Für IT-Manager in KMUs ist die Sicherheit ihrer Storage-, Daten- und IT-Systeme entscheidend. Wichtig ist unter anderem den Zugriff einzuschränken, um so die Vertraulichkeit, Integrität und Verfügbarkeit der Daten sicherstellen. Doc Storage erklärt Funktionen und Sicherheitsmaßnahmen, um das Risiko von Datenverlusten zu minimieren.
Antwort Doc Storage:
Sicherheit für Storage-Systeme umfasst sowohl den Schutz der Speichergeräte als auch denjenigen der darin gespeicherten Daten. Egal ob nun im eigenen Rechenzentrum oder bei irgendeinem Dienstleister, muss versehentlichen oder vorsätzlichen Beschädigungen, Veränderungen oder Zerstörungen durch unbefugte Benutzer oder Anwendungen ein Riegel vorgeschoben werden. Dieser Bereich ist für Unternehmen von entscheidender Bedeutung. Die überwiegende Zahl von Datenschutzverletzungen wird letztendlich durch ein Versagen der Datenspeichersicherheit verursacht.
Sichere Speicherung von Daten bezieht sich insgesamt auf alle manuellen und automatisierten Prozesse und Technologien, welche die Sicherheit und Integrität gespeicherter Daten gewährleisten sollen. Dies umfasst den physischen Schutz der Systeme selbst, aber auch Software. Sichere Datenspeicherung bezieht sich auf alle Datenarten, also solche auf Festplatten, tragbaren Geräten – externen Festplatten oder USB-Laufwerken – aber auch solche bei Dienstleistern abgelegte, in netzwerkbasiertem Storage-Area-Network (SAN) oder aber in Network-Attached-Storage (NAS).
Sichere Datenspeicherung lässt sich mit der Kombination verschiedener Maßnahmen erreichen. Mit Verschlüsselung, Zugriffskontroll-Mechanismen auf jedem Datenträger und in jeder Software, dem Schutz vor Viren, Würmern und anderen Bedrohungen durch Datenkorruption und schließlich der Durchsetzung und Implementierung einer abgestuften Speicher-Sicherheitsarchitektur. Sichere Datenspeicherung ist für sämtliche Organisationen unerlässlich, um Datendiebstahl zu vermeiden, allerdings zur Gewährleistung eines unterbrechungsfreien Betriebes.
Storage- & Datensicherheit & Datenschutz
Speicher- und Datensicherheit sind unauflöslich mit dem Datenschutz verbunden. Datensicherheit bedeutet in erster Linie den Schutz privater Informationen vor dem Zugriff unberechtigter Personen. Dazu gehört natürlich heute auch der Schutz vor anderen Arten von Angriffen wie Ransomware oder Angriffe, die Daten verändern und sie unzuverlässig machen. Natürlich muss neben persönlichen Informationen auch das geistige Eigentum von Nutzern oder Unternehmen geschützt werden. Dabei geht es beim Datenschutz vor allem darum, dass der Zugriff auf Daten nach weniger schädlichen Vorfällen wie System- oder Komponentenausfällen oder Naturkatastrophen verfügbar bleiben. Beide überschneiden sich in der gemeinsamen Notwendigkeit, Zuverlässigkeit und Verfügbarkeit von Informationen sicherzustellen. Aber natürlich auch in der Notwendigkeit, alle Vorfälle möglichst schnell zu überwinden, welche gespeicherte Daten bedrohen könnten. Man merkt nun, dass Datensicherheit und Datenschutz meist auf dasselbe abzielen, allerdings fachlich nichts miteinander zu tun haben.
Bevor man sich mit der Implementierung von Datenspeichersicherheit befasst, ist es natürlich wichtig, die Arten von Bedrohungen zu verstehen, denen Speichersysteme und ihre Daten ausgesetzt sind.
Bedrohungsarten lassen sich in zwei Kategorien einteilen, extern und intern. Zu den externen gehören Hacker, Cyberkriminelle und zu diesem organisierte kriminelle Gruppen, bis hin zu terroristischen Gruppen und gar Nationalstaaten. Natürlich versucht auch der liebe Wettbewerb, an geistiges Eigentum der Konkurrenz zu gelangen. Interne Bedrohungen sind (vor allem) böswillige oder verärgerte Mitarbeiter und schlecht oder nicht geschultes Personal. Daneben ist jegliche Art von Katastrophen, also Hochwasser, Feuer und andere Naturereignisse, aber auch Stromausfälle zu nennen.
Allerdings gilt es zusätzlich die Schwachstellen zu betrachten, die die Speichersysteme selbst mitbringen. Hierzu zählt beispielsweise die fehlende Verschlüsselung. Während einige teurere NAS- und SAN-Arrays eine automatische Verschlüsselung anbieten, besitzen die meisten preiswerteren Produkte eine solche Funktion nicht. Hier sind IT-Manager gezwungen, zusätzliche Software oder eine Verschlüsselungs-Appliance anzuschaffen. Ja, auch Cloud-Speicher sind ohne zusätzliche Maßnahmen eine Schwäche. Immer mehr Firmen entscheiden sich, einen Teil oder alle ihre Daten in einer externen Cloud zu speichern. Nun lässt sich natürlich immer populistisch argumentieren, Cloud-Speicher seien sicherer als lokale Lösungen.
Gefahrenquelle Datenvernichtung
Die Einführung der Cloud erhöht allerdings die Komplexität von Speicherumgebungen extrem. Die Speicherverwalter sind gezwungen, den Umgang mit neuen Werkzeugen zu erlernen und neue Verfahren zu implementieren, nur um sicherzustellen, dass Daten angemessen sicher gesichert sind. Auch die unvollständige Datenvernichtung ist eine Gefahrenquelle. Es ist kein Geheimnis, werden Daten von einer Festplatte oder anderen Speichermedien gelöscht, hinterlassen diese Spuren. Diese Spuren können unbefugte Dritte nutzen, um diese Informationen in Teilen oder gänzlich wiederherzustellen. Storage-Administratoren und -Manager müssen sicherstellen, dass alle aus egal welchen Speichern gelöschte Daten überschrieben werden, sodass sie sich nicht wiederherstellen lassen. Noch sicherer ist das gute alte Degaussen der Datenträger, also das magnetische Löschen aller Platten.
Am Ende steht natürlich die immer noch (fast überall) mangelnde physische Sicherheit. Dieser Art von Sicherheit wird in vielen Bereichen immer noch nicht genügend Aufmerksamkeit geschenkt. In vielen Fällen wird nicht berücksichtigt, dass ein Mitarbeiter oder gar ein Mitglied eines Reinigungsteams auf Speichergeräte zugreifen und Daten extrahieren oder vernichten kann. Dies umgeht dann alle sorgfältig geplanten netzwerk- und softwarebasierten Sicherheitsmaßnahmen umgangen völlig.
Vertraulichkeit, Integrität, Verfügbarkeit
Auf der höchsten Ebene versucht die Sicherheit der Datenspeicherung, CIA (Confidentiality, Integrity, Availability – Vertraulichkeit, Integrität, Verfügbarkeit) herzustellen und beizubehalten. Die Vertraulichkeit in der Art, dass Unbefugte weder über ein Netzwerk noch lokal zugreifen können. Dies sollte ein wichtiges Sicherheitsprinzip für die Speicherung sein, um Datenschutzverletzungen zu verhindern.
Datenintegrität meint, dass die gespeicherten Daten zu keinem Zeitpunkt und an keinem Ort manipuliert oder verändert werden können. Im Zusammenhang der Sicherheit von Speichersystemen bedeutet Verfügbarkeit die Minimierung des Risikos, Speicher-Ressourcen mutwillig zerstören oder unzugänglich machen zu können. Und dies umfasst natürlich sowohl absichtliche Angriffe als auch versehentliche Handlungen durch unwissendes Personal.
Um auf all diese Anforderungen zu reagieren und mit typischen Sicherheitslücken in Speichersystemen umzugehen, sollten Anwender Sicherheitsmaßnahmen in den folgenden Schritten implementieren:
Jeder Speichernutzer sollte über schriftliche Richtlinien verfügen, die die passenden Sicherheitsstufen für alle Arten von Daten angeben, über die in den Systemen gespeichert sind. Öffentliche Daten benötigen beispielsweise weitaus weniger Sicherheit als eingeschränkte oder vertrauliche Daten, und der Anwender muss über Sicherheitsmodelle, Verfahren und Werkzeuge verfügen, um angemessene Schutzmaßnahmen anzuwenden. Die Richtlinien sollten auch Details zu den Sicherheitsmaßnahmen enthalten, die auf den verwendeten Speichergeräten implementiert werden sollten.
Zugriffskontrolle ist ein Muss
Die rollenbasierte Zugriffskontrolle ist ein Muss für ein sicheres Datenspeichersystem, wenn möglich, sollte eine Multi-Faktor-Authentifizierung verwendet werden. Administratoren sollten außerdem sicherstellen, dass sie alle Standardkennworte auf ihren Speichergeräten ändern und die Verwendung sicherer Kennwörter durch Benutzer erzwingen.
Daten sollten während der Übertragung, aber auch im Ruhezustand verschlüsselt sein. Speicheradministratoren benötigen außerdem sichere Schlüsselverwaltungssysteme zum Verfolgen ihrer Schlüssel. Verschlüsselung allein reicht jedoch bei weitem nicht aus, um vollständige Sicherheit zu gewährleisten. Anwender sollten daneben auch eine Data Loss Prevention (DLP)-Lösung einsetzen. Diese hilft dabei, laufende Angriffe aufzuspüren, zu stoppen und zu analysieren.
Speichersysteme existieren nicht für sich allein. Sie müssen von starken Firewalls, einem Anti-Malware-Schutz, starken Sicherheits-Gateways, Intrusion-Detection-Systemen und wenn möglich neueren Lösungen auf der Grundlage von Analysen und der Fähigkeit zu maschinellem Lernen umgeben sein. Diese Maßnahmen können die Wahrscheinlichkeit deutlich senken, Angriffen von außen Zugriff auf Speichergeräte zu ermöglichen.
Endgeräte dürfen keine Schwachstelle darstellen
Darüber hinaus müssen Betreiber sicherstellen, dass Rechner, Telefone und alle anderen Geräte, die auf gespeicherte Daten zugreifen, über angemessene Sicherheitsmaßnahmen verfügen. Diese Endpunkte stellen andernfalls eine Schwachstelle in der Abwehr von externen Angriffen dar.
Sichere Speicher und Backups
Redundanter Speicher, also RAID-Technologie, Spiegelung und andere Techniken, trägt nicht nur erheblich zur Verbesserung der Verfügbarkeit und Leistung bei, sondern hilft in vielen Fällen, die Anzahl von Vorfälle im Bereich der Sicherheit zu verringern.
Erfolgreiche Malware- oder Ransomware-Angriffe gefährden Unternehmensspeicher so nachhaltig, dass die Wiederherstellung nurmehr aus Backups möglich ist. Daher müssen Speicherbetreiber sicherstellen, dass ihre Backup-Systeme und -Prozesse für diese Art von Vorfällen, aber auch für alle anderen Disaster-Recovery-Zwecke geeignet sind. Darüber hinaus muss die Backup-Landschaft das gleiche Maß an Sicherheit aufweisen wie die primären Speichersysteme.
Kosten sind kein Argument an der Sicherheit zu sparen
Dies war eine grobe Einführung in die Themen der Speichersicherheit. Wir werden uns in den kommenden Wochen immer wieder mit einem Teilbereich dieses Sektors beschäftigen.
Und bevor jemand anfängt zu diskutieren, so nach dem Motto »wissen Sie eigentlich, was das kostet?«, dem sei nur die Frage gestellt »was kostet es denn, wenn die Daten weg sind?«. Und dem Klassiker »wir sind so uninteressant, uns greift niemand an« dem sei gesagt, dass es nur zwei Arten von Netzwerkbetreibern gibt – solche, die bereits angegriffen wurden, und solche, denen es kurz bevorsteht. Am schlimmsten sind die dran, die es nur nicht bemerkt haben. Aber damit beschäftigen wir uns noch.
Gruß
Doc Storage
Weiterführende Links:
- Doc Storage: Confidential-Computing: Erste Frameworks & Tools
- Doc Storage: Datensicherheit durch Data-Loss-Prevention
- Doc Storage: Datensicherheit durch Datenverschlüsselung
- Doc Storage: Datensicherheit durch Zugriffskontrolle
- Doc Storage: Unterschied zwischen Daten- und Speichersicherheit
- Doc Storage: Datensicherheit: Schutz von Endgeräten