Warum sollte sich jedes Unternehmen mit dem Thema „Festplattenverschlüsselung“ befassen?

 

Die Verschlüsselung der Daten hat mehrere Vorteile. Besonders offensichtlich ist der Schutz vor Missbrauch in jeglicher Form. Dabei muss sowohl die Gefahr für Unternehmen von Außen als auch von innen durch die eigenen Mitarbeiter in Betracht gezogen werden. Ein weiterer Grund für die Datenverschlüsselung sind gesetzliche Vorschriften. Beispielsweise SOX Unternehmen sind gesetzlichen Regeln zur Datensicherheit unterworfen. Aber auch Basel II schreibt eine Datensicherheit vor. Ein drittes Thema ist die sichere Datenvernichtung, beispielsweise nach der Aufbewahrungsfrist oder auch beim Austausch von defekten Festplatten. Durch die Vernichtung des zugehörigen Schlüssels sind die entsprechenden Daten hundertprozentig unbrauchbar.

Was sind die wichtigsten Auswahlkriterien bei der Beschaffung einer Lösung für die Festplattenverschlüsselung?

 

Besonders wichtig ist natürlich der sichere Verschlüsselungsalgorithmus (z.B. AES256) und die Sicherheitseinstufung der eigentlichen Verschlüsselungseinheit. Zu empfehlen ist der FIPS Standard Level 2, den sogar militärische oder sicherheitsdienstliche Einheiten weltweit nutzen.

Ferner muss die Integration in die führenden Key-Management-Systeme gewährleistet sein, damit nicht für die Festplatten-Verschlüsselung ein eigenes System aufgebaut werden muss, wenn ein entsprechendes System im Unternehmen an anderer Stelle schon zum Einsatz kommt.

Nicht zu vernachlässigen ist der Aspekt der nachträglichen Verschlüsselung der Bestandsdaten sowie die Schlüsseländerung (Re-Keying). Kein Unternehmen kann es sich erlauben, zum erstmaligen Verschlüsseln seiner Daten oder bei Änderung des Schlüssels (z.B. aus Sicherheitsgründen) seinen entsprechenden Datenbestand von mehreren Terabytes oder mehr offline zu nehmen, sprich: die IT-Systeme hierfür herunterzufahren.

Aus der Sicht des Rechenzentrumsexperten spielt natürlich die Leistungsfähigkeit und die Administration eine entscheidende Rolle. Beide dürfen nicht zum Flaschenhals im Rechenzentrum werden. Besonders geeignet sind daher Hardware-basierte Verschlüsselungstechnologien, wie beispielsweise von Brocade.

Wie sicher ist die Festplattenverschlüsselung? Welche Verfahren sind empfehlenswert?

 

Eine Festplattenverschlüsselung (Data at Rest) mit einer AES 256 Verschlüsselung ist bis heute noch nie geknackt worden – vorausgesetzt die Schlüssel selbst sind sicher verwahrt. Dieses gewähren entsprechende Key Management Systeme.

Wie effektiv ist die Festplattenverschlüsselung eines Notebooks bei einer Geschäftsreise in die USA? Wie können die Daten geschützt werden, wenn der Zoll bei der Einreise feststellt, dass die Festplatte verschlüsselt ist und den Geschäftsreisenden bittet, die Daten zu entschlüsseln?

 

Brocade betreibt keine Verschlüsselung von Desktop/Notebook Festplatten. Die Brocade Verschlüsselungslösungen sind für den professionellen Einsatz in großen Rechenzentren, beispielsweise in einem SAN, ausgelegt.

Lässt sich die Festplattenverschlüsselung mit anderen Systemen kombinieren? Was bringt das?

 

Die Verschlüsselung von Festplatten und Bandlaufwerken können über die selber Lösung realisiert werden, da beide Fibrechannel als gemeinsame Infrastruktur nutzen. Darüber hinaus ist es zu empfehlen, das Key Management dieser Lösung mit der anderer Verschlüsselungslösungen im Unternehmen zu vereinheitlichen.

Was passiert, wenn ein Benutzer das Passwort für eine verschlüsselte Festplatte vergessen hat? Gibt es die Möglichkeit für eine Art administrativen Master-Key?

In professionellen Systemen, beispielsweise einem SAN, ist das unmöglich. Die Schlüssel werden in einem gesonderten und ebenfalls gesicherten Key-Managementsystem vorgehalten. Dieses Systeme stellen über unterschiedlichste Funktionen sicher, dass die Schlüssel sicher sind und nie verloren gehen.

Welchen Beitrag leistet die Festplattenverschlüsselung zur Einhaltung von Compliance-Richtlinien? Welche Anforderungen ergeben sich daraus für das Management und die Administration?

 

Die Einhaltung von Compliance-Richtlinien ist einer der wichtigsten Gründe für die Datenverschlüsselung. Wenn die Daten bereits im Rechenzentrum (Data at Rest) auf den Speichersystemen verschlüsselt werden, ist der Diebstahl oder Missbrauch an dieser Stelle ausgeschlossen. Dies gilt übrigens auch für die Administratoren, welche die Daten zwar verwalten müssen, diese aber nicht lesen können sollten. Eine Verschlüsselungslösung sollte hardware-basiert sein, denn nur in ASICS kann die Leistung und Geschwindigkeit garantiert werden, die in Rechenzentren benötigt wird. Brocade hat hierfür spezielle Appliances beziehungsweise Blades entwickelt, die direkt und unterbrechungsfrei in das SAN eingebunden werden.

Wie kann die Festplattenverschlüsselung mit IT-Security-Maßnahmen in einem Unternehmen abgestimmt werden?

 

Das kommt auf die Unternehmensgröße an. Ist bereits ein Key-Managementsystem im Unternehmen für andere Sicherheitsmaßnahmen vorhanden, sollte die Festplattenverschlüsselung mit diesem kombinierbar sein. Brocade beispielsweise unterstützt die wichtigsten Key-Managementsysteme.

Erfordert der Einsatz von Festplattenverschlüsselung eine Änderung/Anpassung der IT-Infrastruktur bzw. welche Auswirkung hat eine Änderung der IT-Infrastruktur – insbesondere der Speicher-Infrastruktur – auf die Verschlüsselungs-Strategie?

 

Wichtig für große und professionelle Speicherumgebungen ist immer, den gesicherten Datenfluss nicht zu gefährden oder gar zu unterbrechen sowie den Administrationsaufwand nicht zu erhöhen. Daher müssen sich Verschlüsselungstechnologien nahtlos und unterbrechungsfrei in die existierenden Systeme integrieren lassen.

Welchen Administrationsaufwand ziehen die einzelnen Lösungen nach sich?

 

Wenn die Verschlüsselungstechnologie eingerichtet ist, was ebenfalls schnell und intuitiv erfolgen muss, sollte sich der Administrationsaufwand auf nahezu null beschränken.

Wie sieht ein optimales Schlüssel-Management aus? Was ist dabei zu beachten?

 

Hierfür gibt es Spezialisten, wie beispielsweise NetApp Lifetime Key Management und RSA Key Manager for the Datacenter oder HP StorageWorks Secure Key Manager.

Kann man die vertraulichen Daten vor neugierigen Blicken des Administrators schützen, gibt es die Möglichkeit Administration und freien Datenzugriff voneinander zu trennen?

Die Trennung von der Administration und Lesbarkeit von Daten wird genau durch die Verschlüsselung von Data at Rest gewährleistet. Der Administrator behält alle Möglichkeiten, die er für die professionelle Administration benötigt, doch er kann die Inhalte der Daten nicht lesen.

 

Heiko Schrader, Regional Sales Director Germany & Switzerland bei Brocade
www.brocade.com