheit mit Schlüssellängen von 128, 192 oder 256 Bit. Längere Schlüssellängen sind schwerer zu knacken.

Insbesondere AES-256, das einen 256-Bit-Schlüssel verwendet, ist für sein hohes Maß an Sicherheit bekannt und wird häufig in hochsensiblen Situationen eingesetzt. Darüber hinaus ist AES sowohl bei Software- als auch bei Hardwareimplementierungen äußerst effizient und eignet sich daher für ein breites Anwendungsspektrum.

Twofish ist eine Blockchiffre mit symmetrischem Schlüssel, die für ihre Geschwindigkeit und Sicherheit bekannt ist. Sie funktioniert mit Datenblöcken mit einer Blockgröße von 128 Bit und unterstützt Schlüssellängen von 128, 192 oder 256 Bit.

Twofish ist Open Source und resistent gegen Kryptoanalyse, was es zu einer zuverlässigen Wahl für sichere Anwendungen macht. Ihre Flexibilität und Leistung eignen sich für Software- und Hardware-Implementierungen, insbesondere dort, wo Sicherheit und Leistung entscheidend sind.

Blowfish ist eine Blockchiffre mit symmetrischem Schlüssel, die für eine gute Verschlüsselungsrate in Software und eine sichere Datenverschlüsselung entwickelt wurde. Es unterstützt Schlüssellängen von 32 Bit bis 448 Bit und ist damit flexibel und für verschiedene Anwendungen geeignet.

Blowfish ist für seine Geschwindigkeit und Effektivität bekannt und wird besonders gerne zur Softwareverschlüsselung verwendet. Es ist auch in Anwendungen sehr beliebt, die einen einfachen und schnellen Verschlüsselungsalgorithmus benötigen, obwohl neuere Algorithmen wie Twofish und AES ihn für die meisten Anwendungsfälle weitgehend ersetzt haben.