Kreditkarten-Richtlinie PCI DSS sorgt für Druck
Kunden drängen Kryptohersteller zur Interoperabilität
Der Schutz von Firmen- und Kundendaten hat für IT-Sicherheitsverantwortliche dieses Jahr Priorität. Viele Firmen wollen daher in Anti-Datenleck-Technik oder Verschlüsselung investieren. Zugleich kommt im Krypto-Umfeld die herstellerübergreifende Interoperabilität und Schlüsselverwaltung so langsam in Schwung.
Datensicherheit steht dieses Jahr mit Abstand an der Spitze der Security-Prioritäten, so eine
Forrester-Studie. Dagegen gelten Security-Sensibilisierung und mobile Sicherheit als
vergleichsweise unwichtig. Das verwundert insofern, als Unachtsamkeit der Mitarbeiter und Verlust
mobiler Gerät ein erhebliches Datenrisiko darstellen.
So zeigt eine Ponemon-Studie im Auftrag von PGP, dass fast ein Drittel aller Datenpannen auf
verlorenen Laptops basieren – und nicht auf Hackerangriffen oder Industriespionage. Dennoch
konzentrieren sich auch deutsche Unternehmen, die Opfer einer Datenpanne wurden, nach dem Vorfall
verstärkt auf den Einsatz neuer Schutztechniken wie Datenverschlüsselung, Security Event Management
oder DLP (Data Leakage Prevention). Erst in zweiter Linie werden Schulungsmaßnahmen für die
Mitarbeiter ins Leben gerufen, um deren Bewusstsein zu schärfen.
http://llschnuerer.cmpdm.de//sites/cz/articles/laufwerkshersteller_einigen_sich_auf_einheitlichen_verschluesselungsstandard:/2009006/31815764_ha_CZ.html?thes=">Laufwerkshersteller
einigen sich auf einheitlichen Verschlüsselungsstandard
http://llschnuerer.cmpdm.de//sites/cz/articles/kreditkarten-richtlinie_pci_dss_macht_druck_auf_firmen:/2008005/31331632_ha_CZ.html?thes=">Kreditkarten-Richtlinie
PCI DSS macht Druck auf Firmen
http://llschnuerer.cmpdm.de//sites/cz/articles/lenovos_laptops_werden_per_killer-sms_deaktiviert:/2008049/31750151_ha_CZ.html?thes=">Lenovos
Laptops werden per Killer-SMS deaktiviert
Auch die Forrester-Befragung belegt den Wunsch nach Schutz durch Technik. So ist die
Hauptmotivation für Investitionen in das Identity und Access Management inzwischen die Sicherheit –
und nicht wie oft behauptet Compliance-Druck, Produktivitätssteigerungen oder IT-Kosteneinsparungen
durch Passwort-Selfservice.
In Anti-Datenlecks-Tools wollen 21 Prozent der Firmen investieren. PGP-Chef Phil Dunkelberger
unterstützt den kombinierten Ansatz: "Verschlüsselung ist kein Allheilmittel. Nur die Kombination
verschiedener Schutzmaßnahmen wie Training der Mitarbeiter, DLP und Verschlüsselung sichert
Datenbestände tatsächlich ab."
Verschlüsslung bleibt aber ein beliebtes Schutz-Tool: So stehen nicht Virenschutz- und
Firewalls, sondern Datei- und Plattenverschlüsselung an der Spitze der für dieses Jahr geplanten
PC-Maßnahmen: 20 und 22 Prozent der Firmen wollen solche Tools einführen.
Zu ähnlichen Ergebnissen kommt eine Thales-Studie: Danach gehört die Kodierung von Dateien,
Festplatten und E-Mails am PC zu den beliebtesten Kryptoeinsatzgebieten. Die Verschlüsselung von
Backup-Bändern steht dagegen nur auf Platz elf – hinter der Sicherung von USB-Sticks.
Dieses Tape-Versäumnis stelle aber eine gravierende Lücke in den Datenschutzstrategien der
Unternehmen dar, betont Thales und verweist auf den Diebstahl von 15.000 Patientenakten auf
Backup-Bändern aus der Praxis eines britischen Arztes. In den USA wurden rund 650.000 Datensätze
von Kunden des Handelshauses J.C. Penny durch den Verlust eines unverschlüsselten Tapes
gefährdet.
Ein Hauptproblem für die 330 von Thales befragten Firmen ist, dass viele nicht wissen, wo sie
die Schlüssel für Bandsicherungen aufbewahren würden. Laut Thales zeigt dies die Probleme der
Unternehmen mit dem Key Management für Speicheranwendungen. Überhaupt gehöre Key Management und
-Speicherung zu den Hauptproblemen für alle Kryptoanwendungen.
Ein unternehmensweites Schlüsselmanagement ist daher bei 19 Prozent der Firmen dieses Jahr auf
dem Investitionsradar, zeigt die Forrester-Umfrage. Allerdings steht eine herstellerübergreifende
Verschlüsselung noch vor Hürden, gibt Tom Corn, Vice President für Product Management bei RSA zu.
Verschiedene Anwendungen stellen verschiedene Anforderungen an die Verschlüsselung: "Eine Datenbank
muss ganz anders verschlüsselt werden als ein komplexes Storage-System."
Zudem hätten sich im Lauf der Zeit eben einzelne Verschlüsselungsprodukte für die
unterschiedlichen Anwendungen etabliert. Selbst bei gleichartigen Produkten – wie zum Beispiel
Bandbibliotheken –kommen daher je nach Hersteller andere Kodierungsverfahren zum Einsatz. Corn: "
Eine IBM-Tape Library verschlüsselt ihre Daten anders als ein vergleichbares Produkt von Quantum."
Und nachdem schon die Verschlüsselungsverfahren nicht kompatibel sind, mache sich auch keiner die
Mühe, über ein einheitliches Key-Management nach zu denken.
Aber Besserung sei in Sicht: "Zahlreiche Großkunden haben sich an ihre
IT-Infrastrukturlieferanten gewandt und ein übergreifendes Key Management gefordert." Darunter
seien vor allem Firmen aus dem Einzelhandelsbereich, die die Kreditkartendaten-Norm PCI DSS zwingt,
große Datenmengen verschlüsselt zu speichern und zu übermitteln. "Aufgrund dieses Drucks arbeiten
zahlreiche IT-Firmen inzwischen zusammen, und wir werden in den nächsten Jahren verstärkt
kompatible Verschlüsselungsprodukte sehen."
Armin Barnitzke/CZ
Lesen Sie mehr zum Thema
