Magazin
Public-Key-Verfahren für eine sichere Datenübertragung

Public-Key-Verfahren für eine sichere Datenübertragung

Letztes Update:
29
.
06
.
2020
Lesezeit:
0
Min
Das Public-Key-Verfahren ist eine Form der sicheren Verschlüsselung bei der Übertragung von Nachrichten. Wie das Verfahren funktioniert und welche Vorteile es bietet, erfahren Sie im Folgenden.
Public-Key-Verfahren für eine sichere Datenübertragung
Die wichtigsten Erkenntnisse
  • Asymmetrische Verschlüsselung mit Public und Private Key erhöht Sicherheit bei E-Mail-Verkehr.
  • Symmetrische Verschlüsselung nutzt denselben Schlüssel für Ver- und Entschlüsselung, birgt höhere Risiken.
  • Public-Key-Verfahren benötigt keinen geheimen Schlüsselaustausch, minimiert Abhörgefahr.
  • Private Key bleibt beim Empfänger, nur er kann die Nachricht entschlüsseln.
  • DSGVO fordert umfassenden Schutz personenbezogener Daten, hohe Strafen bei Verstößen.

Das Public-Key-Verfahren (auch Public-Key-Verschlüsselung oder asymmetrische Verschlüsselung) ist eine Möglichkeit, E-Mails vor Dritten zu schützen. Das ist vor allem dann interessant, wenn man an Hackerangriffe denkt – wie etwa den vom Januar 2019 mit über 500 Millionen gehackten E-Mails. Damit ist er der größte, wenn auch  nicht der erste seiner Art. Die Gefahr, dass nun Dritte unbefugt E-Mails lesen und an sensible Informationen kommen, ist groß, vor allem da in Mails  auch personenbezogene Daten oder auch Geschäftsgeheimnisse ausgetauscht werden. Doch  nicht nur Hackerangriffe bedeuten ein Risiko für den Datenschutz. Bei Google und Microsoft wurde bereits nachgewiesen, dass der empfangende Provider die Nachrichten mitlesen kann.

Die Wissenschaftler Witfield Diffie und Martin Hellmann der Universität Stanford haben bereits in den 1970er Jahren mit der Forschung über die kryptische Verschlüsselung begonnen. Doch erst seit den Snowden-Enthüllungen hat die Methodik einer sicheren Verschlüsselung in der breiten Öffentlichkeit an Relevanz gewonnen. Auch sind Unternehmen mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) in der Pflicht, personenbezogene Daten umfassend zu schützen. Wir zeigen Ihnen, wie der Mailverkehr mit dem Public-Key-Verfahren sicherer gestaltet werden kann und Sie so Ihre persönlichen Daten schützen können.

Symmetrische und asymmetrische Verschlüsselung

Man unterscheidet grundsätzlich zwischen zwei Formen der Verschlüsselung:

  • symmetrische Verschlüsselung (Single-Key-Verfahren)
  • asymmetrische Verschlüsselung (Public-Key-Verfahren)

Der Vorteil bei der symmetrischen Verschlüsselung ist, dass eine E-Mail ohne großen Aufwand verschickt werden kann: Man braucht für die Ver- und Entschlüsselung ein- und denselben Schlüssel. Das Problem dabei ist jedoch, dass diese Methode weniger sicher ist, da der Schlüssel beim Sender und Empfänger vorliegen muss. Wichtig ist, dass der Schlüssel dem Empfänger auf sicherem Wege übertragen wird. Andernfalls können Unbefugte den Schlüssel erhalten, die Nachricht somit problemlos entschlüsseln und Zugang zu Informationen erhalten, die nicht für sie bestimmt sind.

Eine sichere Möglichkeit der Verschlüsselung des Mailverkehrs ist daher die asymmetrische Verschlüsselung bzw. das Public-Key-Verfahren. Sie hat den Vorteil, dass kein geheimer Schlüssel ausgetauscht werden muss. Stattdessen gibt es zwei Schlüssel, den Public Key und den Private Key. Durch den Einsatz beider Schlüssel lassen sich die Nachrichten sicher ver- und entschlüsseln.

Das Public-Key-Verfahren

Wenn man von asymmetrischer Verschlüsselung spricht, spricht man von der sogenannten Public-Key-Verschlüsselung. Die beiden an einem Nachrichtenaustausch Beteiligten einigen sich dabei auf zwei Schlüssel:

  • den Public Key: Ein öffentlicher Schlüssel, mit dem man eine Nachricht sicher für den Transport verschlüsseln/codieren kann. Mit diesem Schlüssel allein kann man nicht entschlüsseln, sondern nur verschlüsseln.
  • den Private Key: Ein privater Schlüssel, mit dem man entschlüsseln/decodieren kann und der beim Empfänger bleibt. Nur damit kann die Nachricht entschlüsselt werden, unabhängig davon, ob die verschlüsselte Nachricht oder der Public Key abgefangen wird.

Bei der Public-Key-Verschlüsselung gibt es somit insgesamt zwei Schlüssel zur Ver- und Entschlüsselung. Im ersten Schritt wird der öffentliche Schlüssel veröffentlicht. Dies erfolgt über einen Server oder per Mail. Dabei jeder kann in Besitz des öffentlichen Schlüssels kommen. Die Person, die den zweiten Schlüssel nicht besitzt, kann mit der jeweiligen Nachricht also nichts anfangen. Nur der Empfänger, der in Besitz des zugehörigen Private Keys ist, kann diese Nachricht entschlüsseln.

Die Datenverschlüsselung mit dem Public-Key-Verfahren läuft also folgendermaßen ab:

  1. Der Absender verschlüsselt die Nachricht mit dem allgemeinen Algorithmus und dem Public Key.
  2. Das Resultat wird digital signiert. Die Signatur der Nachricht ist dabei im Klartext.
  3. Der Absender schickt die Nachricht ab.
  4. Anhand der digitalen Signatur kann der Empfänger den Sender identifizieren und die Nachricht mit dem Private Key entschlüsseln und lesen.

Warum Public-Key-Verfahren?

Die Public-Key-Verschlüsselung bringt sowohl für den Sender als auch den Empfänger viele Vorteile:

  • Hohe Sicherheit, da der Private Key beim Empfänger verbleibt
  • Problemlose Schlüsselverteilung, da keine Übertragung des Private Keys durch unsichere Kanäle nötig ist
  • Entschlüsselung der Nachricht ohne den Private Key kann Monate bis Jahre dauern
  • Daten werden unverfälscht an den Empfänger gesendet
  • Nachrichten können nur vom Berechtigten gelesen werden

Die Bedeutung des Public-Key-Verfahrens für die Datenverschlüsselung ist enorm. Denn generell können nicht nur Geheimdienste oder Hacker die elektronische Kommunikation abfangen und scannen. Auch technische Pannen oder ein Systemadministrator, der andere Personen an den PC lässt, können dazu führen, dass Unbefugte Zugang zu E-Mails bekommen. Wenn Unbefugte auf diese Mails zugreifen können, kann es zu empfindlichen Datenpannen kommen, für die die DSGVO hohe Strafen vorsieht. Ob eine Datenschutzverletzung vorsätzlich oder fahrlässig begangen wurde, macht dabei keinen Unterschied.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Datensicherheit
IT-Sicherheit
Technisch organisatorische Maßnahmen
Datenschutz im Internet
Redaktion
Alexander Ingelheim
Co-Founder & CEO
-
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Patientendatenschutz und Schweigepflicht – das sollten Sie wissen
21
.
04
.
2021
Patientendatenschutz und Schweigepflicht – das sollten Sie wissen
Gilt die ärztliche Schweigepflicht auch für den Betriebsarzt? Was passiert, wenn man die Schweigepflicht bricht? Bei diesem heiklen Thema gibt es einiges zu wissen.
Löschkonzept nach DSGVO in Unternehmen
14
.
10
.
2024
Löschkonzept nach DSGVO in Unternehmen
Bereits vor der DSGVO sah das alte Bundesdatenschutzgesetz eine Löschung von Daten in bestimmten Fällen vor. Viele Unternehmen das Thema Datenlöschung nicht ernst genommen und folglich ihre Löschpflicht nicht konsequent umgesetzt. Mit der seit dem 25. Mai 2018 geltenden EU-Datenschutzverordnung (DSGVO) können sich Unternehmen angesichts drastisch erhöhter Bußgeldrahmen bei Datenpflichtverstößen Nachlässigkeiten in diesem Bereich nicht mehr leisten. Denn eines ist klar: Zu jedem datenschutzkonformen Datenmanagement im Unternehmen gehört zwingend ein entsprechendes Löschkonzept. Was ist dabei zu beachten?
Datenschutz als Grundlage für IT-Sicherheit?
19
.
07
.
2024
Datenschutz als Grundlage für IT-Sicherheit?
IT-Unternehmen stehen vor großen Herausforderungen: Cyberbedrohungen werden immer größer, gleichzeitig dürfen sie bei der Digitalisierung den Anschluss nicht verlieren. Wie Datenschutz hilft, IT-Sicherheit und Fortschritt in Einklang zu bringen
Datenschutz Folgenabschätzung
14
.
10
.
2024
Datenschutz Folgenabschätzung
Bei der Verarbeitung von personenbezogenen Daten greifen seit dem Inkrafttreten der DSGVO verschärfte Anforderungen. Was früher im Rahmen des alten Bundesdatenschutzgesetzes noch als Vorabkontrolle bekannt war, wurde im Zuge der Datenschutz-Grundverordnung zur Datenschutz-Folgeabschätzung. Insbesondere für kleine und mittlere Unternehmen stellt die Folgenabschätzung eine Herausforderung dar, da es sich hierbei um einen umfangreichen und aufwändigen Prozess handelt. Allerdings ist nicht jedes Unternehmen zu einer Datenschutz-Folgenabschätzung verpflichtet. Genauere Informationen, ob die DSGVO eine Folgenabschätzung von Ihnen verlangt, finden Sie hier.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
30
.
10
.
2024
Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
Der Datenschutzaudit nach DSGVO bietet für Unternehmen die Möglichkeit, die eigene Datenschutzkonformität freiwillig prüfen zu lassen und nach außen hin durch ein Zertifikat unter Beweis zu stellen.
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
30
.
10
.
2024
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
Egal, ob in der Arztpraxis, in der Pflege oder im Krankenhaus – Datenschutz im Gesundheitswesen ist von großer Bedeutung. Wir werfen einen Blick darauf, welche Regeln gemäß der DSGVO für medizinische Daten gelten und geben praktische Tipps, um den Herausforderungen erfolgreich zu begegnen.
Ab wann ist ein Datenschutzbeauftragter Pflicht?
14
.
10
.
2024
Ab wann ist ein Datenschutzbeauftragter Pflicht?
Die Datenschutzgrundverordnung (DSGVO) weitet den Verantwortungsbereich des Datenschutzbeauftragten aus und droht daneben mit erheblichen Sanktionen bei Nichtbeachtung der datenschutzrechtlichen Vorschriften. Sich mit der Pflicht zur Bestellung eines Datenschutzbeauftragten auseinanderzusetzen, ist für Unternehmen daher unabdingbar.
Aufbewahrungsfristen & Löschfristen nach DSGVO
14
.
10
.
2024
Aufbewahrungsfristen & Löschfristen nach DSGVO
Unternehmen verarbeiten oftmals eine Menge personenbezogener Daten. Für diese Datenverarbeitung und -Speicherung benötigen sie eine entsprechende Rechtsgrundlage. Sollte der Grund oder die Rechtsgrundlage hierfür entfallen, sind Unternehmen grundsätzlich verpflichtet, die Daten zu löschen. Hierzu gibt es die sogenannten Aufbewahrungsfristen. Gesetzliche Aufbewahrungsfristen geben vor, wie lange gewisse Unterlagen aufbewahrt werden müssen und schieben die datenschutzrechtlichen Löschfristen nach hinten. Diese Fristen müssen beachtet werden, da sonst Bußgelder die Folge sein können.
datenschutz-Muster

Kostenlose Materialien zum Thema

Auftrags­verarbeitungsvertrag (AV-Vertrag)
Erstellen Sie mit unserem kostenlosen Muster einen DSGVO-konformen Auftragsverarbeitungsvertrag.
Bestellung eines Datenschutz­beauftragten nach DSGVO
Berufen Sie jetzt einfach und schnell einen Datenschutzexperten mit unserer Bestellurkunde.
Datenschutzerklärung für Mitarbeiter
Erstellen Sie mit unserem kostenlosen Muster eine DSGVO-konforme Datenschutzinformation für Ihre Mitarbeiter.
Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!