Storage Security

Warum ist Storage Security wichtig?

Storage ist der Ort, an dem sich die Daten befinden. Er ist auch der Ort, an dem Benutzer und Anwendungen entweder direkt oder indirekt mit den Daten interagieren. Eine wirksame Strategie für die Storage-Sicherheit ist wichtig, um den unbefugten Zugriff auf Daten und die zugrunde liegenden Speichersysteme zu verhindern. Sie ist auch wichtig, um sicherzustellen, dass autorisierte Benutzer den Zugang haben, den sie für ihre Arbeit benötigen.

Die meisten Unternehmen setzen mehrere Sicherheitsmaßnahmen ein, um zu verhindern, dass Hacker oder nicht autorisierte Benutzer auf Daten zugreifen. Wenn ein Unternehmen jedoch angegriffen wird, ist die Storage Security oft die letzte Verteidigungsschicht gegen diesen Angriff. Umso wichtiger ist es für IT-Teams, ihre Speichersysteme zu schützen.

Storage Security ist jedoch keine isolierte Maßnahme. Sie muss Teil einer größeren, unternehmensweiten Strategie sein, um zu verhindern, dass sensible Daten gefährdet werden, unabhängig davon, wo sie sich befinden.

Viele Unternehmen nutzen Storage Area Networks (SANs) zur Datenspeicherung. Bei der Planung der SAN-Sicherheit sollten die IT-Teams Folgendes berücksichtigen:

• Das Speichernetzwerk sollte für autorisierte Benutzer und Anwendungen leicht zugänglich, aber für Hacker schwer zu knacken sein.
• Das Netzwerk sollte unter einer Reihe von Umgebungsbedingungen und Nutzungsmustern zuverlässig und stabil bleiben, ohne die Sicherheit zu beeinträchtigen.
• Die Sicherheitsmechanismen sollten vor Online-Bedrohungen wie Viren, Würmern und anderem bösartigen Code schützen, ohne die Stabilität und Zuverlässigkeit des Netzwerks zu beeinträchtigen.

Verwaltung der Storage-Sicherheit und Methodik

Die Verwaltung der Storage-Sicherheit ist der Prozess, der sicherstellt, dass die Speichersysteme einer Organisation und ihre Daten in Übereinstimmung mit den Sicherheitsanforderungen der Organisation vollständig geschützt sind. Dies gilt sowohl für die Daten, die sich in den Speichersystemen befinden, als auch für die Daten, die zu und von diesen Systemen übertragen werden. Die Verwaltung der Storage-Sicherheit ist umfassender als nur die Sicherung der Laufwerke selbst. Es muss jeden Angriffsvektor berücksichtigen, der zu einer Gefährdung der Speichersysteme und ihrer Daten führen könnte.

IT-Teams, die für die Storage-Sicherheit verantwortlich sind, müssen mehrere Aufgaben erfüllen, um die Datenressourcen zu schützen.

• Verschlüsselung sensibler Daten im Ruhezustand und bei der Übertragung und Implementierung eines sicheren Schlüsselverwaltungssystems.
• Deaktivieren Sie unnötige Dienste, um die Anzahl potenzieller Sicherheitslücken zu minimieren.
• Regelmäßige Installation von Updates und Sicherheits-Patches für das Betriebssystem und andere Software.
• Implementieren Sie eine Netzwerksicherheit, die verhindert, dass unbefugte Benutzer auf Speichersysteme und deren Daten zugreifen können.
• Implementierung von Speicher- und Datenredundanz, um Datenverluste im Falle von Hardwareausfällen, böswilligen Aktivitäten oder Naturkatastrophen zu verhindern.
• Benutzer über die Grundsätze und Richtlinien informieren, die für die Daten-, Speicher- und Netzwerknutzung gelten.

Die folgenden Kriterien können helfen, die Effektivität einer Speichersicherheitsmethodik zu bestimmen.

• Die Kosten für die Implementierung des Systems sollten nur einen Bruchteil des Wertes der geschützten Daten ausmachen.
• Die Kosten für den Hacker in Form von Geld und Zeit, um das System zu kompromittieren, sollten höher sein als der Wert der geschützten Daten.

Was sind häufige Bedrohungen und Schwachstellen der Datensicherheit?

Es gibt viele Bedrohungen für die Daten eines Unternehmens, die von böswilligen Angriffen bis hin zu versehentlichem Datenverlust reichen. Zu den häufigsten Bedrohungen gehören die folgenden:

• Ransomware-Angriffe. Ransomware ist heute eine der größten Bedrohungen für die Daten eines Unternehmens. Bei diesen Angriffen werden die Zieldaten in der Regel verschlüsselt, damit das Opfer nicht darauf zugreifen kann. Das Opfer muss dann ein Lösegeld für einen Verschlüsselungsschlüssel zahlen, um die Daten zu entsperren. Ransomware-Infektionen können durch das Klicken auf einen bösartigen Link oder das Öffnen eines infizierten E-Mail-Anhangs ausgelöst werden, aber es ist auch bekannt, dass Hacker Ransomware auf Speichergeräten platzieren. In jüngster Zeit sind Angreifer dazu übergegangen, sensible Daten nicht nur zu verschlüsseln, sondern auch zu stehlen und damit zu drohen, die Daten zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird.
• Unbefugter Zugriff. Bei einem unbefugten Datenzugriff handelt es sich in der Regel um eine Datenpanne, bei der sich ein Hacker oder ein unberechtigter Benutzer Zugang zu den vertraulichen Daten eines Unternehmens verschafft. Ein Angreifer könnte es auf die Daten abgesehen haben, um sie zu verkaufen, den Betrieb zu stören, Rache zu üben oder sie für politische oder Wettbewerbsvorteile zu nutzen.
• Unbeabsichtigter Zugriff. Unbeabsichtigter Zugriff kann auftreten, wenn schlecht konstruierte Zugriffskontrolllisten Benutzern versehentlich Zugriff auf Daten gewähren, auf die sie nicht zugreifen dürfen. Dies kann zum Beispiel durch sich überschneidende Gruppenmitgliedschaften geschehen.
• Im einfachsten Fall handelt es sich um ein Datenleck, wenn sensible Daten ein Unternehmen verlassen und nach außen gelangen. Es gibt mehrere Möglichkeiten, wie ein Datenleck entstehen kann. Ein Benutzer könnte Daten auf ein USB-Speichergerät kopieren und mit diesen Daten das Haus verlassen. Ebenso kann ein Benutzer die Daten per E-Mail an jemanden innerhalb oder außerhalb des Unternehmens oder sogar an sich selbst senden. Ein Datenleck kann auch dadurch entstehen, dass ein Benutzer sensible Dateien auf einen File-Share-Service wie Dropbox kopiert.
• Versehentliches Löschen oder Ändern. Daten können verloren gehen, wenn ein Benutzer versehentlich Daten löscht oder überschreibt, die nicht ordnungsgemäß gesichert worden sind.

Datensicherheit vs. Data Protection

Die Begriffe Datensicherheit und Data Protection werden häufig synonym verwendet, beziehen sich jedoch auf zwei unterschiedliche Strategien der Datenverwaltung.

• Bei der Datensicherheit geht es darum, den unbefugten Zugriff auf die Daten eines Unternehmens mit Hilfe von Mechanismen wie Zugriffskontrolllisten, Speicherverschlüsselung und mehrstufiger Authentifizierung zu verhindern.
• Bei der Data Protection geht es um die Wiederherstellung im Notfall und die Einrichtung von Mechanismen zur Sicherung und Wiederherstellung von Daten. In diesem Szenario erstellen Administratoren Datenkopien, die zur Wiederherstellung der Unternehmensdaten nach einem Ausfall der Speicherinfrastruktur oder anderen Arten von Datenverlusten verwendet werden können.

Obwohl Datensicherheit und Data Protection zwei unterschiedliche Konzepte sind, sind sie miteinander verbunden. Wenn ein Unternehmen beispielsweise von einem Ransomware-Angriff betroffen ist, kann die Datensicherheit des Unternehmens den Angriff möglicherweise stoppen. Wenn der Angriff erfolgreich war, können die Data-Protection-Mechanismen des Unternehmens - seine Sicherungs- und Wiederherstellungsprozesse - die Daten ohne Zahlung des Lösegelds wiederherstellen, vorausgesetzt, die Sicherungen sind nicht auch der Ransomware zum Opfer gefallen.

Wenn die Data Protection schlecht implementiert ist, kann sie zusätzliche Sicherheitsrisiken schaffen. So kann ein Unternehmen beispielsweise seine Daten auf Band sichern, ohne die Sicherungen zu verschlüsseln. Ein Insider könnte das Sicherungsband stehlen, um Zugriff auf die Daten zu erhalten.

Überlegungen zur Einhaltung von Vorschriften

Unternehmen in regulierten Branchen müssen bei der Entscheidung, wie sie ihre Daten am besten sichern, alle geltenden Compliance-Anforderungen berücksichtigen. Vorschriften wie die folgenden vier konzentrieren sich stark auf die Datensicherheit und Data Privacy:

• Health Insurance Portability and Accountability Act
• Payment Card Industry Data Security Standard
• Kalifornisches Gesetz zum Verbraucherschutz
• Die europäische DSGVO

Die Anforderungen variieren von Verordnung zu Verordnung, manchmal erheblich. Dennoch legen sie in der Regel fest, wie die Daten gespeichert werden müssen. So schreiben die meisten Vorschriften beispielsweise vor, dass alle sensiblen Daten verschlüsselt werden müssen. Viele legen Anforderungen an die Aufbewahrung fest.

Obwohl die verschiedenen Vorschriften Anforderungen an die Storage Security festlegen, überlassen sie es in der Regel dem einzelnen Unternehmen, welche Methoden und Mechanismen es zur Erfüllung dieser Anforderungen einsetzt.

Was sind die besten Praktiken zur Sicherheit von Daten?

Über die Sicherheit von Daten sind ganze Bücher geschrieben worden. Dennoch gibt es einige bewährte Verfahren, die Unternehmen beim Schutz ihrer Speichersysteme und Daten befolgen sollten.

• Feststellen, wo die Daten gespeichert sind. Der erste Schritt bei jeder Datensicherheitsinitiative sollte darin bestehen, die Daten des Unternehmens zu lokalisieren. Unternehmen verfügen oft über Daten, die sowohl vor Ort als auch in einem Cloud-Speicher gespeichert sind. Dazu können Cloud-basierte Objektspeicher wie AWS Simple Storage Service und Azure Blob Storage oder Cloud-Dienste wie Dropbox Business und Microsoft OneDrive gehören. Administratoren sollten auch Daten auf Servern und Desktops, in Edge-Umgebungen und in anderen Datensilos berücksichtigen.
• Klassifizieren Sie die Daten. Nach der Lokalisierung der Unternehmensdaten sollten die Administratoren diese je nach Sensibilität und Anwendungsanforderungen kategorisieren. Einige Unternehmen überspringen diesen Schritt und behandeln alle Daten als hochsensibel, unabhängig davon, ob sie es sind oder nicht. Dieses Modell erleichtert zwar die Datensicherheit, kann aber auch zu höheren Kosten führen, die Anwendungsleistung beeinträchtigen und die Datenanalyse erschweren.
• Schützen Sie sensible Daten vor Verlusten. IT-Teams sollten ein System zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) einführen, um sich vor Datenverlusten zu schützen. Obwohl DLP-Produkte in ihrem Umfang variieren, können die meisten sensible Daten in ausgehenden E-Mail-Nachrichten erkennen. Solche Nachrichten können dann abgefangen und sogar unbemerkt an die zuständige Abteilung weitergeleitet werden, bevor sie an die Außenwelt gesendet werden. DLP-Produkte können auch Schutzmaßnahmen wie die Sperrung des Zugriffs auf USB-Speichergeräte bieten.
• Zugriffskontrolllisten prüfen. Zugriffskontrolllisten legen fest, wer Zugriff auf welche Ressourcen hat. IT- und Sicherheitsteams sollten diese Listen regelmäßig überprüfen, um sicherzustellen, dass niemand sie manipuliert hat. Sie sollten auch überprüfen, ob die Benutzer auf die Daten zugreifen können, die sie für ihre Arbeit benötigen, ohne auf andere Daten zugreifen zu können.
• Implementieren Sie eine mehrstufige Authentifizierung. Zugriffskontrolllisten nützen wenig, wenn das Konto eines Benutzers kompromittiert ist. Eine der besten Methoden, um zu verhindern, dass Benutzer gestohlenen Passwörtern zum Opfer fallen, ist die Implementierung einer mehrstufigen Authentifizierung.
• Trennen Sie die administrativen Verantwortlichkeiten. Es ist gefährlich, einem einzigen Administrator vollen Zugriff auf alle IT-Systeme zu gewähren. Wenn das Konto dieses Administrators kompromittiert wird, kann ein Angreifer Zugriff auf alles erhalten. Dies gilt auch für die Speicherumgebung, die Cloud-Computing-Ressourcen und die administrativen Kontrollen. IT-Teams sollten rollenbasierte Zugriffskontrollen (RBAC) verwenden, um administrative Verantwortlichkeiten nach Bedarf zu delegieren, anstatt pauschal administrative Rechte zu gewähren.
• Verschlüsseln Sie Daten im Ruhezustand und bei der Übertragung. Alle sensiblen Daten - ob vor Ort, in der Cloud oder bei der Übertragung - sollten verschlüsselt werden. Die Verschlüsselungsschlüssel müssen sorgfältig verwaltet und geschützt werden. Als Anwender kann man die Daten im Ruhezustand (data at rest) oder während der Übertragung (data in-flight) verschlüsseln.
• Praktizieren Sie ein gutes Patch-Management. Eine der besten Methoden zur Vermeidung von Datenschutzverletzungen ist die Installation von Software-Patches und Firmware-Updates, sobald diese verfügbar sind. Diese Patches beheben häufig bekannte Sicherheitslücken.