:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Kommentar von Thorsten Krüger, Thales Data Lake Security – Anforderungen und Lösungsansätze
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
In der digitalen Welt sind Daten der neue Rohstoff. Die Datenströme sind inzwischen jedoch so endlos geworden, dass Unternehmen sie in Datenspeicher ablegen müssen, ohne genau zu wissen, wie wertvoll diese Daten eigentlich sind. Das Ziel ist, mit den ausgewerteten Daten die eigene Leistungsfähigkeit zu erhöhen, bestehende Geschäftsmodelle zu optimieren oder aber gänzlich neue zu entwerfen.
Mit der stetigen Zunahme der Daten wächst auch die Größe und die Nachfrage nach diesen Repositories mit jedem Tag exponentiell. Unternehmen stehen dabei verschiedene Arten von Repositories zur Speicherung großer Datenmengen zur Verfügung. Laut einem Bericht von Domo aus dem Jahr 2018 werden täglich etwa 2,5 Exabytes (ein Exabyte entspricht einer Trillionen Bytes) an Daten generiert, viele davon sensible Geschäftsdaten. Für das Jahr 2020 wird sogar damit gerechnet, dass für jeden Menschen auf der Erde ca. 1,7 Megabyte Daten pro Sekunde generiert werden. In Anbetracht dieser enormen Datenmenge ist es für Unternehmen schwierig, ihre Daten zentral und organisiert zu speichern. Bis zu dem Zeitpunkt, an dem sie eine nachhaltige, konkrete Lösung finden, entscheiden sich viele Organisationen für die Speicherung der Rohdaten in einem Ist-Format in zentralisierten Repositories, die allgemein als „Data Lakes“ bekannt sind.
Data Lakes sind Storage Repositories, die entweder lokal oder in der Cloud abgelegt werden. Dort werden sowohl strukturierte als auch unstrukturierte Daten zur späteren Verwendung gespeichert.
Diese Data Lakes speichern sowohl relationale Daten wie operative Datenbanken und Daten aus branchenspezifischen Anwendungen als auch nicht-relationale Daten z. B. aus mobilen Anwendungen, IoT-Geräten und sozialen Medien. Durch Crawling, Katalogisierung und Indexierung geben sie Unternehmen die Möglichkeit, die Art von Daten zu verstehen, die zu einem bestimmten Zeitpunkt verfügbar sind.
Sie funktionieren wie der Wasserkörper, nach dem sie benannt sind – Natural Lakes (Natürliche Seen), die ungefiltertes Wasser enthalten, das verarbeitet werden kann, um es trinkbar zu machen. So wie Wasser eine kostbare Ressource ist, so sind auch die in Data Lakes gespeicherten Daten von unschätzbarem Wert. Deshalb müssen Schutzmaßnahmen ergriffen werden, um sie zu erhalten und zu konservieren. Hier werden viele unstrukturierte Daten im Rohformat gespeichert, darunter Text, Video, Audio, mobile Aktivitäten, Aktivitäten in sozialen Medien, Geotag-Standorte und vieles mehr. Dies sind sensible Daten, die verschlüsselt werden müssen.
Schutz der Data Lakes vor Kontaminierung
Die Daten müssen deshalb beim Dateneingabeprozess und bei der Datenspeicherung abgesichert werden. Genauso wie exponiertes Wasser in einem See anfällig für Verunreinigung (und Missbrauch) ist, drohen den ungefilterten sensiblen Rohdaten in Data Lakes in Ermangelung starker Schutzmechanismen unmittelbare Gefahren durch Lecks, Sicherheitsvorfälle und Diebstahl. Wenn es um den Schutz sensibler Daten in Data Lakes geht, gelten „unbefugter Zugriff“ und „Datendiebstahl“ weithin als die beiden größten Sicherheitsherausforderungen.
Die Verschlüsselungsschlüssel und die Zugriffsrichtlinien müssen getrennt von den Anwendungseigentümern auf einem FIPS 140-2-konformen, vollautomatischen externen Schlüsselmanager verwaltet werden. So wird die Aufgabentrennung gewährleistet und sichergestellt, dass die Verschlüsselungsschlüssel von den Datenschlüsseln getrennt sind und der Best Practice und den DSGVO-Anforderungen entsprechend behandelt werden. Die Verschlüsselungsschlüssel werden aus externen, nach FIPS 140-2, Stufe 3 zertifizierten Lösungen (neuester PKS-Standard) generiert.
Das Bedrohungspotenzial
Hier gilt es zunächst zwei Perspektiven einzunehmen, die eines externen und die eines internen Akteurs.
- Externe Perspektive: Dies sind laufende Angriffe, die das Netzwerk noch nicht durchbrochen haben. Sie umfassen fortgeschrittene persistente Bedrohungen (APTs), Denial-of-Service (DDoS)-Angriffe und Zero-Day-Angriffe. Unternehmen müssen sowohl gegen bekannte Angriffssignaturen als auch vor neuen Arten von Angriffen schützen.
- Bedrohung durch böswillige Insider: Personen, die innerhalb des Unternehmens arbeiten und ihre Zugriffsrechte nutzen, um ihrem Arbeitgeber Schaden zuzufügen oder ihn zu betrügen. Sie können auch in der Systemverwaltung die PII und sensiblen Daten, die dort geschützt werden, einsehen und diese kopieren.
Wenn es um den Schutz sensibler Daten geht, kommen hauptsächlich zwei Angriffsvektoren zum Tragen: Unautorisierter Zugang und Datendiebstahl.
1. Unautorisierter Zugang
Wenn der Zugang zu den Data Lakes nicht durch Autorisierung geschützt ist, können die darin enthaltenen Daten leicht von jedermann eingesehen und missbraucht werden. Wenn diese Daten sensible persönliche Informationen, Finanzdaten von Unternehmen, technische Geschäftsgeheimnisse usw. enthalten, wird die Absicherung der Zugriffe durch Kontrolle der Identität und der Zugriffsberechtigung zu einem entscheidenden Faktor für die Datensicherheit.
2. Datendiebstähle
Selbst wenn geeignete Zugriffskontrollmechanismen vorhanden sind, können Datendiebstähle nicht ausgeschlossen werden, insbesondere wenn es um Sabotageversuche von Firmeninsidern geht. Aus diesem Grund schreiben zahlreiche Aufsichtsbehörden weltweit den Einsatz von Verschlüsselungstechnologien zum Schutz sensibler Daten als branchenübliche Praxis vor.
Wenn Data Lakes kompromittiert und Daten gestohlen werden, führt das zum einen zu massivem Imageverlust für das Unternehmen. Zum anderen muss die Geschäftsleitung des Unternehmens haften, wenn sich herausstellt, dass die Sorgfaltspflicht im Umgang mit vertraulichen Daten oder gesetzliche Vorgaben zum Datenschutz (PCI DSS, DSGVO etc.) nicht umgesetzt wurden. Dies führt zu einem Vertrauensverlust bei den Geschäftspartnern des Unternehmens.
Beispiel Sicherheitsvorfall bei der kanadischen Bank of Montreal
Es gibt bereits zahlreiche Beispiele, in denen Data Lakes kompromittiert und Daten gestohlen wurden. Ein Beispiel dafür ist der Vorfall bei der kanadischen Bank of Montreal 2018. Von dem Datendiebstahl waren über 50.000 Kunden der Bank betroffen. Im Juli hatte ein US-Hacker den Data Lake des Cybersicherheitsunternehmens NightLion geknackt und dabei mehr als 8.200 Datensätze kopiert. Je mehr Unternehmen also diese Art der Datenspeicherung nutzen, desto interessanter wird sie für die Angreifer.
Fazit: Die Daten in den Data Lakes müssen vor Missbrauch geschützt werden
Wenn es um Datenmissbrauch geht, ist die Frage nicht „ob“, sondern „wann“ es passiert. Da immer mehr sensible Daten in Data Lakes gespeichert werden, funktionieren reine Perimeter-Abwehrsysteme nicht so effektiv wie die Verschlüsselung der sensiblen Daten selbst.
Unternehmen müssen die Kontrollen um den Datenfluss herum aufbauen, von der Zugriffsebene über die Anwendungsebene bis hin zur Speicherebene. Dies umfasst sowohl die Segmentierung als auch den Datenschutz. Die Dokumentensicherheit wiederum setzt am Endpunkt an und sollte als zusätzliche Kontrolle um die Daten herum erfolgen. Die Daten in den Data Lakes sollten mit Verschlüsselungsalgorithmen wie 3DES, AES-192/256, SHA-256, SHA-384, SHA-512 gesichert werden. Außerdem empfiehlt sich die Unterstützung von RSA-2048, RSA- 3072, RSA-4096 und ECC.
Mit seinem robusten Portfolio aus Verschlüsselung, zentralisiertem Schlüsselmanagement und Identitätsmanagement mit Zugriffskontrollen bietet Thales einen umfassenden Schutz für die Sicherung sensibler Daten in Data Lakes. Insbesondere die Transparente Verschlüsselung von Thales befasst sich umfassend mit den Anwendungsfällen von Data Lakes zur Verschlüsselung sensibler Daten auf Betriebssystemebene. Darüber hinaus unterhält es mit stark definierten Zugriffskontrollen für einzelne Benutzergruppen effizient Audit- und Versuchsprotokolle, um Compliance-Vorschriften wie den Payment Card Industry Data Security Standard (PCI DSS) und die Datenschutzgrundverordnung (DSGVO) zu erfüllen.
(ID:47049704)
:quality(80)/images.vogel.de/vogelonline/bdb/1944200/1944204/original.jpg "Datenbanken sind der Ort, an dem Daten gespeichert werden. Deshalb sind sie auch das Herzstück in einem Datenschutzkonzept. (Nmedia - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1952700/1952758/original.jpg "Der Datenschutz schützt nicht einfach nur Daten, sondern schützt Menschen. Er ist kein Verhinderer, sondern ein wichtiger Regulator und Steuerungsfaktor und trägt zu Akzeptanz und Vertrauen in der Bevölkerung bei. (peterschreiber.media - stock.adobe.com)")