Thales-Studie belegt Risiken unverschlüsselter Bandsicherungen
Backup-Bänder lassen sich oft leicht ausspähen
Thales, ein Unternehmen für Informations- und Kommunikationssicherheit, hat basierend auf einer Studie festgestellt, dass trotz der Aufsehen erregenden Fälle verlorener und unverschlüsselter Backup-Bänder über ein Drittel der Unternehmen weltweit nicht weiß, ob sie ihre Bandsicherungen verschlüsseln sollen - und die Hälfte weiß nicht, wie und wo die Schlüssel gespeichert werden sollen. Dies sind nur zwei der alarmierenden Erkenntnisse der Studie "2008 Encryption and Key Management Benchmark", die das Forschungsunternehmen Trust Catalyst im Auftrag von Thales erstellt hat.
–
Sicherheit und Datenschutz wachsen zusammen
–
Datenskandal: Bitkom plädiert für höhere Bußgelder und mehr Ressourcen für Datenschützer
Die Studie zeigt auch, dass die lange Reihe von Schlagzeilen über Datenverluste, verbunden mit dem rechtlichen Druck, mehr und mehr Unternehmen dazu bringt, ihre Daten und Anwendungen zu verschlüsseln.
Webserver und SSL (Secure Socket Layer) stehen an der Spitze mit 94 Prozent Verschlüsselung, gefolgt von Daten- und E-Mail-Verschlüsselung auf Desktop-PCs, einschließlich kompletter Systemverschlüsselung. Die Verschlüsselung von Backup-Bändern stand jedoch nur auf Platz 11 der Liste, noch hinter der Verschlüsselung von USB-Sticks und Wechseldatenträgern.
Dieses Versäumnis stellt eine gravierende Lücke in den Datenschutzstrategien der betroffenen Unternehmen dar. Jüngste Beispiele sind der Diebstahl von 15.000 Patientenakten auf Sicherungsbändern aus der Praxis eines Arztes in Großbritannien; Kundendaten von ungefähr 650.000 Datensätzen von Kunden von J.C. Penny in den USA wurden durch den Verlust eines unverschlüsselten Sicherungsbandes gefährdet.
"Es ist ermutigend zu sehen, dass mehr und mehr Unternehmen ihre sensiblen Daten aktiv schützen, aber die Studie zeigt, dass es noch Raum für Verbesserungen gibt. Die meisten Organisationen scheinen ihre sensiblen Daten in einer unorganisierten und unstrukturierten Weise zu sichern, was das Unternehmen und die Daten in Gefahr bringt,? sagt Bryta Schulz, Vice President Product Marketing bei Thales Information Systems Security. "Besonders überraschend ist, dass so wenige Sicherheitsmaßnahmen für die Sicherung der Backup-Bänder ergriffen werden, obwohl mit dem Verlust von Sicherungsbändern und der Wiederherstellung der Daten große Risiken verbunden sind. Unserer Meinung nach zeigt das die Probleme der Unternehmen mit dem Key-Management für Speicheranwendungen.?
Der Bericht zeigt weiterhin, dass die Speicherung und das Management der Schlüssel die Hauptprobleme für alle Verschlüsselungsanwendungen darstellen. Auf die Frage, wo die Schlüssel gespeichert würden, antworteten mehr als 40 Prozent der Befragten mit "weiß ich nicht? für sieben von insgesamt 13 Verschlüsselungsanwendungen. Wenn die Befragten nicht wussten, wo sie ihre Schlüssel speichern würden, war die beliebteste Antwort "In der Software auf der Festplatte?.
"Es ist beunruhigend, zu sehen, dass der hohe Level der geplanten Verschlüsselung sich nicht mit dem Verständnis für die dazugehörigen Risiken in Verbindung mit der Speicherung und Wiederherstellung verschlüsselter Daten deckt. Best Practice für den Schutz dieser Schlüssel ist ein Hardware-Security-Modul,? führt Schulz weiter aus.
Neben Verschlüsselungsanwendungen und der Speicherung von Schlüsseln spricht der Bericht die Art des Key-Managements an. Ein effektives Key-Management ist unerlässlich, um verschlüsselte Daten zugänglich zu machen und Störungen des Geschäftsprozesses und Kosten zu vermeiden; die Kompromittierung eines Schlüssels kann Daten in Gefahr bringen, der Verlust eines Schlüssels kann den Totalverlust der Information bedeuten.
Die Kosten für die Wiederherstellung der Daten und den Geschäftsausfall standen an der Spitze der Liste, wenn es um verlorene oder kompromittierte Schlüssel geht. Compliance steht dabei erst an dritter Stelle. In Bezug auf Fragen zu Sicherungskopien, Widerrufen und Abkündigen von Schlüsseln um unbefugten Zugriff zu vermeiden, antworteten 69,3 Prozent der Befragten, sie zögen automatisierte zentrale Managementsysteme manuellen Lösungen vor.
"Nach dem Privacy Rights Clearing House wurden seit 2005 über 234 Millionen Accounts kompromittiert und hunderte Millionen weitere sind in Gefahr,? führt Schulz weiter fort. "So ist es beruhigend zu sehen, dass Verschlüsselung auf der Agenda steht und dass Unternehmen erkennen, dass ein unternehmensweiter Ansatz für Verschlüsselung und Key-Management notwendig ist.?
"Ohne Automatisierung führen zeitaufwändige manuelle Prozesse zu höheren Risiken, höheren Betriebskosten, einer reduzierten Arbeitsleistung, einer mangelnden Durchsetzung von Richtlinien und im schlimmsten Fall zum totalen Datenverlust,? warnt Schulz.
LANline/jos
Lesen Sie mehr zum Thema
