Wenn es um Verschlüsselung geht, sagen Sie Nein zum Status Quo

Würde' Das Leben wäre nicht so viel einfacher, wenn Sie nachts nicht die Haustür Ihres Geschäfts abschließen müssten, wenn Sie nach Hause gingen? Sie müssen sich keine Sorgen machen, dass Sie Ihre Schlüssel verlieren. Oder vielleicht kann der Eigentümer Ihre Schlüssel für Sie aufhängen. Sie verlassen sich dann darauf, dass der Hausverwalter jeden Morgen die Tür für Sie aufschließt und beim Verlassen wieder abschließt.

Natürlich sind beide Szenarien lächerlich und kein Unternehmen würde sie ernsthaft in Betracht ziehen. Aber wenn das stimmt, warum erlauben so viele Unternehmen ihren IT-Organisationen, von Tag zu Tag zu arbeiten, ohne sich die Mühe zu machen, ihre digitalen Assets „abzuschließen“ und zu sichern, egal ob sie vor Ort oder in der Cloud untergebracht sind?

Siehe auch: Dyn-DDoS-Angriff beleuchtet das wachsende IoT-Problem

Mach keinen Fehler; Das erste Szenario ist genau das, was passiert, wenn die IT keine Verschlüsselung zum Schutz wichtiger Daten bereitstellt. Und wenn IT-Abteilungen einem Cloud-Dienstleister den Besitz ihrer privaten Verschlüsselungsschlüssel anvertrauen, anstatt ihre eigene ausschließliche Kontrolle darüber zu behalten, unterscheidet sich das kaum vom zweiten, hochriskanten Szenario.

Das Problem der unzureichenden Verschlüsselung sollte angesprochen werden. Eine erhebliche Datenpanne könnte potenziell tausendmal mehr Schaden anrichten, als wenn Diebe einfach das physische Büro säubern. Ein Verstoß in der Größenordnung des kürzlich von Yahoo offengelegten, bei dem vermutlich eine Milliarde Kundendatensätze gestohlen wurden, wäre für die meisten Unternehmen ruinös.

Leider ist unzureichende Verschlüsselung für viele Unternehmen der Status Quo. Eine kürzlich von HyTrust in Auftrag gegebene Umfrage ergab beispielsweise, dass 28 Prozent der Public-Cloud-Kunden Daten nicht verschlüsseln. Und das ist schade, denn allzu oft wird die Entscheidung, nicht zu verschlüsseln, von ein paar hartnäckigen Mythen angeheizt.

Mythos Nr. 1:Verschlüsselung ist zu umständlich

In den Anfängen der Verschlüsselung war die Technologie für viele Unternehmen unerreichbar. Lösungen wie die Festplattenverschlüsselung waren teuer, schwer zu verwalten und konnten inakzeptable Leistungseinbußen mit sich bringen. Um es richtig zu machen, musste man oft Kryptographie-Experten hinzuziehen – und es gibt nur eine begrenzte Anzahl von ihnen.

Heute ist dies jedoch nicht mehr der Fall. Moderne Verschlüsselungslösungen sind weitgehend nahtlos und erfordern keine Experten für die Bereitstellung und Verwaltung. Darüber hinaus bedeuten technologische Fortschritte in anderen Bereichen – wie die in alle modernen Intel-CPUs integrierten Verschlüsselungs-Beschleunigungsbefehle – praktisch keine Auswirkungen auf die Systemleistung.

Mythos #2:Die Verschlüsselung Ihres Cloud-Dienstanbieters reicht aus

Die meisten großen Cloud-Anbieter bieten einen oder mehrere integrierte Datenverschlüsselungsdienste an. Tatsächlich ergab die HyTrust-Umfrage, dass 44 Prozent der Cloud-Kunden, die verschlüsseln, diese Dienste nutzten. Solche Dienste sind jedoch nicht nur oft in ihrer Funktionalität eingeschränkt, sie sind auch aus mehreren Gründen problematisch.

Erstens erfordern sie normalerweise, dass Sie Ihren privaten Verschlüsselungsschlüssel mit dem Cloud-Anbieter teilen – was uns zum zweiten zuvor erwähnten Szenario zurückbringt. Wenn Sie nicht die volle Kontrolle über Ihre Schlüssel behalten, können Sie nicht sicher sein, dass niemand sonst Zugriff auf Ihre Daten hat. Ihre Schlüssel könnten gestohlen werden, wenn die Systeme Ihres Providers kompromittiert werden. Oder nehmen Sie an, Ihr Provider erhält eine gerichtliche Verfügung, in der er aufgefordert wird, Ihre Daten an Aufsichtsbehörden oder andere Behörden weiterzugeben? Wenn Ihr Cloud-Anbieter sowohl im Besitz Ihrer verschlüsselten Daten als auch der Schlüssel zum Entschlüsseln dieser Daten ist, haben Sie die Kontrolle verloren, von der Sie dachten, dass Sie sie hätten.

Zweitens sind Cloud-basierte Verschlüsselungslösungen in der Regel proprietär und für jeden Cloud-Anbieter einzigartig, was zu einer Bindung an Cloud-Anbieter führt. Sobald Ihre Daten verschlüsselt sind, wird es schwierig, sie zu einem anderen Cloud-Anbieter zu verschieben oder zu replizieren, ohne Ihre Daten zuerst am neuen Speicherort mit den Schlüsseln des neuen Cloud-Anbieters zu entschlüsseln und erneut zu verschlüsseln – etwas, das als Multi-Cloud-Strategie immer mühsamer wird wird zur Norm.

Schlüssel zum Erfolg

Wenn Sie diese Bedenken abwägen, kann die Verwendung einer Verschlüsselungslösung eines Drittanbieters mit der Möglichkeit, die Kontrolle über die Schlüssel unabhängig vom Speicherort der Daten zu behalten, zu Ihrer neuen Best Practice werden. Egal ob Sie Ihre Daten On-Premises im eigenen Rechenzentrum, in der Public Cloud oder an beiden Orten über eine Hybrid Cloud halten.

Moderne Verschlüsselungslösungen von Drittanbietern bieten eine einfach einzurichtende, leistungsstarke und einfach zu verwaltende Verschlüsselung. Aber am wichtigsten ist, dass Sie mit einer Drittanbieterlösung, die auf mehr als einem Hypervisor und auf mehr als einer Cloud-Plattform ausgeführt wird, Ihre Schlüssel von Ihrer Hosting-Umgebung entkoppeln können, sodass Sie Ihre Daten einfach verschlüsseln und anschließend verschieben können -Premises in die Cloud und von Cloud zu Cloud.

Die anderen Optionen, Ihre Daten überhaupt nicht zu verschlüsseln oder die Kontrolle über Ihre Daten und Ihre Schlüssel an jeden Cloud-Anbieter abzugeben, sollten schon lange vom Tisch sein. Angesichts der zunehmenden Online-Bedrohungen, einschließlich Angriffen durch staatlich geförderte Akteure, ist ein Unternehmen mit unverschlüsselten Daten oder unzureichender Kontrolle über die Schlüssel ein ebenso lächerliches Szenario wie das Öffnen der Tür.