Was ist datenzentrische Sicherheit und warum ist sie wichtig?

Feb 19, 2018

Die Idee dahinter ist einfach und logisch, die Umsetzung schon etwas aufwändiger.

Beim datenzentrischen Ansatz stehen nicht die IT-Systeme selbst im Zentrum der Bemühungen sondern das eigentlich wichtigste Gut eines Unternehmens - die Daten selbst.

Damit ist es dann möglich die schutzbedürftigen sensiblen Daten gesetzeskonform zu schützen, dass sie in diesem Zustand an beliebigen Orten im Unternehmen gespeichert, übertragen oder verarbeitet werden können. Auch über Unternehmensgrenzen hinweg ohne Medienbrüche. Klingt zu schön um wahr zu sein? Das dachte ich am Anfang auch!
Ich persönlich bin mit dieser Technologie zum ersten Mal im Jahre 2005 im Silicon Valley in Berührung gekommen. Damals hat sich der Entwickler, die Voltage Inc. darauf konzentriert diese Technologie bei den großen US-Finanzinstituten und Kreditkartenorganisationen zu platzieren.

Heute wenden 9 der 10 größten US-Finanzinstitute datenzentrische Sicherheit zum Schutz der Daten im Zahlungsverkehr an.

Damit kann heute niemand mehr behaupten, dass das Konzept der datenzentrischen Sicherheit oder die dahinter stehende Technologie nicht ausgereift oder marktreif seien. Ebenso werden standardisierte Verschlüsselungstechnologien eingesetzt die jeden Anwender von der Beweislast über einen gesetzlich anerkannten Schutz der Daten befreien.

Aber nun etwas zur Technologie selbst.
Im Kern dieses Konzeptes steht der Einsatz von formaterhaltender Verschlüsselung (FPE - Format Preserving Encryption). Das bietet den riesigen Vorteil gegenüber den bekannten und traditionellen Verschlüsselungsverfahren wie z.B. AES256, dass ich meine sensiblen Daten bereits an der Quelle mittels FPE verschlüsseln kann ohne Rücksicht, auf die an der Weiterverarbeitung der Daten beteiligten Applikationen, nehmen zu müssen.
Ja, keine der bereits vorhandenen Applikationen wird sich über die so geschützten Daten "beschweren", einen Fehler produzieren und die Arbeit einstellen. Damit entfallen die bei konventioneller Verschlüsselung notwendigen Zeit- und Kostenaufwände zur Anpassung aller beteiligten Applikationen. Die mittels FPE geschützten Daten können auch aus dem Unternehmensnetzwerk heraus, z.B. zu einem Partner übertragen werden ohne Probleme zu bereiten oder den Schutz der Daten zu verlieren. Wenn der Partner entsprechende Rechte zum Zugriff auf die Originaldaten besitzt erhält er nur genau für das Datum oder Attribut einen auf Anfrage errechneten Enschlüsselungskey der den Zugriff auf das Originaldatum erlaubt.

Und was die Security-Verantwortlichen in den Unternehmen richtig freuen dürfte ist, dass keine komplexe PKI (Public Key Infrastructure) für den Einsatz von FPE notwendig ist. Damit fallen alle System-, Silo-, und Netzwerkgrenzen mit all den Ver- und Entschlüsselungsvorgängen weg.

Wie das zu verstehen ist?
Ganz einfach, am Beispiel der in allen Unternehmen zu findenden Datenbanksysteme mit den unterschiedlichsten Verschlüsselungstechnologien zum Schutz der gespeicherten Daten. Normalerweise werden bei jedem Datenzugriff (schreiben oder lesen) die Daten ver- oder entschlüsselt weil externe Systeme sonst mit den Daten nicht arbeiten können. Mit dem Einsatz von FPE benötigen Sie diese aufwändige und rechenintensive, nur innerhalb dieses Datenbanksystems funktionierende, Verschlüsselungstechnik nicht mehr. Das gleiche gilt für die in nahezu jedem Unternehmen vorhandenen Datensilos unterschiedlichster Art. Ebenso über die Netzwerkgrenzen hinaus, was die Abdeckung auf beliebige Cloudanwendungen ausdehnt.

Genau das was die EU-DSGVO bzw. GDPR von den Unternehmen verlangt - ein durchgängiger Schutz der sensiblen Daten auch über die Unternehmensgrenzen hinaus und die Kontrolle beim Besitzer der Daten.

Für weitere Informationen und Beratung stehen wir und die Spezialisten der 'Big Data Security Alliance' gerne zur Verfügung.
Stellen Sie uns Ihre Frage hier oder rufen Sie uns an.