Unterschiede bei der Verschlüsselung
Mit einem Verschlüsselungsverfahren wird ein Klartext in einen Geheimtext umgewandelt (und umgekehrt). Der entscheidende Unterschied zwischen den einzelnen Verschlüsselungsverfahren liegt darin, ab welchem Punkt die Daten verschlüsselt werden, bzw. wer den Schlüssel zur Codierung besitzt.
Basis: HTTPS/SSL Verschlüsselung
Eine HTTPS/SSL Verschlüsselung sichert den Übertragungsweg zwischen Endgerät und Server ab. Während der Übertragung über das Internet sind die Daten verschlüsselt. Die Daten werden zusammen mit dem Schlüssel an den jeweiligen Dienstleister zum Speichern übertragen. Davor und danach sind die Daten daher entschlüsselt, d. h. mit Klartext, auf dem Server abgelegt.
Hinweis: Oftmals verkaufen Anbieter auch dies bereits unter dem Namen "Ende-zu-Ende Verschlüsselung".
Nur HTTPS/SSL Verschlüsselung
Je nach Art der Daten, können auch bei einer reinen HTTPS/SSL Verschlüsselung (d. h. bei Räumen ohne aktivierter Ende-zu-Ende Verschlüsselung / Direkten Nachrichten) durch Stackfield (mit seinen technischen und organisatorischen Maßnahmen) alle Anforderungen an den Datenschutz gemäß der Datenschutz-Grundverordnung (DSGVO) erfüllt sein.
Zusätzlich: Ende-zu-Ende Verschlüsselung
Zu der HTTPS/SSL Verschlüsselung kann bei Stackfield noch on Top eine Ende-zu-Ende Verschlüsselung aktiviert werden, die sich aus einer einzigartigen Kombination aus symmetrischen (AES) und asymmetrischen (RSA) Verschlüsselungsverfahren zusammensetzt.
Die Daten werden bereits beim Upload direkt im Browser verschlüsselt (d. h. es wird automatisch ein Passwort generiert) und anschließend mit einer HTTPS/SSL Verschlüsselung übertragen. Bei der clientseitigen Verschlüsselung verlässt der Schlüssel, welcher die Daten codiert, niemals den Besitz des Nutzers. Dadurch kann niemand zwischen den beiden Endgeräten die Informationen entschlüsseln. Erst beim Download im Browser des berechtigten Empfängers werden die Daten entschlüsselt, d. h. als Klartext, angezeigt.
HTTPS/SSL + Ende-zu-Ende Verschlüsselung
Diese Daten werden Ende-zu-Ende verschlüsselt
Vor- und Nachteile einer Ende-zu-Ende Verschlüsselung
Ist die Ende-zu-Ende Verschlüsselung in Stackfield aktiviert, so hat kein unbefugter Dritter Zugriff auf die Informationen - weder der Staat / ein Gericht, noch Stackfield als Plattform-Betreiber oder unsere Subunternehmen. Sollte ein Außenstehender die Daten erlangen, dann wäre dies lediglich eine Kette aus Zahlen und Buchstaben, aus der keine Informationen gewonnen werden können. Nur für autorisierte Personen (d. h. Mitglieder eines Raumes mit entsprechenden Rechten) sind die Informationen zugänglich.
Aufgrund der frühen Verschlüsselung kann es bei Räumen / Direkten Nachrichten mit aktivierter Ende-zu-Ende Verschlüsselung auch ein paar mögliche Einschränkungen im Arbeitsalltag geben:
Ein gutes Passwort-Management ist essentiell, bei verlorenen Räumen / Direkten Nachrichten kann der Zugriff ansonsten nicht wieder hergestellt werden. Jedem Nutzer sollte das eigene Passwort für den Login somit zu jedem Zeitpunkt bekannt sein.
Bei einer aktivierten Zwei-Faktor-Authentifizierung muss außerdem der zweite Faktor zugänglich sein.
Durch die Verschlüsselung werden keine Daten nach "Außen", z. B. an externe Dienste als Kalenderabonnement oder Benachrichtigungen per E-Mail / auf dem Sperrbildschirm des Handys, gesendet. In E-Mail-Benachrichtigungen werden lediglich allgemeine Informationen über die Existenz des Elements, inkl. Hinweis auf die extra Verschlüsselung, und Link (d. h. einer Weiterleitung zur relevanten Stelle in Stackfield) preisgegeben.
Beispiel: E-Mail-Benachrichtigung aus einem Ende-zu-Ende verschlüsselten Raum
Werden bei Integrationen / WebHooks (Blogartikel: Automatisierung von Prozessen) Daten übertragen, so können diese nur in Räumen mit deaktivierter Ende-zu-Ende Verschlüsselung verwendet werden, da die API den jeweiligen Schlüssel zum Ver- bzw. Entschlüsseln nicht hat. Integrationen, bei denen nur ein Link übertragen wird (z. B. zu Dateien in Dropbox, OneDrive, Google Drive und Box) und Giphy können allgemein genutzt werden.
Die globale Suche kann gegebenenfalls etwas langsamer sein, da diese aufgrund der Ende-zu-Ende Verschlüsselung nicht auf einmal, sondern in Blöcken, abläuft. Die Geschwindigkeit hängt dabei von dem lokalen Gerät und der Datenmenge ab.
Wann ist eine Ende-zu-Ende Verschlüsselung sinnvoll?
An erster Stelle steht die Einhaltung der Datenschutzgrundverordnung (DSGVO), berufsrechtlicher Pflichten (z. B. § 203 Strafgesetzbuches) und Compliance-Richtlinien. Aus diesem Grund empfehlen wir Dir hochsensible Daten (z. B. Kategorien personenbezogener Daten und Firmeninterna) in unseren Ende-zu-Ende-verschlüsselten Räumen bzw. Privatchats abzulegen. Der Zugriff ist hier allein auf die Mitglieder des Raumes / Chats mit den entsprechenden Rechten beschränkt.
Hinweis: In den Artikeln 4, 5 und 9 der DSGVO kannst Du Dich weiter zu personenbezogenen Daten und deren Verarbeitung informieren: Datenschutz-Grundverordnung
Du möchtest mehr über die Ende-zu-Ende-Verschlüsselung erfahren?
Wie aktiviere ich die Ende-zu-Ende Verschlüsselung?
Vorkehrungen vom Admin der Organisation
Admins der Organisation können in den "Organisation Einstellungen" Vorkehrungen zur Verschlüsselung treffen. Folgende Funktionen können hier näher definiert werden:
- Sollen Direkte Nachrichten-Chats Ende-zu-Ende verschlüsselt werden? (Auswahlmöglichkeiten: "Immer deaktiviert" / "Immer aktiviert")
- Sollen alle Räume Ende-zu-Ende verschlüsselt werden? (Auswahlmöglichkeiten: "Immer deaktiviert" / "Immer aktiviert" / "Auswahl beim Erstellen"*)
- *Wer darf Räume ohne aktivierte Ende-zu-Ende Verschlüsselung erstellen? (Wird durch die vorherige Option "Auswahl beim Erstellen" getriggert) (Auswahlmöglichkeiten: "Admins" / "Admins & Mitglieder")
Einstellungen der Verschlüsselung
Nach der Aktivierung empfehlen wir Dir, allen Nutzern die Vor- und Nachteile sowie insbesondere den richtigen Umgang mit Passwörtern zu kommunizieren (siehe: Passwort-Management).
Selbst entscheiden beim Erstellen eines Raumes
Wenn die Nutzer beim Erstellen eines Raumes selbst über die zusätzliche Ende-zu-Ende Verschlüsselung entscheiden können, dann ist im Eingabefeld vom "Raum Namen" ein Schloss-Symbol abgebildet. Mit einem Klick darauf kann die extra Verschlüsselung aktiviert werden. Hinweis: Nachträglich kann die Verschlüsselung eines Raumes nicht geändert werden.
Ende-zu-Ende Verschlüsselung beim Erstellen aktivieren / deaktivieren
Was muss ich als Admin nach der Aktivierung der Ende-zu-Ende Verschlüsselung tun?
Nach der Aktivierung der Ende-zu-Ende Verschlüsselung in den "Organisation Einstellungen", empfehlen wir Dir eine gezielte Sensibilisierung aller Mitarbeiter bezüglich der Themen Sicherheit, Passwortmanagement und Ende-zu-Ende Verschlüsselung. Führe eine verpflichtende (Online-) Schulung ein und/oder versende Richtlinien zur Nutzung mithilfe von Links zu relevanten Learning Center Artikeln:
Gehe dabei insbesondere auf das Passwort-Management und den Unterschied zwischen Login-Passwort und Raum- bzw. Chat-Passwort ein. Stelle sicher, dass das Raum- bzw. Chat-Passwort bei Ende-zu-Ende verschlüsselten Räumen bzw. Chats mindestens durch einen Admin gesichert wird. Um zu vermeiden, dass die verantwortlichen Personen (z. B. alle / Admins / eine bestimmte Person) die Passwort-Sicherung vergessen, verankere diese zusätzlich als Regel in den internen Richtlinien. Eine Aufgabe kann Dich sowie die betroffenen Nutzer an die Einhaltung erinnern.
Weiterführende Informationen
Sicherheitsstandards
Weitere Informationen zu unseren Sicherheitsstandards erhältst Du hier:
https://www.stackfield.com/de/security
Woran erkenne ich, dass ein Raum Ende-zu-Ende verschlüsselt ist?
Ende-zu-Ende verschlüsselte Räume werden im geöffneten Zustand mit einem Schloss-Symbol neben ihrem Raum-Namen gekennzeichnet und besitzen im Reiter Allgemeines in den "Raum Einstellungen" ein automatisch generiertes Passwort.
Passwort-Management
(Hinweis: Für ein leichteres Verständnis werden die Zusammenhänge hier stark vereinfacht. Die technischen Details kannst Du bei Bedarf in unserem Whitepaper nachlesen.)
Jeder Ende-zu-Ende verschlüsselte Raum bzw. Gruppenchat besitzt ein eigenes Passwort. Dieses wird automatisch generiert und entspricht nicht Deinem Login-Passwort. Um Dir einen bequemen Zugriff auf Deine Ende-zu-Ende verschlüsselten Räume / Chats zu ermöglichen, wird Dein Login-Passwort im Hintergrund automatisch mit allen Raum- bzw. Chat-Passwörtern "verknüpft". Damit ist im Normalfall keine manuelle Eingabe des Passworts beim Öffnen des Raumes / Chats notwendig.
Achtung: Bei Zurücksetzen Deines Login-Passworts geht die "Verknüpfung" zu Raum- bzw. Chat-Passwörtern verloren (da sich altes und neues Login-Passwort nicht "begegnen") und muss erst wieder hergestellt werden. Um erneuten Zugriff zu erlangen, ist daher eine manuelle Eingabe des Raum- bzw. Chat-Passworts bzw. eine Aktivierung durch einen Admin notwendig (siehe: Passwort zurückgesetzt).
Wird Dein Passwort nur geändert, bleibt die Verknüpfung bestehen, da diese automatisch von Deinem alten Login-Passwort auf das neue übertragen wird. Eine manuelle Eingabe der Raum- bzw. Chat-Passwörter ist daher nicht notwendig.
Achte stets darauf das Passwort von Räume bzw. Gruppen- und Privatchats mit aktivierter Ende-zu-Ende Verschlüsselung an einem zusätzlichen (sicheren) Ort außerhalb der verschlüsselten Umgebung abzulegen und zu speichern. Vor allem bei Räumen bzw. Chats in denen Du als einzige Person bzw. als Admin enthalten bist, solltest Du Dir das Passwort notieren. Da die Passwörter sich nicht ändern, reicht eine einmalige Sicherung.
Das Passwort von Räumen und Gruppenchats findest Du in den Einstellungen des Raumes bzw. Gruppenchats. Im Reiter Allgemeines wird es Dir verschlüsselt angezeigt, bis Du – geschützt vor fremden Blicken – auf den Button "Anzeigen" klickst.
Du findest das Raum-Passwort in den Raum-Einstellungen
Um das Passwort eines 1:1-Chats aufzurufen, öffne den entsprechenden Chat und klicke auf den Namen Deines Kommunikationspartners oben links. Wähle nun die Option "Verschlüsselungskey anzeigen" aus, um das Passwort einzublenden.
Das Passwort von 1:1-Chat wird über den Namen aufgerufen
Chats: Art der Verschlüsselung nachträglich ändern
Einstellungen zur Ende-zu-Ende Verschlüsselung greifen ausschließlich für Privatchats, die nach der (De-) Aktivierung erstellt werden. Alte Chats bleiben mit / ohne aktivierter Ende-zu-Ende Verschlüsselung. Um einen Privatchat an die neue Einstellung anzupassen, lösche diesen und fordere auch die andere Person auf den Chat zu verlassen. Beachte dabei, dass durch das Löschen alle Chat-Inhalte verloren gehen und speichere wichtige Inhalte gegebenenfalls gesondert ab.
Lösche den Chat
Wenn der Chat von beiden Kommunikationspartnern gelöscht wurde, kannst Du ihn erneut starten.* Öffne ihn hierzu (z. B. über die Globale Suche, Strg + k) und schreibe eine Nachricht. Die neuen Einstellungen zur Ende-zu-Ende-Verschlüsselung wurden jetzt übernommen.
*Wenn der Chat gestartet wird, bevor beide Personen ausgetreten sind, werden die Einstellungen nicht übernommen und der Prozess muss erneut begonnen werden.