Datenverschlüsselung - Data at Rest vs. In Transit vs. In Use Optionen
Angesichts des wachsenden Datenvolumens und -umfangs müssen Unternehmen die besten Verschlüsselungsmethoden für die drei Zustände von Daten kennen, um ihre Informationen sicher zu halten.
Wichtige Punkte
- Datenverschlüsselung ist eine Kernkomponente einer modernen Datenschutzstrategie, die Unternehmen dabei hilft, Daten bei der Übertragung, während der Nutzung und im Ruhezustand zu schützen.
- Das Risikoprofil für Daten ist in jedem dieser drei Staaten unterschiedlich.
- Best-Practice-Ansätze und -Technologien können Unternehmen dabei helfen, Bedrohungen für ihre Daten abzuwehren, wo auch immer sie sich befinden mögen.
Daten sind der Treibstoff für moderne Geschäftsabläufe. Doch wie jedes wertvolle Gut sind auch Daten ein attraktives Ziel für Cyberdiebe. Da Hacker immer raffiniertere Methoden anwenden, um auf ihre Daten zuzugreifen und sie zu stehlen, wenden sich Unternehmen fortschrittlichen Verschlüsselungsmethoden zu, um dieses wichtige Gut zu schützen, sowohl innerhalb ihrer Organisationen als auch bei der Weitergabe an externe Parteien.
Was ist Datenverschlüsselung?
Bei der Datenverschlüsselung werden Informationen in einen geheimen Code (oder eine Chiffre) umgewandelt, um ihre Bedeutung zu verbergen. Mithilfe eines speziellen Verschlüsselungsalgorithmus können Unternehmen ihre Daten so verschlüsseln, dass sie für niemanden außer dem vorgesehenen Empfänger, der auf einen anderen Verschlüsselungsalgorithmus auf seiner Seite angewiesen ist, um die Informationen zu entschlüsseln, entzifferbar werden.
Die Praxis der Verschlüsselung geht auf das Jahr 4000 v. Chr. zurück, als die alten Ägypter Hieroglyphen verwendeten, um auf eine Weise miteinander zu kommunizieren, die nur sie selbst verstehen konnten. Heute wird die Verschlüsselung von Unternehmen, Behörden und Verbrauchern eingesetzt, um die auf ihren Computersystemen gespeicherten Daten sowie die Informationen zu schützen, die in und aus ihren Organisationen fließen.
Dieser letzte Punkt ist besonders für globale Organisationen von Bedeutung, da die EU neue Richtlinien für die Einhaltung von Vorschriften für den Datenaustausch zwischen den USA und den EU-Mitgliedstaaten erlassen hat. [1] Die Anforderungen an die Datensicherheit und die Einhaltung von Vorschriften werden immer strenger und komplexer werden, was einen ebenso anspruchsvollen Sicherheitsansatz erfordert.
Die drei Zustände der Daten
Wie Öl können auch Daten in mehreren Zuständen vorliegen und je nach den Bedürfnissen eines Unternehmens schnell den Zustand wechseln - zum Beispiel, wenn ein Finanzcontroller auf sensible Umsatzdaten zugreifen muss, die sonst in einer statischen Datenbank gespeichert wären.
Der erste Schritt bei der Wahl der richtigen Verschlüsselungsstrategie besteht darin, die Unterschiede zwischen drei verschiedenen Zuständen von Daten - bei der Übertragung, im Ruhezustand und bei der Verwendung - und die damit verbundenen Sicherheitsherausforderungen zu verstehen.
Was sind Daten im Transit?
Wie der Name schon sagt, handelt es sich bei Daten im Transit um Daten, die sich von einem Ort zum anderen bewegen. Dazu gehören Informationen, die über E-Mail, Kollaborationsplattformen wie Microsoft Teams, Instant-Messenger wie WhatsApp und praktisch jeden öffentlichen Kommunikationskanal übertragen werden. Diese Daten sind in der Regel weniger sicher als inaktive Daten, da sie auf ihrem Weg von einem Ort zum anderen über das Internet oder ein privates Unternehmensnetzwerk übertragen werden. Dies macht Daten im Transit zu einem bevorzugten Ziel für Angriffe.
Was sind Daten im Ruhezustand?
Daten im Ruhezustand beziehen sich auf inaktive Daten, d. h. sie werden nicht zwischen Geräten oder Netzwerken übertragen. Da diese Informationen in der Regel gespeichert oder archiviert werden, sind sie weniger anfällig als Daten im Transit. Allerdings werden alle Informationen, die Unternehmen für sich behalten, von Hackern als wertvoller angesehen, was sie zu einem Ziel für externe Angriffe macht. Zu den ruhenden Daten gehören Informationen, die in einer Datenbank archiviert sind, sowie alle Daten, die auf einer Festplatte, einem Computer oder einem persönlichen Gerät gespeichert sind.
Was sind genutzte Daten?
Daten werden verwendet, wenn ein Mitarbeiter oder eine Unternehmensanwendung auf sie zugreift oder sie nutzt. Unabhängig davon, ob die Daten gelesen, verarbeitet oder geändert werden, sind sie in diesem Zustand am stärksten gefährdet, da sie direkt für eine Person zugänglich sind, was sie anfällig für Angriffe oder menschliche Fehler macht - beides kann erhebliche Folgen haben. Die Verschlüsselung ist für den Schutz der verwendeten Daten unerlässlich, und viele Unternehmen ergänzen ihre Verschlüsselungslösungen durch zusätzliche Sicherheitsmaßnahmen wie Authentifizierung und Berechtigungen für den Datenzugriff.
Die Rolle der Verschlüsselung beim Schutz von Daten bei der Übermittlung, bei der Nutzung und im Ruhezustand
Obwohl das Risikoprofil für Daten bei der Übertragung und bei der Nutzung höher ist als für Daten im Ruhezustand, haben es Angreifer regelmäßig auf Informationen in allen drei Zuständen abgesehen. Als Opportunisten suchen sie nach allen Vermögenswerten oder geistigem Eigentum, die leicht zu knacken sind. Verschlüsselung spielt eine wesentliche Rolle in der Verteidigung eines Unternehmens in allen drei Zuständen der Daten, sei es zum Schutz sensibler Informationen, während auf sie zugegriffen wird oder sie verschoben werden, oder zur Verschlüsselung von Dateien, bevor sie gespeichert werden, um eine zusätzliche Sicherheitsebene gegen Angriffe auf interne Server zu schaffen.
Bewährte Praktiken für den Schutz von Daten bei der Übertragung, während der Nutzung und im Ruhezustand
Alle Daten, die unverschlüsselt oder ungeschützt bleiben, sind einem Risiko ausgesetzt. Die Parameter dieses Risikos variieren für die Unternehmen je nach Art ihrer Daten und je nachdem, ob sie übertragen, verwendet oder gespeichert werden, aber die Verschlüsselung ist eine Schlüsselkomponente ihrer Verteidigung an allen Fronten.
Bevor wir auf spezifische Taktiken zum Schutz von Daten in ihren drei Stadien eingehen, gibt es zwei allgemeine Best Practices, die für die Datensicherheit auf jeder Ebene gelten:
- Reaktiver Schutz funktioniert nicht: Sobald die Daten eines Unternehmens angegriffen werden, verlagert sich die Aufgabe vom Schutz zum Risikomanagement und zur Schadensbegrenzung. Anstatt aufholen zu wollen, sollten Unternehmen ermitteln, welche Daten gefährdet sind, und proaktive Verteidigungsmechanismen entwickeln, um Angriffe abzuwehren, bevor sie stattfinden.
- Intelligente Klassifizierung gleich intelligenter Schutz: Durch die Kategorisierung aller Daten und das Verständnis ihres Risikoprofils in jedem Zustand sind Unternehmen in der Lage, die effektivsten Schutzmaßnahmen zu wählen. Durch die Implementierung automatischer Protokolle wird außerdem sichergestellt, dass bei einem Wechsel der Daten zwischen verschiedenen Staaten genaue Schutzmaßnahmen ausgelöst werden, so dass die Daten immer das höchste Schutzniveau haben.
Zu den bewährten Praktiken für Daten im Transit gehören:
- Bauen Sie solide Grundlagen auf: Einfache Netzwerksicherheits-Tools wie Firewalls und Authentifizierung sind einfache, aber wirksame Schutzmaßnahmen gegen bösartige Angriffe und Einbruchsversuche.
- Implementieren Sie automatisierte Kontrollen: Die heutigen Datenschutztechnologien umfassen automatisierte Richtlinien, die bösartige Dateien blockieren, Benutzer darauf hinweisen, wenn sie gefährdet sind, und Daten automatisch verschlüsseln, bevor sie übertragen werden. Dies hilft Unternehmen, das wachsende Volumen von E-Mail-Anhängen, Wechsellaufwerken und Dateiübertragungen sicher zu verwalten.
- E-Mail-Verschlüsselung ist nicht optional: Die Verschlüsselung von E-Mails gewährleistet, dass ihr Inhalt sicher ist und dass Anhänge verschlüsselt werden, damit sie nicht von neugierigen Augen gelesen werden können. Die Verschlüsselung kann bei der E-Mail-Zustellung, bei der Verzeichnissynchronisierung und bei der Journalisierung eingesetzt werden und hilft sowohl bei der Sicherheit als auch bei der Klassifizierung.
- Vorbeugung von Datenverlusten mit einer DLP: Eine Lösung zur Verhinderung von Datenverlusten (DLP) hilft Unternehmen, den Verlust von geistigem Eigentum, Kundendaten und anderen sensiblen Informationen zu vermeiden. DLPs scannen alle E-Mails und ihre Anhänge und identifizieren potenzielle Lecks mithilfe flexibler Richtlinien, die auf Schlüsselwörtern, Datei-Hashes, Mustervergleichen und Wörterbüchern basieren. Verdächtige E-Mails können dann je nach den Richtlinien des Unternehmens blockiert, zur Überprüfung in Quarantäne gestellt oder über ein sicheres Messaging-Portal versendet werden.
Zu den bewährten Verfahren für die Verwendung von Daten gehören:
- Die Datenkontrolle beginnt vor der Nutzung: Der Schutz der verwendeten Daten sollte eingerichtet werden, bevor jemand auf die Informationen zugreifen kann. Sobald ein sensibles Dokument kompromittiert wurde, gibt es keine Möglichkeit mehr zu kontrollieren, was ein Hacker mit den erlangten Daten macht.
- Doppelter Einsatz für das Identitätsmanagement: Identitätsdiebstahl wird immer beliebter, vor allem, weil die Menschen immer mehr ihrer Daten online preisgeben. Mit Lösungen für das Identitätsmanagement können Unternehmen sicherstellen, dass die Nutzer die sind, für die sie sich ausgeben, bevor sie auf Dokumente zugreifen, und so das Betrugsrisiko verringern.
- Verwalten Sie das Zugriffsrecht: Unabhängig davon, ob sie den Schutz digitaler Rechte, die Verwaltung von Informationsrechten (IRM) oder eine andere Methode verwenden, setzen führende Unternehmen Sicherheitslösungen ein, um die Aktionen einzuschränken, die ein Benutzer mit den Daten durchführen kann, auf die er Zugriff hat. So kann beispielsweise ein Manager vollen Zugriff auf einen vertraulichen Leistungsbericht haben, während seine Mitarbeiter das Dokument nur lesen können, ohne die Möglichkeit, es zu bearbeiten oder mit Kollegen zu teilen.
Zu den bewährten Verfahren für ruhende Daten gehören:
- Gehen Sie auf Nummer sicher mit der Festplattenverschlüsselung: Ein verlorener Laptop oder ein verlorenes Gerät kostet nur ein paar hundert Dollar, aber die Daten auf der Festplatte können ein Vermögen kosten, wenn sie in die falschen Hände geraten. Die vollständige Festplattenverschlüsselung stellt sicher, dass böswillige Benutzer ohne die erforderlichen Logins keinen Zugriff auf die Daten auf einem verlorenen Laufwerk haben.
- DLPs als Retter in der Not: Neben dem Schutz von Daten bei der Übertragung ermöglichen DLP-Lösungen Unternehmen die Suche und Lokalisierung sensibler Daten in ihren Netzwerken und die Sperrung des Zugriffs für bestimmte Benutzer. Diese Kontrollen gelten nur, solange sich die Daten im Ruhezustand befinden. Sobald auf sie zugegriffen wird oder sie verschoben werden, gelten die DLP-Schutzmaßnahmen für die anderen Zustände der Daten.
- Erweitern Sie die Verlustprävention auf die Cloud: Cloud Access Security Broker (CASBs) ermöglichen es Unternehmen, DLP-Richtlinien auf Informationen anzuwenden, die sie in der Cloud speichern und freigeben. Dazu gehören Backend-Systeme und Kollaborationsplattformen wie Slack oder Microsoft 365. Der Mechanismus eines CASB ähnelt dem eines DLP, wobei die Richtlinien und Funktionen auf eine Cloud-Umgebung zugeschnitten sind.
- Sicherheit wird mobil: Mobiltelefone und Tablets sind wichtige Bestandteile des modernen Arbeitsplatzes, und die Verwaltung mobiler Geräte (MDM) wird immer beliebter, um die auf diesen Geräten gespeicherten Daten zu verwalten. MDM-Tools beschränken den Datenzugriff auf Geschäftsanwendungen, sperren Geräte, die in die falschen Hände geraten, und verschlüsseln alle darauf befindlichen Daten, so dass sie nur von zugelassenen Benutzern entziffert werden können.
Die Quintessenz
Die Datenverschlüsselung ist ein zentrales Element des Sicherheitspuzzles, denn sie schützt vertrauliche Informationen bei der Übertragung, während der Nutzung oder im Ruhezustand. Vor allem der E-Mail-Verkehr ist anfällig für Angriffe, da Unternehmen alles von Kundendaten bis hin zu Finanzdaten über E-Mail-Server wie Outlook austauschen. Mit der richtigen Taktik und den richtigen Lösungen können Unternehmen ihre Informationen vor Datenverlusten schützen, zusätzlich zu den Geldstrafen, Rechtskosten und Umsatzeinbußen, die häufig mit einer größeren Sicherheitsverletzung einhergehen.
[1] " Datensouveränität und Einhaltung des Datenschutzes nach Schrems II ," Infosecurity Magazine
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!