Fachbeiträge

Ausgabe 8 / /2012
Fachbeitrag Social Media

Verschlüsselung ist kein Allheilmittel

von Jochen Koehler

Bei der sicheren Speicherung von vertraulichen Daten besteht bei vielen Unternehmen noch Handlungsbedarf. Eine Verschlüsselung der Daten, auf die viele Firmen setzen, ist nämlich keinesfalls ausreichend. Nur umfassende Maßnahmen von der Zugriffskontrolle über die Authentifikation bis zur Protokollierung der User-Aktivitäten gewährleisten eine hohe Sicherheit.

Inhaltsübersicht:

Sensible Informationen wie Finanz- oder Personaldaten, aber auch Forschungs- und Entwicklungsergebnisse bedürfen eines besonderen Schutzniveaus. Kein unberechtigter Anwender und auch kein IT-Administrator sollte Zugriff auf solche Informationen haben. Im Gegenteil: Der Nutzerkreis dieser brisanten Daten sollte auf bestimmte Personen eingeschränkt werden. In vielen IT-Umgebungen kommt es jedoch oft vor, dass gerade diese besonderen Daten in die Hände unberechtigter Dritter gelangen. Die Fälle von Datenpannen, Datenmissbrauch, Datenlecks und Industriespionage, die stark zunehmen, sprechen eine deutliche Sprache. Wie hoch die Gefahr tatsächlich ist, belegt auch eine Untersuchung des Softwareherstellers Cyber Ark, der auf Informationssicherheit spezialisiert ist: Demzufolge entwendet jeder zweite Mitarbeiter im Falle einer Kündigung vertrauliche Daten.

Viele Unternehmen treffen völlig unzureichende Sicherungsmaßnahmen. Das beginnt schon beim mangelhaften Schutz der unternehmenskritischen Daten. Oft werden die Daten zwar inzwischen klassifiziert, aber nur die wenigsten Organisationen lassen den vertraulichen und geheimen Informationen daraufhin entsprechende Sicherheitsmaßnahmen zukommen. Und wenn doch, handelt es sich dabei meist um Insellösungen, die einen hohen Administrationsaufwand nach sich ziehen.

Transparenz und Sicherheit

Oft fällt die erste Wahl auf eine Verschlüsselungslösung. Doch wer sich danach in absoluter Sicherheit wähnt, liegt weit daneben. Aus Kostengründen und vor allem aufgrund des hohen administrativen Aufwands solcher Lösungen wird die Verschlüsselung nur in den wenigsten Unternehmen flächendeckend eingesetzt. Meist bleibt es bei einer Festplattenverschlüsselung auf den mobilen Geräten. Und das bedeutet wiederum, dass die als vertraulich und geheim geltenden Daten auf den File-Servern oft vollkommen ungeschützt auch unberechtigten Mitarbeitern zur Verfügung stehen. Selbst wenn ein stringentes Rechte- und Rollenkonzept umgesetzt wird, haben beispielsweise die Administratoren weiterhin Zugang zu den Informationen. Um sie zu schützen, müssen zusätzliche Vorkehrungen getroffen werden, wie eine strikte Zugriffskontrolle, starke Authentifikation und eine revisionssichere Nachvollziehbarkeit der Datenverwendung. Gleichzeitig sollten die Daten aber auch auf einfachstem Wege von berechtigten Anwendern eingesehen und bearbeitet werden können. Diese Anforderungen widersprechen sich häufig. Deswegen sind also Lösungen gefragt, die neben einem sehr hohen Niveau an Sicherheit auch eine einfache und möglichst transparente Integrationsmöglichkeit in die bestehende IT-Umgebung bieten.

Vertrauliche Informationen besonders sichern

Erster Schritt bei der geschützten Verwahrung von Daten sollte die Trennung vertraulicher und geheimer Dateien vom Rest des Datenbestands sein. Diese werden separat gespeichert und verwaltet. Zugang zu diesem Datenbereich sollte nur ein definierter Personenkreis erhalten, und zwar über eine klar definierte Rollen- und Berechtigungsstruktur sowie eine eindeutige Identifikation des Anwenders, zum Beispiel über eine starke Authentifikation. Für besonders kritische Daten ist zudem eine Autorisierung mittels Vier-Augen-Prinzip zu erwägen. Ideal ist es, wenn der Zugriff auf jede einzelne Datei dabei auf die jeweils relevante Personengruppe beschränkt werden kann – mit einer individuellen Berechtigungsvergabe im Hinblick auf die Möglichkeit zum Lesen, Speichern oder Löschen von Daten. Den Benutzern werden dann nur die Dokumente angezeigt, für die entsprechende Berechtigungen vorhanden sind. Alle anderen Dokumente bleiben unsichtbar. Alle User-Aktivitäten wie Datei-Zugriffe oder Änderungen müssen protokolliert werden. Dadurch wird nicht nur die Sicherheit um ein Vielfaches erhöht, sondern gleichzeitig eine vollständige Nachvollziehbarkeit der Verwendung von sensiblen Daten durch berechtigte Anwender gewährleistet. Nicht zuletzt ist auch eine sogenannte "Separation of Duties" zwingend notwendig, das heißt eine strikte Trennung von Administrator und Anwender der eingesetzten Lösung. So kann der Administrator diese zwar verwalten, bekommt aber zu keiner Zeit vertrauliche Daten zu sehen.

Benutzerfreundlichkeit steht im Vordergrund

Die Lösung sollte problemlos in die vorhandene Unternehmensinfrastruktur integrierbar sein. Eine Anbindung an implementierte Benutzerverwaltungen und Verzeichnisdienste wie Active Directory, eDirectory oder LDAP, Backup-Systeme und Lösungen zur System-Überwachung ist unabdingbar. In vielen Unternehmen kommen beispielsweise bereits SIEM (Security Information Event Management)-Systeme zum Einsatz, die eine Echtzeit-Alarmierung ermöglichen. Deshalb sollte die Sicherheitslösung eine Übertragung der Audit-Logs an SIEM-Plattformen ermöglichen, damit bereits der Versuch eines Zugriffs auf geheime Daten unmittelbar gemeldet wird. Wichtig ist zudem, dass die Lösung eine Enterprise-Architektur aufweist: Das heißt, dass sie skalierbar und ausfallsicher ist und auch Zehntausende von Dokumenten-Zugriffen, -Uploads und -Transfers abwickeln und überwachen kann. In den meisten Unternehmen ist es für die Anwender hilfreich, wenn die Lösung im sogenannten „Look and Feel“ den Microsoft-Produkten angepasst und damit leicht zu bedienen ist. So kann der Benutzer die Sicherheitsplattform schnell und einfach ohne hohen Lern- oder Schulungsaufwand nutzen. Er greift wie gewohnt über Office und Windows auf Dateien zu und speichert diese in üblicher Weise, während sich die Lösung im Hintergrund automatisch um die Sicherheit kümmert.

Fazit

Jedes Unternehmen sollte sensible Daten in einem separaten Bereich speichern, der ein deutlich höheres Sicherheitsniveau als gängige File-Server-Lösungen bietet. Wichtig dabei ist ein integrierter Ansatz. Das heißt: Man sollte eine Lösung wählen, die aus mehreren Sicherheitsschichten besteht und damit einen gänzlich "einbruchsicheren" elektronischen Tresor im Netzwerk schafft – vergleichbar mit dem echten Tresor in einer Bank.

Diese Artikel könnten Sie auch interessieren

Unsere Empfehlungen