Sergey Nivens - Fotolia
Verschlüsselung: Daten für hybride Umgebungen klassifizieren
Bei der Nutzung der immer komplexer werden hybriden Umgebungen ist es wichtig, dass die richtigen Daten konsequent verschlüsselt werden. Dabei hilft eine Klassifizierung der Daten.
Die Verschlüsselung ist fester Bestandteil jeder IT-Sicherheitsstrategie. Damit diese wirksam funktioniert, ist jedoch ein gewisses Management der Daten erforderlich. Da macht die Verschlüsselung für die Cloud-Nutzung keine Ausnahme.
Das Implementieren von Verschlüsselung erfordert ein bestimmtes Maß an Ressourcen. So müssen die Daten zu einem bestimmten Zeitpunkt – möglichste nahe am Entstehungsort – erfasst werden und dann entsprechend verschlüsselt werden. Zudem kann die Ver- und Entschlüsselung zu Latenzzeiten führen, die Unternehmen für die unterschiedlichen Workloads berücksichtigen und minimieren müssen.
Selbstredend ist keine dieser Herausforderungen eine wirklich gute Begründung, auf Verschlüsselung zu verzichten. Und auch die Einhaltung von Regularien wie der Datenschutz-Grundverordnung (DSGVO) setzt den Schutz der entsprechenden Daten voraus. Mit folgenden Richtlinien lässt sich die Handhabung von zu verschlüsselnden Daten etwas vereinfachen.
Daten richtig klassifizieren
Mit Hilfe der Klassifizierung von Daten kann man einigen Herausforderungen der Verschlüsselung begegnen. Dies ist insbesondere auch hilfreich, wenn Daten über komplexe hybride Cloud-Infrastrukturen hinwegbewegt werden.
Die meisten Unternehmen arbeiten sowohl mit Kunden als auch mit Lieferanten zusammen. Und viele dieser Lieferanten haben wiederum Zulieferer. Und das Unternehmen selbst hat feste Mitarbeiter, selbstständige Vertriebsmitarbeiter und externe Berater. Entlang der Wertschöpfungskette entsteht üblicherweise ein konstanter Datenfluss. Unternehmen müssen sicherstellen, dass nur die richtigen Personen auf die richtigen Informationen zugreifen können.
Einige Unternehmen arbeiten mit bis zu fünf oder mehr Datenklassen. Für unser einfaches Datenklassifikationsmodell als Beispiel, verwenden wir die folgenden drei Klassen:
Öffentlich: Viele internen Informationen des Unternehmens, wie Broschüren, Pressemitteilungen oder Informationen für neue Mitarbeiter können als offen oder öffentlich klassifiziert werden. Es ist nicht zwangsweise erforderlich, oder aus Ressourcengründen notwendig, diese Daten zu verschlüsseln.
Vertraulich: Informationen, die das Unternehmen mit Kunden oder Lieferanten teilt, sind sensibler als die eben beschriebenen internen Daten. Viele dieser Informationen betreffen direkt die Geschäftsbeziehung der jeweiligen Parteien. Kein Unternehmen möchte, dass eine Vereinbarung mit einem Lieferanten von einem anderen Lieferanten eingesehen werden kann. Diese Daten sollten als vertraulich eingestuft werden und so früh wie möglich von der IT verschlüsselt werden.
Geheim: Informationen, die sensibler sind als vertrauliche Informationen und nur einem sehr begrenzten Personenkreis zugänglich sein sollten, sind als geheim einzustufen. Können Unbefugte diese Informationen einsehen, kann dies sehr schwerwiegende Folgen für das Unternehmen haben. Hierbei kann es sich beispielsweise um Finanzdaten oder Informationen über eine mögliche Übernahme handeln. Hier muss die IT gleichfalls für eine möglichst frühe Verschlüsselung sorgen, insbesondere, wenn diese Daten auch über die Cloud bewegt werden.
Datenklassifizierung in der Praxis
Oftmals wird Datenklassifizierung nachträglich auf bereits bestehende Dokumente angewendet. Das funktioniert, kann aber zu Fehleinstufungen führen, so dass beispielsweise geheime Informationen nicht richtig erkannt werden und versehentlich als öffentlich eingestuft werden.
In der Praxis funktioniert es meist besser, wenn der Anwender bereits beim Anlegen eines Dokumentes eine entsprechende Auswahl an Vorlagen bekommt, als wenn er ein leeres Dokument anlegt und dieses danach einstufen muss. Das Datenklassifikationsmodell sollte zudem Metadaten enthalten, die das erstellte Dokument während der gesamten Lebensdauer begleiten. Dies erfordert eine permanente Verknüpfung des Dokuments mit unveränderlichen Metadaten. Hier kommen entsprechende Informations-Management-Systeme zum Einsatz.
Arbeitet ein Unternehmen mit entsprechenden Vorlagen und Metadaten, können die Daten nach Bedarf verschlüsselt werden, bevor sie auf einem Speicherort landen. Dabei kann es sich um ein lokales Speichermedium, Netzwerkfreigaben im Unternehmen oder auch eine Cloud-Plattform handeln. Alles, was nicht als öffentlich eingestuft ist, wird dann verschlüsselt oder im Zweifel per VPN übertragen.
VPN für die Datenübertragung nutzen
Für Datenströme, die das Unternehmen verlassen, kann die Nutzung von einem verschlüsselten Kanal, wie etwa einem VPN, eine Möglichkeit sein, unverschlüsselte Daten sicher zu übertragen. VPNs sind ein probates Mittel, um Daten zwischen Unternehmen zu übertragen. Die Daten sind dann zumindest vor dem Zugriff von außen geschützt.
Dabei ist es natürlich wichtig, die VPN-Nutzung zu überwachen. So lassen sich etwaige Angriffe oder bösartige Aktivitäten erkennen. Es gilt zudem sicherzustellen, dass man nicht nur einzelne Nutzer, sondern auch ganze Gruppen im Zweifelsfall blockieren kann.
Liegen die Metadaten eines Dokuments in unveränderlicher Form vor, können Anwender weitere Metadaten hinzufügen für eine weitere, granulare Klassifizierung So können zu einem vertraulichen Dokument zusätzliche unveränderliche Metadaten, etwa zum Inhalt eines Lieferantenvertrages, hinzugefügt werden.
Bei der Nutzung von Cloud-Plattformen oder SaaS-Anwendungen kann man nicht stillschweigend davon ausgehen, dass die Anbieter die Verschlüsselung für einen übernehmen. Sofern nicht konsequent VPNs oder andere sichere Wege zur Datenübertragung genutzt werden, erfolgt der Transport der Daten über öffentliche Verbindungen von den Geräten der Anwender zu den Cloud-Anwendungen – mit den entsprechenden Risiken.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!