Storage Security – Daten gegen Verlust und unerwünschte Zugriffe schützen

Hersteller reagieren auf Datenverluste

14.11.2007 | Autor / Redakteur: Thomas Böcker / Nico Litzel

Das Hauptaugenmerk der Security-Spezialisten gilt meist der Absicherung von LAN und/oder WAN gegen Schadsoftware und Übergriffe aus dem Internet. Erst nach und nach beginnt sich die Erkenntnis durchzusetzen, dass auch Speichernetze und -medien entsprechend nach- beziehungsweise aufzurüsten sind.

Spektakuläre Datenverluste sind in der IT-Welt anscheinend an der Tagesordnung: Insbesondere aus den USA mehrten sich zuletzt Berichte über Diebstähle von Laptops und Magnetbändern oder Fälle, in denen Mitarbeiter wichtige Datenbestände per iPod oder USB-Stick aus dem Unternehmen „entführten“, um diese dann irgendwo liegen zu lassen. Dabei kamen jüngst etwa den Finanzbehörden des Staates Connecticut auf einen Schlag Informationen über 106.000 Steuerzahler abhanden – einschließlich Namen, Adressen und Sozialversicherungsnummern, die in den USA so etwas wie eine persönliche Kennziffer des Betroffenen darstellen, also ähnlich wertvoll sind wie hier zu Lande der Personalausweis.

Das wäre an sich zwar schon schlimm genug; zum Skandal weiten sich etliche Fälle jedoch erst dadurch, dass die Daten – egal ob auf Tape, Harddisk, Notebook/PDA, Stick oder auch im Speichernetz selbst – unverschlüsselt vorliegen und oft noch nicht einmal per Passwort gegen unberechtigte Zugriffe geschützt sind.

Professionelle Datendiebe, die heute den Großteil der Angreifer und ihrer Auftraggeber darstellen, müssen also nur noch einschalten (respektive sich zwischen LAN und Storage-Arrays einklinken) und können sofort loslegen. Die daraus entstehenden Schäden sind nur schwer zu beziffern, dürften aber nicht selten Millionenhöhe erreichen.

Authentifizierung, DLP und Verschlüsselung

Aus diesen Gründen kümmern sich immer mehr Anbieter explizit um Storage Security, das heißt, den Schutz von Speichernetzen und -medien gegen unberechtigte Zugriffe. Wie in der „normalen“ IT-Welt auch lassen sich dabei vorbeugende Maßnahmen und Lösungen von eher defensiven unterscheiden, die beispielsweise dann greifen, wenn ein Rechner bereits gestohlen wurde. Für den Anwender stehen drei Stichworte im Zentrum: Authentifizierung, Data Loss Prevention und Verschlüsselung.

Dieser Beitrag stellt einige besonders fortgeschrittene Ansätze von EMC, Vontu, McAfee, NetApp/Decru und Quantum vor. Informationen zum praktischen Einsatz sind dabei noch nicht in allen Fällen verfügbar, da einige Produkte und Technologien erst vor kurzem auf den Markt gekommen sind.

Verschlüsselung auf Disk

Vergleichsweise einfach und leicht zu implementieren sind die Lösungen zur Datenverschlüsselung auf Festplatte oder Magnetband: Sie verhindern den Zugriff auf wertvolle Informationen auch dann, wenn die Rechner beziehungsweise die Medien bereits abhanden gekommen sind. Ein Tool für die Festplattenverschlüsselung bringen beispielsweise bereits die gehobenen Versionen von Microsofts neuer Betriebssystem-Generation Windows Vista (Enterprise und Ultimate) mit.

Der Einsatz von Bitlocker setzt allerdings eine besondere Partitionierung voraus, die sich wiederum nur mithilfe eines speziellen Tools einrichten lässt. Wer sich diesen Aufwand lieber ersparen möchte, sollte mit einem Umstieg besser noch warten, bis Microsoft solche Startschwierigkeiten beseitigt hat.

In der Zwischenzeit können Anwender auf bereits länger eingeführte, XP- und Vista-kompatible Backup- und Verschlüsselungswerkzeuge wie Networker und Retrospect von EMC/Legato, Netbackup von Symantec oder Safeguard von Utimaco zurückgreifen. Diese unterstützen alle wichtigen symmetrischen Kryptoalgorithmen (insbesondere AES-128 und AES-256) sowie Hash-Funktionen und teilweise auch asymmetrische Verschlüsselung. Deren Schutzfunktion erstreckt sich nicht allein auf die Festplatten von Remote-/Client-Rechnern und Servern, sondern umfasst ebenso die Wegstrecke, auf der die Daten übertragen werden. Im besten Fall unterstützen sie zudem Wechselmedien wie externe Festplatten, USB-Sticks, CD/DVD und Speicherkarten.

Verschlüsselung auf Tape

Das ist jedoch nicht alles: Produkte wie Networker und Netbackup eignen sich außer für das Backup-to-Disk auch für ein Backup-to-Tape und können dabei ebenso Daten chiffrieren. Einen weiteren Fortschritt brachte hier die Einführung des LTO-4-Standards im vergangenen Januar: Dieser ermöglicht eine AES-256-Verschlüsselung bereits auf der Laufwerksebene. Praktisch alle führenden Anbieter von Bandlaufwerken und Tape Libraries haben seither die „Firmware“ ihrer Geräte um entsprechende Features erweitert, darunter IBM (ab System Storage TS 3100), Sun (Storagetek DAT 72 und T 10000 Tape Drive) sowie Quantum, etwa mit den Bandbibliotheken i500 und i2000 aus der Scalar-Modellreihe. Zur iPlatform-Betriebssystemarchitektur der letzteren gehört als integraler Bestandteil das Quantum-Security-Framework, welches ebenfalls eine native 256-Bit-Verschlüsselung nach AES unterstützt.

Kontrolle statt Verlust

Daten auf Mobilrechnern und Wechselmedien zu verschlüsseln, ist sicherlich eine ebenso sinn- wie wirkungsvolle Strategie. Noch vernünftiger wäre es allerdings, wenn Anwender gar nicht erst befürchten müssten, darauf abgelegte wertvolle Informationen zu verlieren.

An diesem Punkt setzt die sogenannte Data Loss Prevention (auch: Data Loss Protection, kurz DLP) an. Bei den einschlägigen Programmen handelt es sich um Werkzeugsammlungen, die geschäftskritische Daten in ihren drei wichtigsten „Aggregatzuständen“ überwachen – nämlich „at rest“ (ruhend, das heißt, auf Desktops, Laptops oder File- und Datenbankservern), „in motion“ (in Bewegung, also bei der Übertragung im LAN, via E-Mail oder Internet) und „at the endpoint“ (als Kopie auf einem Wechselmedium/Mobilgerät).

Die Software erkennt dabei, welcher User wann und wo auf welche Dateien zugreift und ob er beispielsweise versucht, sie zu verschicken, auf CD zu brennen oder auf sein Notebook zu kopieren.

Den Markt teilten sich hier bis zum Spätsommer etliche kleine Spezialisten wie Vontu, das nun von Symantec übernommen werden soll, oder Websense mit McAfee, der Nummer 2 unter den Herstellern von Security-Software. Seit Anfang August mischt auch Speichermarktführer EMC mit, dessen Sicherheitssparte RSA das DLP-Startup Tablus übernahm. Mit dem Zukauf erweitert EMC sein Spektrum an sogenannten informationszentrierten Sicherheitslösungen um eine Komponente, welche die Klassifikation und das Wiederauffinden von Daten erleichtert und damit die Voraussetzungen schafft, um deren ungewollten Abfluss effektiv zu unterbinden. Zu diesem Zweck sollen die Tablus-Produkte mit EMCs Management-Software Infoscape verschmolzen werden.

Anspruchsvolle Lösungen

Bevor Anwender sich zur Einführung einer solchen Lösung entschließen, sollten sie allerdings bedenken, dass DLP-Programme sowohl in technischer als auch in finanzieller Hinsicht gewisse Ansprüche stellen: McAfees Data Loss Protection Host (DLP Host) etwa besteht aus einem Software-Agenten, der auf jedem PC oder Notebook im Netz zu installieren ist und alle Dateioperationen überwacht und falls nötig unterbindet, und einem Logging- und Management-Server, der die Aktionen protokolliert, Berichte generiert und zentrale Sicherheitsvorgaben an die Endpoints verschickt.

Damit das in akzeptabler Zeit geschieht, muss der Server mindestens mit einem 2,8-Gigahertz-Pentium-4-Prozessor, einem Gigabyte RAM und einer 80-Gigabyte-Festplatte bestückt sein. Die Clients sollten über einen 1-Gigahertz-Pentium-III-Prozessor und 512 Megabyte RAM verfügen. Softwareseitig ist DLP Host ganz auf Windows-Systeme zugeschnitten und verlangt nach dem Einsatz von Windows XP in der Professional-Variante sowie von Windows Server 2003 Standard Edition beziehungsweise Microsoft SQL Server 2005 Express Edition, beide mit Service Pack 1.

Anspruchsvollere Lösungen, wie etwa die von Vontu, schützen darüber hinaus neben Windows- auch UNIX-Shares sowie Lotus-Notes-Datenbanken. So viel Sicherheit sollte dem Anwender schon etwas wert sein, meinen die Hersteller: Die Basisversion eines Vontu-Systems kostet 20.000 Euro; McAfee verlangt 40 Euro für eine Einzelplatzlizenz – allerdings erst ab einer Basis von mindestens 5.000 Nutzern.

Schutz auf allen Wegen

Doch so ausgefeilt diese Konzepte auch anmuten – DLP-Programme bringen herzlich wenig, wenn diese im Klartext an die Speichergeräte übertragen werden und/oder Unbefugte in der Lage sind, auf vertrauliche Informationen zuzugreifen. Dem wiederum versuchen NetApp/Decru und abermals EMC einen Riegel vorzuschieben – ersterer mit den Appliances der Datafort-Baureihe, letzterer mit der neuen Betriebssystemgeneration Enginuity 5772, die auf den Symmetrix-Speichersystemen läuft.

Die ersten Datafort-Appliances kamen im Oktober 2002 auf den Markt. Seither haben die Systeme beständig mehr Marktanteile erobert, was mit der Übernahme durch Network Appliance im Sommer 2005 noch erleichtert wurde. Sie dienen zur hardwareunterstützten Verschlüsselung geschäftskritischer Informationen und werden zu diesem Zweck entweder zwischen die Clients und Fileserver eines LAN oder zwischen die Applikationsserver und die Storage-Systeme im Backend, also Speicherarrays und Bandlaufwerke, eingehängt – jeweils gekoppelt an einen leistungsfähigen Switch.

Sie gliedern sich problemlos in jede Speicherarchitektur (DAS, NAS, SAN, iSCSI oder Tape) ein und bleiben für die Benutzer vollkommen unsichtbar. Herzstück der Appliances ist ein Storage Encryption Processor (SEP), der Daten nach dem AES-Standard mit 256 Bit verschlüsselt, wobei die jeweiligen Schlüssel anhand von Zufallszahlen errechnet werden. Zusätzlich übernehmen sie noch das Key-Management, also die Zuweisung der Schlüssel an die einzelnen Benutzer.

Die gespeicherten Daten lassen sich überdies auf sogenannte Cryptainer verteilen, eine Art „Verschlüsselungspartitionen“, die Material aus unterschiedlichen Abteilungen oder unterschiedlicher Wichtigkeit voneinander abschotten und so eine weitere Sicherheitsschicht einziehen.

Das amerikanische National Institute for Standards and Technology (NIST) hat die Datafort-Appliances geprüft und unter anderem nach FIPS 140-2 zertifiziert, einem Standard, der in den USA für Regierungsbehörden, Banken und das Gesundheitswesen gilt und besonders hohe Anforderungen an die Verschlüsselungsleistung und das Key-Management stellt. Bedeutende Datafort-Anwender sind das U.S. Marine Corps, das Zentrale Statistikbüro der Niederlande und der auf Dokumentenmanagement und Datenvernichtung spezialisierte Dienstleister Iron Mountain.

Informationszentrierte Sicherheit „bereits eingebaut”

Doch die Entwicklung geht noch weiter: Mit der im August vorgestellten Betriebssystemgeneration Enginuity 5772, die auf den Symmetrix-Speichersystemen der Baureihen DMX-4 und DMX-3 läuft, will EMC die Speichersicherheit auf eine neue Stufe heben. Glaubt man dem Werbematerial, so hat EMC die informationszentrierte Sicherheit darin „bereits eingebaut“ und dabei vor allem Wert auf starke Authentifizierung, einen manipulationsresistenten Überblick über Management- und Support-Aktivitäten und das zuverlässige Löschen von Daten gelegt.

So können Servicekräfte nur dann auf die Maschinen zugreifen, wenn sie sich zuvor mit einem verschlüsselten Berechtigungs- und Benutzerpasswort anmelden. Wozu sie dann berechtigt sind, ist abhängig von ihrer Rolle, der Aktion, dem jeweiligen System und der Zeit. Kontrolliert wird der Anmeldevorgang durch einen eigenen Service-Prozessor, für die Authentifizierung greift EMC auf die hauseigene RSA-Technik zurück.

Hauptaktivitäten werden protokolliert

Damit nicht genug: Alle Hauptaktivitäten, wie beispielsweise der Austausch von Gerätekomponenten, aber auch gescheiterte Zugriffsversuche, werden in einem eigenen Audit-Log protokolliert, auf das wiederum nur autorisierte Benutzer Zugriff haben, ohne jedoch die Einträge abändern zu können. Abgerundet wird das Konzept durch den bereits von den Clariion-Systemen her bekannten EMC Certified Data Erasure, der ein zuverlässiges Löschen aller Informationen gewährleistet, wenn der Anwender seine Symmetrix „in den Ruhestand“ schickt.

Fazit

Storage Security ist mehr als nur ein Modewort – praktisch alle führenden Hersteller von Speichersystemen und Sicherheitslösungen haben mittlerweile Produkte im Portfolio, die auch die abgelegten Daten gegen Verlust und unerwünschte Zugriffe schützen. Eines allerdings können auch die fortschrittlichsten Lösungen dem Anwender nicht abnehmen – und das ist die Einführung und Durchsetzung geeigneter Sicherheitsregeln im Unternehmen, die dabei helfen, dass eine ganze Reihe von Problemen gar nicht erst entstehen.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2007729 / Grundlagen)