Passwortverschlüsselung: Was ist das und wie funktioniert es?

Bei dem Tempo, in dem Unternehmen auf Cloud-basierte Umgebungen umstellen, müssen Mitarbeiter eine Menge von Accounts, Plattformen und Zugangsinformationen jonglieren. Viele davon sind noch mit einem Passwort als erste (und manchmal einzige) Authentifizierungsmaßnahme geschützt, was sie zu einem bevorzugten Ziel von Cyberkriminellen macht.

Doch in einer Zeit immer fortgeschritteneren Cyberbedrohungen reicht es nicht, einfach ein Passwort zu haben. Wir müssen auch gewährleisten, dass diese Passwörter stark sind. An dieser Stelle kommt die Verschlüsselung ins Spiel. Studien prognostizieren, dass der Markt für Datenverschlüsselung von 14,5 Milliarden USD im Jahre 2024 bis 2032 auf 40,3 Milliarden USD wachsen wird. Dieses bemerkenswerte jährliche Wachstum von 16 % betont die steigende Nachfrage nach sicheren Methoden zum Schutz digitaler Informationen – besonders von Passwörtern.

In diesem Artikel werden wir erklären, was Passwortverschlüsselung ist, wie sie Passwörter schützt und welche Maßnahmen Organisationen umsetzen sollten, um potenziellen Bedrohungen einen Schritt voraus zu sein.

Was ist Verschlüsselung?

Verschlüsselung ist der Prozess der Konvertierung von Daten in ein Format, das nur jemand lesen oder darauf zugreifen kann, der den richtigen Schlüssel zur Entschlüsselung besitzt. Die Zielsetzung ist, sicherzustellen, dass, selbst wenn eine sensible Information – wie ein Passwort – abgefangen wird, diese unlesbar und vor unautorisiertem Zugriff geschützt bleibt.

Verschlüsselung wird heute verbreitet genutzt, um gespeicherte Daten und zwischen Netzwerken zu transferierende Daten zu schützen, inklusive Passwörter, Onlinetransaktionen, E-Mails und mehr.

Wie funktioniert Verschlüsselung?

Verschlüsselung geschieht durch den Einsatz von Algorithmen, um lesbare Daten – wie ein Passwort – in ein unlesbares Format namens Ciphertext zu konvertieren. Diese Transformation hilft, sensible Information zu sichern, selbst wenn sie abgefangen werden oder von Unberechtigten auf sie zugegriffen wird. Um die Originaldaten zu lesen, benötigen Sie zu deren Entschlüsselung einen besonderen Schlüssel, der die durcheinander gewürfelte Information wieder in ihre ursprüngliche Form als Klartext zurückführt.

Nehmen wir z. B. an, Ihr Passwort ist „Banana5Cloud9Mouse0”. Wenn Sie dieses in ein System eingeben, das Verschlüsselung nutzt, wird es in eine scheinbar zufällige Zeichenfolge konvertiert, wie etwa „SxE1y8BIOSdAO/nSGwughmGeO0FN0E0YMIghibgA8Lk=”.

Diese verschlüsselte Zeichenfolge wird Ciphertext genannt und wird anstelle des Original-Klartexts gespeichert oder übermittelt. Das bedeutet, dass, selbst wenn ein Hacker das verschlüsselte Passwort abfängt, es ihm nicht möglich ist, es ohne den Schlüssel zur Entschlüsselung zu lesen.

Methoden der Passwortverschlüsselung

Es gibt eine Handvoll verschiedener Arten der Verschlüsselung, jede mit ihren eigenen Vorteilen und Schwachpunkten. Die beiden geläufigsten Methoden sind symmetrische und asymmetrische Verschlüsselung.

Symmetrische Verschlüsselung

Symmetrische Verschlüsselung ist die bekannteste und am weitesten verbreitete Verschlüsselungsmethode. Bei dieser wird derselbe kryptographische Schlüssel für Verschlüsselung wie Entschlüsselung benutzt, womit sowohl Sender als auch Empfänger Zugriff auf exakt denselben Schlüssel haben müssen, um Informationen auszutauschen. Dieser Ansatz ist generell schnell und effizient, was ihn zu einer beliebten Methode für die Handhabung großer Datenmengen macht.

Allerdings gibt es bei der symmetrischen Verschlüsselung eine große Herausforderung: den sicheren Austausch des Schlüssels zwischen den Beteiligten. Wenn der Schlüssel während der Übergabe abgefangen wird, kann das gesamte Verschlüsselungssystem kompromittiert sein. Daher ist es unerlässlich, den Schlüssel sicher zu speichern und auszutauschen.

Asymmetrische Verschlüsselung

Anders als symmetrische Verschlüsselung nutzt asymmetrische Verschlüsselung zwei verschiedene Schlüssel: einen öffentlichen Schlüssel zur Verschlüsselung und einen privaten Schlüssel zur Entschlüsselung. Wie der Name schon sagt, wird der öffentliche Schlüssel allgemein für jeden zur Nutzung bekannt gegeben. Der private Schlüssel hingegen bleibt geheim.

Asymmetrische Verschlüsselung ist sehr viel sicherer als symmetrische, weil die Schlüssel zur Ver- bzw. Entschlüsselung voneinander getrennt sind, womit die Notwendigkeit, einen geheimen Schlüssel auf potenziell unsicheren Wegen auszutauschen, entfällt. Sie ist allerdings sehr viel langsamer als symmetrische Verschlüsselung, wodurch sie typischerweise für die Verschlüsselung kleiner Datenmengen (wie Schlüssel oder Authentifizierungs-Token) und nicht für große Dateien oder Datenmassen eingesetzt wird.

Hashing gegenüber Verschlüsselung: Was ist der Unterschied?

Hashing und Verschlüsselung sind gleichermaßen Techniken zum Schutz sensibler Daten, aber sie dienen unterschiedlichen Zwecken und funktionieren auf grundsätzlich verschiedene Weise.

Verschlüsselung ist ein Zwei-Wege-Prozess: Sie wandelt lesbare Daten in ein unlesbares Format um und mit dem richtigen Schlüssel können die Daten wieder in ihr ursprüngliches Format entschlüsselt werden. Dies macht reversible Verschlüsselung ideal zum Schutz von Daten, die sicher gelesen oder übermittelt werden müssen.

Hashing hingegen ist eine Einbahnstraße, die Daten – wie ein Passwort – in eine Zeichenfolge von festgelegter Länge, genannt Hash, konvertiert. Wenn Daten einmal gehasht sind, ist es unmöglich, den gleichen Prozess rückgängig zu machen und das Original-Passwort wiederherzustellen. Demzufolge ist Hashing eine beliebte Methode, Passwörter sicher zu speichern, da es keine Notwendigkeit zur Entschlüsselung gibt; Hashes werden schlicht miteinander verglichen, um ihre Übereinstimmung zu verifizieren.

Salting

Obwohl Passwort-Hashing beliebt ist, hat es eine große Schwachstelle: identische Passwörter führen zu identischen Hashes. Das heißt, wählen zwei Benutzer dasselbe Passwort, werden deren Hash-Werte ebenfalls identisch sein, was es für Hacker vereinfacht, in einer gestohlenen Datenbank gleich lautende Passwörter auszumachen.

Um dies zu vermeiden, wird eine Methode namens Salting eingesetzt. Salting fügt jedem Passwort, bevor es gehasht wird, einen einzigartigen, zufälligen Wert bei, wodurch selbst Passwörter, die im Klartext identisch sind, völlig unterschiedliche Hashes ergeben.

Gängige Verschlüsselungs- und Hashing-Algorithmen 

Ein Verschlüsselungs-Algorithmus ist der Satz aus Regeln und Verfahren, mit denen Klartext in Ciphertext konvertiert wird. Es gibt ein großes Angebot an Verschlüsselungs-Algorithmen, einige davon beliebter als andere.

Hier sind ein paar der Gängigsten:

Advanced Encryption Standard (AES)

AES ist ein Algorithmustyp für symmetrische Verschlüsselung, entwickelt vom National Institute of Standards and Technology (NIST). Er wird allgemein als der Goldstandard der Verschlüsselungs-Algorithmen angesehen, auf den die US-Regierung setzt. Er verschlüsselt Daten mithilfe von Schlüsseln der Größe 128, 192 oder 256 Bits, was einen starken Schutz gegen Angriffe bietet.

Secure Hash Algorithm 2 (SHA-2)

SHA-2 ist eine Familie von Hashing-Algorithmen, von denen SHA-256 am häufigsten eingesetzt wird. SHA-2 wurde von der National Security Agency (NSA) als ein sicherer Nachfolger von SHA-1 entworfen und wird in einer ganzen Bandbreite von Anwendungen eingesetzt, inklusive Passwort-Hashing.

Bcrypt

Bcrypt ist ein weiterer Hashing-Algorithmus, der automatisch in jedes Passwort ein unverwechselbares Salt einsetzt. Er nutzt außerdem einen Arbeitsfaktor, der kontrolliert, wie viele Male das Passwort gehasht wird, was es dem Algorithmus ermöglicht, den Hashing-Prozess zu verlangsamen und somit Angriffe abzuwehren.

Triple Data Encryption Standard (3DES)

Data Encryption Standard (DES) ist ein Algorithmus zur symmetrischen Verschlüsselung, der in den 1970er Jahren entwickelt wurde und ehemals als der Goldstandard galt. 3DES ist eine Weiterentwicklung von DES, der den DES-Algorithmus dreimal hintereinander mit drei verschiedenen Schlüsseln anwendet. 3DES ist sicherer als das Original DES, dennoch wird er weiterhin als überholt betrachtet und wurde weitestgehend von modernen Algorithmen wie AES abgelöst.

Rivest-Shamir-Adleman (RSA)

RSA ist ein Algorithmus zur asymmetrischen Verschlüsselung, der einen öffentlichen Schlüssel für die Verschlüsselung und einen privaten für die Entschlüsselung verwendet. RSA gibt es nun schon seit geraumer Zeit, aber er wird immer noch an vielen Stellen zur sicheren Datenübertragung eingesetzt, wie etwa bei SSL-Zertifikaten.

Message Digest 5 (MD5)

MD5 ist ein Hashing-Algorithmus, der jederlei Input in einen fixen 128-Bit-Wert konvertiert, üblicherweise eine 32 Zeichen lange Hexadezimalzahl. Einst weitverbreitet, wird MD5 heute als unsicher gehandelt, weil er anfällig für moderne Cracking-Methoden ist. Er fällt oft in Zusammenhang mit Datenschutzverstößen und durchgesickerten Passwort-Datenbanken auf.

Vorteile der Passwortverschlüsselung

Hilft bei der Vermeidung von Datenschutzverstößen

Die Verschlüsselung von Passwörtern bedeutet, dass ein Angreifer, selbst wenn er Zugriff auf eine Datenbank erlangt, die gestohlenen Zugangsdaten ohne die Schlüssel zur Entschlüsselung nicht lesen und nutzen kann. Das reduziert die Wahrscheinlichkeit eines erfolgreichen Datenschutzverstoßes mit dem Ergebnis kompromittierter Kundenkonten drastisch.

In Kombination mit Passwortverschlüsselung können Methoden wie z. B. Full Disk Encryption (FDE) das Risiko weiter minimieren, indem sie das gesamte Speichersystem schützen. Das macht Angreifern den Zugriff auf sensible Daten nahezu unmöglich, wenn ein Gerät verloren geht oder gestohlen wird.

Hilft bei der Einhaltung von Rechts- und Industriestandards 

Passwort-Verschlüsselung spielt eine große Rolle dabei, Organisationen bei der Einhaltung von Rechtsnormen und Industriestandards zum Schutze sensibler Daten zu helfen. Vorschriften wie DSGVO und HIPAA verlangen nach starken Schutzmaßnahmen für persönliche Informationen sowie sensible Daten und Verschlüsselung ist eine allerseits empfohlene Methode, diesen Erfordernissen Genüge zu tun.  

Sie ist Treiber für das Vertrauen der Benutzer

Verschlüsselung ist Treiber für das Benutzervertrauen, weil sie zeigt, dass eine Organisation Datenschutz ernst nimmt und sich dem Schutz sensibler Informationen wie Passwörtern verschreibt. Wenn Benutzer wissen, dass ihre Daten verschlüsselt werden, können sie darauf vertrauen, dass ihre persönlichen Informationen selbst im Falle eines Datenschutzverstoßes weniger wahrscheinlich öffentlich werden.

Schützt gegen Bedrohungen von innen

Sicherheitsstrategien konzentrieren sich zumeist auf die Abwehr von externen Angreifern, aber Bedrohungen durch Mitarbeiter der Organisation – ob absichtlich oder zufällig – können eine ebenso große Gefahr darstellen. Passwortverschlüsselung hilft bei der Gewährleistung, dass selbst Mitarbeiter mit Zugang zu Datenbanken die Passwörter der Benutzer nicht sehen oder missbrauchen können.

Erfolgsrezepte für die Verschlüsselung 

1. Verschlüsseln Sie alle sensiblen Daten: Die Verschlüsselung aller sensibler Daten ist unerlässlich, um umfassenden Schutz über ihre gesamtes System hinweg zu bieten. Daten wie persönliche Informationen, Finanzangaben und Krankenakten sind allesamt wertvolle Ziele für Angreifer. Die Verschlüsselung dieser Informationen sowohl bei der Übertragung als auch der Speicherung reduziert das Risiko einer Veröffentlichung im Falle eines Datenschutzverstoßes erheblich.
2. Setzen Sie starke, moderne Algorithmen ein: Der Algorithmus, den Sie für die Verschlüsselung von Daten nutzen, entscheidet über deren Sicherheit. Überholte oder schwache Algorithmen wie MD5 oder SHA-1 sind anfällig für Angriffe und können mit modernen Werkzeugen geknackt werden. Sie sollten stattdessen moderne, sichere Algorithmen wie AES zur Verschlüsselung und Bcrypt zum Hashing einsetzen, um zuverlässigen Schutz zu bieten.
3. Nutzen Sie beim Hashen von Passwörtern die Salting-Option: Hashing allein ist nicht genug, um Passwörter vor Bedrohungen wie Angriffen per Regenbogentabelle und Wörterbuch-Angriffen zu schützen. Mit genug Zeit und Ressourcen können Cyberangreifer diese Methoden nutzen, um den Wert eines gehashten Passworts zu identifizieren – besonders, wenn es ein gebräuchliches ist. Zum Schutz davor sollten Passwörter immer zusätzlich zum Hashing auch Salting unterzogen werden, da sie so einzigartig und somit viel schwerer zu knacken sind.
4. Sicherheit auf allen Ebenen: Verschlüsselung mag eine unerlässliche Verteidigungslinie sein, aber allein wird sie nicht ausreichen, um sich gegen moderne Cyberbedrohungen zur Wehr zu setzen. Es ist außerdem wichtig, Multi-Faktor-Authentifizierung (MFA) zu implementieren, um über ein Passwort hinaus einen zusätzlichen Verifizierungsschritt einzurichten. Die Umsetzung starker Passwortrichtlinien – wie das Verbot der Wiederverwendung eines Passworts und das Blockieren gebräuchlicher oder durchschaubarer Muster – hilft ebenfalls bei der Reduzierung des Risikos kompromittierter Zugangsdaten.
5. Halten Sie nach schwachen oder geknackten Passwörtern Ausschau: Wie bereits erwähnt, ist Verschlüsselung eine wesentliche Verteidigungslinie, sie beseitigt jedoch das Risiko des Passwortdiebstahls nicht völlig. Schwache oder wiederverwendete Passwörter können immer noch geknackt werden, selbst wenn sie verschlüsselt sind. Deshalb ist es wichtig, aktiv nach schwachen oder geknackten Passwörtern Ausschau zu halten. Werkzeuge wie unser kostenloser, Read-Only Specops Password Auditor können Ihnen bei der Identifizierung von und Reaktion auf potenzielle Sicherheitslücken behilflich sein, bevor Angreifer diese ausnutzen können.

Die Zukunft der Passwortverschlüsselung

Die Expansion der digitalen Welt schreitet schnell voran – leider gilt das auch für Cyberbedrohungen. Verizons Data Breach Investigations Report von 2024 stellte fest, dass fast 80 % aller Webattacken auf Grundlage gestohlener Passwörter geschehen, und hob hervor, dass die Verschlüsselungstechnologien sich im Gleichschritt mit den Bedrohungen, die sie bekämpfen wollen, entwickeln müssen.

Post-Quantum-Kryptographie

Quantencomputer sind leistungsfähige Maschinen – möglicherweise leistungsfähig genug, um schließlich weit verbreitete Verschlüsselungsmethoden wie die oben besprochenen zu durchbrechen und so vieles der digitalen Sicherheit von heute obsolet zu machen.

Das ist ein alarmierender Gedanke. Aber zum Glück ermöglichen es uns Quantencomputer auch, neue Methoden der Post-Quantum-Kryptographie zu entwickeln, die die Sicherheit tatsächlich verbessern könnten. Dies ist ein sich eben entwickelnder Bereich, in dem Experten etliche mögliche Ansätze erforschen, um Algorithmen für das Post-Quantum-Zeitalter zu entwerfen. Ihre Entwicklung wird langfristig für den Schutz sensibler Daten entscheidend sein, besonders, da sich der Fortschritt in der Quantentechnologie beschleunigt.

Das Aufkommen passwortloser Authentifizierung

Im Zuge der Suche nach Wegen, sich vor Datenschutzverstößen, Phishing und anderen Bedrohungen der Cybersicherheit zu schützen, wenden sich Unternehmen zunehmend passwortlosen Authentifizierungsmethoden zu. In der Tat wird ein Wachstum des Marktes für passwortlose Authentifizierung von 21,6 Milliarden USD im Jahre 2025 auf 60,3 Milliarden USD bis 2032 prognostiziert.

Biometrische Technologien – wie z. B. Fingerabdruckscans und Gesichtserkennung – sind unter den bekanntesten Beispielen dieser Zeitenwende. Diese Methoden sind generell unkompliziert für Benutzer und reduzieren das Risiko des Diebstahls von Zugangsdaten, da es keine konventionellen Passwörter mehr zu stehlen oder wiederverwenden gibt. Ganz ähnlich sind auch Passkeys eine neuere Authentifizierungsmethode, die Biometrie nutzen kann, um die Identität zu bestätigen, ohne jegliches herkömmliche Passwort.

Aber selbst in dieser passwortlosen Umgebung bleibt Verschlüsselung eine unerlässliche Komponente der digitalen Sicherheit. Speicherung und Übermittlung unverschlüsselter Biometriedaten könnte Benutzer ernsten Datenschutzrisiken aussetzen, da diese Art von Daten unzweifelhaft an individuelle Personen geknüpft ist und, wenn kompromittiert, nicht geändert werden kann. Aus diesem Grunde müssen selbst die fortschrittlichsten Authentifizierungssysteme für langfristige Sicherheit und Vertrauen auf einer belastbaren Grundlage der Verschlüsselung aufgebaut sein.

Halten Sie kontinuierlich nach schwachen und kompromittierten Passwörtern Ausschau

Verschlüsselung ist wesentlich für den Schutz sensibler Daten wie Passwörter – aber sie hält Benutzer nicht davon ab, schwache oder gestohlene Passwörter wiederzuverwenden. Selbst die stärksten Verschlüsselungs-Algorithmen können keinen Datenschutzverstoß aufhalten, wenn kompromittierte Zugangsdaten zum Zugriff eingesetzt werden.

Daher ist es unerlässlich, proaktiv auf der Suche nach schwachen und kompromittierten Passwörtern zu sein. Specops Password Policy mit Breached Password Protection überprüft aktiv Passwörter anhand einer ständig aktualisierten Datenbank von über 4 Milliarden bereits kompromittierter Passwörter, auch solcher, die aktuell in realen Spraying- und Stuffing-Angriffen verwendet werden.

Der Breached Password Protection Service blockiert auf den Index gesetzte Passwörter im Active Directory und hält Benutzer so davon ab, Passwörter zu vergeben oder zu benutzen, die in Datenschutzverstößen offengelegt worden sind.

Sie möchten gerne herausfinden, wie die Lösungen von Specops für mehr Passwortsicherheit in Ihrer Organisation sorgen können? Kontaktieren Sie uns noch heute wegen einer Demo- oder kostenlosen Testversion.

Passwortverschlüsselung FAQ