Suchen

Kommentar von Thorsten Krüger, Thales Data Lake Security – Anforderungen und Lösungsansätze

Autor / Redakteur: Thorsten Krüger / Nico Litzel

In der digitalen Welt sind Daten der neue Rohstoff. Die Datenströme sind inzwischen jedoch so endlos geworden, dass Unternehmen sie in Datenspeicher ablegen müssen, ohne genau zu wissen, wie wertvoll diese Daten eigentlich sind. Das Ziel ist, mit den ausgewerteten Daten die eigene Leistungsfähigkeit zu erhöhen, bestehende Geschäftsmodelle zu optimieren oder aber gänzlich neue zu entwerfen.

Firmen zum Thema

Der Autor: Thorsten Krüger ist Regional Director DACH, CEE, CIS bei Thales
Der Autor: Thorsten Krüger ist Regional Director DACH, CEE, CIS bei Thales
(Bild: Thales)

Mit der stetigen Zunahme der Daten wächst auch die Größe und die Nachfrage nach diesen Repositories mit jedem Tag exponentiell. Unternehmen stehen dabei verschiedene Arten von Repositories zur Speicherung großer Datenmengen zur Verfügung. Laut einem Bericht von Domo aus dem Jahr 2018 werden täglich etwa 2,5 Exabytes (ein Exabyte entspricht einer Trillionen Bytes) an Daten generiert, viele davon sensible Geschäftsdaten. Für das Jahr 2020 wird sogar damit gerechnet, dass für jeden Menschen auf der Erde ca. 1,7 Megabyte Daten pro Sekunde generiert werden. In Anbetracht dieser enormen Datenmenge ist es für Unternehmen schwierig, ihre Daten zentral und organisiert zu speichern. Bis zu dem Zeitpunkt, an dem sie eine nachhaltige, konkrete Lösung finden, entscheiden sich viele Organisationen für die Speicherung der Rohdaten in einem Ist-Format in zentralisierten Repositories, die allgemein als „Data Lakes“ bekannt sind.

Data Lakes sind Storage Repositories, die entweder lokal oder in der Cloud abgelegt werden. Dort werden sowohl strukturierte als auch unstrukturierte Daten zur späteren Verwendung gespeichert.

Diese Data Lakes speichern sowohl relationale Daten wie operative Datenbanken und Daten aus branchenspezifischen Anwendungen als auch nicht-relationale Daten z. B. aus mobilen Anwendungen, IoT-Geräten und sozialen Medien. Durch Crawling, Katalogisierung und Indexierung geben sie Unternehmen die Möglichkeit, die Art von Daten zu verstehen, die zu einem bestimmten Zeitpunkt verfügbar sind.

Sie funktionieren wie der Wasserkörper, nach dem sie benannt sind – Natural Lakes (Natürliche Seen), die ungefiltertes Wasser enthalten, das verarbeitet werden kann, um es trinkbar zu machen. So wie Wasser eine kostbare Ressource ist, so sind auch die in Data Lakes gespeicherten Daten von unschätzbarem Wert. Deshalb müssen Schutzmaßnahmen ergriffen werden, um sie zu erhalten und zu konservieren. Hier werden viele unstrukturierte Daten im Rohformat gespeichert, darunter Text, Video, Audio, mobile Aktivitäten, Aktivitäten in sozialen Medien, Geotag-Standorte und vieles mehr. Dies sind sensible Daten, die verschlüsselt werden müssen.

Schutz der Data Lakes vor Kontaminierung

Die Daten müssen deshalb beim Dateneingabeprozess und bei der Datenspeicherung abgesichert werden. Genauso wie exponiertes Wasser in einem See anfällig für Verunreinigung (und Missbrauch) ist, drohen den ungefilterten sensiblen Rohdaten in Data Lakes in Ermangelung starker Schutzmechanismen unmittelbare Gefahren durch Lecks, Sicherheitsvorfälle und Diebstahl. Wenn es um den Schutz sensibler Daten in Data Lakes geht, gelten „unbefugter Zugriff“ und „Datendiebstahl“ weithin als die beiden größten Sicherheitsherausforderungen.

Die Verschlüsselungsschlüssel und die Zugriffsrichtlinien müssen getrennt von den Anwendungseigentümern auf einem FIPS 140-2-konformen, vollautomatischen externen Schlüsselmanager verwaltet werden. So wird die Aufgabentrennung gewährleistet und sichergestellt, dass die Verschlüsselungsschlüssel von den Datenschlüsseln getrennt sind und der Best Practice und den DSGVO-Anforderungen entsprechend behandelt werden. Die Verschlüsselungsschlüssel werden aus externen, nach FIPS 140-2, Stufe 3 zertifizierten Lösungen (neuester PKS-Standard) generiert.

Das Bedrohungspotenzial

Hier gilt es zunächst zwei Perspektiven einzunehmen, die eines externen und die eines internen Akteurs.

  • Externe Perspektive: Dies sind laufende Angriffe, die das Netzwerk noch nicht durchbrochen haben. Sie umfassen fortgeschrittene persistente Bedrohungen (APTs), Denial-of-Service (DDoS)-Angriffe und Zero-Day-Angriffe. Unternehmen müssen sowohl gegen bekannte Angriffssignaturen als auch vor neuen Arten von Angriffen schützen.
  • Bedrohung durch böswillige Insider: Personen, die innerhalb des Unternehmens arbeiten und ihre Zugriffsrechte nutzen, um ihrem Arbeitgeber Schaden zuzufügen oder ihn zu betrügen. Sie können auch in der Systemverwaltung die PII und sensiblen Daten, die dort geschützt werden, einsehen und diese kopieren.

Wenn es um den Schutz sensibler Daten geht, kommen hauptsächlich zwei Angriffsvektoren zum Tragen: Unautorisierter Zugang und Datendiebstahl.

1. Unautorisierter Zugang

Wenn der Zugang zu den Data Lakes nicht durch Autorisierung geschützt ist, können die darin enthaltenen Daten leicht von jedermann eingesehen und missbraucht werden. Wenn diese Daten sensible persönliche Informationen, Finanzdaten von Unternehmen, technische Geschäftsgeheimnisse usw. enthalten, wird die Absicherung der Zugriffe durch Kontrolle der Identität und der Zugriffsberechtigung zu einem entscheidenden Faktor für die Datensicherheit.

2. Datendiebstähle

Selbst wenn geeignete Zugriffskontrollmechanismen vorhanden sind, können Datendiebstähle nicht ausgeschlossen werden, insbesondere wenn es um Sabotageversuche von Firmeninsidern geht. Aus diesem Grund schreiben zahlreiche Aufsichtsbehörden weltweit den Einsatz von Verschlüsselungstechnologien zum Schutz sensibler Daten als branchenübliche Praxis vor.

Wenn Data Lakes kompromittiert und Daten gestohlen werden, führt das zum einen zu massivem Imageverlust für das Unternehmen. Zum anderen muss die Geschäftsleitung des Unternehmens haften, wenn sich herausstellt, dass die Sorgfaltspflicht im Umgang mit vertraulichen Daten oder gesetzliche Vorgaben zum Datenschutz (PCI DSS, DSGVO etc.) nicht umgesetzt wurden. Dies führt zu einem Vertrauensverlust bei den Geschäftspartnern des Unternehmens.

Beispiel Sicherheitsvorfall bei der kanadischen Bank of Montreal

Es gibt bereits zahlreiche Beispiele, in denen Data Lakes kompromittiert und Daten gestohlen wurden. Ein Beispiel dafür ist der Vorfall bei der kanadischen Bank of Montreal 2018. Von dem Datendiebstahl waren über 50.000 Kunden der Bank betroffen. Im Juli hatte ein US-Hacker den Data Lake des Cybersicherheitsunternehmens NightLion geknackt und dabei mehr als 8.200 Datensätze kopiert. Je mehr Unternehmen also diese Art der Datenspeicherung nutzen, desto interessanter wird sie für die Angreifer.

Fazit: Die Daten in den Data Lakes müssen vor Missbrauch geschützt werden

Wenn es um Datenmissbrauch geht, ist die Frage nicht „ob“, sondern „wann“ es passiert. Da immer mehr sensible Daten in Data Lakes gespeichert werden, funktionieren reine Perimeter-Abwehrsysteme nicht so effektiv wie die Verschlüsselung der sensiblen Daten selbst.

Unternehmen müssen die Kontrollen um den Datenfluss herum aufbauen, von der Zugriffsebene über die Anwendungsebene bis hin zur Speicherebene. Dies umfasst sowohl die Segmentierung als auch den Datenschutz. Die Dokumentensicherheit wiederum setzt am Endpunkt an und sollte als zusätzliche Kontrolle um die Daten herum erfolgen. Die Daten in den Data Lakes sollten mit Verschlüsselungsalgorithmen wie 3DES, AES-192/256, SHA-256, SHA-384, SHA-512 gesichert werden. Außerdem empfiehlt sich die Unterstützung von RSA-2048, RSA- 3072, RSA-4096 und ECC.

Mit seinem robusten Portfolio aus Verschlüsselung, zentralisiertem Schlüsselmanagement und Identitätsmanagement mit Zugriffskontrollen bietet Thales einen umfassenden Schutz für die Sicherung sensibler Daten in Data Lakes. Insbesondere die Transparente Verschlüsselung von Thales befasst sich umfassend mit den Anwendungsfällen von Data Lakes zur Verschlüsselung sensibler Daten auf Betriebssystemebene. Darüber hinaus unterhält es mit stark definierten Zugriffskontrollen für einzelne Benutzergruppen effizient Audit- und Versuchsprotokolle, um Compliance-Vorschriften wie den Payment Card Industry Data Security Standard (PCI DSS) und die Datenschutzgrundverordnung (DSGVO) zu erfüllen.

(ID:46967882)