Einfaches Management zählt
Das Verschlüsseln von Datenbanken
Wo Datenmissbrauch möglich ist, findet er auch statt: Der Skandal um die komplette Kundendatenbank von T-Mobile, die via Internet vergleichsweise einfach zugänglich und manipulierbar war, ist nur eines von vielen aktuellen Beispielen. Datenbanken und deren Schutz sind für Unternehmen ein besonders sensibles Thema, denn dort sind in der Regel alle kritischen Informationen abgelegt. Tools zur Datenbankverschlüsselung sollten deshalb zentraler Baustein eines umfassenden Verschlüsselungskonzepts sein.
Einzelhändler, Banken und Dienstleister arbeiten mit Datenbanken, in denen sie Informationen zu Kunden, deren Kreditkarten und ihren Transaktionen ablegen. Dabei haben Datenschutz und Datensicherheit höchste Priorität. Der Payment Card Industry Data Security Standard (PCI DSS) - ein Regelwerk, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht - schreibt beispielsweise zwölf spezielle Schutzmaßnahmen für Informationen vor, die im Umfeld elektronischer Zahlungen zu treffen sind. Verschlüsselung zählt dabei zu den wichtigsten. Die Richtlinie fordert, sämtliche in einer Datenbank gespeicherten Daten durch eine Verschlüsselung abzusichern. Zusätzlich verlangt sie, die kryptografischen Schlüssel in einem hochsicheren Umfeld aufzubewahren. Dieser Schutz wird von Kunden und Unternehmen auch für andere Daten erwartet, selbst wenn ein verbindlicher Standard nur in den wenigsten Bereichen existiert.
Das Grundprinzip der Verschlüsselungstechnik ist einfach: Ein digitaler Schlüssel (Key) kodiert die Daten mithilfe eines Algorithmus und macht die Informationen so zunächst unlesbar. Nur autorisierte Personen haben Zugriff auf den passenden Schlüssel und somit auf die Datenbank. Dies stellt sicher, dass nur berechtigte Anwender die Daten verwenden können.
Komplex ist beim Einsatz von Verschlüsselung die Unterstützung unterschiedlichster Datenbanksysteme sowie Web-, Anwendungs- und File-Server. Erst fein granulierbare Autorisierungsregeln und komfortable Management-Tools für Schlüssel-Management, Logging, Auditing und Richtlinienverwaltung sorgen für eine gute Sicherheitspraxis. Die erwähnten Punkte sollten schon bei der Entscheidung für eine Verschlüsselungslösung eine wichtige Rolle spielen.
Die wenigsten Unternehmen arbeiten mit nur einer einzigen Datenbank. In den meisten Fällen sind die Informationen auf mehreren Datenbanken verschiedener Anbieter an unterschiedlichen Stellen der IT-Infrastruktur des Unternehmens abgelegt. Zusätzlich stellt jeder Anbieter von Datenbanksystemen individuelle Anforderungen an das Sicherheits-Management. Unternehmen sollten sich bei der Entscheidung deshalb informieren, ob die Verschlüsselungslösung die Vielfalt ihrer Datenbanksysteme, Web-, Anwendungs- und File-Server unterstützt und nicht an einen einzelnen Hersteller gebunden ist.
Zudem sollten die Zugriffs- und Konfigurationsrechte durch eine fein einstellbare Autorisierung geregelt werden. Es muss möglich sein, Rechte und Aufgaben eindeutig zuzuweisen. So sollten sich die Zugriffe auf Datensätze einfach und effizient auf Zeilen, Spalten oder Einzelfelder der Datensätze beschränken lassen, denn nicht jeder Anwender benötigt immer die kompletten Informationen. Während zum Beispiel ein Mitarbeiter im Vertrieb Kundeninformationen nur in einem bestimmten Postleitzahlengebiet benötigt, ist für einen Mitarbeiter in der Finanzbuchhaltung nur der Zugang zu den relevanten Rechnungsdaten eines Datensatzes wichtig. Solche Zugriffsregelungen erleichtern die Erfüllung von Compliance-Vorgaben und können Datenmissbrauch zusätzlich vorbeugen. Je vielfältiger die IT-Infrastruktur und die Zugriffe innerhalb eines Unternehmens sind, desto intuitiver und komfortabler sollten die Bedienbarkeit und die dazugehörigen Management-Tools sein.
Eine Verschlüsselungslösung sollte die gesamte IT-Infrastruktur des Unternehmens mit einer einzigen, zentralen Anwendung schützen und das zugehörige Schlüssel, Logging, Reporting sowie Upgrades für alle Datenbanken und Anwendungen von einem Punkt aus verwalten. Eine zentrale Lösung macht nicht nur Sicherheitsprobleme auf einen Blick erkennbar, sondern reduziert außerdem die Administrationskosten und vereinfacht das Erstellen von Reports und Audits für Compliance-Anforderungen.
Unternehmen tun außerdem gut daran, sich für eine Lösung zu entscheiden, die Verschlüsselungsstandards wie AES, 3DES, RSA oder HMACSHA-1 unterstützt. Die Nutzung von Standardalgorithmen vereinfacht die Bewertung einer Sicherheitslösung, da Brute-Force-Attacken bei angemessener Schlüssellänge praktisch auszuschließen sind.
Die beste Verschlüsselungslösung nützt allerdings nichts, wenn der Zugang zur Entschlüsselung nicht ebenso gut geschützt ist. Ein Zugriff auf die Inhalte darf deshalb nur dann möglich sein, wenn die Beteiligten über den richtigen Schlüssel verfügen. Bewährt haben sich dafür so genannte Hardware-Sicherheitsmodule (HSM), innerhalb deren sicherer Umgebung die Schlüssel generiert, gespeichert und genutzt werden. Auf diese Weise können die Schlüssel als Garant des gesamten Sicherheitskonzepts hochsicher verwahrt werden. Insbesondere zertifizierte HSMs stellen einen deutlich besseren und sicheren Speicherort als Software oder die Datenbank selbst dar. Inzwischen gibt es bereits für Datenbankverschlüsselung optimierte HSMs mit einer fertigen Datenbankschnittstelle auf dem Markt. Während ein traditionelles HSM den Schlüssel nur speichert, unterstützen optimierte Lösungen bereits einen automatisierten, regelmäßigen Austausch der Schlüssel und entsprechen damit einer weiteren Anforderung des PCI DSS.
Um gespeicherte Daten optimal zu schützen, sollte die Datenbankverschlüsselung zudem immer Teil eines vielschichtigen Ansatzes sein und um weitere Schutzschichten ergänzt werden. Eine Full Disk Encryption zur Verschlüsselung der gesamten Festplatte eines Computers samt Betriebssystem schützt alle Daten auf der Festplatte, selbst wenn der Datenträger abhanden kommt und vom Dieb ausführlich untersucht werden kann.
Mit einer Datei- und Ordnerverschlüsselung lassen sich dann einzelne vertrauliche Informationen schützen, die auf Servern, Workstations, Laptops und mobilen Geräten gespeichert sind. Eine Anwendungsverschlüsselung schließlich sichert verschiedene Datenbereiche unmittelbar im Zusammenhang mit den Applikationen, die diese Infotrmationen nutzen. Über genau definierte Rollen und Rechte für die Benutzer sowie über eine feinmaschige Zugangskontrolle zu den Anwendungen wird gleichzeitig die Sicherheit der Daten gewährleistet.
Daten sind auch bei der Übertragung im Unternehmensnetzwerk zu schützen. Bei der Auswahl der dazu nötigen Verschlüsselung ist zu bedenken, welche Latenzzeit und welchen Overhead die Lösung produziert und welche Bandbreite das Unternehmen benötigt.
Innerhalb der nächsten zwei bis drei Jahre werden Unternehmen mit größter Wahrscheinlichkeit zunehmend gefordert sein, Techniken zu nutzen, um vertrauliche Informationen wie Kreditkarten- und Sozialversicherungsnummern oder Kontodetails zu verschlüsseln. Wer jetzt handelt, vermeidet unüberlegte Ad-hoc-Aktionen.
Lesen Sie mehr zum Thema
