Suchen

Data at Rest schützen Zehn Tipps für Datensicherheit mit Full Disk Encryption

Redakteur: Nico Litzel

Datensicherheit sollte sich nicht nur auf Daten in Bewegung beschränken. Sicherungskonzepte sollten auch – zumeist auf Festplatten – ruhende Daten berücksichtigen. Full Disk Encryption (FDE) ist ein probates Mittel. Die Speicherexperten von LSI haben zehn Regeln zusammengestellt, die es zur Verbesserung und Anwendung des Schutzes von Daten mit FDE zu beachten gilt.

Firmen zum Thema

Bei der Full Disk Encryption kommt es zu keinem Performance-Verlust, die Verschlüsselung auf den Disks erfolgt in Echtzeit.
Bei der Full Disk Encryption kommt es zu keinem Performance-Verlust, die Verschlüsselung auf den Disks erfolgt in Echtzeit.
( Archiv: Vogel Business Media )

Seit einiger Zeit bieten Festplattenhersteller Disks mit integrierter Krypto-Engine an. Selbst wenn die Datenträger in falsche Hände geraten, geben sie ihre Informationen dank einer Hardware-basierenden Verschlüsselung nicht preis. Folgende zehn Tipps von LSI sollten Anwender beachten.

1. Sichere Daten – sichere Zukunft: Unternehmen müssen sich und ihre Kunden vor einem kompromittierenden Datenverlust schützen. Ein Diebstahl oder der Verlust von Datenträgern, etwa beim Transport oder bei einem Umzug, kostet Glaubwürdigkeit kann den Bestand eines Unternehmens ernsthaft gefährden.

2. Licht aus, Daten verschlüsseln: Bei der Außerbetriebnahme von Speichergeräten ist dafür zu sorgen, dass die Daten auch mit forensischen Mitteln nicht wieder herstellbar sind. Full Drive Encryption ist ein absolut sicheres Verfahren.

3. Gleich bei der Festplatte beginnen: Unternehmen sollten sich für ein Verfahren entscheiden, das bereits an der Datenquelle ansetzt, also auf der Festplatte. Dieses Vorgehen wird von der SNIA (Storage Networking Association) ausdrücklich empfohlen. Eine Kombination von Verfahren zum Schutz von Daten in Bewegung, etwa auf Netzwerken, ist natürlich ebenfalls notwendig.

4. Schutz und Aufwand in der Balance halten: Der Gesetzgeber verpflichtet Anwender und Betreiber zum ausreichenden Schutz von Daten, unter anderem durch das Datenschutzgesetz, aber auch in diversen fiskalischen Regelungen. Oft ist dabei von der Zumutbarkeit der Maßnahmen zum Schutz die Rede. FDE ist eine preiswerte und sichere Lösung. Einschränkungen der Leistungsfähigkeit gibt es keine, die Verschlüsselung auf den Festplatten erfolgt in Echtzeit.

5. Vorschriften kennen: Unternehmen sollten darauf achten, dass das eingesetzte Sicherungsverfahren einer behördlichen Überprüfung standhält und einschlägigen Standards entspricht. Die für FDE angewandte Methodik verwendet AES und ist gemäß FIPS 140-1 zertifiziert. Diese US-Zertifizierung wird auch von deutschen Behörden anerkannt.

6. Schlüssel und Schloss clever aufbewahren: Das Kryptoverfahren sollte so arbeiten, dass die für Entschlüsselung notwendigen Schlüssel die Festplatte niemals verlassen, sodass eine Unterwanderung ausgeschlossen ist. Zum Entsperren der Daten ist ein weiterer Schlüssel notwendig, der sich außerhalb der Festplatten – entweder auf dem Festplattencontroller, im Speichersystem oder in einem Schlüsselverwaltungssystem – befindet.

7. Schützen Sie Ihre Schlüssel: Die Anwendung des Schlüssels zum Entsperren der Entschlüsselung sollte an die Verwendung eines Authentifizierungschemas gekoppelt sein, um eine weitere Sicherheit gegen den unautorisierten Einsatz solcher Schlüssel zu gewährleisten. Im Allgemeinen geschieht das durch ein Passwort oder Pass-Phrase.

8. Koppeln Sie die Verschlüsselung eng an die Hardware: Die Verschlüsselung und Entschlüsselung muss an die Kombination der Festplatten und die sie steuernde Hardware (Controller) unmittelbar gebunden sein. Eine Trennung von Controller und Festplatte muss die Daten im verschlüsselten Zustand hinterlassen. Das Entsperren der Daten darf erst wieder durch den Entschlüsselungsschlüssel erfolgen, das heißt, die Entschlüsselungsmaschine wird erst durch die Präsentation eines weiteren Schlüssels wieder in Gang gesetzt.

9. Prüfe, wer sich ewig bindet: Unternehmen sollten die verschiedenen angebotenen Verfahren und Lösungen hinsichtlich Sicherheit, Prüfbarkeit und vor den Hintergrund der damit verbundenen Kosten vergleichen, denn sie treffen hier eine Langzeitentscheidung.

10. Sorgfalt ist überlebenswichtig: IT-Verantwortliche sollten mit den Schlüsseln ihres Verschlüsselungssystems sorgfältig umgehen, die Verfahren sind absolut sicher, eine Unterwanderung oder ein Hacken sind unmöglich.

(ID:2049943)