Unzählige Vorfälle bringen es ans Licht: Daten sind im Alltag allzu oft nicht verschlüsselt. Grund für dieses Manko ist häufig, dass sich Unternehmen bislang auf die Perimeter-Security konzentriert haben, sich das Sicherheitsrisiko aber stark gewandelt hat. Angesichts der zunehmenden Mobilität der Mitarbeiter reichen klassische Perimeter-basierende Netzsicherheitsansätze nicht mehr aus: Zwar bleiben Passwörter, Firewalls und Antivirenprogramme weiterhin essenzielle Bausteine eines umfassenden Sicherheitskonzepts. Zusätzlich gilt es jedoch, die Daten unabhängig von ihrem Speicherplatz oder Übertragungsweg vor unberechtigten Zugriffen zu schützen.
Hier lesen Sie ...
worin sich symmetrische und asymmetrische Verschlüsselung unterscheiden;
was bei der Chiffrierung ruhender Daten zu beachten ist;
wie sich "Data in Motion" schützen lassen.
www.computerwoche.de/
1217801: Balance zwischen Business und Security;
576727: Vista-Verschlüsselung ist kein All-heilmittel.
Professionelle Verschlüsselung hilft, Daten vor neugierigen Blicken und Manipulationsversuchen zu schützen. Durch Compliance-Vorschriften und angesichts drohender Imageschäden ist die Integrität der Daten für Unternehmen wichtiger denn je.
Das Prinzip einer Verschlüsselungslösung ist denkbar einfach: Ein digitaler Schlüssel codiert die Daten mit Hilfe eines Algorithmus und macht die Informationen zunächst unlesbar. Nur autorisierte Personen mit einem passenden Schlüssel (Key) können die Daten verwenden. Für die Codierung gibt es zwei Möglichkeiten: die symmetrische und asymmetrische Verschlüsselung.
Symmetrische Verschlüsselung
Beispiel Datenübertragung: Bei der symmetrischen Verschlüsselung verfügt jeder Absender über einen Key, mit dem ein Datenpaket verschlüsselt wird, bevor es über das Netz an den Empfänger gelangt. Dieser benötigt den exakt gleichen Schlüssel wie der Versender, um die Nachricht entschlüsseln zu können. Für jedes Sender-Empfänger-Paar ist ein separater Key erforderlich, was jedoch schon in kleinen Netzen schnell zu einer kaum verwaltbaren Anzahl von Schlüsseln führt.
Asymmetrische Verschlüsselung
Diese Methode ist auch unter dem Begriff "Public Key Encryption" bekannt. Dabei wird pro Person ein Public Key mit dazugehörigem Private Key verwendet. Ersterer ist jedem bekannt, der Private Key dagegen nur der jeweiligen Person. Er lässt sich nicht aus dem Public Key ableiten. In der Praxis bedeutet dies, dass jeder den Public Key einer Person einsetzen kann, um ihr chiffrierte Nachrichten zuzuschicken, aber nur diese Person den Inhalt mit ihrem Private Key entschlüsseln kann.
Verschlüsselung ruhender Daten
Um gespeicherte Daten (Data at Rest) optimal zu schützen, empfehlen IT-Sicherheitsunternehmen wie Safenet einen vielschichtigen Ansatz. Demnach sollten grundsätzlich vier ineinandergreifende Schutzschichten eingerichtet werden:
Full Disk Encryption (Power-off-Protection): In diesem Fall wird die gesamte Festplatte eines Computers samt Betriebssystem-Daten verschlüsselt. Damit sind alle Daten auf der Festplatte geschützt selbst wenn diese abhandenkommt. Die Full Disk Encryption sollte daher der erste Schritt sein. Sind die Betriebssystem-Daten verschlüsselt, können unberechtigte Anwender diese nicht manipulieren, um einen "Safe Mode" herbeizuführen und so Zugriff auf die Daten auf der Festplatte zu erhalten. Der Nutzer müsste sich erst authentifizieren, bevor die Betriebssystem-Daten geladen werden.
File/Folder Encryption (Power-on-Protection): Auf der zweiten Ebene lassen sich einzelne Dateien und Ordner mit vertraulichen Informationen verschlüsseln, die auf Servern, Workstations, Laptops und mobilen Geräten gespeichert sind. Solange der Rechner nicht eingeschaltet ist, schützt die Full Disk Encryption alle Daten auf der Festplatte. Nach dem Booten und erfolgreicher Authentifizierung liegen allerdings alle Daten frei zugänglich auf der Festplatte der Zugriff entspricht also einem "Alles-oder-Nichts-Szenario". Durch die Verschlüsselung einzelner Dateien und Ordner lassen sich auch im Arbeitsmodus alle vertraulichen Daten und zudem gemeinsam genutzte Ordner schützen.
Database Encryption: In einem nächsten Schritt sollten IT-Verantwortliche ihre Datenbanken sichern, indem sie die geschäftskritischen Daten verschlüsseln. So können nur berechtigte Mitarbeiter auf die Dokumente zugreifen - die Vertraulichkeit und Integrität der Daten bleibt gewährleistet. Durch Logs ist zudem kontrollierbar, wer wann auf diese wichtigen Daten zugegriffen hat.
Application Encrytion: Auf dem vierten Level können Unternehmen verschiedene Datenbereiche unmittelbar aus den Applikationen verschlüsseln, die diese Daten nutzen. Über definierte Rollen und Rechte sowie eine feinmaschige Zugangskontrolle zu den Anwendungen wird gleichzeitig die Sicherheit der Daten gewährleistet. Nur entsprechend berechtigte Anwender können die Applikationen nutzen und haben somit Zugriff auf die verschlüsselten Bereiche. Ähnlich wie die Verschlüsselung auf Datenbankebene bietet auch diese Schutzschicht einen Audit Trail: Wird eine Applikation wiederholt unberechtigt aufgerufen, lässt sich dies schnell erkennen.
Sicherer Datenaustausch im Netz
Im Rahmen eines ganzheitlichen Verschlüsselungsansatzes müssen aber auch die "Data in Motion" berücksichtigt werden. Ähnlich wie bei den auf Festplatte oder externen Speichermedien befindlichen Informationen sind Daten auch während der Übertragung im Netz vor unberechtigten Blicken zu schützen. Lange Zeit und zu Unrecht - galten die fiberoptischen Backbones der Carrier als sicher. Die Verbindungen lassen sich sehr wohl anzapfen nicht zuletzt, weil diese weit verzweigten Netze mehr Angriffspunkte bieten als geschützte lokale Netze. Doch viele IT-Verantwortliche schrecken vor der Anschaffung einer Verschlüsselungslösung zurück so darf die Chiffrierung nicht zu Lasten der Geschwindigkeit beim Datenaustausch gehen und damit die Kommunikation behindern.
Werden Änderungen am Netz vorgenommen, liegt der Fokus meist auf dessen Architektur. Erst im zweiten Schritt wird das Thema Sicherheit bedacht. Daher nutzen viele Firmen eine Mischung aus gemieteten und virtuellen Verbindungen sowie unterschiedlichen Protokollen wie WAN Ethernet, ATM, Frame, Link oder Sonet/SDH. Auch IP-basierende öffentliche Netze sind kostengünstig und werden häufig eingesetzt. Unabhängig davon, welche Technik verwendet wird - Daten lassen sich auf den folgenden Layern verschlüsseln: Physical (Layer 1), Data Link (Layer 2) und Network (Layer 3).
Es gibt eine Reihe von Verschlüsselungslösungen zum Schutz der Daten im WAN. Sie variieren von Hochgeschwindigkeits-Optionen auf Layer 3 wie Ethernet, Sonet/SDH und/oder ATM bis hin zur Miete dedizierter Verbindungen oder sogar ganzen Datenleitungen auf Layer 2. Langsamere Möglichkeiten werden als Frame Relay, Internet Protocol (IP) oder Multi-Protocol Label Switching (MPLS) angeboten und arbeiten auf Layer 1.
Nach einer Studie des Rochester Institute of Technology (RIT) im Auftrag von Safenet stellt die Bandbreite das wichtigste Kriterium bei der Auswahl einer Verschlüsselungslösung dar. Werden die Daten auf Layer 3 mit IPsec verschlüsselt, erhält jedes Datenpaket einen Overhead von mindestens 40 Prozent. VoIP-Pakete und Daten anderer Echtzeit-Anwendungen sind im Schnitt kleiner, so dass hier der Overhead 80 Prozent überschreiten kann. Bevor ein Unternehmen die Verschlüsselung bewegter Daten aufgrund der zusätzlich erforderlichen Bandbreite aus Kostengründen verwirft, sollte es bedenken, dass auch eine Chiffrierung auf Layer 2 möglich ist. Damit lassen sich nicht nur der Overhead, sondern auch Latenzzeiten vermeiden. (kf)