Wie sicher sind Unternehmensdaten wirklich?
„Data at rest“ sind Daten, die auf unterschiedlichsten Speichersystemen abgelegt sind und bei Bedarf von Anwendungen aus dem Datenspeicher abgerufen werden. Die Daten sind klassischerweise auf Festplatten und Bandspeichern (Backup) in Klartext gespeichert. Klartext bedeutet, dass jeder der die Daten zur Verfügung hat, die Inhalte lesen oder ändern kann. Trotz aller Vorteile der digitalen Datenhaltung und -verarbeitung entstehen gerade dadurch zunehmend große Sicherheitslücken. Denn auf die Daten haben viele Personen Zugriff, welche dazu eigentlich gar nicht berechtigt sind. Ist der Zugriff einmal gelungen, können Unbefugte jederzeit Daten manipulieren oder an Dritte weitergeben oder verkaufen. Die Tatsache, dass über 50 Prozent aller Sicherheitsbrüche im Unternehmen stattfinden, zeigt, dass zusätzliche Investitionen in die Sicherheit nach außen kaum wirkungsvoll sind.
Im Gegensatz zu herkömmlichen punktuellen Schutzmethoden wie Firewalls, Anti-Virus Software oder Intrusion Detection-Systemen können sicherheitskritische Informationen schon in den Speichern des Unternehmens durch Verschlüsselungsmechanismen effektiv vor unberechtigten Zugriffen geschützt werden. Die verschlüsselten Daten sind in den Speicherlösungen durchgängig chiffriert und liegen zu keinem Zeitpunkt im Klartext vor. Ohne passenden Dechiffrierschlüssel sind sie unbrauchbar. Die Verschlüsselung von Daten wird heute von einigen Herstellern angeboten. Der wesentliche Unterschied der einzelnen Lösungen liegt in der Software- oder Hardware-Technologie und den Authentifizierungsverfahren. Die größere Auswahl besteht bei Software-Lösungen, die auf existierenden Systemen installiert werden.
Software-Lösungen sind grundsätzlich preiswerter in der Anschaffung als ihre Hardware-Pendants und stehen oft einfach zum Herunterladen bereit. Sie erfüllen die Aufgaben der Verschlüsselung zuverlässig, führen jedoch automatisch zu Performance-Belastungen der Speicher-, Netzwerk- und Serverstrukturen und sind als Insellösungen nicht für alle Speicherstrukturen zugleich kompatibel. Die Software muss auf allen Clients beziehungsweise Servern installiert werden, was die Administration und damit die Total Cost of Ownership deutlich erhöht. Zudem begibt man sich in eine direkte Abhängigkeit von Betriebssystem- und Applikations-Upgrades. Außerdem muss die Komprimierung der Backup-Daten während des Verschlüsselungsprozesses angehalten werden. Somit wird mehr Storage-Kapazität für Backups benötigt und die Datensicherung dauert wesentlich länger. Software-Lösungen eignen sich daher am besten als Einstiegslösung für kleinere Unternehmen mit wenigen Clients und Servern, die nur begrenzte Compliance- und Performance-Anforderungen haben.
Hardware-Lösungen bestehen aus integrierten Appliances, die alle Arbeitsschritte selbstständig erledigen und dabei keine weiteren Ressourcen belasten. Hardware Appliances haben den Vorteil, dass sie neben der reinen Verschlüsselung mit mehreren integrierten Funktionen ausgestattet werden. In den Appliances liegt die gesamte Intelligenz der Datenverschlüsselung, der Authentifizierung, des Key-Managements und der Protokollierung. Sie sind transparent und damit relativ unkompliziert in existierende Speicherumgebungen integrierbar und erfordern keine Anpassungen der Server oder Applikationen. Die Performance bleibt ebenfalls erhalten. Erfahrungen zeigen, dass nach der Beratung und Planung die Daten der meisten Unternehmen innerhalb von wenigen Tagen geschützt sind.
Die DataFort Storage Security Appliances der NetApp Tochter Decru beispielsweise sind für den Einsatz in DAS-, SAN-, NAS-, iSCSI und Tape-Umgebungen konzipiert. Die Appliances fungieren als ein sicherer „Tresor“, der Informationen kryptographisch versiegelt und unautorisierte Zugriffe verhindert. IT-Administratoren oder externe Dienstleister können nach wie vor alle nötigen Prozesse mit den Daten durchführen. Doch die Inhalte bleiben unlesbar. Zudem erstellt die Appliance ein Protokoll über alle Versuche, die Daten zu lesen oder zu schreiben, inklusive aller Vorfälle, bei denen der Zugriff verweigert wurde. Die Appliances lassen sich bei gleich bleibender Leistung einfach skalieren, so dass einer der bisherigen Hauptkritikpunkte bei Hardware Appliances gegenüber Software nicht mehr gilt.
Datenverschlüsselung auf Hardware-Basis funktioniert mit bewährten Standards. Ein wichtiges Sicherheitsprädikat, dem die Storage Security-Lösungen entsprechen sollten, ist der Common Criteria EAL-4+. Dies sind die höchsten Sicherheitsstufen weltweit; sie entsprechen den Anforderungen der Gesetzgeber und staatlichen Vorschriften. Bundesnachrichtendienst, CIA oder das US-Militär vertrauen ausschließlich diesen Standards.
Letztendlich muss jedes Unternehmen selber entscheiden, welcher Ansatz der richtige ist. Sind die Ansprüche an Performance und Compliance nicht besonders hoch und die Umgebung darüber hinaus übersichtlich, ist der Software-Ansatz angesichts der niedrigeren Anschaffungskosten ein guter Einstieg für KMUs. Vor allem in größeren Unternehmen sind allerdings die Folgekosten beachtlich. Außerdem ist die Funktionalität meistens begrenzt und die Performance bei der Datensicherung und -wiederherstellung dermaßen beeinträchtigt, dass eine Verschlüsselungsappliance in diesen Fällen die einzige denkbare Lösung ist.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER