Wann und wo sollten sensible Daten verschlüsselt werden? Diese aufschlussreichen Antworten werden Sie überraschen!

Ich leite WinMagic nun seit über 20 Jahren. Unser Schwerpunkt liegt im Bereich Datenverschlüsselung. Letzte Woche stellen ich unserem Team eine einfache Frage: Wann und wo sollten sensible Daten verschlüsselt werden?

Die Antworten waren ein Aha-Erlebnis für mich.

Im Idealfall sollten sensible Daten immer verschlüsselt werden, wenn sie nicht gerade verarbeitet werden*, z. B. von einer Anwendung, die Daten im Klartext benötigt.

Mit Laufwerksverschlüsselung kennen wir uns gut aus und haben festgestellt, dass Daten nur im RAM-Speicher entschlüsselt werden sollten, damit die CPU sie verarbeiten kann. Unsere Laufwerksverschlüsselung verschlüsselt Daten, bevor sie auf die Festplatte geschrieben werden. Angesichts der Fortschritte bei der Speicherverschlüsselung kann der RAM tatsächlich immer verschlüsselt werden, wobei die Daten nur innerhalb der CPU entschlüsselt werden. Das ist perfekt! Zumindest fast.

Die Antwort auf die Frage, wo sensible Daten verschlüsselt werden sollten, lautet also innerhalb der (sicheren) CPU. Durch fortschrittliche Technologien wie Secure Encrypted Virtualization (SEV) von AMD verfügt die CPU nicht mehr über den Speicherverschlüsselungs-Key für den RAM der Virtual Machine (VM), sobald die CPU nicht mehr Teil der VM ist. Wann sollte also verschlüsselt werden? In den kurzen Zeiträumen, in denen die CPU tatsächlich Workloads verarbeitet. Andernfalls sollten sensible Daten immer verschlüsselt werden.

Auf dieser Ebene – mit Schutz innerhalb der CPU – können Workloads auf einem Notebook oder in der Cloud laufen. Die Daten sind fast immer verschlüsselt und geschützt – vorausgesetzt, die übrigen Systeme funktionieren entsprechend sicher.

Der Großteil der aktuellen Verschlüsselungsangebote ist jedoch nicht so ausgereift und bietet keine solche Sicherheit. Geräte im Netzwerk, einschließlich Cloud Access Security Broker (CASB) ohne Endpunktpräsenz, verschlüsseln Daten möglicherweise nicht, bevor sie den Endpunkt verlassen. Darüber hinaus würden Daten mit Keys verschlüsselt, die dem Gerät, dem Administrator oder sogar den Dienstanbietern zur Verfügung stehen.

Und so stellt sich die nächste ebenso wichtige oder vielleicht sogar noch wichtigere Frage: Mit welchem Key sollte die Verschlüsselung erfolgen? Wer sollte Zugriff auf den Key und somit auf die Klartextdaten haben?

Es gibt keine hundertprozentige Sicherheit, und es wird sie auch nie geben. Sie ist ein Ding der Unmöglichkeit. Der technologische Fortschritt braucht Zeit, und Unternehmen geben sich mit Lösungen zufrieden, die „gut genug“ sind. Einige Daten könnten unverschlüsselt bleiben, aber das reicht vielen aus. Eine mangelnde detaillierte Kontrolle und die richtige Schlüsselverwaltung könnten eine größere Bedrohung darstellen als die Frage, wann und wo Daten verschlüsselt werden. WinMagic hat die Vision einer intelligenten Verschlüsselung und Schlüsselverwaltung. Doch dazu ein anderes Mal mehr.

* In manchen Fällen ist es sogar möglich, verschlüsselte Daten zu verarbeiten, z. B. mit homomorpher Verschlüsselung (https://de.wikipedia.org/wiki/Homomorphe_Verschl%C3%BCsselung).

Comments

comments

Vorheriger Beitrag
Zusammenarbeit mit Microsoft gibt Kunden Vertrauen in Kompatibilität von SecureDoc mit Windows 10
Nächster Beitrag
WinMagic – unsere Vision für eine bessere Datensicherheit in einer komplexen Welt

Related Posts

Es wurden keine Ergebnisse gefunden, die deinen Suchkriterien entsprechen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü