Verschlüsselungsmaßnahmen müssen an den Zustand der Daten angepasst sein und sollten grundsätzlich dem aktuellen Stand der Technik entsprechen (siehe https://www.teletrust.de/publikationen/broschueren/stand-der-technik/). Mögliche Zustände von Daten sind:
-
Data-at-Rest (persistent gespeicherte Daten, z. B. Daten in Datenbanken),
-
Data-in-Transit (Daten während der Datenübertragung, z. B. Emails)
-
und Data-in-Use (Daten die gelesen, verarbeitet, geschrieben oder gelöscht werden z. B. Daten im Arbeitsspeicher).
Data-in-Transit lässt sich mithilfe von SSL (Secure Sockets Layer) und TLS (Transport Layer Security) verschlüsseln. Beides sind Verschlüsselungsprotokolle für einen sicheren Datenaustausch über das Internet. Beispiele für die Verwendung von SSL/TLS sind Websiten die HTTPS (Hypertext Transfer Protocol Secure) statt HTTP verwenden.
Für die Verschlüsselung von Data-at-Rest gibt es zwei Möglichkeiten:
-
Verschlüsselung der Daten auf Applikationsebene: Hierbei werden die Daten bereits vor der Übertragung in die Datenbank verschlüsselt. Als Verschlüsselungsverfahren eignen sich sowohl eine symmetrische (z. B. AES 256-CCM, AES 256-GCM) als auch eine asymmetrische Verschlüsselung (z. B. RSA 3000).
-
Verschlüsselung der Daten auf Datenbankebene: Bei dieser Variante werden die auf der Datenbank abgelegten Daten verschlüsselt. Dies erfolgt häufig über eine eingebaute Software wie z. B. der Transparent Database Encryption (TDE, für Oracle und MS SQL) oder symmetrische Verschlüsselungsverfahren nach AES (z. B. AES 256-CBC, AES 256-GCM für MongoDB).
Die Verschlüsselung von Data-in-Use ist ein vergleichsweise neuer Ansatz, da Daten zur Verwendung meist entschlüsselt werden müssen. Hier schützen vorrangig gute Authentifizierungsmechanismen z. B. Single Sign-On (SSO) oder Multi-Faktor-Authentifizierung (MFA). Ein Beispiel für eine Methode zur Verschlüsselung von Data-in-Use ist die Secure Encrypted Virtualization (SEV), welche mithilfe spezieller Hardware den Arbeitsspeicher verschlüsselt.