pts20151105008 Unternehmen/Wirtschaft, Technologie/Digitalisierung

Leeres Versprechen namens Datensicherung

DeepSec: Mit richtigem Rat muss Datenhaltung nicht zum Datengrab werden


Wien (pts008/05.11.2015/09:15) Daten bestimmen unseren Alltag. Wir haben täglich mit ihnen zu tun, seien es E-­Mails, Kurznachrichten, Dokumente oder Datenbanken. Im Privatleben ist es nicht anders. Wo speichern Sie Ihre wichtigen Daten, die sie täglich benötigen? Früher kaufte man Disketten. Heutzutage sind es Festplatten, USB­-Sticks und Speicherkarten. Sind diese gut verwahrt und bewacht? Wie stellen Sie sicher diese Daten auch morgen noch verwenden zu können? Ihre Antworten werden sehr wahrscheinlich nicht ausreichen, um kritische Unternehmensdaten zu sichern - wir erklären Ihnen warum.

Verschlüsselte Daten

Einige Hersteller bieten verschlüsselte Festplatten an, die Ihre Daten auch nach einem Diebstahl noch schützen. Die Idee ist gut. Die Umsetzung oft leider mangelhaft. Der Glaube an die Sicherheit von Hardwareverschlüsselung trügt, denn eine Publikation des Cryptology ePrint Archivs vom 28. September 2015 bescheinigt Festplatten einer sehr beliebten USB-Festplatten­-Serie Schwachstellen, die zum Auslesen der Daten führen können. Die Geräte erlauben teilweise den Zugriff auf den internen Speicher, erleichtern das Erraten von Schlüsseln und besitzen Hintertüren zur Entschlüsselung.

Gerade bei Lösungen, die Kryptographie einsetzen, muß man viele Fragen stellen. Lösungen ohne Standardverfahren und mit eigener Implementation sind besonders gefährlich. Verschlüsselungsmethoden lassen sich mit dem richtigen Wissen effizient angreifen, wenn die Implementation Fehler aufweist. Bloße Verschleierungen der Entwickler fallen zuerst, dann wird es brenzlig. Unbedachte Umsetzung im Produkt führt dann zu Datendiebstahl. Wenn man sich schon für eine Lösung zum Schutz von Data at Rest entscheidet, dann muss es die Richtige sein.

"Wenn es um Verschlüsselung geht, dann muss man Fachwissen mitbringen. Leider fehlt es diesbezüglich bei Entwicklern von vielen Firmen an der nötigen Ausbildung. Wir haben bei der Analyse von Schwachstellen Code gesehen, der vor 70 Jahren bereits überholt gewesen wäre. Kombiniert man diese Wissenslücken mit Schlampigkeit, mangelnden Tests durch Experten und kurzen Produktzyklen, so ist das Rezept für einbruchsanfällige Infrastruktur perfekt", hat René Pfeiffer, Geschäftsführer der in Wien beheimateten DeepSec IT Security Konferenz, zu berichten. Er fügt ergänzend hinzu: "Wir organisieren jedes Jahr Workshops mit hochqualifizierten Trainern, um Firmen zu helfen ihre Mitarbeiter auf den neuesten Stand zu bringen."

Wolkig, kalte Schauer mit Datenverlust

Viele vertrauen blind auf die Cloud, in der man alles ewig und problemlos speichern kann. Aber gepaart mit Virtualisierungtechnologien können dort Sollbruchstellen entstehen, die elegant das ganze Unternehmen lahmlegen. Selbst die beste Storage-­Lösung kann versagen. Hat man dann die Architektur nicht auf Redundanz mit Backups oder Echtzeitkopien ausgelegt, so verliert man den Boden unter den Füßen. Dasselbe gilt für die Virtualisierungsplattformen, die oft einsam und ohne Standby-Maschine auf die unvermeidliche Katastrophe warten. Bei moderner Infrastruktur ist es mit der Konfiguration eines RAID-Verbunds leider nicht getan.

Da viele davon ausgehen, dass ihre Speicherlösungen immer funktionieren, wird nichts hinterfragt. In der Realität werden dauernd defekte Datenträger ausgetauscht, sprich die Chance für Datenverlust ist immer gegeben. Sie ist auch von der Wahl der Produkte kaum abhängig.

Über einen komplexen Fall von drohendem Datenverlust im virtuellen Umfeld kann Nicolas Ehrschwendner, Geschäftsführer der Attingo Datenrettung GmbH, berichten: "Eine Hosting-­Firma, die für Kunden aus der Versicherungsbranche als auch für eine Verwaltung aus dem öffentlichen Bereich den Betrieb von virtuellen Servern hostete, hatte im Zuge einer Serverumstellung kurzfristig kein Backup für das eingesetzte NAS. In dessen RAID5 sind binnen weniger Stunden zwei Festplatten ausgefallen, so dass ein Rebuild nicht mehr durchgeführt werden konnte und der Storage offline ging. Im Zuge unseres Rund­-um­-die­-Uhr-Services konnten wir die zwölf virtuellen Maschinen auf dem 6 TB Volume rekonstruieren. Als besondere Herausforderungen waren die Daten im NTFS-­Dateisystem der NAS als iSCSI Container gespeichert, der anschließend erst den virtuellen Host darstellte. Als wäre das noch nicht genug, war auch noch ein Teil der Server über mehrere virtuelle RAW­ Devices verteilt, die erst per LVM zusammengespannt waren."

Folgen Sie den Angreifern!

Natürlich sind Sie auf der Suche nach Lösungen von Speicherproblemen nicht alleine. Kaum eine IT-Abteilung verfügt über die detaillierten Kenntnisse um kryptografische Implementationen oder ausfallsichere Virtualisierungsumgebungen auf alle möglichen Schwachstellen zu untersuchen. Aber Sie benötigen dennoch dieses Wissen, um Ihren Alltag gegen Katastrophen zu schützen. Wir schlagen daher vor, den Rat von Experten einzuholen, die die Thematik der Datenkatastrophen zu ihrem Alltag gemacht haben.

Achten Sie darauf, dass Vorfälle Ihre Datensicherheit nicht gefährden. Im Notfall kann eine Panikreaktion noch größeren Schaden anrichten. Im Normalbetrieb sollte man daher die eingesetzten Speicherlösungen und Sicherheitsmaßnahmen überprüfen. Das Wichtigste daran: Sie müssen all dies tun, bevor die Katastrophe eintritt.

Mit dem Fall des Safe Harbor-Abkommens müssen Sie ohnehin Ihre firmeninterne Strategie zur Datenhaltung und -­verarbeitung hinterfragen. Bei der Gelegenheit denken Sie an Ihre Dienstleister für den Katastrophenschutz. Viele Sicherheitsfirmen und Datenretter behaupten zwar, dass sie Ihre Daten sicher nach europäischem Datenschutzrecht speichern und verarbeiten. Die Frage ist, ob das für alle wirklich zutrifft.

(Ende)
Aussender: DeepSec GmbH
Ansprechpartner: René Pfeiffer
Tel.: +43-676-5626390
E-Mail: deepsec@deepsec.net
Website: deepsec.net
|