Datenklau und Co: Wären Ihre Daten im Ernstfall sicher?

Autor/Redakteur: Garry McCracken, Vice President Technology bei WinMagic/gg

Nahezu täglich erreichen uns Nachrichten über Datenschutzverletzungen, ob kriminell motiviert oder durch menschliches Versagen verursacht. Der potenzielle Verlust von Daten ist von der Ausnahme zur Regel geworden. Wir haben uns an Meldungen über den Verlust sensibler Daten fast schon gewöhnt. Der Fall des so genannten „Politiker-Daten-Lecks“, bei dem massenhaft, teilweise sehr sensible Daten von Politikern, Journalisten und Prominenten gestohlen und veröffentlicht wurden, hat dieses Thema zurück ins Zentrum unserer Aufmerksamkeit geholt.

Schwache Passwörter erklären die Problematik nur teilweise

Nach bisherigem Erkenntnisstand sind schwache Passwörter und Authentifizierungsmechanismen für Social-Media-Konten sowie Messenger- und Cloud-Dienste Gründe für den Daten-Verlust. Auch eine geringe Sensibilisierung für Cyberrisiken ist Teil des Problems, etwa wenn private Mail-Accounts genutzt werden, statt auf besser gesicherte Mail-Konten zu setzen, deren zugrunde liegende Infrastruktur von Regierungsseite administriert wird. Ob und in welcher Weise die Daten verschlüsselt waren, darüber ist noch nichts öffentlich bekannt.

Dabei ist die Verschlüsselung von Daten ein grundlegendes Instrument der IT-Sicherheit. Verschlüsselung ist Mainstream. Sie ist fast so alt wie das Internet selbst und kann Angreifer in ihrem Ziel, vertrauliche Benutzer- und Kundendaten, Geschäftsgeheimnisse und andere Daten zu stehlen, stark behindern. Verschlüsselte Daten sind im Fall eines Diebstahls für den Cyberkriminellen schlichtweg wertlos.

Daten breiten sich epidemisch aus

Doch ganz so einfach ist es nicht, selbst wenn die Daten nicht bei öffentlich zugänglichen Diensten wie Dropbox oder Twitter liegen. Daten befinden sich heute nicht mehr an wenigen, lokalen Orten in gut gesicherten Netzwerken. Wir arbeiten mobil, virtuell, auf vielen unterschiedlichen Endgeräten, in der Cloud. Gerade Cloud-Dienste zur gemeinsamen Nutzung von Dateien und virtualisierte Infrastrukturen erleichtern das zeit- und standortunabhängige Arbeiten enorm. Ein ortsunabhängiger Zugang zu Daten und Workloads ist unerlässlich geworden, um in einer immer stärker vernetzten Welt wettbewerbsfähig zu bleiben. Mit dem Ergebnis, dass sich Daten geradezu epidemisch verbreiten. Unternehmen, die über eine so vielfältige, so genannte hyperkonvergente Infrastruktur verfügen, müssen neben Rechenzentren viele verschiedene Endpunkte bis hin zu VMs und Clouds sichern und das bedeutet auch, die Daten, die dort entstehen, verschlüsseln.

Fehlendes Bewusstsein auf Fach- und Führungsebene

Datenverschlüsselung in hyperkonvergenten Netzen kann ziemlich schnell recht kompliziert und unübersichtlich werden. Vor allem dann, wenn IT-Verantwortliche auf native, punktuelle Lösungen setzen. Punktlösungen, die nur Segmente der Netzwerkinfrastruktur, in der Regel einzelne Geräte, verschlüsseln, reichen nicht mehr aus. Denn wir können heute nicht mehr kontrollieren, wohin sich Daten verbreiten. Das wiederum führt zu versteckten Datensilos und einer fragmentierten Data Governance. Darüber hinaus müssen IT-Administratoren unzählige Verschlüsselungs-Keys verwalten, was ein zusätzliches Problem in puncto Handhabbarkeit, aber auch Compliance darstellt. Der Versuch, viele unterschiedliche Lösungen mit ihren Schlüsseln unabhängig zu verwalten, bedeutet einen großen Aufwand und birgt potenzielle Fehlerquellen im Datensicherheitsplan eines Unternehmens.

Dass vielfach nur Punktlösungen für die Verschlüsselung eingesetzt werden, rührt auch daher, dass es in vielen Unternehmen wenig bis gar keinen Druck der Führung in Form einer universellen Verschlüsselungsrichtlinie über das gesamte Netzwerk gibt. Eine solche Richtlinie würde entsprechende IT-Lösungen voraussetzen: Und zwar Verschlüsselungslösungen, die IT-Infrastrukturen automatisieren und end-to-end absichern. Unabhängig davon, ob sich die Daten in einer öffentlichen oder privaten Cloud oder auf einem Gerät befinden. Es gilt nicht mehr die Daten auf einzelnen Geräten, sondern die Daten von Usern zu verschlüsseln.

In virtualisierten Infrastrukturen lassen sich die Daten auf VMs beispielsweise zuverlässig sichern, indem direkt auf der VM und losgelöst vom Hypervisor verschlüsselt wird. Darüber hinaus ermöglichen übergreifende Lösungen ein zentralisiertes, selbstgesteuertes Schlüsselmanagement mithilfe eines separaten, so genannten Key Management Servers, der on-premise im eigenen Rechenzentrum verbleibt.