Nicht erst seit Inkrafttreten der DSGVO sollten Unternehmen großen Wert auf den Schutz sensibler Daten legen. Ver-schlüsselung ist das Gebot der Stunde, allerdings muss sie an der richtigen Stelle geschehen.

Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 Gesetz – und gleichzeitig Albtraum vieler IT-Manager. Eine korrekte Datenspeicherung sollte die Grundlage der Informationsverarbeitung auch in Zeiten vor der DSGVO sein. Die neue EU-Richtlinie konzentriert sich im Wesentlichen auf den Schutz personenbezogener Daten. Dies gilt jedoch nicht nur für das Verhältnis zwischen Unternehmen und Privatpersonen, sondern auch für die gegenseitige Interaktion zwischen zwei Unternehmen, sofern einzelne Mitarbeiter angesprochen werden. Das „Recht auf Vergessenwerden“ findet auch dort Anwendung.

In der Praxis bedeutet dies, dass jedes in der EU tätige Unternehmen geeignete Maßnahmen ergreifen muss, um den Datenschutz zu gewährleisten. Neben dem „Recht auf Vergessenwerden“ schreibt die DSGVO umfassende Schutzmaßnahmen wie Verschlüsselung vor. Darunter fallen alle personenbezogenen Daten wie Name, Benutzername, IP-Adressen, Telefonnummern oder Postanschriften.

Verschlüsselung und wen sie betrifft

Die DSGVO behandelt Verschlüsselung als „Safe Harbor“, also als eine Möglichkeit für Unternehmen, das Risiko potenzieller Strafen zu reduzieren. DSGVO-Artikel 34 besagt: „Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn zum Beispiel folgende Bedingung erfüllt ist: der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung.“

Die Regulierungsbehörde unterscheidet klar zwischen gestohlenen Daten im Klartext, was eine Datenverletzung darstellt, und gestohlenen verschlüsselten Daten, die nicht einmal eine Benachrichtigung der betroffenen Personen erfordern. Die Frage ist nun, wie man Daten verschlüsseln kann, damit Cyber-Kriminelle nicht darauf zugreifen können.

Die Verordnung verlangt, dass man die Daten sowohl „at rest“ (während der Speicherung) als auch „in flight“ (während der Durchquerung des Netzwerks) verschlüsselt, um sicherzustellen, dass sie sich in beiden Zuständen nicht entwenden lassen. Alternativ können Betreiber einen ganzheitlicheren Ansatz wählen und eine „End-to-End Encryption“ (E2EE) verwenden, die beides und mehr umfasst, nämlich E2EE = At-Rest-Verschlüsselung + In-Flight-Verschlüsselung + Schutz zusätzlicher Schichten des IT-Stacks.

Durch die Wahl von E2EE können Anwender die Implementierung mehrerer Einzellösungen vermeiden und erhalten einen besseren Schutz. Ein häufiger Angriffsvektor für Cyber-Kriminelle ist der Social-Engineering-Angriff, der die Anmeldeinformationen, den Arbeitsplatz eines Endbenutzers sowie des IT-Teammitglieds gefährdet. Dieser Angriff kann nur gelingen, wenn der Kriminelle die Daten unverschlüsselt einsehen kann, weshalb E2EE das präferierte Werkzeug für sicherheitsbewusste Organisationen darstellt.

Dies bringt einige Herausforderungen mit sich. Beispielsweise ist es nötig, die Schlüssel unabhängig vom Verschlüsselungstyp zu verwalten. Die Daten müssen klassifiziert sein, um festzustellen, welche von ihnen verschlüsselt werden sollen und welche nicht.

Die Verschlüsselung an der Datenquelle bedeutet auch eine zusätzliche CPU-Auslastung, obwohl sie dank der Fortschritte bei den modernen CPUs geringer ist als in den vergangenen Jahren. Da der Hypervisor, der die Anwendungen ausführt, am einfachsten zu skalieren ist und weitere Kerne die Leistung steigern können, ist diese Herausforderung recht einfach zu bewältigen.

Die Verschlüsselung von Daten an der Quelle ist ein großer Vorteil im Cloud-Umfeld, da die Daten sicher – vorübergehend oder dauerhaft – in die Cloud wandern können, während die Schlüsselverwaltung im Unternehmen bleibt. Dieses „Split-Wissen“ schützt die Daten in der Cloud vor vielen modernen Cyber-Bedrohungen und garantiert auch, dass die Daten während der Übermittlung vom WAN in die Cloud geschützt bleiben. Dieses Vorgehen, bei dem die Daten so schnell wie möglich verschlüsselt werden, und der daraus resultierende Schutz über mehrere Schichten des IT-Stacks hinweg, kennzeichnen E2EE.

Speichermedien spielen eine Rolle

Prinzipiell lässt sich jedes Speichermedium verwenden, um verschlüsselte Daten zu speichern. Einige Medientypen verursachen allerdings hohe Kosten. Das offensichtlichste Beispiel sind All-Flash Arrays (AFAs), die stark auf Datenreduktion, -deduplizierung, -kompression oder Mustererkennung mit einem Verhältnis von 3:1 oder sogar 5:1 angewiesen sind, um kosteneffizient zu bleiben. Alle diese Datenkompressionstechniken funktionieren nicht mehr, wenn die Verschlüsselung vom Storage in höhere Ebenen – beispielsweise Datenbank, Hypervisor oder Anwendung – verlagert ist.

Dies stellt ein Problem für Anwender dar, die sich auf AFAs verlassen. Denn sie haben jetzt eine schwierige Wahl zu treffen: Ist es notwendig, Daten zu sichern und die drei- bis fünffachen Kosten der kostenintensivsten Infrastruktur zu verursachen, oder sollten Kundendaten ungeschützt bleiben und somit große Geschäftsrisiken aufgrund von Inkompatibilitäten entstehen? Keine der beiden Optionen ist für ein Unternehmen akzeptabel.

Die richtige Verschlüsselungsstrategie sollte auch die unterschiedlichen Rollen der Administratoren berücksichtigen. Bild: Infinidat

Die AFAs können theoretisch die Daten entschlüsseln, um die Datenreduktion aufrechtzuerhalten. Dies ist allerdings mit weitreichenden Konsequenzen verbunden:

  • höhere CPU-Auslastung: Der rechenintensive Betrieb und sowohl das Lesen als auch das Schreiben erfordern Verschlüsselung im Datenpfad,
  • höhere Latenzzeit: Die Verschlüsselungsoperationen er-folgen im Datenpfad, und
  • reduzierte Sicherheit: Die Daten sind schließlich im Storage-Array mit den Schlüsseln des Arrays gespeichert, die möglicherweise mit Self-Encrypting Drives (SEDs) interagieren, um Verschlüsselungen zu verarbeiten.

Durch diese Herausforderungen sind neue Lösungen erforderlich, die nicht auf Datenreduktion angewiesen sind, um Kosten zu senken, sondern den Standard von AFAs erfüllen oder sogar übertreffen. E2EE kann personenbezogene Daten optimal schützen und gleichzeitig die Kosten senken. Die Akzeptanz von E2EE wie auch die Verfügbarkeit der dafür notwendigen Tools wächst kontinuierlich. Solche Lösungen können Datenbanken verschlüsseln, etwa Oracle, MS SQL Transparent Data Encryption, MySQL Enterprise Encryption sowie Hypervisoren wie VMware VM-Encryption. Dies gilt auch für einzelne Gast-Sessions oder Anwendungen wie Vormetric von Thales Security. Die transparenten Lösungen bieten einen einzigen Integrationspunkt pro Anwendung. Dies reduziert auch die betriebliche Belastung durch den Datenschutz: Das Unternehmen kann mit einem zentralen Schlüssel-Management-System arbeiten, das die operativen Probleme löst.

Auswahl des passenden Systems

Beim Aufbau einer DSGVO-konformen Umgebung sind viele Punkte zu berücksichtigen. Zunächst sollte ein Betreiber eine transparente Verschlüsselungslösung wählen, die sich gut in die bestehende Infrastruktur integriert und gleichzeitig den Bedarf an zusätzlichen Schutzlösungen minimiert. Außerdem bedarf es einer Lösung, um private Daten zu schützen, die in allen Legacy-Anwendungen auf alten Betriebssystemen vorkommen. Eine Verschlüsselung auf Hypervisor- oder Datenbankebene kann dabei zum Erfolg führen. Zudem gilt es, die Server-Hardware, die die hardwarebeschleunigte Verschlüsselung unterstützt, entsprechend der Anforderungen des Unternehmens auszuwählen. Zusätzlich muss die Verschlüsselungssoftware die Ressourcen der CPU optimal nutzen. Bei der Auswahl eines Schlüssel-Management-Systems sollte der Schwerpunkt auf einer einfachen Administration und Integration liegen. Anschließend muss derBetreiber eine Frist setzen, ab der alle neuen Anwendungen mit End-to-End-Verschlüsselung ablaufen. Schließlich gilt es, die neuen Storage-Strategien zu evaluieren, um Verbesserungspotenziale zu identifizieren.

Eran Brown ist CTO für EMEA beim Storage-Hersteller Infinidat, www.infinidat.com.