Im elektronischen Datenverkehr werden eine Reihe von Verschlüsselungsmethoden angewandt, wobei die Daten vor der Übertragung oder auf dem Transportweg verschlüsselt werden. Man unterscheidet ausserdem zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren.

	Abbildung 1: zur Verschlüsselung empfohlen

• eindeutig einem Absender zugeordnet werden können (authentisch),
• nur dem richtigen Empfänger zugänglich sind (vertraulich),
• nicht durch Dritte manipuliert werden können (integer).

Bei Daten, die im Klartext im Internet übermittelt werden (E-Mail, Webseiten, Passwörter), kann die Integrität nicht garantiert werden. Dadurch könnten auch der ursprüngliche Absender oder der Empfänger manipuliert werden - Klartextdaten sind also per definitionem nicht sicher. Dies ist der Grund, warum z.B. in E-Mails oder ungeschützten Webformularen keine Kontodaten oder Passwörter übermittelt werden sollten.
Um die Sicherheit zu erhöhen, werden Verschlüsselungsverfahren eingesetzt. Diese arbeiten mit sogenannten Schlüsseln, die eine bestimmte Schlüssellänge in Bit besitzen.

Je grösser die Schlüssellänge, desto besser die Verschlüsselung. Eine Schlüssellänge von 128 Bit bedeutet z.B., dass eine von 2¹²⁸ Möglichkeiten die richtige ist. Da moderne Verschlüsselungen nur mit Ausprobieren ("brute force") geknackt werden können, nimmt die empfohlene Schlüssellänge im Verlauf der Zeit zu, da die Rechner immer leistungsfähiger sind.

Typen von Verschlüsselung
Man unterscheidet zwei Typen von Verschlüsselungsmechnismen:

• Symmetrische Verschlüsselung: die Schlüssel zum Ver- und Entschlüsseln sind identisch.
  Beispiel: Herr Meier verschlüsselt die Daten mit einem Passwort, schickt die verschlüsselten Daten Frau Müller und übermittelt dann Frau Müller das Passwort, z.B. per Telefon.
  Vorteil: Das Verfahren ist schnell und (wenn das Passwort einmal übermittelt wurde) auch sicher.
  Nachteil: Der Schlüssel, hier das Passwort, muss ebenfalls irgendwie übermittelt werden. Das geht im privaten Rahmen gut, ist aber im Internet schlecht, da bei einer elektronischen Übermittlung der Schlüssel abgefangen werden könnte. Ein Dritter kann so mit Datenmanipulationen Erfolg haben, da Absender und Empfänger nicht mehr garantiert wären.
  Eine symmetrische Verschlüsselung wäre z.B. das passwortgeschützte Verpacken mit dem Programm WinZip.
• Asymmetrische Verschlüsselung: die Schlüssel zum Ver- und Entschlüsseln sind unterschiedlich.
  Bei einer asymmetrischen Verschlüsselung werden von einem Programm zwei Schlüssel erzeugt: ein sogenannter privater Schlüssel (private key) und ein öffentlicher Schlüssel (public key).
  Der öffentliche Schlüssel wird allgemein bekanntgegeben, er dient zum Verschlüsseln von Daten, die an den Besitzer dieses Schlüsselpaares geschickt werden sollen.
  Der private Schlüssel bleibt auf dem Rechner des Besitzers und dient zum Entschlüsseln der Daten, die mit dem öffentlichen Schlüssel verpackt wurden.
  Beispiel: Herr Meier und Frau Müller haben sich jeweils ein Schlüsselpaar generiert und tauschen per E-Mail die öffentlichen Schlüssel aus. Herr Meier will nun Daten an Frau Müller senden. Dazu verschlüsselt er sie mit dem öffentlichen Schlüssel von Frau Müller und schickt sie ihr. Frau Müller erhält die Daten und entschlüsselt sie mit ihrem privaten Schlüssel. Nun bearbeitet Frau Müller die Daten und will sie wieder an Herrn Meier zurückschicken. Sie verschlüsselt die Daten dazu mit dem öffentlichen Schlüssel des Herrn Meiers und schickt sie diesem. Nur Herr Meier kann die Daten nun wieder entschlüsseln - nicht einmal Frau Müller!
  Vorteil: Der Schlüssel zum Entschlüsseln der Daten (der private Schlüssel) wird nie übermittelt und kann daher auch nicht abgefangen werden. Dadurch ist auch der richtige Empfänger der Nachricht eindeutig, nämlich der Besitzer des privaten Schlüssels.
  Nachteil: Das Verfahren wird mit zunehmender Schlüssellänge langsamer.

Da die asymmetrische Verschlüsselung durch den höheren Rechenaufwand langsamer ist, wird meist mit einem hybriden Verschlüsselungsmechanismus gearbeitet. Dabei werden die Daten mit einem symmetrischen Schlüssel gepackt und dieser Schlüssel seinerseits asymmetrisch verschlüsselt. Der Empfänger entschlüsselt dann den Schlüssel und entpackt die Daten.
Eine asymmetrisch-hybride Verschlüsselung liegt z.B. bei PGP und SSL vor.

Neben der Unterteilung in symmetrische und asymmetrische Verschlüsselung wird unterschieden, wann Daten verschlüsselt werden:

• Bei einer Verschlüsselung vor der Datenübertragung werden die Daten selbst verschlüsselt und dann über einen beliebigen Weg transportiert (z.B. PGP-verschlüsselte Daten über E-Mail).
• Bei einer Verschlüsselung während der Datenübertragung werden die Daten nur für den Transport verschlüsselt (z.B. Formulardaten im Browser über SSL).

Eine Variante von Verschlüsselungen ist die sogenannte Digitale Signatur. Bei ihr werden die Daten nicht mit dem Schlüssel verschlüsselt, sondern der Schlüssel garantiert, dass die Daten vom richtigen Absender stammen und unverändert übermittelt wurden.

Beispiel: Herr Meier will ein Word-Dokument verschicken und möchte es signieren. Ein Programm (z.B. PGP) errechnet aus dem Word-Dokument einen sogenannten Hash-Wert (errechnete Kurzfassung der Daten = elektronischer Fingerabdruck) und verschlüsselt diesen Hash-Wert mit dem privaten Schlüssel des Herrn Meier.
Er schickt das Dokument an Frau Müller, deren Programm ebenfalls den Hash-Wert berechnet und dann mit dem öffentlichen Schlüssel des Herrn Meier die Signatur entschlüsselt, um den dort angegebenen Hash-Wert mit dem selbst errechneten zu vergleichen. Wenn das Dokument manipuliert wurde, ist der Hash-Wert verändert und die Signatur wird als ungültig gemeldet.

Verschlüsselungen garantieren, dass die richtigen Daten an den richtigen Empfänger gehen. Sie garantieren jedoch nicht automatisch die Authentizität des Absenders. Dazu wurde das Konzept der Zertifikate entwickelt, die wie ein Personalausweis dazu dienen sollen, den Absender zu identifizieren und zu bestätigen, dass z.B. ein bestimmter öffentlicher Schlüssel tatsächlich der Schlüssel des Herrn Meier ist (näheres siehe unter Zertifikat).

Wie sicher sind Verschlüsselungen ?
Die Stärke einer Verschlüsselung basiert im Prinzip auf der Schlüssellänge in Bit, welche nur durch enorme Rechenleistungen geknackt werden kann. Der grösste bisher geknackte Schlüssel eines asymmetrischen Verfahrens war 512 Bits lang (Stand Juli 2001).

Die eigentlichen potentiellen Sicherheitslücken liegen daher auf dem Rechner des Benutzers. So können Schlüssel oder Passworte durch Trojaner ausgespäht werden oder auf den elektronischen Daten abgefangen werden.
Erfolgreich war auch schon ein Vortäuschen einer falschen Identität durch einen Dritten ("man in the middle attack"). Dabei wird dem Absender scheinbar der Schlüssel des Empfängers übermittelt, der aber dem Dritten gehört, und dem Empfänger ebenso. Der Mann in der Mitte kann damit alle Mails abfangen und entschlüsseln, die von Absender und Empfänger ausgetauscht werden.

Andere Verschlüsselungsvarianten
Bei der Steganografie wird eine Nachricht möglichst unauffällig in eine anderen Nachricht oder einem Bild versteckt. Es gibt damit quasi zwei Sicherheitsstufen: Erstens muss der Dritte herausfinden, dass sich in der unauffälligen Nachricht eine zweite Nachricht verbirgt, zweitens muss er die Verschlüsselung knacken.
Bei der biometrischen Verschlüsselung sollen in Zukunft unveränderliche Kennzeichen des Benutzers als Basis für die Verschlüsselung dienen, z.B. Augenfarbe, Stimme, Fingerabdrücke.

Warum ist es überhaupt sinnvoll, Daten zu verschlüsseln ?
Die Inhalte einer E-Mail sind für den Fachmann, der Zugang zum Netz hat, wie Postkarten - jeder kann sie lesen. Für vertrauliche Daten, seien es persönliche oder firmeninterne, ist daher eine Verschlüsselung sehr sinnvoll.

Durch den Aufbau des Internets (Daten werden über beliebige Wege ans Ziel geschleust) kann jeder (z.B. Internetprovider) die Daten sammeln, lesen und manipulieren. So treiben die USA mit dem Abhörsystem Echelon ganz ungeniert Spionage: Früher gegen den Osten, heute für ihre eigene Wirtschaft, indem sie bei europäischen Firmen Industriespionage betreiben.

Auch im E-Commerce ist Datensicherheit sehr wichtig. Viele potentielle Käufer nutzen Online-Shops bisher nicht, da sie Angst um ihre Daten und ihr Geld haben. Verschlüsselungen garantieren hier eine gewisse technische Sicherheit, geben allerdings keine Garantie dafür, wie der Empfänger mit den Daten umgeht (z.B. Adressverkauf, unsichere Speicherung).

Neben dem klassischen Aspekt des allgemeinen Schutzes von Informationen besitzt Verschlüsselungssoftware eine politische Dimension. Manche Staaten verbieten das Verschlüsseln mit dem Argument, dass in den Mails kriminelle Absprachen getroffen werden könnten. Kriminell ist hier je nach Staat alles von der falschen Religion bis zur falschen Partei oder einer missliebigen Menschenrechtsorganisation. Sogar von westlichen Staaten wurde argumentiert, dass der "brave Bürger" nichts zu verheimlichen hätte.

Das Recht an den eigenen Daten in einer Demokratie beinhaltet aber auch das Recht der Verschlüsselung. Jeder Anwender, der Verschlüsselungen nutzt , trägt dazu bei zu zeigen, dass auch der "Normalbürger" den Wunsch nach Datenschutz hat. In Österreich und Deutschland wird die Verschlüsselung von Daten inzwischen durch die Regierungen gefördert, z.B. durch Signaturgesetze oder die Unterstützung von Open Source PGP-Varianten. Auch in der Schweiz ist ein Signaturgesetz in Vorbereitung (Stand Juli 2001).

Linksammlung zur Kryptodebatte (Deutsch):
http://www.heise.de/security/dienste/pgp/

Deutsches Recht und Verschlüsselung:
www.mathematik.uni-marburg.de/~cyberlaw/
Internationale Länderübersicht (Englisch):

Online-Verschlüsselungsservice zum Testen:

www.ip-service.com/cgi-bin/stego.pl (Englisch)

Sicherheit-Onlinetest für den heimischen Rechner (Deutsch):
www.lfd.niedersachsen.de/service/service_selbstt.html