Ob bei mobilen Datenträgern, einzelnen sensiblen Unternehmensinterna oder zugriffssicheren Archiven: die Implementierung von Verschlüsselung ist eine Herausforderung. Ein Neun-Punkte-Plan zeigt, was Firmen bei der Einführung bedenken müssen.

von Nicole Ott

Spektakuläre Datenverluste in der IT-Welt in den USA oder Großbritannien sensibilisieren auch hierzulande Unternehmen für das Thema Storage-Security. Keiner möchte nur durch den Verlust eines Notebooks, USB-Sticks oder Magnetbands das Vertrauen seiner Kunden aufs Spiel setzen. Doch noch viel zu häufig liegen Daten auf Speichermedien oder im -netz, die oftmals nicht einmal per Passwort gegen unberechtigte Zugriffe geschützt sind, geschweige denn verschlüsselt. In der Regel müssen derzeit professionelle Datendiebe, die heute den Großteil der Angreifer bzw. Auftraggeber darstellen, nur einschalten (respektive sich zwischen LAN und Disk-Arrays einklinken), um sensible Daten wie Kundeninformationen oder Finanzdaten einzusehen. Die entstehenden Schäden sind nur schwer zu beziffern, dürften aber nicht selten Millionenhöhe erreichen.

Wer nun darüber nachdenkt, in seinem Unternehmen Datenschutz per Verschlüsselung zu implementieren, steht vor einer nicht gerade kleinen Herausforderung: Kosten und Nutzen müssen – wie immer – sorgfältig gegeneinander abgewogen werden. Grundlage dafür ist: Welche Daten sind eigentlich so sensibel, dass sie verschlüsselt gespeichert werden müssen, und wo werden diese gespeichert?

Mit entsprechenden Vorsichtsmaßnahmen zum Datenverlust (Data-Loss-Prevention oder Data-Leakage-Protection) erübrigt sich nämlich oft schon die Verschlüsselung auf der einen oder anderen Ebene. Ein Beispiel: Wenn per Port-Kontrolle das Speichern von Daten auf externen USB-Sticks unterbunden wird, sparen sich IT-Manager bereits eine Verschlüsselungsebene. Wer die Anzahl der Mitarbeiter definiert, die als vertraulich klassifizierte Daten auf mobilen Datenträgern aus dem Unternehmen heraustragen dürfen, hat nicht nur eine bessere Kontrolle über die Daten, sondern behält einen Überblick über die notwendigen Investitionen. Die Anzahl der Lizenzen lässt sich klar festlegen. Im nächsten Schritt gilt es zu überlegen, wo im Unternehmen noch Verschlüsselung als Schutz notwendig ist, beispielsweise auf Fileservern oder im Datensicherungssystem.

Ebenfalls wichtig: Firmen sollten sich für die Einführung von Verschlüsselung einen Partner suchen und mit ihm gemeinsam das Projekt realisieren. Die Redaktion von speicherguide.de skizziert im Folgenden die wichtigsten Schritte zur Implementierung von Verschlüsselung in einem Unternehmen – in Anlehnung an die Checkliste »Encryption of data at rest« der SNIA (Storage Networking Industry Association), die Eric A. Hibbard, Hitachi Data Systems, erstellte.

1. Schritt: Motivation für Verschlüsselung erkennen

Für die richtige Umsetzung einer Verschlüsselungstechnik ist es wichtig, sich die genauen Beweggründe für den Einsatz vor Augen zu führen. Dazu können folgende Punkte zählen: Relevante behördliche Auflagen, die Datenschutz und -sicherheit beeinflussen, beispielsweise Datenschutzauflagen für Kreditkarteninstitute und Bestimmungen der EU. Hinzu kommen gesetzlich relevante Anforderungen wie Vertragsbestimmungen, Geschäftsgeheimnisse, geistiges Eigentum und Ähnliches. Berücksichtigt werden sollten darüber hinaus auch Belange wie öffentliches Image sowie die Vereitelung und Aufdeckung krimineller Aktivitäten.

Ein weiterer Blick sollte den bisherigen Plänen bezüglich der IT-Investitionen gelten. Was sollte in naher Zukunft umgesetzt werden und inwiefern beeinflusst die Implementierung von Verschlüsselung diese Pläne? Analysen der bestehenden IT-Struktur helfen, bestehende Sicherheitsmängel aufzudecken. IT-Manager sollten ermitteln, wo Datenschutz als absolute Notwendigkeit für vertrauliche Maßnahmen fungiert. Und nicht zuletzt: Permanente Kontrolle und Dokumentation des Prozesses spielen eine enorm wichtige Rolle bei der Implementierung.

2. Schritt: Klassifizierung von Daten

Mancherorts ist es sinnvoll, sämtliche Unternehmensdaten zu verschlüsseln, beispielsweise bei Behörden oder im Bankwesen. Wesentlich häufiger besteht die Notwendigkeit jedoch nur für einige Datenbereiche. Hierbei spielen Kostengrenzen, das generelle Datenaufkommen oder auch geopolitische Gründe eine Rolle. In so einem Fall müssen sowohl die Sensibilität der Daten als auch die Wahrscheinlichkeit eines Verlusts berücksichtigt werden.
Diese Reihenfolge von Maßnahmen ist notwendig:

	Kategorisierung von Mission-Critical-Daten, für die Datensicherungsmaßnahmen wichtig sind – z. B. Redundanz, Elastizität, Geschäftsabläufe, Disaster-Recovery, kontinuierliche Datensicherung (CDP), ausgelagerte Replikation.
	Entwicklung von Kategorien für sensible Daten, für die besondere Datenschutzmaßnahmen ergriffen werden sollten – z. B. Geheimhaltung, Zugriffskontrolle, Datenintegrität, Unveränderlichkeit der Daten.
	Festlegung von Prioritäten hinsichtlich der Geheimhaltung unter Berücksichtigung der vorgenannten Klassifizierungen.
	Entwurf von Kategorien vertraulicher Informationen: vertraulich, wettbewerbssensibel, personenbezogene Daten, streng geheim, Finanzgeheimnisse. Ermittlung, welchen Verschlüsselungsmaßnahmen diese unterliegen sollen.

3. Schritt: Bestandsaufnahme der vertraulichen Firmendaten

Wenn die Gründe für die Verschlüsselungsmaßnahmen identifiziert und das Klassifizierungsschema erstellt wurde, ist es an der Zeit, die Daten im wahrsten Sinne des Wortes zu verfolgen. Daten, die in bestimmte Vertraulichkeitskategorien fallen, müssen zusammen mit den Technologien und Medien, auf denen sie liegen, erfasst werden. Folgende Informationen sind dabei entscheidend:

	Applikationen, die zu verschlüsselnde Daten generieren, verarbeiten, verändern und aufbewahren.
	Hosts und Server, die auf diese Daten zugreifen, diese verwenden und speichern, inklusive deren Betriebssysteme.
	Dateninhaber, Administratoren, Interessensgruppen und Abteilungen, die berechtigtes Interesse am Schutz und am Zugriff auf die Daten haben.
	Welche Speichermedien sind für welche Server sichtbar?
	Netzwerke, über die diese Daten transportiert werden.
	Welche Server exportieren eventuell Daten, z.B. via NAS-Schnittstelle?
	An welchen geografischen Standorten befinden sich die Daten?

IT-Manager sollten zudem eine Risiko-Einschätzung bezüglich der sensiblen Daten durchführen. Dabei gilt es, einen besonderen Blick auf eventuelle Datenlecks zu legen. Zudem empfiehlt es sich, die Verschlüsselungsprioritäten der Firma auf diese Ergebnisse abzustimmen.

4. Schritt: Durchführung einer Datenfluss-Analyse

Lediglich das Wissen, wo die Daten liegen, reicht nicht aus, um angemessene Vertraulichkeit zu gewährleisten. Oftmals wandern Daten über diverse temporäre Speicherorte, bevor sie an ihrem endgültigen Platz landen. Zusätzlich müssen diese Daten gespiegelt, repliziert, kopiert und archiviert werden, um allen Ansprüchen an Verfügbarkeit und Sicherheit gerecht zu werden.

Für jede Applikation, die mit den zu verschlüsselnden Daten in Berührung kommt, müssen daher auch die temporären Speicherorte und -zustände (wie Cache-Dateien) und Datensicherungsmaßnahmen (wie Spiegelung) berücksichtigt werden. Gleiches gilt für die entsprechenden Hosts und Server. Mobile Rechner und externe Speichermedien sind hinsichtlich ihrer Notwendigkeit genauestens zu durchleuchten. Ebenso stehen Prozesse wie Backup und Recovery, Continuous-Data-Protection (CDP; Datensicherung und Datensicherheit), Replizierung (synchron und asynchron) auf dem Prüfstand.

5. Schritt: Festlegen von adäquaten Verschlüsselungsebenen

Wenn jetzt bereits eine Entscheidung fällt, dass und wo Verschlüsselung eingesetzt werden soll, müssen die Verantwortlichen als nächstes die Ebenen bestimmen, wo sie ansetzt. Dies ist wichtig, weil diese die Punkte in der IT-Infrastruktur bestimmen, in denen sich die Daten dechiffrieren und somit nutzbar machen lassen. Die folgenden Bereiche markieren die geläufigsten Points-of-Encryption:

	Applikationen: spezielle Anwendungen oder Datenbanken, maximaler Einblick in die Daten (Typen, Anwender, Sensibilität).
	Verzeichnissystem: unter Kontrolle des Betriebssystems bzw. von Anwendungen auf Betriebssystemebene, Kontrolle auf Verzeichnisebene mit Einblick in die Benutzer.
	Netzwerk: unter Kontrolle des netzwerkbasierten Systems
	Geräte: unter Kontrolle des Endgeräts, auf Ebene des logischen Laufwerks mit limitiertem Einblick in die Benutzergruppe.

Darüber hinaus sollte die Zugriffskontrolle (z.B. spezieller Anwender, Arbeitsgruppen, Gruppe von Anwendern) unter Berücksichtigung der Verschlüsselung in Verbindung mit der Vertraulichkeitskategorie geregelt werden. Ebenso ist die Granularität zu ermitteln, die für die Verschlüsselung notwendig ist (z.B. Felder in einer Datenbank, Dateien oder Verzeichnisse, logische Einheiten, Medien). Des Weiteren spielt die Bedeutung des Schutzes von Daten in Bewegung (in-flight) und von Band-Verschlüsselungsmaßnahmen (inkl. der Verwendung von Komprimierung) eine Rolle. An diesem Punkt sind auch Risiken zu prüfen, die durch Verschlüsselungslösungen gemindert werden können. Zum Schluss folgt das Festlegen der bevorzugten Points-of-Encryption (technikneutral) für jede vertrauliche Kategorie.

6. Schritt: Entwurf der Verschlüsselungstechnik

Der Entwurf einer Verschlüsselungslösung bezieht jede Hard- und Software-Architektur, alle Komponenten, Module, Schnittstellen und Daten für jedes Computersystem ein. Er verlangt aber auch nach besonderer Aufmerksamkeit für Compliance, Exportkontrolle und Industriestandards (z.B. Kreditkartenindustrie).

Wichtig sind der Entwurf und die Dokumentation einer kompletten Strategie sowie der Architektur und der Rahmenbedingungen der Verschlüsselung im Unternehmen. Im Laufe des Prozesses ist auch die Frage zu klären, wie das langfristige Key-Management implementiert werden soll (zentralisiert versus dezentralisiert, Schlüssel-Im/Export, Schlüssel-Archivierung, Hinterlegen von Schlüsseln bei einer speziellen Organisation, Schlüssel-Integrität, Schlüssel-Wiederherstellung). Ferner gilt es zu überlegen, wie sich die Verschlüsselung in den Geschäftsablauf und das Disaster-Recovery eines Unternehmens integrieren lässt. Hier sollten IT-Manager diverse Szenarien entwerfen und hinterlegen. Auch kann es – abhängig von der Branche – notwendig sein, dass Nachweise der Verschlüsselungsmaßnahmen erbracht werden müssen (Stichwort Compliance). Im nächsten Schritt lässt sich dann die Art der Chiffrier/Dechiffrieralgorithmen wählen (z.B. altbekannte, weit verbreitete Algorithmen vs. Bankindustrie-Standards).

Ein weiterer wichtiger Punkt ist auch die Frage der Auswirkungen auf Performance und Durchsatzraten. Dafür sind Toleranzen festzulegen. Weitere Maßnahmen betreffen die Möglichkeit zur Datenwiederherstellung (Entschlüsselung), die Dokumentation der speziellen Verschlüsselungsanforderungen der Firmendaten, die Validierung der Verschlüsselungsanforderungen durch Interessensgruppen und Abteilungen im Unternehmen.

Im Anschluss werden Hard- und Software-Architektur, Komponenten, Module und Schnittstellen bestimmt, die notwendig sind, um die Vertraulichkeit der Unternehmensdaten zu gewährleisten. Jetzt sind auch die voraussichtlichen Kosten für die Implementierung und die Folgekosten zu schätzen und mit Hilfe der Interessengruppen und Abteilungen zu validieren.

7. Schritt: Neuordnung der Daten

In manchen Fällen umfasst das Design der Verschlüsselungsmaßnahmen einige Anforderungen an die Storage-Infrastruktur und die Speicherorte der entsprechenden Daten. Zusätzlich könnten Kostengrenzen die komplette Umsetzung des Designs einschränken. Eventuell sind Daten zu migrieren oder neu zu ordnen, um alle Vorteile der angestrebten Verschlüsselung zu nutzen. Wenn zu diesem Zeitpunkt nicht bereits geschehen, sollten jetzt die Dateiorte und/oder eventuelle Verlagerungen identifiziert und dokumentiert werden. Auch Ausnahmen, beispielsweise das Altsystem betreffend, zählen dazu. Die akzeptablen Abstriche hinsichtlich der Performance und Durchsatzraten sollten sich IT-Manager ebenso klar vor Augen führen wie ein unter Umständen gesteigertes Risiko für die Datensicherheit (Verfügbarkeit, erhöhte Angriffsfläche).

Es gilt abzuwägen, ob eine Neuordnung der Daten mit einer eventuell notwendigen Änderung an der Storage-Infrastruktur die Fähigkeit, ruhende Daten zu verschlüsseln, verbessert oder ob der Aufwand der Neuordnung unter Umständen die Vorteile zunichte macht.

8. Schritt: Umsetzung der Verschlüsselungslösung

Die Implementierung der Verschlüsselungslösung ist der Moment, auf den es ankommt. Die notwendigen Komponenten sind eingekauft und entwickelt, alle Tests durchgeführt, die Systeme eingesetzt und die Lösung zertifiziert. Als nächstes steht die Entscheidung an, wie die Umsetzung erfolgen soll, schrittweise, mit Hilfe ausgelagerter Ressourcen.

Es ist sicherzustellen, dass Key-Management, -Synchronisierung und -Archivierung vollständig ausgearbeitet sind und richtig funktionieren. Zu integrieren ist die Verschlüsselungstechnik mit bestehender Protokollierung (Proof of Encryption), den Authentifizierungen, Verzeichnisdiensten (Autorisierung und Zugriffskontrolle) sowie der Netzwerk-Struktur. IT-Manager vervollständigen die letzten Funktionstests, indem sie die Verschlüsselungsmöglichkeiten zeitweise aktivieren, und einen Wiederholungsplan entwickeln (inklusive der Prozeduren für verlorene Hardware).

9. Schritt: Verschlüsselung aktivieren

Bei der Inbetriebnahme der Verschlüsselung sollte auch die Einwilligung der Geschäftsleitung zu allen Maßnahmen vorliegen. Sofern notwendig, führt der IT-Manager die Neuordnung von Daten durch, die bisher nicht vorgenommen werden konnte. Dann werden die möglichen Verschlüsselungsfähigkeiten eingeschaltet; in der Regel betrifft dies die Aktivierung der Verschlüsselung von bestehenden Daten im Hintergrund. Sollten sich jetzt noch weitere Neuordnungen offenbaren, führt die IT-Mannschaft diese abschließend durch.