Mit dem Megatrend Cloud Computing rückt das Thema Datensicherheit auf der Prioritätenliste von Anwendern und Anbietern weit nach vorne. Dabei müssen Kunden nicht nur den Transport und die Verarbeitung von Daten in ihre Sicherheitskonzepte einbeziehen sondern auch den Schutz von Daten im Ruhezustand, meist auf Festplatten gespeichert. Speicherexperten von LSI haben zehn goldene Regeln zusammengestellt, die Reseller und Dienstleister bei der Sicherung von ruhenden Daten ihrer Kunden beachten sollten.
Entsorgungsunternehmen berichten, dass etwa die Hälfte der ihnen überlassenen Geräte noch gültige Daten enthalten. Die Menge der tatsächlich wieder herstellbaren Daten dürfte aufgrund unsachgemäßer Löschung deutlich höher sein. Hinzu kommt, dass multiple Kopien von Daten unter anderem zu Sicherungszwecken hergestellt werden, über deren Existenz zumindest der Anwender nicht informiert ist. Darüber hinaus lassen sich mit genügender krimineller Energie komplette Festplattensätze meist unbemerkt aus dem IT-Betrieb entfernen, die dann in aller Ruhe an anderem Ort ausgewertet werden.
Seit einiger Zeit bieten Festplattenhersteller daher Festplatten an, die mit einer auf der Festplatte angesiedelten Crypto-Maschine versehen sind, so dass, selbst wenn Festplatten in fremde Hände gelangen, die Daten nicht zugänglich sind. Laufwerke der Enterprise Klasse für Magnetbänder besitzen die Fähigkeit zur Verschlüsseldung schon seit vielen Jahren.
Diese zehn goldene Regeln für sichere Daten sollten Reseller und Dienstleister beachten, wenn sie ihre Kunden vor Datenverlusten schützen wollen: (hier geht`s weiter)
1. Sichere Daten - sichere Zukunft
Firmen müssen sich und ihre Kunden vor dem kompromittierenden Verlust von Daten sowohl gegen Diebstahl, Verlust, etwa beim Transport oder Umzug, und Fahrlässigkeit schützen. Der damit verbundene Schwund von Glaubwürdigkeit kann den Bestand eines Unternehmens ernsthaft gefährden.
2. Licht aus, Daten verschlüsseln
Bei der Außerbebetriebnahme von Speichergeräten ist dafür zu sorgen, dass die Daten auch mit forensischen Mitteln nicht wieder herstellbar sind. Full Drive Encryption (FDE) ist ein absolut sicheres Verfahren.
3. Festplatten verschlüsseln
Unternehmen sollten sich für ein Verfahren entscheiden, das bereits an der Datenquelle, also Festplatte, agiert. Dieses Vorgehen ist von der SNIA (Storage Networking Association) ausdrücklich empfohlen. Eine Kombination von Verfahren zum Schutz von Daten in Bewegung, zum Beispiel auf Netzwerken, ist natürlich ebenfalls notwendig.
4. Schutz und Aufwand bei der Datensicherung in der Balance
Der Gesetzgeber verpflichtet Anwender und Betreiber zum ausreichenden Schutz von Daten, unter anderem durch das Datenschutzgesetz, aber auch in diversen fiskalischen Regelungen. Oft ist dabei von der Zumutbarkeit der Maßnahmen zum Schutz die Rede. FDE ist eine preiswerte und sichere Lösung. Einschränkungen der Leistungsfähigkeit gibt es keine, die Verschlüsselung auf den Festplatten erfolgt in Echtzeit.
5. Rechtlichte Vorgaben
Unternehmen sollten darauf achten, dass das eingesetzte Sicherungsverfahren einer behördlichen Überprüfung standhält und einschlägigen Standards entspricht. Die für FDE angewandte Methodik verwendet AES und ist gemäß FIPS 140-1 zertifiziert. Diese Zertifizierung wird auch von deutschen Behörden anerkannt.
6. Schlüssel und Schlösser clever aufbewahren
Das Crypto-Verfahren sollte so arbeiten, dass die für Entschlüsselung notwendigen Schlüssel die Festplatte niemals verlassen, so dass eine Unterwanderung ausgeschlossen ist. Zum Entsperren der Daten ist ein weiterer Schlüssel notwendig, der sich außerhalb der Festplatten, entweder auf dem Festplattencontroller, im Speichersystem oder in einem Schlüsselverwaltungssystem befindet.
7. Schützen Sie die Schlüssel
Die Anwendung des Schlüssels zum Entsperren der Entschlüsselung sollte an die Verwendung eines Authentifizierungschemas gekoppelt sein, um eine weitere Sicherheit gegen den unautorisierten Einsatz solcher Schlüssel zu gewährleisten. Im Allgemeinen geschieht das durch ein Passwort oder Pass-Phrase.
8. Koppeln Sie die Verschlüsselung eng an die Hardware
Die Verschlüsselung und Entschlüsselung muss an die Kombination der Festplatten und die sie steuernde Hardware (Controller) unmittelbar gebunden sein. Eine Trennung von Controller und Festplatte muss die Daten im verschlüsselten Zustand hinterlassen. Das Entsperren der Daten darf erst wieder durch den Entschlüsselungsschlüssel erfolgen, das heißt die Entschlüsselungsmaschine wird erst durch die Präsentation eines weiteren Schlüssels wieder in Gang gesetzt.
9. Den richtigen Hersteller auswählen
Sie sollten die verschiedenen angebotenen Verfahren und Lösungen hinsichtlich Sicherheit, Prüfbarkeit und vor den Hintergrund der damit verbundenen Kosten, vergleichen, denn sie treffen hier eine Langzeitentscheidung.
10. Sorgfalt ist überlebenswichtig
Und letztendlich: IT-Verantwortliche oder die damit beauftragte externen Security-Dienstleister sollten mit den Schlüsseln ihres Verschlüsselungssystems sorgfältig umgehen, die Verfahren sind absolut sicher, eine Unterwanderung oder ein Hacken sind unmöglich. (rw)