Analyse: Datenverschlüsselung im Business
Unternehmen verschlüsseln sensible Daten zu wenig
Datenraub mit Folgen
Analyse: Datenverschlüsselung im Business
Trotz einer Reihe von Einbrüchen in IT-Systeme mit sensiblen Daten, über die die Presse in den letzten Monaten berichtete, haben die Unternehmen keine Eile, ihre gefährdeten Kundendaten zu verschlüsseln – eine Maßnahme, die es Betrügern beträchtlich erschweren würde, die gestohlenen Daten auch zu nutzen.
Jon Oltsik, Mitarbeiter bei der Analystenfirma Enterprise Strategy Group, meinte, dass nur rund ein Drittel der Unternehmen Kundendaten routinemäßig verschlüsseln. “Die zwei schwerwiegendsten Gründe, weshalb die Verschlüsselung nicht angewendet wird”, sagt er, “sind Bedenken bezüglich Kosten und Leistung”.
Richtig implementiert kann Verschlüsselung aber große Betriebssicherheit bieten, nur ist das eben nicht so einfach. Das Unternehmen muss entscheiden, was enn nun verschlüsselt wird und wie dieser Prozess shließlich gehandhabt werden soll.
Dienstleister bürgen für die Security der Großen
Analyse: Datenverschlüsselung im Business
Benjamin Jun, Technikchef beim US-amerikanischen Sicherheitsanbieter Cryptography Research, erklärt, dass die Verschlüsselung drei umfassende Funktionen ermöglicht: Durchsetzung der Policies (also Sicherheitsvorgaben) und der Nutzer-Autorisierung; Erweiterung der Vertrauensgrenzen über das Unternehmen hinaus und Schutz für Daten “im Transit”.
Die in San Francisco ansässige Firma Loyalty Lab, die Kreditkartenunternehmen hilft, Kundenbindungsprogramme zu erstellen und zu verwalten, hat normalerweise nicht mit sensiblen Daten zu tun. Aber Barak Engel, Sicherheitschef des Unternehmens, sagt: “Für unseren Verkaufszyklus ist es wesentlich günstiger, wenn wir unseren Kunden sagen können, dass wir mit guten Sicherheitsstandards konform sind.”
Loyalty Lab benötigt keinen Zugang zu den vollständigen Informationen über das Kreditkartenkonto der Verbraucher – aber für einige Kunden ist es einfacher, die ganze Datenbank zu schicken. Sie erwarten von Loyalty Lab also, dass diese jegliche sensible Information schützen und fordern in zunehmendem Maße entsprechende Zusicherungen. Deshalb hat Loyalty Lab sich für die Verschlüsselungssoftware SecureDB von dem in Großbritannien ansässigen Unternehmen nCipher entschieden, mit dem man nur eine einzige kritische Spalte in der Datenbank verschlüsseln kann: die Kreditkartennummer.
Technologie und Keyverwaltung müssen stabil sein
Analyse: Datenverschlüsselung im Business
Alle Firmen sollten entscheiden, was sie wirklich verschlüsseln müssen. Die Online-Maklerfirma Ameritrade, die 200 000 aktuelle und ehemalige Kunden informieren musste, als zwei Bänder mit Sicherungskopien voriges Jahr verloren gegangen waren, haben sich auf einen “sehr aggressiven viermonatigen Rhythmus” eingeschossen, um die Sicherheitskopien zu verschlüsseln, teilt CIO Jerry Bartlett mit. Er fügt hinzu, dass andere Verschlüsselungsprojekte von Faktoren wie dem Typ der Daten sowie der Höhe des Risikos abhängen, uns dass andere Vorsichtsmaßnahmen – wie zum Beispiel Firewalls – versagen können. Bartlett hat die Verschlüsselung von Datenbanken um mindestens noch ein Jahr verschoben – weil die Technologie noch stabiler werden muss.
Dann ist da noch das Problem der Schlüsselverwaltung – die Notwendigkeit, abzusichern, dass die richtigen Leute Zugang zu den verschlüsselten Daten haben und dass die Schlüssel nicht in die falschen Hände gelangen. Paul Kocher, Präsident und Chefwissenschaftler bei Cryptography Research meint, dass die Verschlüsselung nicht wirklich die Sicherheitsprobleme löst: “Damit wird ein großes Problem – Daten vor gierigen Blicken zu schützen – nur in ein kleineres verwandelt: Die Schlüssel von gierigen Händen fern zu halten. Verlorene Schlüssel können genauso eine große Katastrophe sein, wie ein massiver Sicherheitsbruch, warnte er.
Kocher glaubt, dass es bessere Möglichkeiten gibt. “Zwingende Authentifikationstechnologien wie Chipkartenleser sind sehr preisgünstig geworden”, meint er. ID-Management für logische Netzwerke werden zunehmend in die physische Sicherheit integriert, sagt Kocher voraus, so dass die Chipkarte, die jeden Morgen zum Einloggen benutzt wird, auch die Türen öffnen wird.