Konzepte für Verschlüsselung
Zentrales Security-Management
Immer mehr IT-Verantwortliche erkennen die Risiken im Zusammenhang mit Notebooks und Wechseldatenträgern, die kritische Daten enthalten. Um die damit verbundenen Gefahren zu minimieren oder gar auszuschließen, kommen immer häufiger geprüfte und effiziente Verschlüsselungssysteme zum Einsatz.
Der IT-Markt stellt inzwischen viele Verschlüsselungsverfahren und -produkte zur Verfügung. In der Regel handelt es sich um Einzelapplikationen für jeweils eine Daten- oder Informationsart. Verschiedene Verschlüsselungsanwendungen werden außerdem gleichzeitig verwendet.
Punktuell bedeutet Mehraufwand
So kann beispielsweise ein Benutzer Daten in Dateien, in Dokumenten auf dem Datei-Server und in E-Mails verschlüsseln. Ein entscheidender Nachteil punktueller Verschlüsselungsanwendungen ist, dass sie einen deutlichen Mehraufwand für die IT-Abteilung bedeuten. Außerdem wird die Kontrolle folgender wichtiger Richtlinienfragen dem Benutzer überlassen:
Die Entscheidung darüber, was verschlüsselt werden muss,
die Entscheidung darüber, ob der jeweilige Empfänger eine Datei entschlüsseln darf,
die Entschlüsselung und Verschlüsselung bei erneuter Bearbeitung und die
Wiederherstellung von Informationen/Daten, wenn Schlüssel verloren gehen oder vergessen werden.
IT-Verantwortliche müssen die Gesamtauswirkungen auf das Unternehmen und die Benutzer in Betracht ziehen, wenn sie den Einsatz von punktuellen Verschlüsselungslösungen planen oder bewerten.
Wenn das zu bewertende Verschlüsselungsverfahren nicht zentral eingesetzt und verwaltet wird, ist die Einhaltung von Rechtsvorschriften und geltenden Sicherheitsrichtlinien aller Wahrscheinlichkeit nach unmöglich oder zumindest sehr schwierig und aufwändig, insbesondere wenn dem Endnutzer Richtlinienentscheidungen überlassen bleiben.
Kriterien
Ein optimales Verschlüsselungssystem muss folgende Kriterien erfüllen:
Zentrale Verwaltung,
Steuerung über Richtlinien,
Unterstützung der Chiffrierung von Wechseldatenträgern,
zur Verschlüsselung werden zertifizierte Algorithmen eingesetzt (FIPS, Common Criteria, NIST und etc.),
das System muss erweiterbar sein, sodass sich bei Bedarf neue Verschlüsselungsapplikationen ergänzen lassen,
das Produkt sollte Preboot-Authentisierung sowie Zwei-Faktor-Authentisierung in der PBA unterstützen, und
es muss schnell betriebsbereit sein und sollte keiner zeitaufwändigen Einführung der Anwender bedürfen.
Die umfassende Verschlüsselungslösung
Die Architektur und das System einer Enterprise-Lösung sollten so konzipiert sein, dass Unternehmen verschiedene Verschlüsselungsmodule über eine zentrale Management-Konsole leicht einsetzen und verwalten können.
Durch die Verwaltung über eine netzwerkbasierte Management-Konsole sind eine konsequente Richtliniendurchsetzung, eine Protokollierungs- und Reporting-Funktion, automatisierte Bereitstellung und Remote-Unterstützung bei der Wiederherstellung gewährleistet. Zu den zentral festgelegten möglichen Richtlinien gehören unter anderem die obligatorische Systemverschlüsselung nach der Installation und die optionale Verschlüsselung von USB-Speichermedien. Mit zunehmender Komplexität der Verschlüsselungsanforderungen von Unternehmen werden unter Umständen weitere Verschlüsselungsanwendungen wie etwa die Datei- und Ordnerverschlüsselung nötig.
Eine Enterprise-Lösung ermöglicht es Security-Verantwortlichen, konsequente, auch unternehmensweit gültige Richtlinien festzulegen, um eine einheitliche Policy sowie die Durchsetzung der Richtlinie zu gewährleisten. Eine rollenbasierende Administration gewährleistet höchstmögliche Sicherheit, indem jedem Administrator nur definierte Rechte erteilt werden, die zur Durchführung der bestimmten Aufgaben notwendig sind.
Eine Unternehmensrichtlinie sollte festlegen, dass nur die Verwendung von verschlüsselten Wechseldatenträgern zulässig ist. Wenn ein verschlüsselter Wechseldatenträger angeschlossen wird, sollte es beispielsweise möglich sein, eine Authentifizierung durch den Benutzer zu erzwingen, um Zugriff auf den Inhalt des Geräts zu erhalten.
Eine sinnvolle Erweiterung der Verschlüsselungsrichtlinien ist die Integration von DLP und Device- beziehungsweise Port-Management-Modulen.
Skalierbarkeit ist entscheidend
Skalierbarkeit ist ein wichtiger Faktor bei der Auswahl einer neuen Anwendung für ein Unternehmen. Dazu gehören zentrale Verteilung, Richtlinienmanagement, Audit-Unterstützung und ein Scripting-Tool. Die Architektur sollte die zentralisierte Verwaltung aller Client-Anwendungen über TCP/IP ermöglichen. Alle Benutzer, Geräte, Dateien, Wiederherstellungsschlüssel und andere administrative Funktionen sollten über das Management-Center verwaltet werden.
Fazit: Rechtliche Konsequenzen drohen
Organisierte Wirtschaftsspionage und Identitätsdiebstähle führen jährlich zu Verlusten in Milliardenhöhe. Da persönliche Schäden der Opfer weiter zunehmen, wird erwartet, dass Regierungen weitere gesetzliche Direktionen und Maßnahmen erlassen, die beträchtliche Bußgelder für Unternehmen vorsehen, die die "Datenpannen", also die Verluste personenbezogener Daten, zu verantworten haben.
Unternehmen und Behörden, die keine geeigneten Maßnahmen zur Festlegung von Richtlinien und Prozessen ergriffen haben, um die fahrlässige oder vorsätzliche Preisgabe von personenbezogenen Daten zu verhindern, müssen die rechtlichen Konsequenzen und geschäftlichen Risiken, die mit Datenmissbrauchsvorfällen zusammenhängen, bedauerlicherweise vollständig verantworten.
Lesen Sie mehr zum Thema
