Verschlüsselung: Die letzte Verteidigungslinie

Angenommen, der Hacker ist drin. Er hat die Firewall überwunden. Er hat SQL-Injection genutzt. Er lädt Ihre Datenbank herunter. Ist das Spiel vorbei? Nein. Wenn Sie richtig verschlüsselt haben, stiehlt er nur Datenmüll. Zahlenkolonnen, die er nicht lesen kann. Verschlüsselung ist der Unterschied zwischen "Peinlicher Vorfall" und "Existenzbedrohendem Skandal".

Aber Verschlüsselung ist schwer. Ein kleiner Fehler ("Ich habe meinen eigenen Algorithmus erfunden"), und alles ist wertlos.

Featured Snippet: Verschlüsselung muss auf drei Ebenen stattfinden: 1. Data in Transit (Übertragungsweg: HTTPS/TLS 1.3), 2. Data at Rest (Speicher: AES-256 für Datenbanken/Festplatten) und 3. Data in Use (Verarbeitung: Enclaves). Für Passwörter gilt: Niemals verschlüsseln, immer hashen (Einweg-Funktion) mit modernen Algorithmen wie Argon2 oder bcrypt.

---

The Cost of Inaction: Klartext-Passwörter in 2026?

Es passiert immer noch. Firmen speichern Passwörter im Klartext. Oder "verschlüsselt" (reversibel!). Der Hacker entschlüsselt sie und übernimmt Millionen Konten. Die DSGVO sieht das als grobe Fahrlässigkeit. Bußgelder sind hier astronomisch, weil es vermeidbar war. (Art. 32 DSGVO fordert "Stand der Technik").

---

Ebene 1: Hashing (Passwörter)

Passwörter speichert man nie. Man speichert nur ihren "Fingerabdruck" (Hash). Wenn der User sein Passwort eingibt, berechnet man den Fingerabdruck neu und vergleicht ihn mit der Datenbank.

Die No-Gos (Kaputt):

• MD5 (In Millisekunden knackbar).
• SHA-1 (Unsicher).
• SHA-256 (Zu schnell! Hacker können Milliarden Versuche pro Sekunde machen).

Der Gold-Standard 2026:

• Argon2id: Der aktuelle Gewinner der Password Hashing Competition. Speicher-intensiv (schwer für GPUs zu knacken).
• bcrypt: Der solide Veteran. Immer noch gut.
• Salt: Fügen Sie jedem Passwort vor dem Hashen einen zufälligen String (Salt) hinzu. Verhindert "Rainbow Tables".

---

Ebene 2: Symmetrische Verschlüsselung (Kundendaten)

Namen, Adressen, Kreditkarten. Diese müssen reversibel sein (Sie wollen sie ja lesen). Nutzen Sie AES-256 GCM.

• Wichtig: Wo liegt der Schlüssel (Key)?
• Wenn der Key (secret.txt) neben der Datenbank (database.sql) auf demselben Server liegt, ist es sinnlos. Wer die DB klaut, klaut auch den Key.
• Lösung: Key Management System (KMS). Der Key liegt in einem Hardware-Modul (HSM) bei AWS/Azure und verlässt dieses nie. Die App schickt Daten hin, HSM schickt verschlüsselte Daten zurück.

---

Ebene 3: Asymmetrische Verschlüsselung (Kommunikation)

Public Key & Private Key. Nutzen Sie das für den Datenaustausch. Wenn der Kunde Ihnen eine sensible Nachricht schickt, verschlüsselt er sie mit Ihrem Public Key. Nur Ihr Private Key (der sicher auf dem Server liegt) kann sie öffnen. HTTPS (TLS) basiert darauf. Erzwingen Sie TLS 1.3. Ältere Versionen (1.0, 1.1) sind unsicher (POODLE Attacke). Nutzen Sie HSTS Header.

---

Myth-Busting: "Base64 ist Verschlüsselung"

Nein! Base64 ist eine Kodierung (Encoding). Es macht Daten lesbar für Übertragung, schützt sie aber null. Jeder kann SGFsbG8= in Hallo zurückübersetzen. Verwechseln Sie Encoding niemals mit Encryption.

---

Unasked Question: "Was ist Quanten-Computer Gefahr?"

Quantencomputer können heutige Asymmetrische Verschlüsselung (RSA, Elliptic Curve) theoretisch knacken (Shor's Algorithmus). Müssen Sie Panik haben? Noch nicht. Aber AES-256 gilt als "Quantum Resistant" (man braucht nur längere Keys). Für Hochsicherheits-Daten beginnt jetzt die Ära der Post-Quantum Cryptography (PQC). Für den normalen Shop: Bleiben Sie bei AES und RSA 4096, das reicht für die nächsten 10 Jahre.

---

FAQ: Encryption