Die gängigsten Datenverschlüsselungs-Algorithmen und die geeignetsten für Fintech-Unternehmen

Die gängigsten Datenverschlüsselungs-Algorithmen und die geeignetsten für Fintech-Unternehmen

by October 2, 2020

Die Zahlen über Online-Kriminalität sind alarmierend und besorgniserregend: Laut den Studien von ImmuniWeb sind 98% der Top-FinTech-Startup-Unternehmen äußerst anfällig für Phishing, Datendiebstahl und alle anderen Arten von Cyberangriffen. Aufgrund dieser ernüchternden Statistik konzentrieren sich seit geraumer Zeit unterschiedlichste Spezialisten auf die Entwicklung neuer Sicherheitsmechanismen, die den Schutz der vorhandenen Algorithmen gewährleisten sollen.

Die eklatanten Schwächen aller Cloud-basierten Unternehmen, und hierzu zählen auch die FinTech-Startups, liegen im Datenbestand und der Datensicherheit. In den letzten zehn Jahren gab es rund 300 grobe Datenschutzvergehen, bei denen zumindest 100.000 Datensätze (oder mehr …) gestohlen wurden. Der bisher größte bekannte Datenklau in der IT-Geschichte ereignete sich 2014 bei Yahoo, als es den Angreifer gelang, Daten von über 500 Millionen Nutzern rechtswidrig zu entwenden.

Personenbezogene Daten sind in der Regel das Hauptziel von Hackern, denn diese Daten können am einfachsten über dunkle Kanäle veräußert werden. Sie sind auf jeden Fall die dritthäufigste Art gestohlener Daten und machen in Summe 13% aller bekannt gewordener Datenmissbrauchsfälle aus. Allein im Jahr 2019 ereigneten sich 263 Verstöße im Finanz- und Versicherungssektor, also in jener Branche, die am zweithäufigsten von kriminellen Angriffen heimgesucht wird.


Onespan

Ein weiteres Phänomen hat sich in den letzten Jahren im Bereich des Datendiebstahls manifestiert: Mit fortschreitender Technologie werden auch die durchgeführten Cyber-Angriffe immer komplexer. Die gegenwärtig effektivste und am häufigsten genutzte Technologie, seine Daten zu schützen, ist die Verschlüsselung. Wir werden uns in diesem Artikel mit den gängigsten und sichersten Verschlüsselungsalgorithmen auseinandersetzen und jene, die für FinTech-Startups am geeignetsten sind, herausarbeiten und zusammenfassen.

Transport Layer Security (TLS)

Die „Transport Layer Security“ ist die Nachfolgerin des SSL-Protokolls (Socket Security Layer), bei der eine Verbindung zwischen einem Webserver und dem Webbrowser des Internetbenutzers verschlüsselt wird. Diese Technologie verhindert, dass die übermittelten Daten von Dritten abgehört werden können, da alle zwischen den Servern und den Browsern ausgetauschten Daten nicht im Klartextform, sondern als verschlüsselte, unlesbare Nachricht aufbereitet sind.

TLS ist in seiner Ausprägung ein äußerst komplexes Protokoll, aber dennoch wird SSL noch sehr häufig auf den unterschiedlichsten Webseiten, die vertrauliche Informationen beinhalten, verwendet.

Das Muss einer Webseiten-SSL-Implementierung ist in IT-Fachkreisen eigentlich ein ungeschriebenes Gesetz, kann aber daher, da nicht unbedingt verpflichtend, auch immer wieder „vergessen“ werden. Sie, als User einer bestimmten Webseite, sollten aus diesem Grund immer vorab überprüfen, am besten vor einer persönlichen Registrierung auf einer Webseite, ob die betreffende Seite über ein TLS- oder SSL-Zertifikat verfügt. Und dies ist insbesondere ein Muss, wenn Sie sich in heiß-diskutierten Bereichen des Internets bewegen sollten. Ein klassisches Beispiel hierfür sind möglicherweise die nicht offiziell zertifizierten Online-Glücksspiel-Casinoseiten, die es im Internet noch immer gibt, und die ihre Tätigkeiten ohne gültige Lizenz vollziehen. Die Benutzer solcher Glücksspieltempel sollten daher immer wissen, wie sie unter den verfügbaren Angeboten ein seriöses Casino auswählen und eine verfügbare Casinoseite mit einem schlechten Ruf erkennen können. Eine dieser Aufdecker-Möglichkeiten kann das Fehlen der angesprochenen Verschlüsselungsalgorithmen sein. Gleiches gilt natürlich auch für alle anderen Wirtschaftsbereiche, in der persönliche Kundendaten weitergegeben oder Finanztransaktionen durchgeführt werden.

TLS und SSL sind die grundlegenden Verschlüsselungsmethoden, die auf den unterschiedlichsten Webseiten, Applikationen oder bei bestimmter verwendeter Software angewendet werden. Diese Technologien gelten als Standard in der Webtechnologie und sollten definitiv von jedem FinTech-Unternehmen verwendet werden, jedoch in den meisten Fällen auch in Kombination mit anderen alternativen Algorithmen.

Advanced Encryption Standard (AES)

Bei der „Advanced Encryption Standard“ (AES) handelt es sich um eine sogenannte Blockverschlüsselung, die von der US-Regierung als erster Datenverschlüsselungsalgorithmus zum Einsatz gebracht wurde. AES kann auch von anderen Unternehmen zum Schutz der eigenen Daten in deren Soft- und Hardware verwendet werden, jedoch unterliegen diese einigen Einschränkungen, die vor allem durch die US-Exportkontrolle hervorgerufen werden.

Im Gegensatz zu SSL und TSL, die eine asymmetrische Kryptographie verwenden, basiert AES auf symmetrischen Verschlüsselungsalgorithmen. Daher gibt es einen einzigen Schlüssel zum Ver- und Entschlüsseln der betreffenden Daten. Bei der asymmetrischen Verschlüsselung werden zwei separate Schlüssel verwendet, ein öffentlicher für die Verschlüsselung und ein privater für die Entschlüsselung.

Der offensichtliche Vorteil der symmetrischen Verschlüsselung liegt in der Geschwindigkeit, mit der große Datenmengen ohne Verzögerungen den Verschlüsselungsprozessen unterliegen. Die asymmetrische Verschlüsselung wird traditionell als sicherer angesehen, ist jedoch langsamer und bei weitem nicht so anwenderfreundlich.

Wie hoch ist die AES-Sicherheit eigentlich? Höchstwahrscheinlich sehr hoch, denn die US-amerikanische Sicherheitsbehörde setzt diese Technologie auch dazu ein, um streng geheime Informationen zu übermitteln und natürlich auch vor allzu neugierigen Blicken zu schützen. AES ist in drei verschiedenen Schlüssellängen verfügbar: AES-128, AES-192 und AES-256. Die AES-256-Verschlüsselung zeichnet sich dadurch aus, dass sie nahezu immun gegen Brute-Force-Angriffe ist.

AES stellt den aktuellen Industriestandard dar und ist der weltweit am häufigsten verwendete Verschlüsselungsalgorithmus. Daher eignet sich diese Art der Datensicherheit für jene FinTech-Startups, die Einfachheit, Flexibilität und den Umgang mit großen Datenmengen bevorzugen.

Triple Data Encryption Standard (TripleDES)

Der „Triple Data Encryption Standard“ ist eine erweiterte Version des regulären „Data Encryption Standard (DES)“. Auch hierbei handelt es sich um einen symmetrischen Verschlüsselungsalgorithmus, der ebenfalls von den offiziellen Behörden der USA entwickelt wurde, aber im Gegensatz zu AES schon in die Jahre gekommen ist. TripleDES wurde auf Grund seines betagten Alters schon ziemlich anfällig für Hackerangriffe, da einige Eindringlinge es schafften, diese Verschlüsselung gekonnt zu umgehen. Dies war jedoch nicht weiter verwunderlich, denn die Hacker hatten rund 25 Jahre Zeit Schwachstellen zu finden.

Die nun aktualisierte Version ist viel sicherer, als deren Vorgängerversion, da die 56-Bit-Schlüssel des Standard-DES zu einem 112-Bit- oder 168-Bit-Schlüssel erweitert wurden. TripleDES wird normalerweise zum Verschlüsseln von ATM-PINs und UNIX-Passwörtern verwendet und erfreut sich auch im Bereich der FinTech-Hardware großer Beliebtheit. Der Algorithmus wird jedoch schrittweise eingestellt und wird für die neuesten Apps ab 2023 überhaupt nicht mehr verfügbar sein. Das aktuelle Protokoll von TLS 1.3 unterstützt daher 3DES nicht mehr, sodass diese Verschlüsselungsoption zukünftig nicht mehr verwendet werden sollte.

Blowfish & Twofish

Blowfish und Twofish sind spezielle Verschlüsselungsalgorithmen, die ebenfalls aus der Familie der symmetrischen Verschlüsselungsmethoden stammen, wobei Blowfish zuerst zum Einsatz kam. Diese Technologie wurde dazu entwickelt, um das bereits in die Jahre gekommene und gefährdete DES abzulösen. Blowfish verwendet auch Verschlüsselungsblöcke mit fast identer Größe wie DES, die Schlüsselgrößen können jedoch bis zu 448 Bit betragen und stellen daher auch den Hauptvorteil dieser Verschlüsselungsmethode dar.

Der kleinere Bruder von Blowfish, Twofish, zeichnet sich durch längere 128-Bit-Blöcke aus, ist jedoch mit einer kleineren Schlüsselgröße von bis zu 256 Bit versehen. Eigentlich war Twofish auserkoren um zum nächsten Industriestandard zu werden, wurde aber schließlich doch von AES überflügelt. Der Algorithmus der Verschlüsselung funktioniert für alle Arten von Software recht gut, wird für FinTech im Allgemeinen jedoch nicht so empfohlen wie dies für AES gilt.

Rivest-Shamir-Adleman (RSA)

Die „Rivest-Shamir-Adleman“-Methode – oder kurz RSA – wurde nach ihren Erfindern Ron Rivest, Adi Shamir und Leonard Adleman benannt. RSA gilt als hochsicherer Algorithmus, da er dem asymmetrischen Verschlüsselungsmodell folgt und Codierungs-Schlüssel von 1.024 bis 4.096 Bit verwendet.

RSA eignet sich daher ausgezeichnet zum Codieren kleiner Datenblöcke, ist aber für große Datenmengen nahezu nicht anwendbar, denn die verschiedenen Ver- und Entschlüsselungsvorgänge und die superlange Blöcke sind viel zu langsam und technisch um einiges anspruchsvoller als AES. Wenn Ihre Software mit enormen Datenmengen arbeitet, sollten Sie sich auf jeden Fall für AES entscheiden.

Das Fazit: Der beste Verschlüsselungsalgorithmus für FinTech Apps

AES ist grundsätzlich die wichtigste Technologie, die für die meisten Anwendungsfälle im Zuge der Datenverschlüsselung empfohlen wird, und dies gilt selbstverständlich auch für die FinTech-Startups. Wenn Sie mit äußerst vertraulichen Daten arbeiten und diese optimal schützen wollen, so ist es ratsam, AES mit RSA zu kombinieren. Der letztgenannte Algorithmus wird selten als eigenständige Lösung verwendet und ist gegenwärtig fixer Bestandteil hybrider Verschlüsselungsschemata.

 

Featured image credit: Image by Pete Linforth from Pixabay

Print Friendly, PDF & Email
The most important Fintech News from Switzerland weekly