Der Schlüssel zum Datenschutz
Viele Jahre lang wurde die Datenverschlüsselung als Patentlösung angesehen. In den letzten Jahren hat sich bei vielen Organisationen jedoch das Bewusstsein erhöht, dass der erste Schritt hin zu einem effektiven Datenschutz darin liegt, erst einmal zu definieren, welche Art von Dateien überhaupt geschützt werden müssen und wo sie angreifbar sind.
Dies führt dazu, dass Firmen nun vermehrt auf unter-nehmensweite Strategien zum Datenschutz setzen und die Verschlüsselung nicht mehr nur als eine Reihe von Insellösungen ansehen. Die Global Encryption Trend Study von 2012, ein unabhängiger, von Thales geförderter Forschungsbericht des Ponemon Institute, der einmal pro Jahr herausgegeben wird, zeigt, dass heute in der Mehrheit der Firmen erstmals eine formelle Verschlüsselungsstrategie durchgehend im Unternehmen zur Anwendung kommt.
Der Fokus auf Verschlüsselung als ein Thema des strategischen Geschäftsbetriebs wird noch dadurch gestärkt, dass Führungskräfte, die nicht aus dem IT-Bereich kommen, immer mehr Einfluss auf die Verschlüsselungsstrategie eines Unternehmens nehmen. Geschäftsführer sind heute in den USA zum ersten Mal die Gruppe mit dem größten Einfluss bei der Bestimmung einer Verschlüsselungsstrategie, noch vor den IT- und Sicherheitsteams. Dazu kommt, dass der Prozentsatz des Budgets im Bereich IT für die Verschlüsselung immer weiter wächst und sich seit Beginn der Studie im Jahr 2005 von zehn auf 18 Prozent beinahe verdoppelt hat.
Wahrgenommene Bedrohungen und Motive
Bezogen auf die Frage, warum Unternehmen so viel Wert auf Verschlüsselung legen, überraschten die Umfrageergebnisse ein wenig. Wahrnehmungen über die wesentlichsten Bedrohungen in Bezug auf die Freigabe sensibler oder vertraulicher Daten zeigen, dass das Risiko einer versehentlichen Freigabe mehr als doppelt so hoch ist wie das Risiko eines böswilligen Angriffs.
Neben Fehlern durch Mitarbeiter sind unbeabsichtigte undichte Stellen, die durch e-Discovery und kriminaltechnische Anforderungen sowie allgemeine Fehlfunktionen hervorgerufen werden, die häufigsten Quellen für eine versehentliche Freigabe. Das erklärt vielleicht, warum Organisationen ihren Ruf schützen und andererseits die Auswirkungen von Verletzungen der Datensicherheit verringern wollen – der Gedanke dahinter ist, dass, wenn der Verlust sensibler Daten ohnehin nicht wirklich verhindert werden kann, mittels Verschlüsselung zumindest die Auswirkungen gemindert werden können.
Natürlich haben manche Organisationen in bestimmten Industriezweigen keine andere Wahl als auf Verschlüsselung zurückzugreifen, und so stand wenig überraschend die Einhaltung der Aufträge an dritter Stelle in der Liste der Treiber.
Laufzeitkurve von Verschlüsselungen
Überraschungen gab es auch bei der Frage, wie Organisationen die Verschlüsselung umsetzen. Mehr als zwei Drittel der Umfrageteilnehmer sagten, dass ihre Unternehmen fünf oder mehr verschiedene Verschlüsselungstechniken anwenden, von der Datenverschlüsselung auf Laptops bis hin zu Datenbanken, bei Anwendungen und in Clouds sowie bei Netzwerken und E-Mail-Systemen. Heraus kam ein bruchstückhaftes Bild, bei dem sich kein Bereich als das dominante Anwendungsszenario hervortat.
Richard Moulds ist Vice President Strategy der Thales e-Security, GB-Cambridge.
E-Mail: rechard.moulds@thalesesec.com
www.thales-esecurity.com
Allerdings zeigte sich ein interessanter Trend, nämlich eine klare Interessenverschiebung von relativ veralteten statischen Technologien wie etwa Laptop- und Netzwerkverschlüsselungen hin zu ausgereifteren Anwendungen, die darauf abzielen, Daten in Echtzeit zu schützen, wie sie bei Apps, Datenbanken und Cloud-basierten Diensten zur Anwendung kommen – das Konzept einer „Laufzeitkurve für Verschlüsselungen“ scheint sich herauszubilden.
Je weiter eine Organisation auf dieser Laufzeitkurve voranschreitet, desto wichtiger wird ihre Key-Management-Strategie, da komplexe Anwendungsfälle viel kontextbezogenere Richtlinien verlangen. Auch wenn das ewig präsente Schreckgespenst der Leistung bei der Anwendung von Verschlüsselung immer noch das meiste Kopfzerbrechen bereitet, wird es nun dicht von der Sorge über das Key-Management und die Durchsetzung der Richtlinien gefolgt.
Das ist wahrscheinlich der Grund dafür, dass 38 Prozent der Umfrageteilnehmer heute sagen, dass sie eine formelle Key-Management-Strategie besitzen und insgesamt einen Anstieg von 25 Prozent bei Ausgaben für Key-Management-Lösungen als Teil ihres Verschlüsselungsbudgets angeben.
Standard ist bekannt
Der Standard für das Protokoll zur Interoperabilität von Key-Management (Key Management Interoperability Protocol, KMIP), der es Unternehmen erlaubt, zentralisierte Key-Management-Systeme einzusetzen, die eine Vielzahl von Anwendungsfällen und Anbietern umfassen, hat bei Fachleuten im Bereich IT und IT-Sicherheit schon einen relativ hohen Bekanntheitsgrad erreicht.
Es wird erwartet, dass er Verschlüsselungs- und Key-Management-Strategien, insbesondere bei Cloud-basierten, speicherbasierten und auf Apps bezogenen Anwendungen entscheidend beeinflussen wird.
Verschlüsselung ist zu einem Hauptthema bei der strategischen IT-Sicherheit geworden, und doch bleibt das Key-Management eine Herausforderung, die womöglich noch größer wird, wenn sich der Einsatz von Verschlüsselungen immer weiter verbreitet.
Lückenhafte Key-Management-Systeme können die Betriebskosten in die Höhe treiben, attraktive Ziele für Angreifer bieten und das Risiko erhöhen, wichtige Schlüssel und somit die durch sie verschlüsselten Daten zu verlieren.
Passend zu diesem Artikel
Mit „Security Center SaaS“ will Genetec die Möglichkeiten für Cloud-basierte physische Sicherheit neu definieren.
I-Pro definiert vier ethische Grundsätze für die KI-Nutzung und möchte damit einen neuen Standard in der Branche für physische Sicherheit setzen.
CES Entry ist das neue cloudbasierte elektronische Schließsystem von CES. Was macht es so besonders?