:quality(80)/p7i.vogel.de/wcms/08/c4/08c4c1acaf47f600691dd605db5cd35b/0114958433.jpeg "Das sind die Gewinner der Storage-Insider Readers' Choice Awards 2023. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/32/af/32af68c76bfa25c440c69253ca98ce41/0114109630.jpeg "Storage-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/af/3d/af3de6ad104f6e703fa211f6487e6595/0107845077.jpeg "Im Rahmen einer festlichen Abendgala wurden am 20. Oktober 2022 die Gewinner der diesjährigen IT-Awards gekürt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/26/1626dac9b4d82bb34d1c5700378bb35e/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/28/00/28006286f1790aae61f9c6125893ed96/0115206741.jpeg "Die Freeware AOMEI Backupper Standard ist ein wertvolles Tool für die Datensicherung. (Bild: ©kutubQ, Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/e0/6a/e06a7723ff81f73a5c55e64a502140d3/0115098238.jpeg "Laut Zerto-Umfrage liegen bei 27 Prozent der befragten Unternehmen zwischen den angefertigten Datensicherungen mehrere Stunden, bei 13 Prozent ein oder mehrere Tage. Die in der Zwischenzeit aufgelaufenen Daten wären bei einem erfolgreichen Cyberangriff verloren. (Bild: ©PeopleImages, Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/f4/47/f4476a3f25e7154630180579e8612863/0115236815.jpeg "Eine belastbare Backup- und Disaster-Recovery-Strategie schützt vor Datenverlust – bei Ransomware-Angriffen ebenso wie bei technischen Defekten. (Bild: ©Just_Super, Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c1/56/c156324750f322441f874f59f3b2661d/0115441750.jpeg "Die NVMe SSD 990 von Samsung kommt nun in einer Variante mit 4 TB Speicherkapazität und massivem Kühlkörper. (Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/b6/25/b625430b1e917458e40b6f3fbea04b79/0115202785.jpeg "PassMark DiskCheckup überwacht Datenträger – auch in Echtzeit. (Bild: ©kyoshino, Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/e9/55/e95525dda79783302eee7ff34edc15df/0115267005.jpeg "Mit dem Storage Scale System 6000 möchte IBM nach eigener Aussage „das Potenzial von Daten und KI entfesseln“. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/5a/d3/5ad3f1f7f8b365374305dc8be779bcac/0115058690.jpeg "Eine große Menge an Daten kann schnell für Chaos sorgen. Datenmanagement hilft. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/1b/39/1b3971271ef27421143467f1c108f071/0115120954.jpeg "Morgenröte für Qumulo in der Cloud: Die neueste Version von Azure Native Qumulo soll besser skalierbar und um 80 Prozent günstiger sein als vergleichbare Storage-Services für große Datenmengen. Die Untergrenze liegt bei 100 TB. (Bild: Marco Attano - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/4b/164bd3bd83c8acd66837402a78d850fe/0115441221.jpeg "Mit Mediaflux Universal Data System will Arcitecta den Kunden ein Datenmanagement ohne Standortbeschränkungen und Hardware-Vorgaben ermöglichen. (Bild: ©Rick_Jo, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c1/18/c118015a10d2a86a2f475ae751b25ac4/0113929268.jpeg "Die Nutzung regenerativer Energien, Treibhausgasreduktion, Wassereinsparung – verschiedene Maßnahmen in Summe machen Rechenzentrumsbetrieb und Cloud-Hosting nachhaltiger und stetig „grüner“. (Bild: diloomi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/4b/a04bd75f01dc1b42d494d9b070b49b85/0115393683.jpeg "Die Objektspeicher-Appliance Dell XF960. (Bild: Dell Technologies)")
:quality(80)/p7i.vogel.de/wcms/ef/5c/ef5cfb3e00f62689b75c8e2126986381/0115312702.jpeg "HCI-Systeme führen die verfügbaren Ressourcen unter einer Abstraktionsschicht zusammen und verhindern Datensilos. (Bild: ©Funtap, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/ee/56ee9a5ff6e2f773da09ebfe8547b38b/0115381211.jpeg "Mit der Software-basierten Infrastruktur PowerFlex 4.5 will Dell das IT-Management deutlich vereinfachen. (Bild: ©Violka08, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/34/31/343110642f327d2532ac73b95e10d9bd/0115403611.jpeg "Essenziell für Archivierungslösungen sind ein effizientes Datenmanagement und Funktionen zur Einhaltung der gültigen juristischen Vorschriften. (Bild: ©abluecup, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/38/86/388656d1f4dda41f12259d5e87aa5a48/0115097220.jpeg "Proxess will sensible Unterlagen mit seinem digitalen Geschäftsleitungsarchiv vor unberechtigten Zugriffen und Manipulationen schützen. (Bild: PROXESS)")
:quality(80)/p7i.vogel.de/wcms/51/d8/51d89a398907e76b88353ac1e3bf86e0/0114542268.jpeg "Die Kuppel des Bundestages. (© su)")
:quality(80)/p7i.vogel.de/wcms/66/c1/66c1044e13b28975d99a6bf91ca7d25b/0115515131.jpeg "Gastkolumnistin Petra-Maria Grohs von Hitachi Vantara beschreibt, über welche Stellschrauben Unternehmen bezüglich des Energieverbrauches verfügen. (Bild: ©Savanevich Viktar via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/26/fc/26fc875f8f9c3fc15d80759c1b0c78ea/0115100533.jpeg "Nutanix hat mittels neuer Funktionen die Cyberresilienz seiner Cloud Platform erhöht. (Bild: Nutanix)")
:quality(80)/p7i.vogel.de/wcms/de/16/de16e2b16bd87ee1f6790d8a47162222/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/0a/63/0a6348b2b4fb421cada86145461d7628/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/92/5c/925ca2061478637c55d098d48a279132/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/ed/ee/edee6fd952b666892bd772e7161f7c52/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/9a/ce/9ace4c7a23938049d1b1fc92f846c3b9/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/64/06/6406f209b6eaa110f61e7de5aa84fe78/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
Storage Security – Daten gegen Verlust und unerwünschte Zugriffe schützen Hersteller reagieren auf Datenverluste
Das Hauptaugenmerk der Security-Spezialisten gilt meist der Absicherung von LAN und/oder WAN gegen Schadsoftware und Übergriffe aus dem Internet. Erst nach und nach beginnt sich die Erkenntnis durchzusetzen, dass auch Speichernetze und -medien entsprechend nach- beziehungsweise aufzurüsten sind.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/82900/82937/65.jpg "PointLogo4Cabgeschnitten.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133400/133405/65.png "DataCore Logo.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Spektakuläre Datenverluste sind in der IT-Welt anscheinend an der Tagesordnung: Insbesondere aus den USA mehrten sich zuletzt Berichte über Diebstähle von Laptops und Magnetbändern oder Fälle, in denen Mitarbeiter wichtige Datenbestände per iPod oder USB-Stick aus dem Unternehmen „entführten“, um diese dann irgendwo liegen zu lassen. Dabei kamen jüngst etwa den Finanzbehörden des Staates Connecticut auf einen Schlag Informationen über 106.000 Steuerzahler abhanden – einschließlich Namen, Adressen und Sozialversicherungsnummern, die in den USA so etwas wie eine persönliche Kennziffer des Betroffenen darstellen, also ähnlich wertvoll sind wie hier zu Lande der Personalausweis.
Das wäre an sich zwar schon schlimm genug; zum Skandal weiten sich etliche Fälle jedoch erst dadurch, dass die Daten – egal ob auf Tape, Harddisk, Notebook/PDA, Stick oder auch im Speichernetz selbst – unverschlüsselt vorliegen und oft noch nicht einmal per Passwort gegen unberechtigte Zugriffe geschützt sind.
Professionelle Datendiebe, die heute den Großteil der Angreifer und ihrer Auftraggeber darstellen, müssen also nur noch einschalten (respektive sich zwischen LAN und Storage-Arrays einklinken) und können sofort loslegen. Die daraus entstehenden Schäden sind nur schwer zu beziffern, dürften aber nicht selten Millionenhöhe erreichen.
Authentifizierung, DLP und Verschlüsselung
Aus diesen Gründen kümmern sich immer mehr Anbieter explizit um Storage Security, das heißt, den Schutz von Speichernetzen und -medien gegen unberechtigte Zugriffe. Wie in der „normalen“ IT-Welt auch lassen sich dabei vorbeugende Maßnahmen und Lösungen von eher defensiven unterscheiden, die beispielsweise dann greifen, wenn ein Rechner bereits gestohlen wurde. Für den Anwender stehen drei Stichworte im Zentrum: Authentifizierung, Data Loss Prevention und Verschlüsselung.
Dieser Beitrag stellt einige besonders fortgeschrittene Ansätze von EMC, Vontu, McAfee, NetApp/Decru und Quantum vor. Informationen zum praktischen Einsatz sind dabei noch nicht in allen Fällen verfügbar, da einige Produkte und Technologien erst vor kurzem auf den Markt gekommen sind.
Verschlüsselung auf Disk
Vergleichsweise einfach und leicht zu implementieren sind die Lösungen zur Datenverschlüsselung auf Festplatte oder Magnetband: Sie verhindern den Zugriff auf wertvolle Informationen auch dann, wenn die Rechner beziehungsweise die Medien bereits abhanden gekommen sind. Ein Tool für die Festplattenverschlüsselung bringen beispielsweise bereits die gehobenen Versionen von Microsofts neuer Betriebssystem-Generation Windows Vista (Enterprise und Ultimate) mit.
Der Einsatz von Bitlocker setzt allerdings eine besondere Partitionierung voraus, die sich wiederum nur mithilfe eines speziellen Tools einrichten lässt. Wer sich diesen Aufwand lieber ersparen möchte, sollte mit einem Umstieg besser noch warten, bis Microsoft solche Startschwierigkeiten beseitigt hat.
In der Zwischenzeit können Anwender auf bereits länger eingeführte, XP- und Vista-kompatible Backup- und Verschlüsselungswerkzeuge wie Networker und Retrospect von EMC/Legato, Netbackup von Symantec oder Safeguard von Utimaco zurückgreifen. Diese unterstützen alle wichtigen symmetrischen Kryptoalgorithmen (insbesondere AES-128 und AES-256) sowie Hash-Funktionen und teilweise auch asymmetrische Verschlüsselung. Deren Schutzfunktion erstreckt sich nicht allein auf die Festplatten von Remote-/Client-Rechnern und Servern, sondern umfasst ebenso die Wegstrecke, auf der die Daten übertragen werden. Im besten Fall unterstützen sie zudem Wechselmedien wie externe Festplatten, USB-Sticks, CD/DVD und Speicherkarten.
Verschlüsselung auf Tape
Das ist jedoch nicht alles: Produkte wie Networker und Netbackup eignen sich außer für das Backup-to-Disk auch für ein Backup-to-Tape und können dabei ebenso Daten chiffrieren. Einen weiteren Fortschritt brachte hier die Einführung des LTO-4-Standards im vergangenen Januar: Dieser ermöglicht eine AES-256-Verschlüsselung bereits auf der Laufwerksebene. Praktisch alle führenden Anbieter von Bandlaufwerken und Tape Libraries haben seither die „Firmware“ ihrer Geräte um entsprechende Features erweitert, darunter IBM (ab System Storage TS 3100), Sun (Storagetek DAT 72 und T 10000 Tape Drive) sowie Quantum, etwa mit den Bandbibliotheken i500 und i2000 aus der Scalar-Modellreihe. Zur iPlatform-Betriebssystemarchitektur der letzteren gehört als integraler Bestandteil das Quantum-Security-Framework, welches ebenfalls eine native 256-Bit-Verschlüsselung nach AES unterstützt.
Kontrolle statt Verlust
Daten auf Mobilrechnern und Wechselmedien zu verschlüsseln, ist sicherlich eine ebenso sinn- wie wirkungsvolle Strategie. Noch vernünftiger wäre es allerdings, wenn Anwender gar nicht erst befürchten müssten, darauf abgelegte wertvolle Informationen zu verlieren.
An diesem Punkt setzt die sogenannte Data Loss Prevention (auch: Data Loss Protection, kurz DLP) an. Bei den einschlägigen Programmen handelt es sich um Werkzeugsammlungen, die geschäftskritische Daten in ihren drei wichtigsten „Aggregatzuständen“ überwachen – nämlich „at rest“ (ruhend, das heißt, auf Desktops, Laptops oder File- und Datenbankservern), „in motion“ (in Bewegung, also bei der Übertragung im LAN, via E-Mail oder Internet) und „at the endpoint“ (als Kopie auf einem Wechselmedium/Mobilgerät).
Die Software erkennt dabei, welcher User wann und wo auf welche Dateien zugreift und ob er beispielsweise versucht, sie zu verschicken, auf CD zu brennen oder auf sein Notebook zu kopieren.
Den Markt teilten sich hier bis zum Spätsommer etliche kleine Spezialisten wie Vontu, das nun von Symantec übernommen werden soll, oder Websense mit McAfee, der Nummer 2 unter den Herstellern von Security-Software. Seit Anfang August mischt auch Speichermarktführer EMC mit, dessen Sicherheitssparte RSA das DLP-Startup Tablus übernahm. Mit dem Zukauf erweitert EMC sein Spektrum an sogenannten informationszentrierten Sicherheitslösungen um eine Komponente, welche die Klassifikation und das Wiederauffinden von Daten erleichtert und damit die Voraussetzungen schafft, um deren ungewollten Abfluss effektiv zu unterbinden. Zu diesem Zweck sollen die Tablus-Produkte mit EMCs Management-Software Infoscape verschmolzen werden.
Anspruchsvolle Lösungen
Bevor Anwender sich zur Einführung einer solchen Lösung entschließen, sollten sie allerdings bedenken, dass DLP-Programme sowohl in technischer als auch in finanzieller Hinsicht gewisse Ansprüche stellen: McAfees Data Loss Protection Host (DLP Host) etwa besteht aus einem Software-Agenten, der auf jedem PC oder Notebook im Netz zu installieren ist und alle Dateioperationen überwacht und falls nötig unterbindet, und einem Logging- und Management-Server, der die Aktionen protokolliert, Berichte generiert und zentrale Sicherheitsvorgaben an die Endpoints verschickt.
Damit das in akzeptabler Zeit geschieht, muss der Server mindestens mit einem 2,8-Gigahertz-Pentium-4-Prozessor, einem Gigabyte RAM und einer 80-Gigabyte-Festplatte bestückt sein. Die Clients sollten über einen 1-Gigahertz-Pentium-III-Prozessor und 512 Megabyte RAM verfügen. Softwareseitig ist DLP Host ganz auf Windows-Systeme zugeschnitten und verlangt nach dem Einsatz von Windows XP in der Professional-Variante sowie von Windows Server 2003 Standard Edition beziehungsweise Microsoft SQL Server 2005 Express Edition, beide mit Service Pack 1.
Anspruchsvollere Lösungen, wie etwa die von Vontu, schützen darüber hinaus neben Windows- auch UNIX-Shares sowie Lotus-Notes-Datenbanken. So viel Sicherheit sollte dem Anwender schon etwas wert sein, meinen die Hersteller: Die Basisversion eines Vontu-Systems kostet 20.000 Euro; McAfee verlangt 40 Euro für eine Einzelplatzlizenz – allerdings erst ab einer Basis von mindestens 5.000 Nutzern.
Schutz auf allen Wegen
Doch so ausgefeilt diese Konzepte auch anmuten – DLP-Programme bringen herzlich wenig, wenn diese im Klartext an die Speichergeräte übertragen werden und/oder Unbefugte in der Lage sind, auf vertrauliche Informationen zuzugreifen. Dem wiederum versuchen NetApp/Decru und abermals EMC einen Riegel vorzuschieben – ersterer mit den Appliances der Datafort-Baureihe, letzterer mit der neuen Betriebssystemgeneration Enginuity 5772, die auf den Symmetrix-Speichersystemen läuft.
Die ersten Datafort-Appliances kamen im Oktober 2002 auf den Markt. Seither haben die Systeme beständig mehr Marktanteile erobert, was mit der Übernahme durch Network Appliance im Sommer 2005 noch erleichtert wurde. Sie dienen zur hardwareunterstützten Verschlüsselung geschäftskritischer Informationen und werden zu diesem Zweck entweder zwischen die Clients und Fileserver eines LAN oder zwischen die Applikationsserver und die Storage-Systeme im Backend, also Speicherarrays und Bandlaufwerke, eingehängt – jeweils gekoppelt an einen leistungsfähigen Switch.
Sie gliedern sich problemlos in jede Speicherarchitektur (DAS, NAS, SAN, iSCSI oder Tape) ein und bleiben für die Benutzer vollkommen unsichtbar. Herzstück der Appliances ist ein Storage Encryption Processor (SEP), der Daten nach dem AES-Standard mit 256 Bit verschlüsselt, wobei die jeweiligen Schlüssel anhand von Zufallszahlen errechnet werden. Zusätzlich übernehmen sie noch das Key-Management, also die Zuweisung der Schlüssel an die einzelnen Benutzer.
Die gespeicherten Daten lassen sich überdies auf sogenannte Cryptainer verteilen, eine Art „Verschlüsselungspartitionen“, die Material aus unterschiedlichen Abteilungen oder unterschiedlicher Wichtigkeit voneinander abschotten und so eine weitere Sicherheitsschicht einziehen.
Das amerikanische National Institute for Standards and Technology (NIST) hat die Datafort-Appliances geprüft und unter anderem nach FIPS 140-2 zertifiziert, einem Standard, der in den USA für Regierungsbehörden, Banken und das Gesundheitswesen gilt und besonders hohe Anforderungen an die Verschlüsselungsleistung und das Key-Management stellt. Bedeutende Datafort-Anwender sind das U.S. Marine Corps, das Zentrale Statistikbüro der Niederlande und der auf Dokumentenmanagement und Datenvernichtung spezialisierte Dienstleister Iron Mountain.
Informationszentrierte Sicherheit „bereits eingebaut”
Doch die Entwicklung geht noch weiter: Mit der im August vorgestellten Betriebssystemgeneration Enginuity 5772, die auf den Symmetrix-Speichersystemen der Baureihen DMX-4 und DMX-3 läuft, will EMC die Speichersicherheit auf eine neue Stufe heben. Glaubt man dem Werbematerial, so hat EMC die informationszentrierte Sicherheit darin „bereits eingebaut“ und dabei vor allem Wert auf starke Authentifizierung, einen manipulationsresistenten Überblick über Management- und Support-Aktivitäten und das zuverlässige Löschen von Daten gelegt.
So können Servicekräfte nur dann auf die Maschinen zugreifen, wenn sie sich zuvor mit einem verschlüsselten Berechtigungs- und Benutzerpasswort anmelden. Wozu sie dann berechtigt sind, ist abhängig von ihrer Rolle, der Aktion, dem jeweiligen System und der Zeit. Kontrolliert wird der Anmeldevorgang durch einen eigenen Service-Prozessor, für die Authentifizierung greift EMC auf die hauseigene RSA-Technik zurück.
Hauptaktivitäten werden protokolliert
Damit nicht genug: Alle Hauptaktivitäten, wie beispielsweise der Austausch von Gerätekomponenten, aber auch gescheiterte Zugriffsversuche, werden in einem eigenen Audit-Log protokolliert, auf das wiederum nur autorisierte Benutzer Zugriff haben, ohne jedoch die Einträge abändern zu können. Abgerundet wird das Konzept durch den bereits von den Clariion-Systemen her bekannten EMC Certified Data Erasure, der ein zuverlässiges Löschen aller Informationen gewährleistet, wenn der Anwender seine Symmetrix „in den Ruhestand“ schickt.
Fazit
Storage Security ist mehr als nur ein Modewort – praktisch alle führenden Hersteller von Speichersystemen und Sicherheitslösungen haben mittlerweile Produkte im Portfolio, die auch die abgelegten Daten gegen Verlust und unerwünschte Zugriffe schützen. Eines allerdings können auch die fortschrittlichsten Lösungen dem Anwender nicht abnehmen – und das ist die Einführung und Durchsetzung geeigneter Sicherheitsregeln im Unternehmen, die dabei helfen, dass eine ganze Reihe von Problemen gar nicht erst entstehen.
(ID:2007729)
:quality(80)/p7i.vogel.de/wcms/bc/37/bc374752556db7350db0bf1a604be7c1/0109562653.jpeg "In Windows lassen sich Festplatten nicht nur mit Bordmitteln verschlüsseln, sondern auch mit weiteren Tools, die wir in diesem Artikel vorstellen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/86/2b/862b4aac660633e3eadb4ee0c57883ff/0110755372.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")