Verschlüsselung in Unternehmen
Key- & Lifecycle-Management als Schlüsselfaktor
Datum:25.07.2016
Autor(en):Thorsten Krüger
Datenverschlüsselung gehört zur Standardausrüstung in der IT. Anders sieht es mit
dem Key- und Lifecycle-Management aus. Hier handeln Unternehmen fahrlässig. Die Verschlüsselung unternehmenskritischer Daten und Informationen setzt sich durch - in der Cloud, in virtuellen und physischen Umgebungen. Im vergangenen Jahr waren laut Bitkom1 45 Prozent der Daten auf Festplatten2 und anderen Datenträgern3 in deutschen Unternehmen chiffriert.
[Hinweis auf Bildergalerie: Diese Tools helfen bei der Datenrettung] gal1
Verschlüsselte Daten, unsichere Umgebung
Ein anderes Bild zeigt sich beim Key- und -Lifecycle-Management4: Das Gros der Befragten einer weltweiten Studie von Ponemon5 empfindet die Verwaltung der Schlüssel als größten "Pain Point" innerhalb von Verschlüsselungsstrategien. Demnach fehlt es vielen Anwendern an klaren Richtlinien für das Management der Schlüssel, am Überblick darüber, wo sich die verschlüsselten Informationen6 in den verteilten Systemen befinden und an Werkzeugen. Die Folge: Die meisten Unternehmen lagern ihre Schlüssel aus Bequemlichkeit in den gleichen Systemen, in denen sich auch die chiffrierten Daten befinden. Andere wiederum geben ihre Keys in die Obhut von Anbietern, die auch für die Speicherung der verschlüsselten Informationen7 verantwortlich sind. Nur 27 Prozent der IT-Verantwortlichen jedenfalls speichern die Schlüssel in sicheren Umgebungen und nutzen dafür beispielsweise spezielle Hardware. Da drängt sich der Vergleich mit dem Haustürschlüssel unter der Fußmatte regelrecht auf.
[Hinweis auf Bildergalerie: IT-Sicherheit: Menschliche Datenschutz-Fails] gal2
IT-Compliance setzt Key Management voraus
Häufig sind Unternehmen die Konsequenzen nicht klar: Eine sorgfältige Verwaltung und ein akkurates Handling bei der Erstellung, Verteilung und Verwaltung von Crypto-Keys ist Pflicht, wenn es in Audits und Revisionen um den Datenschutz8 geht. IT-Compliance9 lässt sich ohne Verschlüsselung und Key-Management nicht erreichen. Dabei beginnt ein wirksames Key- und Lifecycle-Management bereits mit dem Verständnis dafür, wer für das Schlüsselmanagement verantwortlich zeichnet. Hier verderben viele Köche den Brei: Je mehr Personen Zugriff auf die Schlüssel erhalten, desto größer ist die Gefahr des Missbrauchs10. Nicht selten fehlt es in der Praxis auch an der Übersicht darüber, wer für die Schlüssel verantwortlich ist und wie, beziehungsweise wo, sie abgelegt wurden. Das aber führt besonders in heterogenen Systemumgebungen zu so genannten "Islands of Encryption".
Eine entsprechende Lösung sollte deshalb zwingend dokumentieren können, wer welchen Schlüssel genommen hat und wofür dieser verwendet wurde. Entscheidend ist zudem, dass der digitale Schlüssel - und damit die Möglichkeit der Entschlüsselung von sensiblen Informationen11 - in den Händen des Unternehmens verbleibt und dass die Keys getrennt von den Daten sowie zentral gespeichert und verwaltet werden können. Bewährt haben sich in dem Zusammenhang so genannte Hardware Security Module (HSM)12. Sie gewährleisten, dass die Eigentümerschaft und volle Kontrolle im Unternehmen verbleibt. Ein professionelles Key-Management unterstützt neben der sicheren Aufbewahrung und dem Backup auch die Vergabe für Schlüssel sowie die Identitätsprüfung für Antragsteller und ermöglicht zudem individuelle Berechtigungen für die Verwendung einzelner Personen oder Personengruppen. Hinzu kommen klare Richtlinien nach einem Verlust - etwa, wenn ein Mitarbeiter das Unternehmen verlässt und die Berechtigung entzogen werden soll. So ist es beispielsweise möglich, Schlüssel remote zu löschen. Technisch gesehen unterstützen HSM unterschiedliche kryptografische Algorithmen13 wie asymmetrische und symmetrische Ver-, beziehungsweise Entschlüsselung.
HSMs in Verbindung mit Key-Management dienen als leistungsfähige und manipulationssichere Tresore für kryptografische Schlüssel14. Somit können Unternehmen Datenverschlüsselung einfach in gängige Anwendungen integrieren und unternehmensweit mit virtuellen Maschinen und Cloud-Anwendungen verknüpfen. (fm)
[Hinweis auf Bildergalerie: Das Einmaleins der IT-Security] gal3
Links im Artikel:
1 https://www.bitkom.org/Presse/Presseinformation/Unternehmen-muessen-bei-IT-Sicherheit-nachbessern.html2 https://www.computerwoche.de/a/festplatten-sicher-loeschen,2486506
3 https://www.computerwoche.de/a/datentraeger-fails-gescheiterte-speichermedien,3222579
4 http://whitepaper.computerwoche.de/whitepaper/leitfaden-fuer-ein-besseres-verstaendnis-von-key-management-im-unternehmen
5 https://www.thales-esecurity.com/company/press/news/2016/february/2016-thales-encryption-study
6 https://www.computerwoche.de/a/so-schuetzen-sie-ihre-daten,2369354
7 https://www.computerwoche.de/a/11-tipps-fuer-effizientes-speichern,2493114
8 https://www.computerwoche.de/a/der-neue-eu-datenschutz-ab-2018-alles-wichtige,3226704
9 https://www.computerwoche.de/a/antivirus-ist-tot-die-security-trends-2016,3220280
10 https://www.computerwoche.de/a/die-groessten-cyberangriffe-auf-unternehmen,3214326
11 https://www.computerwoche.de/a/tls-ssl-fragen-und-antworten,3062972
12 https://www.computerwoche.de/a/connected-cars-und-die-datensicherheit,3211300
13 https://www.computerwoche.de/a/bye-bye-apps-hallo-algorithmen,3216851
14 https://www.computerwoche.de/a/woran-sie-merken-dass-sie-gehackt-wurden,2553914
Bildergalerien im Artikel:
gal1 Diese Tools helfen bei der Datenrettunggal2 IT-Sicherheit: Menschliche Datenschutz-Fails
Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.
Foto: ChameleonsEye - shutterstock.com
Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).
Foto: TV5 Monde
USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.
Foto: Susan Montgomery - shutterstock.com
Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".
Foto: Nickolay Stanev - shutterstock.com
Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Foto: Ilya Krizanovskii - shutterstock.com
Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter
Foto: Potapova - shutterstock.com
Dokumentation
Vollständige und regelmäßige Dokumentation der IT
Foto: Freer - shutterstock.com
Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:
Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
Foto: wk1003mike - shutterstock.com
Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren.
Foto: Brian A Jackson - shutterstock.com
E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Foto: ra2studio - shutterstock.com
Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Foto: lolloj - shutterstock.com
Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis.
Foto: karen roach - shutterstock.com
Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Foto: Rawpixel.com - shutterstock.com
Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.
Foto: Pressmaster - shutterstock.com
Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Foto: jesadaphorn - shutterstock.com
Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Foto: Andrea Danti - shutterstock.com
Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen.
Foto: Studio10Artur - shutterstock.com
Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Foto: turlakova - shutterstock.com
Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:
Definition und Kommunikation von Sicherheitsrichtlinien
Foto: Vasin Lee - shutterstock.com
Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten
Foto: nasirkhan - shutterstock.com
Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates
Foto: Rawpixel.com - shutterstock.com
Logfiles
Kontrolle der Logfiles
Foto: turgaygundogdu - shutterstock.com
Datensicherung
Auslagerung der Datensicherung
Foto: www.BillionPhotos.com - shutterstock.com
Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Foto: Kopytin Georgy - shutterstock.com
Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
Foto: Maria Maarbes - shutterstock.com
WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:
Dokumentation der WLAN-Nutzung, auch durch Gäste
Foto: Thomas Reichhart - shutterstock.com
Firewalls
Absicherung der Internetverbindung durch Firewalls
Foto: Goritza - shutterstock.com
Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie
Foto: Patrick Foto - shutterstock.com
Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation
Foto: Dmitry Kalinovsky - shutterstock.com
Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Foto: Blue Island - shutterstock.com
Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe
Foto: Anteromite - shutterstock.com
Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Foto: Piotr Zajda - shutterstock.com
Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme
Foto: Lightspring - shutterstock.com
Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Foto: voyager624 - shutterstock.com
Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Foto: Andrey Popov - shutterstock.com
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.