Symmetrische Verschlüsselung einfach erklärt

Sie möchten Ihre Geschäftsgeheimnisse vor Datenspionage schützen? Dann sollten Sie Ihre Daten durchgehend verschlüsseln. Welche Verfahren es dafür gibt und was eine symmetrische Verschlüsselung ist, erfahren Sie in diesem Artikel.

Immer häufiger geraten Firmendaten in fremde Hände. Rund 87 Prozent aller deutschen Unternehmen wurden 2024 laut Branchenverband Bitkom Opfer von Spionage, Sabotage oder Diebstahl von Daten. Nie war Datenverschlüsselung so wichtig.

Was ist symmetrische Verschlüsselung?

Verschlüsselung ist das verlustfreie Umwandeln von lesbaren Daten in einen zunächst unlesbaren Code, den Fremde ohne zusätzliche Informationen nicht rückübersetzen können.
Jede moderne Verschlüsselung besteht aus einem Verschlüsselungsalgorithmus und einem Codeschlüssel oder mehreren Codeschlüsseln, die diesen Algorithmus steuern. Eine symmetrische Verschlüsselung ist ein Verschlüsselungsverfahren, bei dem Absender:in und Empfänger:in jeweils denselben Codeschlüssel zum Ver- und Entschlüsseln der Nachricht verwenden.
Sender:in und Empfänger:in müssen sich bei der symmetrischen Verschlüsselung also vor dem Versand der eigentlichen Nachricht zuerst auf einen gemeinsamen Codeschlüssel einigen. Dieser Schlüssel wird idealerweise zum Schutz vor einem Man-in-the-Middle-Angriff ebenfalls als chiffrierte Information ausgetauscht.
Ein gutes symmetrisches Verschlüsselungsverfahren ist auch dann nicht zu knacken, wenn Angreifer:innen zwar den für eine bestimmte Nachricht verwendeten Verschlüsselungsalgorithmus kennen, aber nicht den mit diesem Algorithmus genutzten konkreten Codeschlüssel.
Dadurch lassen sich aus einer begrenzten Anzahl am Markt verfügbarer Verschlüsselungsprogramme und -algorithmen und einer Vielzahl möglicher Schlüssel nahezu unendlich viele sichere Verschlüsselungskombinationen erzeugen.
Sichere Algorithmen verwenden zudem sehr lange Codeschlüssel, die in der Regel mithilfe einer Zufallsfunktion erzeugt werden. Übliche Schlüssellängen werden in Bit angegeben und liegen je nach Verfahren meist zwischen 128 und 1.024 Bit.
Viele Verschlüsselungsalgorithmen laufen heute unbemerkt im Hintergrund Ihres Betriebssystems – beispielsweise verschlüsseln moderne E-Mail-Server automatisch alle ein- und ausgehenden Nachrichten.
Erkennen können Sie dies in Ihrem E-Mail-Programm an den eingestellten Protokollen SMTPS sowie POP3S oder IMAP3S. Auch verschlüsselte Webseiten verwenden ein anderes Protokoll, nämlich HTTPS. Ihr Browser zeigt dies durch einen entsprechenden textlichen Hinweis oder ein aktiviertes Schlosssymbol an. Auch auf vielen Datenträgern werden die Daten heute automatisch verschlüsselt gespeichert. Windows nutzt hierfür das Bitlocker-Verfahren, das in Windows seit Windows Vista enthalten ist.

Unterschiede zwischen symmetrischer und asymmetrischer Verschlüsselung

Die symmetrische Verschlüsselung unterscheidet sich von der sogenannten asymmetrischen Verschlüsselung in einem zentralen Punkt. Bei der asymmetrischen Verschlüsselung nutzen beide Seiten jeweils unterschiedliche Schlüssel, die nach einem mathematischen Verfahren aus zwei kombinierten Primzahlen gebildet werden und zusammen ein sogenanntes Schlüsselpaar bilden.
Ein einzelner Schlüssel als Teil eines Paares kann immer nur entweder zum Ver- oder zum Entschlüsseln einer Nachricht genutzt werden. Der andere Schlüssel übernimmt dann automatisch die andere Aufgabe.
Bis vor wenigen Jahrzehnten waren noch alle Verschlüsselungsverfahren ausschließlich symmetrisch. Erst durch Einsatz leistungsfähiger Computerprogramme und unter Zuhilfenahme sehr großer Primzahlen sind inzwischen auch asymmetrische Verfahren technisch möglich.
Oft werden symmetrische und asymmetrische Verschlüsselung heute kombiniert, da beide Technologien spezifische Vor- und Nachteile bieten.
Die symmetrische Verschlüsselung ist nicht zu verwechseln mit der Steganographie, bei der eine Nachricht nicht verschlüsselt, sondern lediglich vor den Augen Dritter versteckt wird. Ein Beispiel hierfür ist die Bild-Steganographie, bei der die zu übermittelnde Nachricht in den Bits einer größeren Grafikdatei so versteckt wird, dass Uneingeweihte die sich daraus ergebende Veränderung an dem Bild optisch nicht wahrnehmen. Auch hier muss die Empfängerseite allerdings „wissen“, nach welchem Verfahren (Algorithmus) die Informationen im Bild versteckt wurden.

Funktionsweise: Schlüsselgenerierung, Verschlüsselung, Übertragung & Entschlüsselung

Die symmetrische Kryptographie kennt eine Vielzahl unterschiedlicher Verfahren. Zu deren bekanntesten und ältesten Vertretern gehört die Kodierung ROT-13 (Rotation 13), bei der alle 26 Buchstaben des Alphabetes als Ring angeordnet werden. Jeder einzelne Buchstabe wird beim Verschlüsseln durch jenen Buchstaben ersetzt, der ihm im Ring gegenüberliegt, also 13 Positionen weiter steht.
Zum Entschlüsseln wird dasselbe Prinzip erneut angewendet. Hier besteht der Schlüssel somit lediglich aus der Information „Nutze ROT-13“. Es handelt sich dabei um eine Variante der Zeichenverschiebe-Verschlüsselung, die auch Cäsar-Verschlüsselung genannt wird, weil der römische Feldherr Gaius Julius Cäsar sie bereits verwendet haben soll.
ROT-13 gehört zu den involutorischen („sich selbst einwickelnden“) Verschlüsselungen. Hier muss der Schlüssel zum Entschlüsseln nicht einmal mit Minus 1 multipliziert oder umgedreht werden, sondern die Verschlüsselung funktioniert exakt genauso wie die Entschlüsselung. Es handelt sich also um den einfachsten Fall einer symmetrischen Verschlüsselung.
Da ROT-13 so primitiv und so leicht zu knacken ist, kommt es bei professionellen Verschlüsselungen nicht zum Einsatz. Es wird aber bis heute in einigen E-Mail-Programmen zum Scherz als Zusatzfunktion angeboten.
In Internetforen wird ROT-13 beispielsweise genutzt, um in Diskussionen über einen Kinofilm das Ende noch nicht im Klartext auszuschreiben („zu spoilern“). So können Leser:innen selbst entscheiden, ob sie die Information überhaupt schon lesen möchten.
Für den Schutz vertraulicher Firmendaten sollten Sie ROT-13 hingegen nicht verwenden.
Der ROT-13-Schlüssel verrät sich wie alle schwachen Algorithmen schon allein durch die auffällige Häufung bestimmter Buchstaben in verschlüsselten Nachrichtentexten – in Abhängigkeit von der jeweils verwendeten Sprache. Deutsche Texte, die mit ROT-13 kodiert werden, bestehen beispielsweise ab einer bestimmten Länge zu 18 Prozent aus dem Buchstaben „R“ – dem Verschlüsselungsbuchstaben für das entsprechend häufige „E“.

Eine variable Verschiebung verdeckt auffällige Buchstabenhäufungen

Komplexere symmetrische Verschlüsselungsverfahren arbeiten daher mit variablen Verschiebungen. So wird bei der Vigenère-Verschlüsselung jeder einzelne Buchstabe einer Nachricht um eine andere Anzahl Zeichen (Offset) im Alphabet verschoben. Hierfür wird zuerst ein Schlüssel erzeugt, der die Verschiebung für jedes Zeichen regelt.
Mit dem Schlüsselwort STERN wird beispielsweise das erste Zeichen der Nachricht um zwanzig Buchstaben verschoben, weil S an zwanzigster Stelle im Alphabet steht. Das nächste Zeichen wird dann um 21 Positionen verschoben (T = 21) und das dritte Zeichen um sechs Positionen (E = 6) und so weiter. Ist der Schlüssel einmal in seiner vollen Länge über dem Text verwendet, wird er wieder von vorne benutzt.
Im Idealfall ist der verwendete Schlüssel sehr lang und hat mindestens genauso viele Stellen wie die eigentliche Nachricht. Dann wiederholen sich die Offsets nicht innerhalb der Nachricht und Codeknacker:innen können keine auffälligen Muster in der Verschlüsselung finden.
Wird ein solcher langer Schlüssel nur für eine einzige Nachricht verwendet und danach nie wieder genutzt, wird er auch als One-Time-Pad bezeichnet und bietet eine gewisse Grundsicherheit.

Gängige Algorithmen im Überblick: AES, DES, 3DES, Blowfish, Vigenère etc.

In der Nachrichtentechnik und der Informatik werden viele unterschiedliche symmetrische Verschlüsselungsverfahren verwendet. Zu den bekanntesten und am häufigsten genutzten gehören:
  • AES – Advanced Encryption Standard (ursprünglich: Rijndael)
  • Blowfish und Twofish
  • Camellia
  • DES – Data Encryption Standard (veraltet)
  • 3DES – Triple DES
  • IDEA – International Data Encryption Algorithm
  • RC5
Besonders verbreitet unter den symmetrischen Verschlüsselungsverfahren ist aktuell das vom US-amerikanischen National Institute of Standards and Technology (NIST) zum US-Behördenstandard gewählte Rijndael-Verfahren. Vom NIST wird Rijndael unter der Abkürzung AES (Advanced Encryption Standard) geführt. Es ist in den USA für die Verschlüsselung von Regierungsdokumenten der höchsten Geheimhaltungsstufe zertifiziert.
AES ist als offizieller Behördenstandard Nachfolger von DES (Data Encryption Standard). IBM hat DES in den 1970er-Jahren entwickelt, der Standard gilt aber unter anderem wegen seiner Schlüssellänge von nur 56 Bit inzwischen als veraltet. Wo DES noch zum Einsatz kommt – etwa im Finanzwesen – wird seine Schlüsselstärke häufig durch Iteration (Wiederholung) gesteigert. Das geschieht beispielsweise mittels 3DES (auch Triple DES genannt), das einfach drei DES-Kodierungen hintereinander durchführt.
Bei AES kommen hingegen direkt längere Schlüssel zum Einsatz. Die drei Untervarianten AES-128, AES-192 und AES-256 tragen ihre jeweils verwendete Schlüssellänge bereits im Namen. Auch in anderen Punkten ist AES moderner als DES. Bisher ist kein erfolgreicher Hackingangriff auf AES bekannt.
Blowfish und dessen Nachfolger Twofish stehen unter gemeinfreier Public-Domain-Lizenz. Kleinere Entwickler setzen sie deshalb gerne ein, beispielsweise im Linux-Umfeld.
Der von Mitsubishi und NTT entwickelte Camellia-Algorithmus ist zwar patentiert, darf aber gemeinfrei verwendet werden. Entsprechend ist auch dieses Verfahren häufig im Linux-Bereich und bei Freeware zu finden.
Sicherheitsexpert:innen bewerten den fast 30 Jahre alten International Data Encryption Algorithm (IDEA) unterschiedlich. Vielen gilt er noch immer als sehr sicher, obwohl das Softwarepatent bereits vor mehr als zehn Jahren ausgelaufen ist. Ein Kritikpunkt sind allerdings die teilweise schwachen Schlüssel, die beim standardmäßigen Schlüssel-Erzeugungsverfahren zumindest theoretisch entstehen können. Dies liegt am hohen Anteil von Nullbits im Schlüssel. Fachkreise empfehlen daher ein modifiziertes Verfahren, um Schlüssel zu generieren.
Der weiter oben erklärte Vigenère-Schlüssel wird in der IT üblicherweise nicht mehr verwendet. Dieser Schlüssel ist mit Brute-Force-Methoden und einem Computer vergleichsweise leicht zu knacken, beispielsweise durch die Zuhilfenahme von Wörterbüchern.

Alte Software kritisch prüfen

Sie sollten regelmäßig prüfen, welche Verschlüsselungsverfahren Ihre Unternehmenssoftware nutzt. Bei nicht mehr aktuellen Programmversionen oder bei älteren Branchenlösungen besteht die Gefahr, dass die darin verwendeten Verschlüsselungsalgorithmen inzwischen geknackt wurden. Dann sollten Sie auf eine neue Version umsteigen oder zusätzliche Krypto-Maßnahmen ergreifen.
RC5 (RivestCipher 5) ist eine 1994 von dem Mathematiker Ronald Rivest entworfene symmetrische Blockverschlüsselung. Rivest ist Miterfinder des bekannten asymmetrischen RSA-Verfahrens (benannt nach Ron Rivest, Adi Shamir und Leonard Adleman). Außerdem stammen von ihm viele weitere etablierte Verschlüsselungen wie RC2, RC3, RC4 und RC6. Hierbei handelt es sich nicht um verschiedene Versionen desselben Algorithmus, wie häufig vermutet wird. So ist RC4 eine sogenannte Stromverschlüsselung, während die anderen Verfahren Blockverschlüsselungen sind.
RC5 ist nicht zu verwechseln mit dem Netzwerkprotokoll RC-5, das beispielsweise in Infrarotfernbedienungen eingesetzt wird und das die Firma Philips entwickelt hat. RC5 arbeitet sehr ressourcenschonend und kann daher heute auch in eingebetteten Systemen (zum Beispiel Steuerungshardware im IoT-Umfeld) mit älteren Prozessoren oder Mikrocontrollern eingesetzt werden.

Sicherheit durch Schlüssellänge & Lawineneffekt

Die Kryptographie arbeitet mit zahlreichen Fachbegriffen. Hier sind zwei dieser Begriffe:

Kriterium Schlüssellänge

Die Schlüssellänge ist mitentscheidend für die Sicherheit einer jeden Verschlüsselung. So wird das Vigenère-Verfahren sicherer, wenn die Schlüssellänge mindestens der Länge des zu verschlüsselnden Textes entspricht, weil es dadurch keine Schlüsselwiederholungen gibt.
Andererseits sind sehr lange Schlüssel auch schwieriger zu handhaben. Im Internet ist es beispielsweise unpraktikabel, beim Aufruf einer Sicherheitsfunktion jedes Mal erst einen Schlüssel aus hundert oder mehr Zeichen einzugeben.
Bei modernen Kryptographie-Verfahren wird die Länge des Schlüssels heute in Bit angegeben. Dabei gilt bei starken Verfahren eine Schlüssellänge von 128 Bit oder mehr allgemein als sicher.

Der Lawineneffekt

Als Lawinen- (oder englisch: Avalanche-) Effekt wird in der Kryptographie die Eigenschaft von Verschlüsselungsalgorithmen bezeichnet, bei einer nur geringfügig geänderten Eingabe ein ganz anderes Ergebnis zu erhalten. Der Effekt entsteht, weil moderne Verschlüsselungsverfahren mehrstufig arbeiten und jede kleine Änderung am Anfang sich durch die nachfolgenden Bearbeitungsschritte in ihren Auswirkungen vervielfacht.
Bei der Verschlüsselung ist dieser Effekt sehr nützlich, weil er das Knacken von Codes erschwert. Denn so können Codeknacker schlechter erkennen, wie Schlüssel und Text zusammenhängen.

Kerckhoffs’sches Prinzip – Sicherheit durch Schlüssel, nicht Algorithmus

Das Kerckhoffs’sche Prinzip ist nach dem niederländischen Kryptographen Auguste Kerckhoffs benannt, der es erstmals formuliert hat. Es besagt, dass die Sicherheit einer verschlüsselten Nachricht stärker von der Geheimhaltung des Schlüssels als von der Geheimhaltung des Verschlüsselungsverfahrens abhängt.
Dieses Prinzip ist unter Kryptograph:innen heute allgemein anerkannt. So sind bei den meisten Verschlüsselungsprogrammen im Internet heute die jeweils genutzten Algorithmen allgemein bekannt. Auch die US-Regierung hält nicht geheim, dass sie den AES-Algorithmus (ehemals Rijndael) für die Verschlüsselung von Regierungsdokumenten nutzt.

Vor- und Nachteile symmetrischer Verfahren

Aus den Eigenarten der symmetrischen Verschlüsselung ergeben sich einige spezifische Vor- und Nachteile. Die wichtigsten Vorteile sind:
  • Je nach Verfahren können neue Schlüssel sehr einfach und teilweise ganz ohne technische Hilfsmittel erzeugt werden (Beispiel:Vigenère-Verschlüsselung).
  • Verschlüsselung und Entschlüsselung sind meist schneller als bei asymmetrischen Verfahren. Auch größere Datenströme können dadurch mit handelsüblichen Geräten in Echtzeit ver- und entschlüsselt werden.
Die bedeutendsten Nachteile der symmetrischen Verschlüsselung sind demgegenüber:
  • Der symmetrische Schlüssel muss zuvor über einen anderen Kanal sicher übermittelt werden. Da diese erste Übertragung selbst noch nicht verschlüsselt werden kann, könnten Angreifer:innen hier möglicherweise mitlesen und so in den Besitz des Schlüssels gelangen.
  • Einige symmetrische Verfahren sind mit heutigen technischen Mitteln per Brute Force (Durchprobieren aller möglichen Schlüssel) dekodierbar.
  • Je nach Verschlüsselungsverfahren existieren innerhalb eines Schlüsselraums auch sehr schwache Schlüssel.
  • Ein symmetrischer Schlüssel kann nur zur Verschlüsselung, aber nicht zur Authentifizierung genutzt werden.
  • Wird ein symmetrischer Schlüssel über längere Zeit verwendet, ist er weniger sicher, weil Angreifer:innen immer mehr Nachrichtenmaterial erhalten, um den Code damit zu entschlüsseln.

Gefahren der symmetrischen Verschlüsselung

Ein Problem vieler symmetrischer Verschlüsselungsverfahren sind sogenannte schwache Schlüssel, die besonders leicht zu knacken sind. Bei der Caesar-Verschlüsselung zum Beispiel wäre eine durchgehende Rotation um 26 oder 52 Zeichen ganz offensichtlich ein extrem schwacher Schlüssel, weil er den Text überhaupt nicht unkenntlich macht.
Bei anderen Verfahren sind schwache Schlüssel nicht so leicht erkennbar, aber trotzdem eine große Gefahr. Sie enthalten beispielsweise sehr viele Null- oder Einsbits hintereinander. Ein entsprechend optimiertes Cracking-Programm kann dieses Muster erkennen und die kodierte Nachricht dadurch schnell entschlüsseln.
Eine weitere Schwäche liegt häufig in der zu verschlüsselnden Nachricht selbst. Da beispielsweise viele Briefe und E-Mails mit einer Grußformel beginnen und mit dem Namen des:der Absender:in enden, haben Cracker:innen somit einen Ansatzpunkt, um den eigentlichen Codeschlüssel aus diesen bekannten Wörtern zu errechnen. Eine weitere potenzielle Gefahr sind häufig genutzte Wörter innerhalb des Nachrichtentextes, die den Angreifer:innen bekannt sind, beispielsweise der jeweilige Firmenname.
Professionelle Verschlüsselungsalgorithmen kodieren daher zuerst die Einzelbuchstaben einer Nachricht (Substitution) und bringen dann in einem weiteren Schritt alle Zeichen innerhalb des Textes in eine komplett neue Reihenfolge („Transposition“ oder „Permutation“).
Hierdurch sind Hacker:innen nicht mehr in der Lage, gezielt Anfang und Ende der Nachricht zu analysieren, da sich deren einzelne Bestandteile nun über den gesamten Text der verschlüsselten Botschaft verteilen. Auch häufig genutzte Wörter verlieren dadurch ihren Wert als Dekodierungsanker für Angreifer:innen.

Anwendungsbeispiele in der Praxis: VPN, SSL/TLS, Datenträger, IoT

Rein symmetrische Verschlüsselungsverfahren dürften noch immer die Mehrheit aller gegenwärtig eingesetzten Kryptographie-Anwendungen ausmachen. Sie kommen insbesondere dort zum Einsatz, wo Kommunikationspartner:innen über das Internet keine Schlüssel aushandeln müssen und wo ein hohes Verschlüsselungstempo in Echtzeit gewünscht ist. Man findet sie beispielsweise:
  • bei der Verschlüsselung von Datenträgern, etwa bei Festplatten oder USB-Sticks
  • bei vielen Sprachübertragungstechnologien in Telefonnetzen
  • in vielen Funkgeräten und digitalen Babyphonen
  • in vielen Infrarot- und Funkfernbedienungen
Symmetrische und hybride Verfahren sind heute wichtige Komponenten der betrieblichen IT-Sicherheit. Unternehmen mit schützenswerten Daten sollten generell keine Informationen unverschlüsselt speichern und auch im Daten- und Telefonverkehr möglichst durchgängig Kryptographie einsetzen, idealerweise mittels einer Ende-zu-Ende-Verschlüsselung.
Nur so stellen Sie sicher, dass Angreifer:innen Ihre Geschäftsdaten nicht heimlich mitlesen. Denn noch immer gehört Cyberkriminalität zu den größten Risiken insbesondere für kleine und mittlere Unternehmen ohne eigene IT-Sicherheitsabteilung.

Schlüsselaustausch & hybride Verfahren (z.B. Diffie-Hellman, TLS)

Wie oben beschrieben ist ein möglichst sicherer Austausch des Schlüssels eine der größten Herausforderungen der symmetrischen Verschlüsselung. In früheren Zeiten konnte der Schlüssel beispielsweise auf einem anderen Weg oder lange vor der eigentlichen Übertragung der codierten Nachricht übertragen werden.
Doch im Internet geht das nicht so einfach. Es wäre äußerst unpraktisch, wenn vor jedem Aufruf einer verschlüsselten Seite aus Sicherheitsgründen erst einmal ein paar Tage Abstand zwischen dem Austausch der Schlüssel und dem eigentlichen Aufruf der verschlüsselten Seite gewahrt werden müssten. Deswegen braucht das Internet Verfahren für einen sicheren Schlüsselaustausch in derselben Sitzung. Hier kommen sogenannte asymmetrische Verschlüsselungen ins Spiel.

So unterscheiden sich symmetrische und asymmetrische Verschlüsselung

Während bei der symmetrischen Verschlüsselung nur ein Codeschlüssel existiert, der für die Ver- und die Entschlüsselung gleichermaßen funktioniert, arbeitet die asymmetrische Verschlüsselung immer mit einem Schlüsselpaar.
Da jede Nachricht mit einem der beiden Schlüssel nur entweder verschlüsselt oder entschlüsselt werden kann, kann diese Verfahren auch genutzt werden, um den Absender einer Nachricht zu identifizieren.
Lässt sich eine zuvor verschlüsselte Nachricht mit dem öffentlichen Schlüssel einer bestimmten Person wieder entschlüsseln, so kann diese Nachricht nur von dieser Person stammen. Denn nur sie allein ist in der Lage, mit ihrem geheimen privaten Schlüssel die Nachricht passend zum öffentlichen Schlüssel zu kodieren.
Die symmetrische Verschlüsselung kommt hingegen vor allem dort zum Einsatz, wo es auf hohe Geschwindigkeit beim Verschlüsseln ankommt. Dies ist beispielsweise bei der Verschlüsselung einer Videokonferenz oder eines Telefonats in Echtzeit der Fall. Hier müssen sehr viele Informationen sehr schnell verschlüsselt werden. Eine asymmetrische Verschlüsselung würde dort nicht funktionieren.
Daher enthalten viele Betriebssysteme bereits herstellerseitig Algorithmen für eine symmetrische Verschlüsselung und auch viele neuere Mikroprozessoren haben entsprechende Funktionen in ihrer Prozessorarchitektur. Damit können selbst große Datenmengen nahezu in Echtzeit chiffriert und dechiffriert werden.

Diffie-Hellman-Verfahren

Eines der bekanntesten und frühesten asymmetrischen Verschlüsselungsverfahren ist die Diffie-Hellman-Verschlüsselung von 1976 (auch Diffie-Hellman-Merkle genannt). Sie basiert auf zwei sehr großen Primzahlen, die miteinander multipliziert werden und aus denen dann die beiden Schlüssel gebildet werden.
Das Zerlegen von sehr großen Primzahlprodukten ist ein rechnerisches Problem für digitale Computer. Moderne Rechner können sehr leicht Zahlen multiplizieren aber nur sehr aufwendig deren Quotienten finden – besonders wenn dies sehr große Primzahlen sind.

Hybride Verschlüsselung im Internet

Die Kombination aus symmetrischer Verschlüsselung und asymmetrischer Verschlüsselung umgeht die Schwächen beider Verschlüsselungsarten. So nutzen viele Internetdienste eine asymmetrische Verschlüsselung für einen sicheren Verbindungsaufbau und den Austausch eines geheimen Schlüssels. An dieser Stelle wechseln sie dann zu einer symmetrischen Verschlüsselung mithilfe des gerade vereinbarten Schlüssels.
So können Angreifer:innen zu keiner Zeit mitlesen: Der Schlüssel wurde sicher vereinbart und die anschließende Kommunikation erfolgt sicher und schnell dank symmetrischer Verschlüsselung. So können dann auch große Datenmengen verschlüsselt übertragen werden, beispielsweise Datenträgerinhalte beim Cloud-Back-up oder Videodateien in Echtzeit.
Daher nutzen nahezu alle vertraulichen Verbindungen im Internet heute solche hybriden Verfahren:
  • Der Datenaustausch mit dem E-Mail-Server, der mittels Transport-Layer-Security (TLS) und
    Secure-Sockets-Layer (SSL) geschützt wird
  • Das sichere Aufrufen von Webseiten via HTTPS, was wiederum eine Kombination aus dem HTTP-Protokoll und einer SSL/TLS-Verschlüsselung ist.
  • Die Authentifizierung gegenüber Unbekannten im Mailverkehr, etwa mittels Pretty Good Privacy (PGP)
  • Das Bezahlen mit Kryptowährungen mithilfe der sogenannten Blockchain

Best Practices für sicheren Einsatz

In der betrieblichen Praxis gibt es einige Best Practices für die Verwendung symmetrischer Verschlüsselungsverfahren. Die wichtigsten sind:
  • Verwahren Sie Ihre Schlüsselcodes sicher und niemals in einer Klartext-Datei auf ihrem Computer oder auf Zetteln am Arbeitsplatz.
  • Verwenden Sie nur sichere Schlüsselwörter, die Sie beispielsweise aus den Anfangsbuchstaben eines Merksatzes bilden und mit Sonderzeichen und Ziffern kombinieren.
  • Für zusätzliche Sicherheit sorgen Sie beim Verschlüsseln, indem Sie Ihre älteren Schlüssel regelmäßig verwerfen und neue erzeugen. Gängige Verschlüsselungsprogramme erledigen dies automatisch für Sie und arbeiten häufig sogar mit sogenannten Einmalschlüsseln. Weil solche wechselnden Schlüssel irgendwann schwer zu merken sind, gibt es Hilfsprogramme, mit denen Sie diese wechselnden Schlüssel speichern können.
  • Kombinieren Sie symmetrische Verschlüsselung möglichst immer mit anderen Verfahren, bei der Anmeldung an Datenbanken oder Webservern beispielsweise mit einer 2-Faktor-Authentifizierung.

Herausforderungen: Skalierung, Schlüsselmanagement & Brute‑Force‑Risiken

Bei der symmetrischen Verschlüsselung gibt es einige Herausforderungen, die Sie kennen sollten:
  • Skalierung: Je mehr Personen miteinander verschlüsselt kommunizieren oder je mehr Konten genutzt werden, desto mehr Passwörter müssen auch gebildet werden. Tipp: Nutzen Sie Schlüsselmanager wie beispielsweise Keeweb, um die Passwörter sicher zu verwalten.
  • Schlüsselmanagement: Noch immer werden viele Passwörter gestohlen, weil das Schlüsselmanagement fehlerhaft ist, also der Umgang mit den Passwörtern. Beispielsweise sollten Passwörter niemals für mehrere Konten verwendet werden. Wenn ein Konto gehackt wird, probieren Cyberkriminelle das gestohlene Passwort in der Regel innerhalb von Sekunden auch auf vielen anderen gängigen Plattformen im Internet aus (Freemailer-Dienste, Online-Kaufhäuser, eBay, etc.)
  • Brute‑Force‑Risiken: Mit Brute Force (auf Deutsch: brutale Gewalt) ist das Durchprobieren aller möglichen Schlüssel gemeint, beispielsweise anhand eines Wörterbuches oder einer Liste der beliebtesten Passwörter im Internet. Daher: Nehmen Sie niemals gängige Wörter als Passwort und bauen Sie immer Sonderzeichen oder Ziffern ein. Vermeiden Sie gängige Passwörter wie „1234“ oder „Passwort“. Nutzen Sie auch keine Personennamen oder andere bekannte Wörter.

Das Wichtigste zur symmetrischen Verschlüsselung in Kürze

  • Bei der symmetrischen Verschlüsselung wird im Unterschied zur asymmetrischen Verschlüsselung derselbe Schlüssel verwendet, um eine Nachricht zu kodieren und zu dekodieren.
  • Am Markt gibt es unterschiedliche symmetrische Verschlüsselungsverfahren. Von denen sind einige bereits veraltet, da sie mit modernen Crackingalgorithmen leicht geknackt werden können.
  • Sie schützen Ihre Unternehmenswerte bestmöglich, wenn Sie Ihre gesamten Daten nur verschlüsselt speichern. Außerdem sollten Sie in der Kommunikation auf die Ende-zu-Ende-Verschlüsselung setzen.
  • Die Kombination aus symmetrischer und asymmetrischer Verschlüsselung wird auch als hybride Verschlüsselung bezeichnet.

Quelle:

https://www.vodafone.de/business/blog/symmetrische-verschluesselung-20516/