{"id":13858,"date":"2019-02-05T11:42:29","date_gmt":"2019-02-05T10:42:29","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=13858"},"modified":"2019-01-30T08:45:41","modified_gmt":"2019-01-30T07:45:41","slug":"datenklau-und-co-waeren-ihre-daten-im-ernstfall-sicher","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=13858","title":{"rendered":"Datenklau und Co: W\u00e4ren Ihre Daten im Ernstfall sicher?"},"content":{"rendered":"

Autor\/Redakteur: Garry McCracken, Vice President Technology bei WinMagic<\/a>\/gg<\/p>\n

Nahezu t\u00e4glich erreichen uns Nachrichten \u00fcber Datenschutzverletzungen, ob kriminell motiviert oder durch menschliches Versagen verursacht. Der potenzielle Verlust von Daten ist von der Ausnahme zur Regel geworden. Wir haben uns an Meldungen \u00fcber den Verlust sensibler Daten fast schon gew\u00f6hnt. Der Fall des so genannten \u201ePolitiker-Daten-Lecks\u201c, bei dem massenhaft, teilweise sehr sensible Daten von Politikern, Journalisten und Prominenten gestohlen und ver\u00f6ffentlicht wurden, hat dieses Thema zur\u00fcck ins Zentrum unserer Aufmerksamkeit geholt.<\/p>\n

\"\"<\/a><\/p>\n

<\/p>\n

Schwache Passw\u00f6rter erkl\u00e4ren die Problematik nur teilweise<\/strong><\/p>\n

Nach bisherigem Erkenntnisstand sind schwache Passw\u00f6rter und Authentifizierungsmechanismen f\u00fcr Social-Media-Konten sowie Messenger- und Cloud-Dienste Gr\u00fcnde f\u00fcr den Daten-Verlust. Auch eine geringe Sensibilisierung f\u00fcr Cyberrisiken ist Teil des Problems, etwa wenn private Mail-Accounts genutzt werden, statt auf besser gesicherte Mail-Konten zu setzen, deren zugrunde liegende Infrastruktur von Regierungsseite administriert wird. Ob und in welcher Weise die Daten verschl\u00fcsselt waren, dar\u00fcber ist noch nichts \u00f6ffentlich bekannt.<\/p>\n

Dabei ist die Verschl\u00fcsselung von Daten ein grundlegendes Instrument der IT-Sicherheit. Verschl\u00fcsselung ist Mainstream. Sie ist fast so alt wie das Internet selbst und kann Angreifer in ihrem Ziel, vertrauliche Benutzer- und Kundendaten, Gesch\u00e4ftsgeheimnisse und andere Daten zu stehlen, stark behindern. Verschl\u00fcsselte Daten sind im Fall eines Diebstahls f\u00fcr den Cyberkriminellen schlichtweg wertlos.<\/p>\n

Daten breiten sich epidemisch aus<\/strong><\/p>\n

Doch ganz so einfach ist es nicht, selbst wenn die Daten nicht bei \u00f6ffentlich zug\u00e4nglichen Diensten wie Dropbox oder Twitter liegen. Daten befinden sich heute nicht mehr an wenigen, lokalen Orten in gut gesicherten Netzwerken. Wir arbeiten mobil, virtuell, auf vielen unterschiedlichen Endger\u00e4ten, in der Cloud. Gerade Cloud-Dienste zur gemeinsamen Nutzung von Dateien und virtualisierte Infrastrukturen erleichtern das zeit- und standortunabh\u00e4ngige Arbeiten enorm. Ein ortsunabh\u00e4ngiger Zugang zu Daten und Workloads ist unerl\u00e4sslich geworden, um in einer immer st\u00e4rker vernetzten Welt wettbewerbsf\u00e4hig zu bleiben. Mit dem Ergebnis, dass sich Daten geradezu epidemisch verbreiten. Unternehmen, die \u00fcber eine so vielf\u00e4ltige, so genannte hyperkonvergente Infrastruktur verf\u00fcgen, m\u00fcssen neben Rechenzentren viele verschiedene Endpunkte bis hin zu VMs und Clouds sichern und das bedeutet auch, die Daten, die dort entstehen, verschl\u00fcsseln.<\/p>\n

Fehlendes Bewusstsein auf Fach- und F\u00fchrungsebene<\/strong><\/p>\n

Datenverschl\u00fcsselung in hyperkonvergenten Netzen kann ziemlich schnell recht kompliziert und un\u00fcbersichtlich werden. Vor allem dann, wenn IT-Verantwortliche auf native, punktuelle L\u00f6sungen setzen. Punktl\u00f6sungen, die nur Segmente der Netzwerkinfrastruktur, in der Regel einzelne Ger\u00e4te, verschl\u00fcsseln, reichen nicht mehr aus. Denn wir k\u00f6nnen heute nicht mehr kontrollieren, wohin sich Daten verbreiten. Das wiederum f\u00fchrt zu versteckten Datensilos und einer fragmentierten Data Governance. Dar\u00fcber hinaus m\u00fcssen IT-Administratoren unz\u00e4hlige Verschl\u00fcsselungs-Keys verwalten, was ein zus\u00e4tzliches Problem in puncto Handhabbarkeit, aber auch Compliance darstellt. Der Versuch, viele unterschiedliche L\u00f6sungen mit ihren Schl\u00fcsseln unabh\u00e4ngig zu verwalten, bedeutet einen gro\u00dfen Aufwand und birgt potenzielle Fehlerquellen im Datensicherheitsplan eines Unternehmens.<\/p>\n

Dass vielfach nur Punktl\u00f6sungen f\u00fcr die Verschl\u00fcsselung eingesetzt werden, r\u00fchrt auch daher, dass es in vielen Unternehmen wenig bis gar keinen Druck der F\u00fchrung in Form einer universellen Verschl\u00fcsselungsrichtlinie \u00fcber das gesamte Netzwerk gibt. Eine solche Richtlinie w\u00fcrde entsprechende IT-L\u00f6sungen voraussetzen: Und zwar Verschl\u00fcsselungsl\u00f6sungen, die IT-Infrastrukturen automatisieren und end-to-end absichern. Unabh\u00e4ngig davon, ob sich die Daten in einer \u00f6ffentlichen oder privaten Cloud oder auf einem Ger\u00e4t befinden. Es gilt nicht mehr die Daten auf einzelnen Ger\u00e4ten, sondern die Daten von Usern zu verschl\u00fcsseln.<\/p>\n

In virtualisierten Infrastrukturen lassen sich die Daten auf VMs beispielsweise zuverl\u00e4ssig sichern, indem direkt auf der VM und losgel\u00f6st vom Hypervisor verschl\u00fcsselt wird. Dar\u00fcber hinaus erm\u00f6glichen \u00fcbergreifende L\u00f6sungen ein zentralisiertes, selbstgesteuertes Schl\u00fcsselmanagement mithilfe eines separaten, so genannten Key Management Servers, der on-premise im eigenen Rechenzentrum verbleibt.<\/p>\n

<\/p>\n

Stichwort Compliance und Datenschutz<\/strong><\/p>\n

Wir wissen, dass Datenlecks im gesamten Spektrum der IT-Ausr\u00fcstung auftreten \u2013 in Netzwerken, wenn Informationen \u00fcbertragen werden oder, wenn Ger\u00e4te verloren gehen oder gestohlen werden. Es gibt viele M\u00f6glichkeiten, Informationen zu verlieren. Jede einzelne davon ist potenziell sch\u00e4dlich f\u00fcr Unternehmen.<\/p>\n

Hinzu kommen immer strengere Vorschriften in puncto Datenschutz. Diese Vorschriften, allen voran die DSGVO, aber auch branchenspezifische Richtlinien wie MiFID II und PCI DSS sehen vor, dass nicht nur die Daten durch Verschl\u00fcsselung gesch\u00fctzt werden m\u00fcssen, sondern auch die Keys, mit denen die Daten verschl\u00fcsselt werden. Verschl\u00fcsselungs-Keys in einer Cloud zu speichern, wie es manche Verschl\u00fcsselungsl\u00f6sungen tun, versto\u00dfen damit gegen anerkannte Compliance-Richtlinien.<\/p>\n

\"\"<\/a><\/p>\n

Dar\u00fcber hinaus schreiben die Richtlinienkataloge vor, dass Unternehmen Verfahren zum Schutz der Verschl\u00fcsselungs-Keys dokumentieren m\u00fcssen. Unternehmen, die diesen Anforderungen nicht nachkommen, riskieren neben einem Image-Verlust, juristische Konsequenzen und hohe Geldstrafen.<\/p>\n

Datenverschl\u00fcsselung hilft, L\u00fccken in der Cyberabwehr zu schlie\u00dfen<\/strong><\/p>\n

Wenn es in der Gesch\u00e4ftswelt eine absolute Wahrheit gibt, dann die, dass Daten heutzutage \u00fcberall sind. Unternehmen aller Gr\u00f6\u00dfen k\u00e4mpfen mit der Datensicherheit, da die Zahl der mobilen und agilen Mitarbeiter st\u00e4ndig steigt. Mit von der Unternehmensf\u00fchrung durchgesetzten, Plattform- und Ger\u00e4te-\u00fcbergreifenden Verschl\u00fcsselungsma\u00dfnahmen k\u00f6nnen sich Unternehmen darauf verlassen, dass die Daten im gesamten Netzwerk gesch\u00fctzt sind. Die Ma\u00dfnahmen k\u00f6nnen nicht von Mitarbeitern deaktiviert werden, die die Ger\u00e4teleistung optimieren m\u00f6chten, was sowohl bei Punktverschl\u00fcsselungsl\u00f6sungen als auch bei Antivirenl\u00f6sungen ein echtes Problem darstellt.<\/p>\n

Die Verschl\u00fcsselung ist die Grundlage jeder Datensicherheitsl\u00f6sung. Sie kann von unsch\u00e4tzbarem Wert f\u00fcr die Bek\u00e4mpfung ausgereifter Bedrohungen, den Schutz vor IoT-Datenschutzverletzungen und die Einhaltung gesetzlicher Vorschriften sein. Verschl\u00fcsselungsl\u00f6sungen wandeln Daten in einen unknackbaren, unlesbaren Code um und machen sie damit f\u00fcr Unberechtigte nutzlos.<\/p>\n

Datenverschl\u00fcsselung ist oft die einzige Technologie, die in den immer strengeren gesetzlichen Regelwerken als gangbare Sicherheitsma\u00dfnahme erw\u00e4hnt wird. Die zentrale Schl\u00fcsselverwaltung sorgt daf\u00fcr, dass Verschl\u00fcsselungs-Keys kontrolliert werden. So k\u00f6nnen Unternehmen regulatorische und gesetzliche Vorgaben einhalten. Die Verschl\u00fcsselung ist die letzte Verteidigungslinie im Falle einer Datenschutzverletzung \u2013 und zwar unabh\u00e4ngig davon, ob es sich um einen b\u00f6swilligen Eindringling oder eine versehentliche Offenlegung handelt.<\/p>\n","protected":false},"excerpt":{"rendered":"

Autor\/Redakteur: Garry McCracken, Vice President Technology bei WinMagic\/gg Nahezu t\u00e4glich erreichen uns Nachrichten \u00fcber Datenschutzverletzungen, ob kriminell motiviert oder durch<\/p>\n","protected":false},"author":3,"featured_media":13859,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8],"tags":[6257,8614,1015,7848,9408,2339,3764,3285,5895,3728,6259,36,6256,1605],"class_list":["post-13858","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","tag-cloud","tag-datenklau","tag-datenschutz","tag-datenschutzverletzung","tag-dsgvo","tag-hypervisor","tag-iot","tag-key","tag-mifid-ii","tag-pci-dss","tag-security","tag-sicherheit","tag-virtualisierung","tag-winmagic"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/13858","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=13858"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/13858\/revisions"}],"predecessor-version":[{"id":13861,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/13858\/revisions\/13861"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/13859"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=13858"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=13858"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=13858"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}