Online-Artikel 20060506o Cybertrust Verschlüsselung

 Home | News | Hefte | Mediadaten | Online-Artikel | Kommentare | Trends | Wir-ueber-uns | Tipps | Impressum | CeBIT 2012

 

Home
News
Trends
Hefte
Online-Artikel
Kommentare
Service-Angebote
Feedback
Abonnement
Wir-ueber-uns
Tipps
Impressum
Veranstaltungen

»manage it« als

 E-Paper  5-6 2011
E-Paper  3-4 2011
E-Paper  1-2 2011
E-Paper  11-12 2010
 E-Paper  9-10 2010
 E-Paper  7-8 2010
 E-Paper  5-6 2010
 

 

 

 

 

 

 

 

 

Verschlüsselung

Kein Buch mit sieben Siegeln für CIOs

Viele Unternehmen gehen davon aus, dass auf Laptops, Desktop-Rechnern und Bändern gespeicherte Informationen in verschlüsselter Form vollständig sicher sind. Während jedoch die Verschlüsselung tatsächlich einen gewissen Schutz bietet, sollte sie nur einen Teil eines umfassenderen Sicherheitskonzeptes darstellen, mit dem das Risiko des Datendiebstahls ausgeschlossen werden kann. 

 

I

m vergangenen Jahr gelangten einige prominente Fälle von umfangreichen Datendiebstählen in die Schlagzeilen. Die betroffenen Unternehmen wurden zum Teil Opfer von Hacker-Attacken oder kriminellen Machenschaften von Insidern, während in anderen Fällen einfach Datenbänder verloren gingen, Laptops gestohlen wurden oder Datenbestände durch Bedienfehler zugänglich wurden. Gerade im Hinblick auf Bedienfehler neigen die CIOs in den Unternehmen häufig zu der Annahme, dass dies bei ihnen kein Problem ist, da die Daten ja verschlüsselt werden. Aber ist das wirklich ausreichend?

Warum Verschlüsselung?

Die heutigen Organisationen haben zunehmend dezentrale und mobilitätsorientierte Strukturen, und die ständige Verfügbarkeit geschützter Informationen spielt eine wichtige Rille für einen unterbrechungsfreien Geschäftsbetrieb. Dennoch muss immer mit menschlichem Versagen gerechnet werden – sei es, dass jemand seinen Laptop am Flughafen liegen lässt oder dass ein Paket mit Sicherungsdatenbändern seinen Bestimmungsort nicht erreicht. As CIO kann man solche Vorkommnisse nicht ausschließen, wohl aber dafür sorgen, das die Daten durch geeignete Maßnahmen geschützt sind. Jemand, der einen Laptop entwendet, weiß vielleicht, wie man diesen einschaltet, aber mit einiger Sicherheit nicht, wie man auf die hierauf gespeicherten verschlüsselten Informationen zugreift. Verschlüsselte Daten werden so »verwürfelt«, dass sie nur gelesen werden können, wenn man über die entsprechende Entschlüsselungseinrichtung (typischerweise eine spezielle Software auf einem Computer) und den zugehörigen Schlüssel verfügt. Ohne den richtigen Schlüssel ist es auch in jahrelangen Versuchen unter Einsatz massiver Computertechnik nicht möglich, die Informationen zu entschlüsseln und zu lesen.

Einsatzbereiche kryptografischer Verfahren

Kryptografische Verfahren gewährleisten die Sicherheit von Datenübertragungen oder Dateien, die Authentifizierung von Benutzern oder Verfassern von Dokumenten, die Korrektheit von Daten und die so genannte »Non-repudiation« (Absicherung gegen Übertragungsvorgänge oder Daten mit unsicherem Ursprung). Sie werden heute bereits in vielen Bereichen eingesetzt, z. B. bei VPN-Clients und VPN-Servern für die sichere Remote-Anbindung von Telearbeitern und mobilen Mitarbeitern.

Bei einer allgemeinen Betrachtung dieser Problematik unterscheiden die meisten CIOs zwischen »ortsfesten« und »beweglichen« Daten. Aus Sicherheitsgründen erscheint es angebracht, beide Arten von Daten abzusichern – Daten auf einem Server, in einem Archiv oder auf einem Datensicherungsträger ebenso wie Daten, die in einem Netzwerk übertragen werden. VPNs werden heute schon in großem Umfang genutzt, so dass man sich weitgehend darauf konzentrieren kann, sicherheitskritische portable Rechner abzusichern.

Auf einem portablen Rechner liegen beide Fälle vor: Die Daten sind ortsfest (lokal) gespeichert, und sie sind gleichzeitig beweglich, da der ganze Rechner problemlos transportiert werden kann. Wenn ein portabler Rechner verloren geht oder entwendet wird, kann man nur hoffen, dass es der Dieb »nur« auf die Hardware und Software und nicht auf die Daten abgesehen hat. Die meisten Unternehmen verkraften den Verlust des Rechners selbst besser als den Verlust von Geschäftsgeheimnissen, geschäftlichen Interna und anderen vertraulichen Informationen. Ein Verlust kann schwerwiegende Auswirkungen haben und kommt relativ häufig vor, wie Internet-Recherchen unter dem Stichwort »verlorener Laptop« zeigen. Andererseits ist es mit relativ geringem Aufwand möglich, vertrauliche Daten auf portablen Rechnern zu verschlüsseln. Sowohl Microsoft Windows XP/Professional und Mac OS X unterstützen die Verschlüsselung aller Dateien im Benutzerbereich. Ohne das Login-Passwort kann niemand auf die Benutzerdaten auf dem betreffenden Rechner zugreifen.

Weitere wichtige Überlegungen

Da die Benutzer ab und zu selbst auf ihre sicherheitskritischen Daten zugreifen müssen, sind alle verschlüsselten Daten zeitweise unverschlüsselt. Dies kann einzelne Dateien oder eine ganze Festplatte betreffen. Dies ist eine Schwachstelle, an der andere Kontrollmaßnahmen und ‑praktiken ansetzen müssen.

Um sicherzustellen, dass Investitionen in Verschlüsselungsverfahren sinnvoll angelegt sind, muss ein Unternehmen auf synergistische Kontrollen – d. h. eine Kombination verschiedener Maßnahmen, Mechanismen und Methoden – setzen, ergänzt durch Verschlüsselungsverfahren (wo diese sinnvoll sind). An sich wirksame Verschlüsselungsverfahren mit ungeeigneten Passwörtern können unberechtigte Zugriffe lediglich verzögern, aber nicht verhindern.

Natürlich bietet die Verschlüsselung einen wirksamen Schutz. Die CIOs müssen sich lediglich darüber im Klaren sein, dass dies nicht die einzige Sicherheitsmaßnahme sein kann. Bei der Betrachtung der Sicherheitsstrategie eines Unternehmens ist immer zu berücksichtigen, welchen Stellenwert die Verschlüsselung einnimmt und welcher Schutz in Verbindung mit anderen Sicherheitslösungen und –maßnahmen realisiert werden kann. Ohne eine solche ganzheitliche Betrachtung ist auch die Verschlüsselung nur eine Maßnahme, die für sich gesehen richtig erscheint, aber wenig Wirkung zeigt.

Peter Tippett

___________________________________________________________

Peter Tippett, CTO, Cybertrust

 

Datenverschlüsselung – Mythos und Wahrheit

 

Falsch: Verschlüsselungsprogramme sind kompliziert in der Anwendung.

Wahr: Kompliziert ist an Verschlüsselungsprogrammen nur, sie zu programmieren. Moderne Verschlüsselungsprogramme sind effektiv, kosten oft nicht viel und lassen sich einfach anwenden.

 Falsch: Verschlüsselung ist teuer

Wahr: Es gibt sogar Verschlüsselungsprodukte, die für den Endanwender völlig kostenlos sind (z.B. mit SSL verschlüsselte Webseiten). Unternehmen müssen normalerweise für den Erwerb, die Erzeugung, den Schutz und die Verwaltung von Server-Zertifikaten zahlen. Wie bei anderen Schutzmaßnahmen auch fallen außerdem Kosten für die notwendige Planung und Einführung von Verschlüsselungsverfahren an, u. a. für Benutzerschulung, Support und Systempflege.

Falsch: Verschlüsselungsmaßnahmen müssen im gesamten Unternehmen eingesetzt werden.

Wahr: Verschlüsselungslösungen sollten dort eingesetzt werden, wo dies aufgrund einer Risikoanalyse erforderlich und sinnvoll ist.

Falsch: Ein flächendeckender Einsatz von Verschlüsselungsverfahren macht Firewalls (oder Virenschutzprogramme, usw.) überflüssig.

Wahr: Verschlüsselungslösungen lassen sich als Bestandteil einer Gesamtstrategie zur Risikominimierung im Unternehmen sinnvoll einsetzen. Sie sind jedoch kein universelles Abwehrmittel, sondern spielen eine wichtige Rolle in Verbindung mit anderen wirksamen Maßnahmen zum Schutz von Computern und Netzwerken.

 

Folgen Sie »manage it«

auf Google+

 

 

 

 

 
Copyright © 2003-2012  ap Verlag GmbH