:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Kommentar von Thorsten Krüger, Thales Data Lake Security – Anforderungen und Lösungsansätze
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
In der digitalen Welt sind Daten der neue Rohstoff. Die Datenströme sind inzwischen jedoch so endlos geworden, dass Unternehmen sie in Datenspeicher ablegen müssen, ohne genau zu wissen, wie wertvoll diese Daten eigentlich sind. Das Ziel ist, mit den ausgewerteten Daten die eigene Leistungsfähigkeit zu erhöhen, bestehende Geschäftsmodelle zu optimieren oder aber gänzlich neue zu entwerfen.
Mit der stetigen Zunahme der Daten wächst auch die Größe und die Nachfrage nach diesen Repositories mit jedem Tag exponentiell. Unternehmen stehen dabei verschiedene Arten von Repositories zur Speicherung großer Datenmengen zur Verfügung. Laut einem Bericht von Domo aus dem Jahr 2018 werden täglich etwa 2,5 Exabytes (ein Exabyte entspricht einer Trillionen Bytes) an Daten generiert, viele davon sensible Geschäftsdaten. Für das Jahr 2020 wird sogar damit gerechnet, dass für jeden Menschen auf der Erde ca. 1,7 Megabyte Daten pro Sekunde generiert werden. In Anbetracht dieser enormen Datenmenge ist es für Unternehmen schwierig, ihre Daten zentral und organisiert zu speichern. Bis zu dem Zeitpunkt, an dem sie eine nachhaltige, konkrete Lösung finden, entscheiden sich viele Organisationen für die Speicherung der Rohdaten in einem Ist-Format in zentralisierten Repositories, die allgemein als „Data Lakes“ bekannt sind.
Data Lakes sind Storage Repositories, die entweder lokal oder in der Cloud abgelegt werden. Dort werden sowohl strukturierte als auch unstrukturierte Daten zur späteren Verwendung gespeichert.
Diese Data Lakes speichern sowohl relationale Daten wie operative Datenbanken und Daten aus branchenspezifischen Anwendungen als auch nicht-relationale Daten z. B. aus mobilen Anwendungen, IoT-Geräten und sozialen Medien. Durch Crawling, Katalogisierung und Indexierung geben sie Unternehmen die Möglichkeit, die Art von Daten zu verstehen, die zu einem bestimmten Zeitpunkt verfügbar sind.
Sie funktionieren wie der Wasserkörper, nach dem sie benannt sind – Natural Lakes (Natürliche Seen), die ungefiltertes Wasser enthalten, das verarbeitet werden kann, um es trinkbar zu machen. So wie Wasser eine kostbare Ressource ist, so sind auch die in Data Lakes gespeicherten Daten von unschätzbarem Wert. Deshalb müssen Schutzmaßnahmen ergriffen werden, um sie zu erhalten und zu konservieren. Hier werden viele unstrukturierte Daten im Rohformat gespeichert, darunter Text, Video, Audio, mobile Aktivitäten, Aktivitäten in sozialen Medien, Geotag-Standorte und vieles mehr. Dies sind sensible Daten, die verschlüsselt werden müssen.
Schutz der Data Lakes vor Kontaminierung
Die Daten müssen deshalb beim Dateneingabeprozess und bei der Datenspeicherung abgesichert werden. Genauso wie exponiertes Wasser in einem See anfällig für Verunreinigung (und Missbrauch) ist, drohen den ungefilterten sensiblen Rohdaten in Data Lakes in Ermangelung starker Schutzmechanismen unmittelbare Gefahren durch Lecks, Sicherheitsvorfälle und Diebstahl. Wenn es um den Schutz sensibler Daten in Data Lakes geht, gelten „unbefugter Zugriff“ und „Datendiebstahl“ weithin als die beiden größten Sicherheitsherausforderungen.
Die Verschlüsselungsschlüssel und die Zugriffsrichtlinien müssen getrennt von den Anwendungseigentümern auf einem FIPS 140-2-konformen, vollautomatischen externen Schlüsselmanager verwaltet werden. So wird die Aufgabentrennung gewährleistet und sichergestellt, dass die Verschlüsselungsschlüssel von den Datenschlüsseln getrennt sind und der Best Practice und den DSGVO-Anforderungen entsprechend behandelt werden. Die Verschlüsselungsschlüssel werden aus externen, nach FIPS 140-2, Stufe 3 zertifizierten Lösungen (neuester PKS-Standard) generiert.
Das Bedrohungspotenzial
Hier gilt es zunächst zwei Perspektiven einzunehmen, die eines externen und die eines internen Akteurs.
- Externe Perspektive: Dies sind laufende Angriffe, die das Netzwerk noch nicht durchbrochen haben. Sie umfassen fortgeschrittene persistente Bedrohungen (APTs), Denial-of-Service (DDoS)-Angriffe und Zero-Day-Angriffe. Unternehmen müssen sowohl gegen bekannte Angriffssignaturen als auch vor neuen Arten von Angriffen schützen.
- Bedrohung durch böswillige Insider: Personen, die innerhalb des Unternehmens arbeiten und ihre Zugriffsrechte nutzen, um ihrem Arbeitgeber Schaden zuzufügen oder ihn zu betrügen. Sie können auch in der Systemverwaltung die PII und sensiblen Daten, die dort geschützt werden, einsehen und diese kopieren.
Wenn es um den Schutz sensibler Daten geht, kommen hauptsächlich zwei Angriffsvektoren zum Tragen: Unautorisierter Zugang und Datendiebstahl.
1. Unautorisierter Zugang
Wenn der Zugang zu den Data Lakes nicht durch Autorisierung geschützt ist, können die darin enthaltenen Daten leicht von jedermann eingesehen und missbraucht werden. Wenn diese Daten sensible persönliche Informationen, Finanzdaten von Unternehmen, technische Geschäftsgeheimnisse usw. enthalten, wird die Absicherung der Zugriffe durch Kontrolle der Identität und der Zugriffsberechtigung zu einem entscheidenden Faktor für die Datensicherheit.
2. Datendiebstähle
Selbst wenn geeignete Zugriffskontrollmechanismen vorhanden sind, können Datendiebstähle nicht ausgeschlossen werden, insbesondere wenn es um Sabotageversuche von Firmeninsidern geht. Aus diesem Grund schreiben zahlreiche Aufsichtsbehörden weltweit den Einsatz von Verschlüsselungstechnologien zum Schutz sensibler Daten als branchenübliche Praxis vor.
Wenn Data Lakes kompromittiert und Daten gestohlen werden, führt das zum einen zu massivem Imageverlust für das Unternehmen. Zum anderen muss die Geschäftsleitung des Unternehmens haften, wenn sich herausstellt, dass die Sorgfaltspflicht im Umgang mit vertraulichen Daten oder gesetzliche Vorgaben zum Datenschutz (PCI DSS, DSGVO etc.) nicht umgesetzt wurden. Dies führt zu einem Vertrauensverlust bei den Geschäftspartnern des Unternehmens.
Beispiel Sicherheitsvorfall bei der kanadischen Bank of Montreal
Es gibt bereits zahlreiche Beispiele, in denen Data Lakes kompromittiert und Daten gestohlen wurden. Ein Beispiel dafür ist der Vorfall bei der kanadischen Bank of Montreal 2018. Von dem Datendiebstahl waren über 50.000 Kunden der Bank betroffen. Im Juli hatte ein US-Hacker den Data Lake des Cybersicherheitsunternehmens NightLion geknackt und dabei mehr als 8.200 Datensätze kopiert. Je mehr Unternehmen also diese Art der Datenspeicherung nutzen, desto interessanter wird sie für die Angreifer.
Fazit: Die Daten in den Data Lakes müssen vor Missbrauch geschützt werden
Wenn es um Datenmissbrauch geht, ist die Frage nicht „ob“, sondern „wann“ es passiert. Da immer mehr sensible Daten in Data Lakes gespeichert werden, funktionieren reine Perimeter-Abwehrsysteme nicht so effektiv wie die Verschlüsselung der sensiblen Daten selbst.
Unternehmen müssen die Kontrollen um den Datenfluss herum aufbauen, von der Zugriffsebene über die Anwendungsebene bis hin zur Speicherebene. Dies umfasst sowohl die Segmentierung als auch den Datenschutz. Die Dokumentensicherheit wiederum setzt am Endpunkt an und sollte als zusätzliche Kontrolle um die Daten herum erfolgen. Die Daten in den Data Lakes sollten mit Verschlüsselungsalgorithmen wie 3DES, AES-192/256, SHA-256, SHA-384, SHA-512 gesichert werden. Außerdem empfiehlt sich die Unterstützung von RSA-2048, RSA- 3072, RSA-4096 und ECC.
Mit seinem robusten Portfolio aus Verschlüsselung, zentralisiertem Schlüsselmanagement und Identitätsmanagement mit Zugriffskontrollen bietet Thales einen umfassenden Schutz für die Sicherung sensibler Daten in Data Lakes. Insbesondere die Transparente Verschlüsselung von Thales befasst sich umfassend mit den Anwendungsfällen von Data Lakes zur Verschlüsselung sensibler Daten auf Betriebssystemebene. Darüber hinaus unterhält es mit stark definierten Zugriffskontrollen für einzelne Benutzergruppen effizient Audit- und Versuchsprotokolle, um Compliance-Vorschriften wie den Payment Card Industry Data Security Standard (PCI DSS) und die Datenschutzgrundverordnung (DSGVO) zu erfüllen.
(ID:47049704)
:quality(80)/p7i.vogel.de/wcms/e3/07/e30729f1bf099fdac7ecb47b45c1ae38/0111961383.jpeg "Die kryptografischen Herausforderungen für Organiastionen werden mit der Verbreitung von Quantencomputern und neuen Technologien in den kommenden Jahren steigen. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/f7/7bf732c96a478fe5eeeea05b4eb1d4f2/0112957009.jpeg "Wir zeigen 10 wichtige Tipps, wie man mit der PowerShell ganz einfach Daten verschlüsselt. (Bild: Alex - stock.adobe.com)")