Immer wieder werden wir bei externen Audits von unseren Kunden nach der eingesetzten Verschlüsselung auf Datenträgern gefragt. Gemeinsam mit unserem IT-Sicherheitsbeauftragten haben wir an dieser Stelle einige hilfreiche Informationen zusammengestellt:
In einem Tier III- oder Tier IV- Datacenter ist Datenträgerverschlüsselung nicht geeignet, um die Zugriffssicherheit auf Daten zu erhöhen. Eine Verschlüsselung des Datenträgers selbst schützt nur vor physikalischem Diebstahl des Gerätes wenn man bei Wiederinbetriebnahme einen Key oder Smartcard benötigt bzw. ein Passwort zur Entschlüsselung der Datenträger eingeben muss. Einen Diebstahl des Storage Backends oder einzelner Datenträger aus unserem Datacenter können wir nach menschlichem Ermessen ausschließen. Physikalischen Zugriff auf die IT-Infrastruktur haben ausschließlich Mitarbeiter unseres Unternehmens. Das ist durch entsprechende Prozesse und Sicherheitsmechanismen entsprechend der ISO27001-Norm sichergestellt.
Direkten Zugang zur Technik in unserem Datacenter erhält nur wer:
Erst dann befindet sich der Mitarbeiter vor den Servern und Datenspeichern. Während der Ausführung seiner Aufgaben vor Ort wird zusätzlich per Videoaufzeichnung überwacht. Erschwerend kommt hinzu, dass auf den HDDs und SSDs selbst keine ohne weiteres lesbaren Daten vorhanden sind, da diese durch das Speichernetzwerk und die eingesetzte Hardware hochgradig verteilt und verfremdet werden (RAID, Deduplizierung, Komprimierung, Tearing u.s.w.) Insofern ist hier keine Verschlüsselung angezeigt, um die Datensicherheit im Sinne der Zugriffskontrolle zu verbessern.
Unabhängig davon kann und sollte man bei entsprechendem Schutzbedarf die zur Verfügung stehenden Verschlüsselungsverfahren auf Applikations- bzw. Betriebssystemebene nutzen. Einige prominente Beispiele hierbei sind:
Anmeldeversuche von öffentlich im Internet erreichbaren Schnittstellen (IMAP, SMTP, Webfrontend) zum Erlangen von Datenzugriff werden üblicherweise zur Überwachung und Missbrauchserkennung in einem Audit Log protokolliert. Bei zu vielen fehlgeschlagenen Anmeldeversuchen wird neben dem Account auch die Absender IP gesperrt und ein Alarm ausgelöst. Dieser Mechanismus kommt bei den von uns angebotenen Managed Services "Zimbra Collaboration" und "FileCloud" generell zum Einsatz.
Darüberhinaus können wir nicht sicherstellen, wer potentiell Zugriff auf Daten bekommt. Solange z. Bsp. ein Service öffentlich im Internet erreichbar ist, kann potentiell Zugriff auf die Daten erfolgen, wenn man die korrekten Zugangsdaten zu einem Account hat. Das hat mit Datenträgerverschlüsselung bzw. der von der managedhosting.de GmbH erbrachten IT-Dienstleistung nichts zu tun.
Zurück zur Datenträgerverschlüsselung: Zum Betrieb der Anwendung benötigt der Serverprozess bzw. die Software selbst Zugriff auf die Daten, d.h. im laufenden Betrieb ist zumindest durch die Software selbst immer ein unverschlüsselter Zugriff auf die Daten nötig und möglich. Spätestens an dieser Stelle ist eine Datenträgerverschlüsselung eines laufenden Systems wirkungslos, wenn man sich bspw. über eine Zero-Day Sicherheitslücke in einem öffentlich im Internet erreichbaren erreichbaren Dienst Zugriff auf Daten verschaffen kann.
Die Diskussion zum Thema Datenträgerverschlüsselung führen wir bereits seit geraumer Zeit mit immer demselben Ergebnis: In einem durch mindestens 3 oder 4 Faktoren zutrittsgesichertem Tier III- oder Tier IV- Datacenter kann ein Diebstahl von Hardware im Rahmen einer sinnvollen Risikobetrachtung ausgeschlossen werden. Die Fragen eines Auditors zielen meistens auf den Betrieb der Anwendung mittels IT-Infrastruktur in "normalen" Büroräumlichkeiten ab, wo meisntens ein erhöhtes Risiko von Einbruchdiebstahl (z. Bsp. Glastüren zum Treppenhaus) besteht. Hier ist eine Datenträgerverschlüsselung sinnvoll und nötig, da ein Diebstahl zwangsweise auch mit Ausschalten des Gerätes verbunden ist.
Falls der Auditor weiterhin Kritik äußert, muss - insbesondere bei E-Mails - zwangsläufig Ende-zu-Ende-Verschlüsselung wie SMIME oder PGP eingesetzt werden. Ausschließlich diese Verfahren sind im Hinblick auf eine Auditierung erfolgversprechend, da nur so sichergestellt werden kann, dass lediglich Absender und Empfänger die Daten lesen können. Zimbra Collaboration unterstützt sowohl SMIME (Built in) als auch PGP (Zimlet). Solange Benutzer Daten z. Bsp. durch Zugriff mit IMAP Clients potentiell offline speichern, stellt der Diebstahl eines Notebooks vermutlich das größere Risiko dar, da der neue Besitzer alle Zeit der Welt hat, die lokale Verschlüsselung mit Rechenleistung zu brechen.
In den meisten Fällen ist der Hinweis auf unsere ISO27001 Zertifizierung also ausreichend. Alle anderen technischen Eigenschaften der jeweiligen Dienstleistung finden Sie in der Produktbeschreibung und den SLA. Wenn Ihr Auditor darüber hinaus noch Fragen hat, stellen wir gerne den Kontakt zu unserem Datenschutzbeauftragten bzw. IT-Sicherheitsbeauftragten her. Dann können sich die Experten direkt abstimmen, welche Informationen nötig sind, damit Sie ein erfolgreiches Audit durchführen können.
Unabhängig davon sollten immer geeignete Maßnahmen zur sicheren Speicherung und Übertragung von Daten verwendet werden.
Die von der managedhosting.de erbrachten IT-Dienstleistungen verwenden wo immer möglich eine verschlüsselte Datenübertragung. Die verschlüsselte, nur von Berechtigten lesbare Speicherung von Daten liegt aber generell in der Verantwortung des Kunden und kann nicht von der managedhosting.de garantiert werden.
