Magazin
Public-Key-Verfahren für eine sichere Datenübertragung

Public-Key-Verfahren für eine sichere Datenübertragung

Letztes Update:
29
.
06
.
2020
Lesezeit:
0
Min
Das Public-Key-Verfahren ist eine Form der sicheren Verschlüsselung bei der Übertragung von Nachrichten. Wie das Verfahren funktioniert und welche Vorteile es bietet, erfahren Sie im Folgenden.
Public-Key-Verfahren für eine sichere Datenübertragung
Die wichtigsten Erkenntnisse
  • Asymmetrische Verschlüsselung mit Public und Private Key erhöht Sicherheit bei E-Mail-Verkehr.
  • Symmetrische Verschlüsselung nutzt denselben Schlüssel für Ver- und Entschlüsselung, birgt höhere Risiken.
  • Public-Key-Verfahren benötigt keinen geheimen Schlüsselaustausch, minimiert Abhörgefahr.
  • Private Key bleibt beim Empfänger, nur er kann die Nachricht entschlüsseln.
  • DSGVO fordert umfassenden Schutz personenbezogener Daten, hohe Strafen bei Verstößen.

Das Public-Key-Verfahren (auch Public-Key-Verschlüsselung oder asymmetrische Verschlüsselung) ist eine Möglichkeit, E-Mails vor Dritten zu schützen. Das ist vor allem dann interessant, wenn man an Hackerangriffe denkt – wie etwa den vom Januar 2019 mit über 500 Millionen gehackten E-Mails. Damit ist er der größte, wenn auch  nicht der erste seiner Art. Die Gefahr, dass nun Dritte unbefugt E-Mails lesen und an sensible Informationen kommen, ist groß, vor allem da in Mails  auch personenbezogene Daten oder auch Geschäftsgeheimnisse ausgetauscht werden. Doch  nicht nur Hackerangriffe bedeuten ein Risiko für den Datenschutz. Bei Google und Microsoft wurde bereits nachgewiesen, dass der empfangende Provider die Nachrichten mitlesen kann.

Die Wissenschaftler Witfield Diffie und Martin Hellmann der Universität Stanford haben bereits in den 1970er Jahren mit der Forschung über die kryptische Verschlüsselung begonnen. Doch erst seit den Snowden-Enthüllungen hat die Methodik einer sicheren Verschlüsselung in der breiten Öffentlichkeit an Relevanz gewonnen. Auch sind Unternehmen mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) in der Pflicht, personenbezogene Daten umfassend zu schützen. Wir zeigen Ihnen, wie der Mailverkehr mit dem Public-Key-Verfahren sicherer gestaltet werden kann und Sie so Ihre persönlichen Daten schützen können.

Symmetrische und asymmetrische Verschlüsselung

Man unterscheidet grundsätzlich zwischen zwei Formen der Verschlüsselung:

  • symmetrische Verschlüsselung (Single-Key-Verfahren)
  • asymmetrische Verschlüsselung (Public-Key-Verfahren)

Der Vorteil bei der symmetrischen Verschlüsselung ist, dass eine E-Mail ohne großen Aufwand verschickt werden kann: Man braucht für die Ver- und Entschlüsselung ein- und denselben Schlüssel. Das Problem dabei ist jedoch, dass diese Methode weniger sicher ist, da der Schlüssel beim Sender und Empfänger vorliegen muss. Wichtig ist, dass der Schlüssel dem Empfänger auf sicherem Wege übertragen wird. Andernfalls können Unbefugte den Schlüssel erhalten, die Nachricht somit problemlos entschlüsseln und Zugang zu Informationen erhalten, die nicht für sie bestimmt sind.

Eine sichere Möglichkeit der Verschlüsselung des Mailverkehrs ist daher die asymmetrische Verschlüsselung bzw. das Public-Key-Verfahren. Sie hat den Vorteil, dass kein geheimer Schlüssel ausgetauscht werden muss. Stattdessen gibt es zwei Schlüssel, den Public Key und den Private Key. Durch den Einsatz beider Schlüssel lassen sich die Nachrichten sicher ver- und entschlüsseln.

Das Public-Key-Verfahren

Wenn man von asymmetrischer Verschlüsselung spricht, spricht man von der sogenannten Public-Key-Verschlüsselung. Die beiden an einem Nachrichtenaustausch Beteiligten einigen sich dabei auf zwei Schlüssel:

  • den Public Key: Ein öffentlicher Schlüssel, mit dem man eine Nachricht sicher für den Transport verschlüsseln/codieren kann. Mit diesem Schlüssel allein kann man nicht entschlüsseln, sondern nur verschlüsseln.
  • den Private Key: Ein privater Schlüssel, mit dem man entschlüsseln/decodieren kann und der beim Empfänger bleibt. Nur damit kann die Nachricht entschlüsselt werden, unabhängig davon, ob die verschlüsselte Nachricht oder der Public Key abgefangen wird.

Bei der Public-Key-Verschlüsselung gibt es somit insgesamt zwei Schlüssel zur Ver- und Entschlüsselung. Im ersten Schritt wird der öffentliche Schlüssel veröffentlicht. Dies erfolgt über einen Server oder per Mail. Dabei jeder kann in Besitz des öffentlichen Schlüssels kommen. Die Person, die den zweiten Schlüssel nicht besitzt, kann mit der jeweiligen Nachricht also nichts anfangen. Nur der Empfänger, der in Besitz des zugehörigen Private Keys ist, kann diese Nachricht entschlüsseln.

Die Datenverschlüsselung mit dem Public-Key-Verfahren läuft also folgendermaßen ab:

  1. Der Absender verschlüsselt die Nachricht mit dem allgemeinen Algorithmus und dem Public Key.
  2. Das Resultat wird digital signiert. Die Signatur der Nachricht ist dabei im Klartext.
  3. Der Absender schickt die Nachricht ab.
  4. Anhand der digitalen Signatur kann der Empfänger den Sender identifizieren und die Nachricht mit dem Private Key entschlüsseln und lesen.

Warum Public-Key-Verfahren?

Die Public-Key-Verschlüsselung bringt sowohl für den Sender als auch den Empfänger viele Vorteile:

  • Hohe Sicherheit, da der Private Key beim Empfänger verbleibt
  • Problemlose Schlüsselverteilung, da keine Übertragung des Private Keys durch unsichere Kanäle nötig ist
  • Entschlüsselung der Nachricht ohne den Private Key kann Monate bis Jahre dauern
  • Daten werden unverfälscht an den Empfänger gesendet
  • Nachrichten können nur vom Berechtigten gelesen werden

Die Bedeutung des Public-Key-Verfahrens für die Datenverschlüsselung ist enorm. Denn generell können nicht nur Geheimdienste oder Hacker die elektronische Kommunikation abfangen und scannen. Auch technische Pannen oder ein Systemadministrator, der andere Personen an den PC lässt, können dazu führen, dass Unbefugte Zugang zu E-Mails bekommen. Wenn Unbefugte auf diese Mails zugreifen können, kann es zu empfindlichen Datenpannen kommen, für die die DSGVO hohe Strafen vorsieht. Ob eine Datenschutzverletzung vorsätzlich oder fahrlässig begangen wurde, macht dabei keinen Unterschied.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Datensicherheit
IT-Sicherheit
Technisch organisatorische Maßnahmen
Datenschutz im Internet
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Unterschied zwischen Datenschutz und Informationssicherheit – Was Unternehmen wissen sollten
20
.
11
.
2024
Unterschied zwischen Datenschutz und Informationssicherheit – Was Unternehmen wissen sollten
Datenschutz und Informationssicherheit spielen eine zentrale Rolle, wenn es um den Schutz von analogen und digitalen Informationen im Unternehmen geht. Um beide Konzepte richtig umzusetzen, ist eine klare Trennung notwendig. Wir klären die Unterschiede und Gemeinsamkeiten und zeigen, wie Unternehmen sicher und rechtskonform arbeiten.
SOC-2-Reports: Was Unternehmen über den Audit wissen müssen
14
.
11
.
2024
SOC-2-Reports: Was Unternehmen über den Audit wissen müssen
Mit einem SOC-2-Report zeigen Sie, dass Ihr Unternehmen Kontrollen und Prozesse implementiert hat, um sensible Kundendaten zu schützen. Doch was genau ist ein SOC-2-Report? Welche Unternehmen benötigen ihn? Und wie läuft der Audit-Prozess ab?
ISO 27001 Controls: Eine Übersicht für Unternehmen
14
.
11
.
2024
ISO 27001 Controls: Eine Übersicht für Unternehmen
In einer Welt, in der Cyberangriffe immer häufiger und raffinierter werden, sind Informationssicherheit und Datenschutz für Unternehmen essenziell. Eine der anerkanntesten internationalen Normen in diesem Bereich ist die ISO 27001. Diese Norm hilft Unternehmen dabei, ein robustes Informationssicherheitsmanagementsystem (ISMS) zu etablieren, um sensible Daten zu schützen und regulatorische Anforderungen zu erfüllen.
SOC 2 vs. ISO 27001: Der richtige Sicherheitsstandard für Ihr Unternehmen
12
.
11
.
2024
SOC 2 vs. ISO 27001: Der richtige Sicherheitsstandard für Ihr Unternehmen
Sie möchten Ihre Informationssicherheit auf das nächste Level bringen und suchen einen Sicherheitsstandard, der Ihnen dabei hilft? Wir beleuchten Gemeinsamkeiten und Unterschiede zwischen SOC 2 und ISO 27001, damit Ihnen die Entscheidung leichter fällt.
datenschutz-Muster

Kostenlose Materialien zum Thema

Datenschutzerklärung für Kunden
Als Unternehmen haben Sie verschiedene Informationspflichten nach DSGVO einzuhalten. Dazu zählt auch die Datenschutzinformationspflicht gegenüber Ihren Interessenten und Kunden. Dabei können Sie eine PDF-Datei der Bestätigungs-E-Mail anhängen oder online auf eine zur Verfügung gestellte Information verweisen. Mithilfe unserer DSGVO-konformen Vorlage zur Datenschutzbelehrung können Sie der Datenschutzinformationspflicht für Kunden jetzt ganz einfach nachgehen.
Bestellung eines Datenschutz­beauftragten nach DSGVO
Berufen Sie jetzt einfach und schnell einen Datenschutzexperten mit unserer Bestellurkunde.
Vertraulichkeits- und Verschwiegenheits­erklärung Mitarbeiter
Alle Unternehmen die personenbezogene Daten verarbeiten müssen sicherstellen, dass Mitarbeiter und Dienstleister diese Daten vertraulich behandeln. Deshalb ist eine Verpflichtung auf Vertraulichkeit (auch „Vertraulichkeitserklärung“ genannt) notwendig. Um zu dokumentieren, dass die Mitarbeiter im Unternehmen sich dieser Pflicht bewusst sind, entsprechend geschult wurden, und wissen, worauf sie beim Umgang mit personenbezogenen Daten zu achten haben, sieht die DSGVO vor, dass die Mitarbeiter eine Vertraulichkeitserklärung unterschreiben. Dies ergibt sich aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und Art. 24 Abs. 1 DSGVO. Mit der Vertraulichkeitserklärung können Unternehmen nicht nur ihren Dokumentationspflichten gegenüber Betroffenen oder Aufsichtsbehörden nachkommen, sondern verringern auch die Gefahr einer unbeabsichtigten Datenschutzverletzung. Die Vertraulichkeitserklärung stärkt zudem das Vertrauen der Kunden oder Geschäftspartner in die datenschutzrechtlichen Praktiken des Unternehmens. Mit unserem juristisch geprüften Verschwiegenheitserklärung-Muster können Sie Ihren Mitarbeitern eine Vertraulichkeitserklärung zukommen und diese unterschreiben lassen. Falls Sie dieser Pflicht nicht nachkommen, können teure Abmahnungen die Folge sein.
Datenschutzerklärung Vorlage & Muster
Nutzen Sie unsere kostenlose Datenschutzerklärung Vorlage und setzen Sie die DSGVO sicher um.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!