Daten besser schützen: Optionen für Storage-Verschlüsselung
Die ständig zunehmenden Datenmengen und -standorte sowie die Zahl der Sicherheitsbedrohungen zwingen Firmen zu Speicherstrategien, die starke Verschlüsselung enthalten sollten.
Die Speicherverschlüsselung ist ein Schlüsselelement für die Sicherheit von Unternehmensdaten. Sie schützt die Daten vor Diebstahl, unbefugten Änderungen und Kompromittierung.
Diese Verschlüsselung (Encryption) schützt die Privatsphäre, bewahrt Daten vor Angreifern und gewährleistet die Einhaltung von Branchenvorschriften. Die meisten Unternehmen verwenden eine Kombination von Verschlüsselungsmethoden, um ihre Daten vor Ort, unterwegs und in der Cloud zu schützen. Daher ist es wichtig, die verschiedenen Arten und die besten Verfahren für die Implementierung zu kennen.
Was ist Storage-Verschlüsselung und wie funktioniert sie?
Unter Speicherverschlüsselung versteht man die Verwendung von Verschlüsselungsmethoden für Daten sowohl bei der Übertragung (Data in Motion) als auch auf den Zielmedien (Data at Rest). Als Speichermedien können SSDs, Festplattenoder Tapes zum Einsatz kommen. Im Idealfall werden die Daten am Ausgangs- und Zielort verschlüsselt, ebenso wie bei der Übertragung zwischen Geräten und Systemen.
Bei der Verschlüsselung werden Klartextdaten in Chiffretext verschlüsselt, in der Regel mit kryptografischen Algorithmen. Um die Daten zu entschlüsseln, benötigt das empfangende System einen Entschlüsselungsschlüssel, bei dem es sich um eine Zahlenfolge handelt, die ebenfalls durch einen Algorithmus erstellt wird. Bei der sicheren Verschlüsselung werden so viele kryptografische Schlüssel verwendet, dass kein Mensch sie erraten kann, und auch ein Computer kann nicht einfach die richtige Zeichenfolge berechnen, indem er alle möglichen Kombinationen ausprobiert.
Arten der Speicherverschlüsselung
Die Speicherverschlüsselung umfasst verschiedene Tools, Technologien und Ansätze für ruhende (am Speicherort) und bewegte Daten (während der Übertragung). Die beiden gängigsten Verschlüsselungsarten sind die symmetrische und die asymmetrische Verschlüsselung:
Symmetrische Verschlüsselung. Bei der symmetrischen Verschlüsselung, die auch als Shared-Key- oder Private-Key-Verschlüsselung bezeichnet wird, kommt derselbe Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung zum Einsatz. Diese Verschlüsselungen sind kostengünstiger in der Herstellung und benötigen weniger Rechenleistung, so dass die Entschlüsselung der Daten mit weniger Verzögerung erfolgt.
Asymmetrische Verschlüsselung. Sie wird auch als Public-Key-Verschlüsselung bezeichnet und verwendet zwei separate Schlüssel zum Ver- und Entschlüsseln von Daten. Der Verschlüsselungsschlüssel ist ein öffentlicher Schlüssel, der von allen, die verschlüsselte Daten senden müssen, gemeinsam genutzt wird. Nur die Inhaber des zweiten, privaten Schlüssels können die Daten entschlüsseln.
Die symmetrische Verschlüsselung ist zwar billiger und schneller in der Anwendung, aber etwas weniger sicher als andere Optionen. Eine unbefugte Person, die sich Zugang zum Schlüssel verschafft, kann die Daten entschlüsseln. Die asymmetrische Verschlüsselung ist in der Herstellung teurer und erfordert mehr Rechenleistung, da der Schlüssel oft zwischen 1.024 und 2.048 Bit lang ist. Sie ist sicherer als die symmetrische Verschlüsselung, eignet sich aber nicht für große Datenpakete.
Abbildung 1: Die Funktionsweise einer End-to-End-Verschlüsselung in Kürze erklärt.
Gängige Verschlüsselungsmethoden
Unternehmen verwenden zahlreiche symmetrische Verschlüsselungsmethoden, darunter Advanced Encryption Standard(AES) und Twofish. AES ist die beliebteste Methode. Twofish wird sowohl in Hardware als auch in Software verwendet und gilt als die schnellste symmetrische Verschlüsselungsmethode.
Die gebräuchlichsten asymmetrischen Verschlüsselungsmethoden sind Rivest-Shamir-Adleman und die elliptische Kurvenkryptographie (ECC). Bei RSA wird der öffentliche Schlüssel durch Faktorisierung zweier Primzahlen und Hinzufügen eines Hilfswertes erzeugt. RSA-Schlüssel sind in der Regel 2.048 oder 4.096 Bit lang. Sie verschlüsseln häufig gemeinsam genutzte symmetrische Verschlüsselungsschlüssel. ECC ist eine fortschrittliche asymmetrische Verschlüsselungsmethode, die die Sicherheit massiver Verschlüsselungsschlüssel mit einem kleineren und effizienteren Fußabdruck bietet. ECC sichert häufig digitale Signaturen und gemeinsame symmetrische Verschlüsselungsschlüssel.
Bewährte Verfahren für die Speicherverschlüsselung
Die Speicherverschlüsselung umfasst verschiedene Tools, Technologien und Ansätze für Data at Rest und Data in Motion.
Unternehmen sollten eine umfassende Strategie zur Verschlüsselung der Datenspeicherung haben. Um möglichst effektiv zu sein, sollte sie Menschen, Prozesse und Technologien einbeziehen. Hier sind einige bewährte Praktiken, die zu berücksichtigen sind.
1. Schützen Sie Ihre Daten überall
Berücksichtigen Sie alle möglichen Zustände, in denen Ihre Daten vorkommen können – im Ruhezustand, in Transfer und im Gebrauch – und welche Kontrollen für diesen Zustand verfügbar sind:
Zu den ruhenden Daten gehören alle Daten in digitalen und physischen Umgebungen, wie Speicherobjekte,Container und Festplatten.
In Bewegung sind Daten, die sich zwischen Komponenten, Standorten, Programmen, Systemen und Anwendungen bewegen.
In Verwendung sind Daten, die von Unternehmen verarbeitet werden. Dieser Prozess stellt sicher, dass die Daten im Hardwarespeicher und in den Software-Caches verschlüsselt werden.
Um den Schutz zu erhöhen, kann auch die Verschlüsselung geschäftskritischer Daten auf der Ebene einzelner Dateien, Volumes oder Spalten in Betracht gezogen werden.
2. Wählen Sie die richtige Verschlüsselungsmethode
Welche Verschlüsselungsmethode zu wählen ist, hängt von den Daten, ihrem Speicherort, ihrer Verwendung und etwaigen gesetzlichen Anforderungen ab. Entscheiden Sie sich zunächst für eine symmetrische oder asymmetrische Verschlüsselung und dann für eine Verschlüsselungsoption. Prüfen Sie, ob diese mit den Anforderungen übereinstimmt. Viele Cloud-Storage-Anbieter offerieren Datenverschlüsselung an, daher sollten Sie sich in ihrer Dokumentation über die Einzelheiten informieren.
Unternehmen des Gesundheitswesens müssen zum Beispiel prüfen, ob die Verschlüsselung mit dem HIPAA übereinstimmt, während Finanzdienstleister möglicherweise die Einhaltung des Payment Card Industry Data Security Standard verlangen.
3. Integrieren Sie Verschlüsselung in Ihre Zugriffsverwaltungsstrategie
Das Prinzip der geringsten Privilegien sollte für die gesamte IT-Infrastruktur gelten, einschließlich der Datenverschlüsselung. Gewähren Sie den entsprechenden Zugriff auf Verschlüsselungsmethoden, je nachdem, wo sich die Daten befinden, wohin und von wo sie übertragen werden, wer sie verwendet und welche gesetzlichen Anforderungen gelten.
4. Sicherstellung der Skalierbarkeit für große Teams und große Datenspeicher
In einem Unternehmen muss die Datenverschlüsselung skalierbar sein, damit sie mit einer wachsenden Zahl von Benutzern und IT-Geräten oder -Systemen umgehen kann. Die Ver- und Entschlüsselungsgeschwindigkeit ist für häufig genutzte Daten entscheidend.
