Verschlüsselung von Cloud-Daten
Unternehmensdateien sicher speichern
Fortsetzung des Artikels von Teil 4
Expertenkommentar: Den Cyber-Dieben die Tür geöffnet
Kryptografische Schlüssel und digitale Zertifikate bilden das Fundament des Vertrauens, aber die traurige Realität ist, dass wir die Kontrolle verloren haben. Schlüssel und Zertifikate stellen ein nicht quantifiziertes Sicherheitsrisiko, einen betrieblichen Alptraum und drohende Audit- und Compliancefehler für fast jeden Betrieb und jede Regierung dar. Und das Problem wird immer größer und komplizierter: Nach einer Reihe von Angriffen im Laufe der letzten zwei Jahre stellten Kriminelle im Dezember unbefugt, aber völlig legitim, Zertifikate für alles, was von Google bereitgestellt wird, aus, indem sie den Betrieb einer türkischen Zertifizierungsstelle (CA) kompromittierten. In den USA und Europa wurden CAs auf ähnliche Art kompromittiert. Wüssten Sie, ob Sie Zertifikate von einer CA haben, die nicht mehr vertrauenswürdig ist? Wie würden Sie diese in den schrecklichen Stunden, nachdem Sie herausgefunden haben, dass Sie Ihrer eigenen Infrastruktur nicht mehr trauen können, ersetzen? Die holländische Regierung und tausende von Unternehmen haben nach dem Angriff von „DigiNotar“ im Jahr 2011 genau dieses Szenario durchlebt. Aber dafür kann man nicht nur die Kriminellen verantwortlich machen. Die Organisationen selbst waren völlig unvorbereitet – sie wussten nicht, wie viele Schlüssel und Zertifikate sie hatten, wer diese managt und wie sie verwendet werden und was in einem Notfall oder im Fall einer Gefährdung zu tun ist. Tatsächlich haben die Organisationen den Cyber-Dieben die Tür weit geöffnet.
Als Konsequenz dieser und anderer Angriffe hat das NIST („US National Institute of Standards and Technology“) eine Richtlinie herausgegeben, die empfiehlt, dass alle Organisationen einen Katalog aller verwendeter Zertifikate entwickeln und darauf vorbereitet sein sollten, auf die fast sichere Zwangsläufigkeit reagieren zu müssen, dass in Zukunft eine oder mehrere CAs kompromittiert werden.
Bei der Aufgabe, Ihrer Organisation wieder die Kontrolle über Schlüssel und Zertifikate zurückzugeben, dreht sich nicht alles nur um Technologie. Systemadministratoren und andere Mitarbeiter sind mit dem Management von Systemen beschäftigt, die auf Schlüsseln und Zertifikaten zur Datensicherheit und Systemauthentifizierung beruhen. Und ohne vernünftige Richtlinien ist es nicht möglich, Ordnung in die Technologie und die am Schlüssel- und Zertifikatmanagement beteiligten Personen zu bringen. Sobald Technologie, Personen und Richtlinien festgelegt sind, kann eine Organisation zur Automatisierung von Schlüssel- und Zertifikatmanagement übergehen – und schließlich wieder die Kontrolle über die kritischen Elemente Vertrauen, Datenschutz und Kontinuität übernehmen.
- Unternehmensdateien sicher speichern
- Die unterschiedlichen Methoden
- Der Verschlüsselungsvorgang im Detail
- Worauf bei der Anbieterwahl zu achten ist
- Expertenkommentar: Den Cyber-Dieben die Tür geöffnet
- Gegendarstellung von Team-Drive bzgl. der im Beitrag genannten Studie des Fraunhofer Instituts
Lesen Sie mehr zum Thema
