Verschlüsselung und Datenverlust


Studie zum Thema Risiken unverschlüsselter Bandsicherungen für die Datensicherheit in Unternehmen - Speicherung und das Management der Schlüssel die Hauptprobleme für alle Verschlüsselungsanwendungen
Trend zu mehr Verschlüsselung: Key Management bleibt aber weiterhin die große Herausforderung - Kosten für die Wiederherstellung der Daten am Wichtigsten - Compliance-Problematiken spielen eine eher untergeordnete Rolle


(31.10.08) - Thales, Unternehmen im Bereich Informations- und Kommunikationssicherheit, veröffentlichte alarmierende Erkenntnisse der "2008 Encryption and Key Management Benchmark"-Studie. Sie wurde vom Forschungsunternehmen Trust Catalyst im Auftrag von Thales erstellt. Trotz der aufsehenerregenden Fälle verlorener und unverschlüsselter Backup-Bänder weiß über ein Drittel der Unternehmen weltweit nicht, ob sie ihre Bandsicherungen verschlüsseln sollen. Die Hälfte weiß nicht, wie und wo die Schlüssel gespeichert werden sollen.

Die Studie zeigt, dass die lange Reihe von Schlagzeilen über Datenverluste verbunden mit dem rechtlichen Druck mehr und mehr Unternehmen dazu bringt, ihre Daten und Anwendungen zu verschlüsseln. Webserver und SSL (Secure Socket Layer) stehen an der Spitze mit 94 Prozent Verschlüsselung, gefolgt von Daten- und E-Mail-Verschlüsselung auf Desktop-PCs, einschließlich kompletter Systemverschlüsselung. Die Verschlüsselung von Backup-Bändern stand jedoch nur auf Platz 11 der Liste, noch hinter der Verschlüsselung von USB-Sticks und Wechseldatenträgern.

Dieses Versäumnis stellt eine gravierende Lücke in den Datenschutzstrategien der betroffenen Unternehmen dar. Jüngste Beispiele sind der Diebstahl von 15.000 Patientenakten auf Sicherungsbändern aus der Praxis eines Arztes in Großbritannien; Kundendaten von ungefähr 650.000 Datensätzen von Kunden von J.C. Penny in den USA wurden durch den Verlust eines unverschlüsselten Sicherungsbandes gefährdet.

"Es ist ermutigend zu sehen, dass mehr und mehr Unternehmen ihre sensiblen Daten aktiv schützen, aber die Studie zeigt, dass es noch Raum für Verbesserungen gibt. Die meisten Organisationen scheinen ihre sensiblen Daten in einer unorganisierten und unstrukturierten Weise zu sichern, was das Unternehmen und die Daten in Gefahr bringt", sagte Bryta Schulz, Vice President Product Marketing bei Thales Information Systems Security. "Besonders überraschend ist, dass so wenige Sicherheitsmaßnahmen für die Sicherung der Backup-Bänder ergriffen werden, obwohl mit dem Verlust von Sicherungsbändern und der Wiederherstellung der Daten große Risiken verbunden sind. Unserer Meinung nach zeigt das die Probleme der Unternehmen mit dem Key Management für Speicheranwendungen."

Der Bericht zeigt weiterhin, dass die Speicherung und das Management der Schlüssel die Hauptprobleme für alle Verschlüsselungsanwendungen darstellen. Auf die Frage, wo die Schlüssel gespeichert würden, antworteten mehr als 40 Prozent der Befragten mit "weiß ich nicht" für sieben von insgesamt 13 Verschlüsselungsanwendungen. Wenn die Befragten nicht wussten, wo sie ihre Schlüssel speichern würden, war die beliebteste Antwort "In der Software auf der Festplatte”.

"Es ist beunruhigend zu sehen, dass der hohe Level der geplanten Verschlüsselung sich nicht mit dem Verständnis für die dazugehörigen Risiken in Verbindung mit der Speicherung und Wiederherstellung verschlüsselter Daten deckt. Best Practice für den Schutz dieser Schlüssel ist ein Hardware Security-Modul", führt Schulz weiter aus.

Neben Verschlüsselungsanwendungen und der Speicherung von Schlüsseln spricht der Bericht die Art des Key Managements an. Ein effektives Key Management ist unerlässlich, um verschlüsselte Daten zugänglich zu machen und Störungen des Geschäftsprozesses und Kosten zu vermeiden; die Kompromittierung eines Schlüssels kann Daten in Gefahr bringen, der Verlust eines Schlüssels kann den Totalverlust der Information bedeuten.

Die Kosten für die Wiederherstellung der Daten und den Geschäftsausfall standen an der Spitze der Liste, wenn es um verlorene oder kompromittierte Schlüssel geht. Compliance steht dabei erst an dritter Stelle. In Bezug auf Fragen zu Sicherungskopien, Widerrufen und Abkündigen von Schlüsseln um unbefugten Zugriff zu vermeiden, antworteten 69,3 Prozent der Befragten, sie zögen automatisierte zentrale Management-Systeme manuellen Lösungen vor.

"Nach dem Privacy Rights Clearing House wurden seit 2005 über 234 Millionen Accounts kompromittiert und hunderte Millionen weitere sind in Gefahr", führt Schulz weiter fort. "So ist es beruhigend zu sehen, dass Verschlüsselung auf der Agenda steht und dass Unternehmen erkennen, dass ein unternehmensweiter Ansatz für Verschlüsselung und Key Management notwendig ist. Ohne Automatisierung führen zeitaufwändige manuelle Prozesse zu höheren Risiken, höheren Betriebskosten, einer reduzierten Arbeitsleistung, einer mangelnden Durchsetzung von Richtlinien und im schlimmsten Fall zum totalen Datenverlust." (Thales: ra)



Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen