Frank Herold, Manager Presales and Consulting, Quantum
Nur in wenigen Unternehmen sind elektronische Daten wirklich sicher. Storage-Security steckt hierzulande noch in den Kinderschuhen, sowohl bei IT-Entscheidern wie auch bei Herstellern.
Wir sprachen mit Frank Herold, Manager Presales and Consulting bei Quantum, über den Markt für Storage-Security.
Das Thema Sicherheit an sich geniest bei IT-Managern einen hohen Stellenwert. Trifft dies auch auf Storage-Security zu? Sind Anwender und Unternehmen ausreichend für das Thema Verschlüsselung sensibilisiert?
Anzeige
Herold: Das Thema Storage-Security mit all seinen Facetten – Datensicherung, Zugriffsschutz, Ausfallsicherung, Disaster-Recovery – steht bei IT-Managern schon relativ weit oben. Allerdings ist die Gesetzeslage hierzu nicht eindeutig, so dass es keine bundesweit einheitlichen Regelungen gibt. Es gibt zwar überall firmeninterne Vorschriften zur Absicherung von Storage, diese beschränken sich aber in den meisten Fällen nur auf den physikalischen und administrativen Zugriff und nicht auf den Datenzugriff selbst. Einige eklatante Fälle des direkten Datenzugriffs aus der jüngsten Vergangenheit – genannt seien hier beispielsweise die Citigroup oder die Hopkins Universität – zeigen in aller Deutlichkeit, dass hier ein immenser Nachholbedarf bei der praktischen Umsetzung herrscht. Vor allem auch beim Mittelstand ist der Komplex der Datensicherheit noch nicht in dem Maße angekommen, wie es die Dringlichkeit erfordert.
Wo sehen Sie derzeit die größten Schwachstellen?
Herold: Die größten Schwachstellen bei Storage-Security liegen im Bereich Data-Access. Eine vornehmliche Herausforderung, die es im Bereich Datenzugriff zu bewältigen gilt, ist, dass Backup-Daten immer noch nicht gut genug gesichert sind, insbesondere bei der Auslagerung. Encryption ist zwar sicher, aber vielen Unternehmen anscheinend zu komplex oder zu teuer, und Software-Encryption ist oft noch recht langsam. Doch tatsächlich gibt es einige sehr gute Encryption-Lösungen, die einen schnellen und sicheren Datenzugriff gewährleisten.
Welche Kriterien und Anforderungen sollten Ihrer Ansicht nach eine Storage-Security-Strategie umfassen. Worauf sollten Unternehmen achten?
Herold: Eine umfassende Storage-Security-Strategie umfasst die drei Bereiche der Zugangskontrolle: Data-Access, also den Datenzugriff selbst, administrativen Zugriff und physikalischen Zugriff. Zunächst mal gilt es die Daten mittels Encryption vor unbefugtem Zugriff zu schützen. Das sollte immer das Kernstück einer jeden Speichersicherheits-Strategie sein. Dann gilt es den gesamten Bereich des administrativen Zugriffs zu beachten:
• Welcher Anwender darf auf welche Daten zugreifen?
• Wie gestalte ich Authentifizierungs- und Authorisierungsprozesse?
• Welchem User teile ich welche Rolle und welche Zugriffsprivilegien zu?
• Wie setze ich mein Key-Management auf?
Als dritter Sicherheits-Aspekt manifestiert sich der physikalische Zugriff. Darunter fallen Punkte wie die Verschließbarkeit von Laufwerken und Librarys sowie die Dokumentation physikalischer Security-Best-Practices. Wenn Unternehmen diese drei Sicherheitsbereiche beachten, sind sie gut gerüstet.
Welche Bedeutung messen Sie dem Thema Backup-Verschlüsselung zu? Worauf sollten Unternehmen hier besonders achten?
Herold: Backup-Verschlüsselung gehört zu einer umfassenden Storage-Security-Strategie dazu und ist heute quasi Standard bei den meisten Anbietern von Speicherlösungen. Unternehmen sollten darauf achten, dass die Verschlüsselung automatisch nach weit reichenden Einstellungen erfolgt, so dass der administrative Aufwand so gering wie möglich gehalten werden kann. Das notwendige Key-Management sollte ebenfalls automatisiert sein.
Da viele Unternehmen zunehmend über Disaster-Recovery-Prozeduren nachdenken, ist die Auslagerung von Datenträgern (Transport von Medien), aber auch von Daten (Replikation) nicht mehr nur ein Thema im Enterprise-Bereich. Viele Unternehmen haben leider bislang in ihren Umsetzungsstrategien das Thema Verschlüsselung stiefmütterlich behandelt. Hier ist seitens der Industrie Aufklärungsbedarf nötig.
Wie werden die Schlüssel am sinnvollsten verwaltet: unabhängige Verwaltung, Integration in bestehende Datenbankstruktur oder Authentifizierungslösung? Wo sehen Sie hier jeweils die Vor- und Nachteile?
Herold: Bei jeder Form der Schlüsselverwaltung gibt es Vor- und Nachteile, die aber zu den jeweiligen Anforderungen passen müssen. So kann ein Nachteil bei Kunde A durchaus keine Rolle bei Kunde B spielen. Bei der Gesamtüberlegung muss man aber auf jeden Fall in aller Deutlichkeit darauf hinweisen, dass die Verfügbarkeit der Schlüssel den Zugang zu den Daten gewährleistet. Geht dieser verloren, sind die Daten auf verschlüsselten Datenträgern wertlos. Hier ist bei der Konzeption von vornherein auf entsprechende Redundanzen der Schlüsselhaltung zu achten.
Wie schätzen Sie den Markt für Verschlüsselungstechnik jetzt und in Zukunft ein? Wie groß ist die Nachfrage nach Produkten bzw. Datenträgern mit Verschlüsselung? Wo legt Ihr Unternehmen den Schwerpunkt im Bereich Storage-Security?
Herold: Der Bedarf an Verschlüsselungstechnologien ist bereits jetzt recht hoch. Da viele Unternehmen sich aber erst nach und nach dieses Themas annehmen, wird dieser Markt in Zukunft noch weiter wachsen. Wir sehen eine zunehmende Nachfrage nach unseren Verschlüsselungs-Lösungen und bieten in unseren aktuellen »Scalar«-Library-Produkten bereits Verschlüsselungstechnologien an. Für unsere diskbasierten »DXi«-Systeme steht im Bereich der Replikation Verschlüsselung zur Verfügung.
