Wie sicher sind Daten wirklich?. Die intern gespeicherten Daten sind oft nur unzureichend gegen ­Missbrauch geschützt, obwohl die Unternehmen und Geschäftsführer ­dafür haften. Abhilfe schafft Verschlüsselung.

Wie sicher sind Daten wirklich?

Werden sensible Daten aus den Speicherzentren beispielsweise von Banken oder Versicherungen gestohlen oder vernichtet, gehen die Schäden schnell in die Millionen. Dazu kommt der Imageverlust. Beispiele für solche Vorfälle gibt es reichlich: So wurden 2003 acht Millionen weltweite Kreditkartendaten bei Visa, Amex und Mastercard von Hackern gestohlen, und im Juni 2004 verkaufte ein AOL-Software Engineer 92 Millionen Namen für rund 100000 US-Dollar an Spammer.
Auch unternehmensintern können unberechtigte Datenzugriffe drastische Folgen haben. Vielen ist nicht bewusst, dass die Geschäftsleitung genau so wie die IT-Leitung persönlich dafür in Haftung genommen werden kann. Daher muss die Datensicherheit ein persönliches Interesse aller Mitarbeiter sein, die entweder für die IT oder das gesamte Unternehmen verantwortlich zeichnen.
Denn der wirtschaftliche Erfolg von Unternehmen beruht heute nicht nur auf den Produkten oder Dienstleistungen, sondern viel mehr auf dem Know-how über Kundendaten, Kalkulationen, Bestandsverzeichnisse, Vertriebsberichte etc. Diese Informationen werden Speicherlösungen vorgehalten, jedoch nur sehr selten mit der gleichen Sorgfalt wie materielle Güter geschützt.
Oftmals unterschätzt ist die Tatsache, dass Vorstände oder Geschäftsführer von GmbHs auch bei der IT- und Speichersicherheit für die notwendigen Vorkehrungen Sorge tragen müssen. Im Falle der Verletzung ihrer Pflichten sind sie gegenüber der Gesellschaft persönlich als Gesamtschuldner zum Schadensersatz verpflichtet.

Geschäftsführer tragen die Beweislast
Dies wird noch dadurch verschärft, dass die Vorstandsmitglieder im Zweifelsfall beweisen müssen, dass sie die notwendige Sorgfalt angewandt haben. Soweit streitig ist, ob sie die Sorgfalt eines gewissenhaften Geschäftsführers haben walten lassen, trifft sie die Beweislast. Sie müssen in einem Schadensersatzprozess den Nachweis erbringen, dass sie alle Maßnahmen ergriffen haben, um entsprechende Schäden zu vermeiden.
Daten, die gerade genutzt oder im Netzwerk versendet werden (»Data in flight«), lassen sich heute sehr gut vor Bedrohungen von außen schützen. »Data in flight«, wie beispielsweise Kontendaten, Buchungsdaten, E-Mails oder auch hochsensible Mitarbeiterdaten, können wirksam durch Netzmechanismen wie VPN oder SSL geschützt werden. In diesem Bereich sind viele Unternehmen gut gerüstet.
Völlig konträr stellt sich die Situation mit »Data at rest« dar. Dies sind Daten, die auf SAN- oder NAS-Systemen beziehungsweise Bandspeichergeräten liegen. Nur wenige Unternehmen haben sie hinreichend gegen mutwilligen oder versehentlichen Missbrauch von innen geschützt.
Dabei belegen Umfragen und Erfahrungen des Bundeskriminalamts, dass die meisten Angriffe, Diebstähle oder Datenvernichtungen durch Mitarbeiter oder Dienstleister mit uneingeschränktem Datenzugriff erfolgen. Man benötigt nur wenige Kenntnisse, um Kunden- oder Unternehmensdaten zu lesen, wenn diese im Klartext und nicht verschlüsselt auf den Speicherlösungen abgelegt sind. Ist der Zugriff möglich, können Unbefugte leicht Daten manipulieren oder an andere weitergeben.

Verschlüsselung bietet Sicherheit
Sicherheitsmechanismen für Speicherumgebungen werden zunehmend benötigt. Während früher die Daten eines Unternehmens kaum für den Missbrauch interessant waren, bieten heutige Datenbestände einen immer größeren Anreiz für kriminelle Handlungen. Um die enorme Sicherheitslücke zu schließen, gibt es eine Auswahl an ­Sicherheitsmechanismen, welche die Daten bereits auf den Speichern vor unberechtigten Zugriffen schützen. Die gängigsten Sicherheitssysteme greifen auf das Prinzip der Datenverschlüsselung zurück. Sensible und verschlüs­selte Dateien sind für Unbefugte ohne den entsprechenden Entschlüsselungscode nicht lesbar. Genutzt wird diese Technologie schon seit einigen Jahren in militärischen Bereichen. Aber auch in der Industrie kommen diese Verschlüsselungstechnologien zunehmend zum Einsatz. Banken und Versicherungen, medizinische Einrichtungen, Au­tomobilkonzerne oder Dienstleistungsunternehmen gehören zu den weltweiten und europäischen Vorreitern.
Viele Unternehmen werden sich daher in naher Zukunft mit dem Thema Datenverschlüsselung und Authentifizierung intensiver als bisher beschäftigen müssen. Durch immer häufigere Datenmanipulationen oder Industriespionage in den Unternehmen oder neue gesetzliche Vorgaben werden zunehmend Verschlüsselungstechnologien zum Einsatz kommen. Laut Gartner werden bis 2007 sogar 80 Prozent aller Fortune-1000-Unternehmen ihre Daten verschlüsseln.
Verschlüsselungs- und Authentifizierungssysteme werden von wenigen spezialisierten Unternehmen angeboten. Die größere Auswahl besteht heute bei den Software-Lösungen, die grundsätzlich eine gute Sicherheit für die Daten bieten. Da sie jedoch auf den existierenden Systemen installiert werden müssen, belasten sie automatisch Speicher, Netzwerke und Server mit neuen Aufgaben.
Der Administrations- und Kostenaufwand kann für jeden einzelnen Client sehr hoch werden. In einigen Fällen sind sogar individuelle Anpassungen je nach Betriebssystem oder Anwendungsumgebung notwendig. Software-Lösungen sind komplexe Systeme, bei denen der Bedarf, die Kosten und der Aufwand genau gegen ihren Nutzen abgewogen werden müssen.
Hardware-Lösungen bestehen aus integrierten Appliances, die alle Arbeitsschritte erledigen und dabei keine weiteren Ressourcen belasten. Intelligente Appliances übernehmen autark die gesamte Datenverschlüsselung, Authentifizierung, das Key-Management und die Protokollierung.
Ein wichtiger Vorteil der Hardware-Variante ist die relativ einfache Integration in existierende Systeme. Appliances werden direkt in das SAN oder NAS eingebunden und erfordern keine Anpassungen der Server oder Applikationen.
Ein Beispiel hierfür sind die Hardware-Lösungen und Appliances von Decru. Die Datafort Storage Security Appliances sind für den Einsatz in DAS-, SAN-, NAS-, iSCSI- und Tape-Umgebungen konzipiert und in vielen internationalen Unternehmen sowie in Verwaltungen und militärischen Einrichtungen erfolgreich im Einsatz.

Verschlüsselung und ­Authentifizierung
Bei der Verschlüsselung von Daten werden bei den meisten Lösungen gängige und sichere Verschlüsselungsmechanismen genutzt. Für die Datenverschlüsselung besonders geeignet ist der AES (Advanced Encryption Standard) 256. Kein Hacker hat es bisher geschafft, dieses Verfahren zu decodieren. Fachleute sind zuversichtlich, dass das auch noch eine Weile so bleiben wird, obwohl bisher noch kein Verschlüsselungsstandard auf ewig den Angriffen der Hacker widerstehen konnte.
Die Sicherheit einer Datenverschlüsselung hängt insbesondere von der Sicherheit der Zugriffscodes beziehungsweise Authentifizierungsschlüssel ab. Für jeden berechtigten Zugriff auf die Daten muss ein Schlüssel vorliegen, der selbstverständlich nicht frei zugänglich sein darf. Zudem muss eine größere Menge an Schlüsseln so verwaltet werden, dass einzelne Nutzer klar definiert werden können. Dies geschieht zumeist in Datenbanken, welche die Schlüssel und die Zugriffsberechtigungen beinhalten und daher besonders schützenswert sind. Nur mit der sicheren Verwahrung der Schlüssel ist gewährleistet, dass ohne entsprechende Berechtigung die Daten entweder nicht zugänglich sind oder auf Grund der Verschlüsselung nicht gelesen werden können.
Bei Decrus Appliances beispielsweise sind auch die Datenbanken verschlüsselt, in denen die Schlüssel für den Datenzugriff aufbewahrt werden. Die Schlüssel beziehungsweise Berechtigungen können nur durch eine Mehrfachberechtigung per Key-Cards unterschiedlicher Mitarbeiter geändert und administriert werden.
Selbstverständlich existieren auch für die Datensicherheit gängige und international gültige Standards und Sicherheitslevel. Gute Lösungen sollten den Sicherheitsleveln FIPS 140-2 Level 3 oder Common Criteria EAL-4+ entsprechen. Dies sind die höchsten Sicherheitsstufen weltweit und entsprechen den Anforderungen der Gesetzgeber und staatlichen Vorschriften. Selbst der BND, die CIA oder das US-Militär vertrauen ausschließlich diesen Standards.

Jan Nordh, Sales Director Central Europe bei Decru.