Immer mehr Organisationen verschlüsseln ihre ruhenden beziehungsweise gespeicherten Informationen, um Datenverlusten und -diebstahl vorzubauen. Nach Ansicht von Experten von IBMs Sicherheitssparte Internet Security Systems (ISS), Juniper und nCipher birgt die Datenverschlüsselung allerdings neue Gefahren – vor allem in Form von Attacken auf die Infrastruktur des Schlüssel-Managements.

Die neuen Risiken führt Richard Moulds, Executive Vice President Product Strategy bei nCipher, primär auf die zunehmende Verlagerung der Verschlüsselungsaktivitäten von bewegten Daten hin zu ruhenden Informationen ("data at rest"). Viele Organisationen seien Neulinge in Sachen Verschlüsselung und bislang nur in Form von SSL (und daher nur für eine jeweils Session) damit in Berührung gekommen, gibt Moulds zu bedenken. Wer aber ruhende Daten beziehungsweise seinen Laptop chiffriere und dann den Schlüssel verliere, verursache eine Art selbstverschuldete "Denial-of-Service-Attacke" (DoS), die das Business potenziell zum Stillstand bringen könne.

Das Thema Verschlüsselung sei auch für Kriminelle von großem Interesse, warnt Anton Grashion, Europa-Sicherheitsstratege bei Juniper. So ließen sich darüber bestens Attacken auf die Key-Infrastruktur starten. Laut Moulds würde es sich dabei um eine neuartige Kategorie von DoS-Attacken handeln: Einen Schlüssel für ungültig zu erklären und dann 'Lösegeld' zu fordern sei eine hervorragende Möglichkeit, eine Organisation anzugreifen.

ISS-Sicherheitsstratege Joshua Corman befürchtet indes, dass sich Firmen durch übereifriges Verschlüsseln in ihren Möglichkeiten beschneiden, gemeinsam auf kritische Geschäftsdaten zuzugreifen und diese zu nutzen. Wenn künftig jeder all seine Informationen verberge, würden die Fähigkeiten zur Kollaboration erstickt, argumentiert der Experte. "Manchmal resultiert die Implementierung einer Sicherheitstechnik tatsächlich in einem Nettozuwachs an Risiko", gibt Richard Reiner, Chief Security/Technology Officer bei Telus Security Solutions, zu bedenken. (kf)