Sichere Datenübertragung mit MFT IT-Compliance dank Managed File Transfer

Autor / Redakteur: Don Jones, Concentrated Technology / Stephan Augsten

Managed File Transfer lässt sich auf die individuellen Bedürfnisse einzelner Unternehmen anpassen. Es sorgt dafür, dass die Daten bei der Übertragung konform bleiben und erfüllt die Compliance-Richtlinien, an die das Unternehmen gebunden ist.

Firma zum Thema

Compliance beim Datenaustausch steht und fällt mit der sicheren Verschlüsselung.
Compliance beim Datenaustausch steht und fällt mit der sicheren Verschlüsselung.

Für zahlreiche Unternehmen, die Daten versenden, gelten Gesetze und Industriestandards, die sich um Sicherheitsfragen drehen. Zu den Compliance-Richtlinien gehören beispielsweise Basel II, Sarbanes-Oxley Act (SOX), Health Insurance and Accountability Act (HIPAA), Gramm-Leach-Bliley Act (GLBA) sowie der Payment Card Industry Data Security Standard (PCI DSS).

All diese Regularien verlangen einen strikten Schutz von Kunden- und Finanzdaten -- von der Übertragung bis hin zum Backup. Einige Richtlinien formulieren ihre Anforderungen sehr präzise, wie zum Beispiel PCI DSS. Der Industriestandard dient dazu, Informationen über Kunden und Kreditkarteninhaber zu schützen. Hierfür legt er unter anderem die Bedingungen fest, beispielsweise die Verschlüsselung bei Übertragung und Speicherung.

Andere Richtlinien formulieren die Anforderungen eher vage und weniger technisch. HIPAA beispielsweise schreibt vor, dass Patienteninformationen nicht in die Hände unautorisierter Personen gelangen dürfen und dass die betroffenen Personen informiert werden müssen, wenn Dritte unberechtigterweise auf die Daten zugreifen.

Technisch ist es kompliziert, die unterschiedlichen Anforderungen in gleichem Maße umzusetzen. Wenn ein Unternehmen aus dem Gesundheitswesen beispielsweise Patienteninformationen zum Partnerunternehmen weiterleitet, muss diese den HIPAA-Compliance-Anforderungen entsprechen. Dafür muss das Netzwerk mehrere Kontrollstellen umfassen:

  • Datenverschlüsselung während der Speicherung und des Transports innerhalb des Unternehmens – insbesondere dann, wenn letzterer über ein öffentliches Netzwerk erfolgt.
  • Verschlüsselung beim Transport zum Partnerunternehmen mittels Echtheitsprüfung.
  • Löschen der temporären Kopien, die während des Transports entstehen.
  • Protokollierung sämtlicher Datenzugriffe und Transfers (Tracking).
  • Speicherung der Trackingdaten in einer fälschungssicheren Datei oder Datenbank.
  • Überwachung des Datentransfers und Festlegung, wer Transfers auslösen darf.

Datenverschlüsselung während Speicherung und Transport

Managed File Transfer (MFT) unterstützt das Unternehmen dabei, einen Großteil der genannten Anforderungen zu erfüllen. Unternehmen, die Daten per MFT übertragen, sind den Regelanforderungen viel besser gewachsen als Unternehmen, die ein einfaches FTP-Protokoll verwenden.

MFT dient vor allem dem sicheren Transfer von Daten. Liegen die Daten auf dem Server in der Datenbank, erstellt MFT eine temporäre Kopie. Eine gute MFT-Lösung kann vollständig auf diese temporären Dateien zugreifen, zeichnet Zugriffe auf und löscht die Dateien automatisiert, wenn diese nicht länger benötigt werden.

Das Risiko einer Datenverletzung wird auf diesem Weg reduziert. Allerding sind die Daten im Ruhezustand vornehmlich von der Sicherheit und Nachvollziehbarkeit des Betriebssystems – meist Windows oder Linux – abhängig. Der wahre Nutzen von MFT zeigt sich erst, sobald sich die Daten bewegen.

Verschlüsselung erfordert Know-how

Eine Lösung, die nach FIPS 140-2 zertifiziert ist, verschlüsselt Daten nach den meisten Sicherheitsanforderungen in Deutschland und den USA. Sie hält fest, wer welche Daten wohin gesendet hat, wann diese versendet wurden und wie lange der Transfer gedauert hat. Die Informationen sind in einer manipulationssicheren Datenbank hinterlegt. Sie lassen sich nur in Ausnahmefällen von einem autorisierten Administrator ändern.

MFT kontrolliert und bestimmt außerdem, wer Datentransfers auslösen kann, welche Arten von Transferprotokoll/Logging genutzt werden und welche Datentypen übertragen werden. Die Technologie dahinter ist komplex.

Schon das Bereitstellen der entsprechenden Verschlüsselungs-Protokolle verlangt viel Expertise, da eine rundum konforme MFT-Lösung FIPS-gültige Verschlüsselungsalgorithmen enthält. Verschlüsselungsprotokolle selber zu erstellen ist teuer, kostet Zeit und setzt tiefes Wissen von Software und Kryptographie voraus.

Gleichfalls müssen die oben angesprochenen Compliance-Regeln genau bekannt sein. Einige Regularien besagen, dass der Kunde nur dann benachrichtigt wird, wenn vertrauliche Daten dekodiert wurden. Das bedeutet: Daten im Ruhezustand und während des Transports zu verschlüsseln ist für den Betreiber leichter.

Im Falle, dass die Daten vor oder nach dem Transport dekodiert werden, sind sie in sich weiterhin verschlüsselt und können nicht freigelegt werden. Diese Funktion gewährleistet eine Zwischenschicht für datenbasierte Verschlüsselung. Sie basiert meist auf dem Industrie-Standard PGP.

Mehrere Verschlüsselungsschichten schützen bei unterschiedlichen Anforderungen.
Mehrere Verschlüsselungsschichten schützen bei unterschiedlichen Anforderungen.

Daten auf Herz und Nieren prüfen

Ein weiterer Baustein bei der Einhaltung der Compliance-Richtlinien ist die Echtheitsprüfung. Sie stellt sicher, dass Sender und Empfänger ihre Identitäten gegenseitig prüfen. Verschlüsselungs-Hashes, wie der Secure Hash Algorithm (SHA) bilden eine weitere Schutzschicht: Sie stellen sicher, dass die Datei während des Transports nicht gefälscht oder beschädigt wurde.

MFT passt sich dem Geschäftsmodell an

Bereits bei der Verschlüsselung im Ruhezustand und während des Transportes müssen eine Menge Protokolle und Konfigurationen erstellt werden. Es ist schier unmöglich, eine eigene Lösung zu erstellen, die SFTP, SSL, SHA und SSH und ein Bündel weiterer Sicherheitsstandards unterstützt.

Aus geschäftlicher Sicht ist es außerdem unpraktisch, einen Mitarbeiter zum Experten für all jene Details zu machen: zu schnell ändern sich die Anforderungen, als dass eine oder zwei Personen immer auf dem neusten Stand sein können.

Es spricht aber noch einen anderer Grund für eine externe Lösung: Die Unternehmen versuchen bisher, die Compliance-Regeln auf die Technik-Ebene zu übersetzen und entwickeln anschließend Lösungen, die den technischen Anforderungen genügen. Das sieht dann aus wie in der folgenden Abbildung.

Es ist aufwändig und teuer, Compliance-Anforderungen auf die technischen Anforderungen herunterzubrechen und daraus eine Lösung zu entwickeln.
Es ist aufwändig und teuer, Compliance-Anforderungen auf die technischen Anforderungen herunterzubrechen und daraus eine Lösung zu entwickeln.

Rund um die Compliance hat sich mittlerweile ein Markt etabliert, der sich mit den steigenden Anforderungen und stetigen Änderungen auseinandersetzt. Unternehmen brauchen keine eigene Lösung zu entwickeln, die den technischen Anforderungen genügt. Stattdessen können sie vom Reseller eine Lösung verlangen, die alle Compliance-Anforderungen direkt erfüllt. Der Fokus liegt darauf, der Compliance gerecht zu werden.

Am sinnvollsten ist eine Lösung, die sich den Compliance-Anforderungen anpassen lässt.
Am sinnvollsten ist eine Lösung, die sich den Compliance-Anforderungen anpassen lässt.

Eine MFT-Lösung passt sich dem Geschäftsmodell des jeweiligen Unternehmens an. Das Unternehmen nähert sich der Compliance auf einem anderen Weg als den bisher gewohnten: Die Regelbefolgung steht ab sofort an erster Stelle; ihr wird die Lösung zugeordnet, die ihr am ehesten gerecht wird.

Über den AutorDon Jones ist Senior Partner and Principal Technologist bei Concentrated Technology, einem Beratungshaus für IT-Strategie und IT-Analyse. Er verfügt über mehr als ein Jahrzehnt an praktischer Erfahrung in Technik- und IT-Management. Mit Expertise und Fachwissen betrachtet er die größten Herausforderungen in der IT und Business-Welt. Don Jones ist Autor des E-Books “Tips and Tricks Guide To Managed File Transfer”.

(ID:34022410)