Datenzentrische Sicherheit für verteilte IT-Architekturen
Moderne Betriebskonzepte brauchen ein Umdenken bezüglich Datensicherheit. Dies ist ein wichtiger Schritt für SIX, um Systeme noch weiter zu standardisieren und die Nutzung cloudbasierter Angebote auszubauen. Der datenzentrische Ansatz, wie ihn Prewen anbietet, ist eine zukunftssichere Lösung für User und Infrastruktur.
SIX verfügt über sensible und regulatorisch relevante Daten. Datensicherheit ist somit ein wesentlicher Bestandteil der IT-Architektur von SIX. Die Verschlüsselung von Daten erfüllt verschiedene Anforderungen bei der Mitigation von Risiken und Erweiterung bestehender Betriebskonzepte.
Daten sind auch ausserhalb abgeschirmter Netzwerkzonen sicher.
Angriffsvektoren im Bereich des ungewollten Datenverlusts (Data Loss Prevention – DLP) werden minimiert oder vollständig ausgeschlossen.
Der Einsatz einer unternehmensweit einheitlichen Lösung ermöglicht, Daten «at-rest» und «in-motion» zu schützen.
«Die Lösung muss folglich stark skalierbar sein und eine vielfältige Systemlandschaft unterstützen», so Christian Stork, verantwortlicher Projektleiter bei SIX.
Konventionelle Sicherheitsmassnahmen auf Infrastrukturebene, wie sie heute Standard sind, lassen sich zum Nutzen aller Stakeholder mit datenzentrischen Massnahmen ergänzen. Auf dieser Basis kann der Aufwand für den Datenschutz stark reduziert werden. Gleichzeitig können Daten in nur aufwändig oder nicht zu schützenden Systemen – wie etwa in verteilten Standardplattformen, bei Cloud-Anbietern (IaaS, PaaS) und in Cloud-Applikationen (SaaS) – auch als Basis für sichere IT-Applikationen in Betracht gezogen werden.
Datenzentrische Sicherheit
«Das Zauberwort lautet datenzentrische Sicherheit», erklärt Andreas Dorta, Inhaber und Gründer der Prewen AG. Dank dieses Vorgehens sind die Daten über alle Systeme hinweg sicher vor ungewollten Zugriffen anhand einer einzigen Lösung, die für sämtliche Applikationen, Datenbanken und Betriebsarten verwendet werden kann. Wohl bietet fast jeder Datenbankanbieter eigene Verschlüsselungslösungen an, auch einige Applikationen und SaaS-Anbieter haben eigene Lösungen.
Die datenzentrische Sicherheit ist im Gegensatz dazu eine universale Lösung für alle Anwendungsfälle, die in die bestehende IT-Architektur eingefügt wird. So müssen die geschützten Daten zwischen den verschiedenen Lösungen jeweils nicht entschlüsselt werden und die Gewaltentrennung ist sichergestellt. Die Schlüssel für sämtliche geschützten Daten sind beim Data-Owner. Weder eigene DB-Admins, System-Admins bei Serviceprovidern noch Betriebspersonal bei den SaaS-Anbietern haben eine Chance, an die so geschützten Daten zu gelangen.
Daten werden immun vor Datenmissbrauch
Ein weiterer wichtiger Vorteil datenzentrischer Verschlüsselung liegt darin, dass jeder, der die nötigen Befugnisse mitbringt, ohne Mehraufwand auf die Daten zugreifen und wie gewohnt damit arbeiten kann. Gegen Zugriff von Personen und Systemen ohne Befugnis sind die Daten jedoch geschützt. Die Daten liegen nur im geschützten Zustand vor und werden nur für Befugte entschlüsselt. Ein aktueller Vergleich vereinfacht das Verständnis: Wir impfen die Daten unserer Kunden und verpassen ihnen ein starkes, unüberwindbares «Immunsystem».
Die Lösung
SIX hat Prewen ausgewählt, um in einem effizienten Set-up den Aufbau einer Enterprise-Encryption-Plattform aufzubauen. Mit dieser Lösung werden Daten in jeder gewünschten Applikation von SIX verschlüsselt. Höchste Verfügbarkeit von 99,999 Prozent mit Redundanz in zwei Rechenzentren ist gewährleistet.
Konkret besteht die von Prewen implementierte Lösung aus Micro Focus Voltage SecureData, die bei SIX vor Ort aufgebaut wurde und die maximale Verfügbarkeit der Datenverschlüsselung sicherstellt. Im Kern werden unter anderem automatisiertes Schlüsselmanagement, Verschlüsselungsformate und Autorisierung zentral für alle Applikationen zur Verfügung gestellt. Für die Integration von Applikationen, Datenbanken und Cloud-Applikationen kann auf ein reichhaltiges Set an Integrations-Tools zurückgegriffen werden. Die wichtigsten sind:
API-Anbindung. Genutzt von Applikationen, die eine API-Schnittstelle bereitstellen, die zur Verschlüsselung verwendet werden kann.
Webservices-Anbindung. Genutzt von Applikationen, die über Webservices (SOAP/REST) Daten an den zentralen Verschlüsselungsdienst senden.
xDBC Integration. Alternativ kann der Verschlüsselungsservice von der Anwendung direkt via JDBC- oder ODBC-Treiber integriert werden.
Proxy Integration. Zudem wurde eine Schnittstelle integriert, um Webapplikationen (SaaS) wie Servicenow oder Atlassian via iCAP-Protokoll an den Verschlüsselungsservice anzubinden. Diese Möglichkeit wird dann verwendet, wenn die Applikation keine direkte Zugangsmöglichkeit bietet (z. B. via Datenbank oder API) und somit nur eine webbasierte Schnittstelle als Integrationspunkt zur Verfügung steht.
Sichere Verwaltung der Schlüssel
«Für SIX war wichtig, dass die Systeme, die das Schlüsselmaterial verwalten, maximal gesichert werden», sagt der verantwortliche Projektleiter Christian Stork. Dafür werden dedizierte Hardware-Security-Module (HSMs) verwendet. Mit diesem Ansatz wurde die Schlüsselverwaltung vom Verschlüsselungsservice entkoppelt. SIX kann somit die sehr hohen Erwartungen ihrer Kunden erfüllen.
«Der gleiche Ansatz kann aber auch für kleine und mittelständische Unternehmen interessant sein», so Andreas Dorta. «Wir bieten auch einen Managed Security Service an, bei dem das HSM und die Verschlüsselungslösung in einem Schweizer Datacenter für Kunden betrieben wird. So kann ein nahezu vergleichbares Schutzniveau auch bei vollständigem Outsourcing der Lösung erreicht werden.»
Herausforderungen während des Projekts
Während der Projektphase tauchten vereinzelte Herausforderungen auf. Dazu zählten das Suchen in verschlüsselten Daten sowie eine gewisse (und verständliche) Skepsis. Zudem war es für viele Beteiligte ungewohnt, Security direkt in die Applikation zu integrieren. Zusammen mit der Prewen AG ist es SIX gelungen, diese Herausforderungen zu meistern. Die Lösung war jeweils die direkte Interaktion mit den Betroffenen: Zuhören, verstehen, erklären – und letztlich helfen.
Nutzen für Unternehmen
So profitiert SIX von der datenzentrischen Sicherheit:
Technologische Nutzen
Daten, die formaterhaltend verschlüsselt werden, können auch weiterhin von Applikationen und Datenbanken in diesem Zustand verarbeitet werden
Reduzierter Aufwand und geringe Komplexität bei der Integration
Cloud-ready: unabhängig davon, wo die Daten gespeichert sind, die Verschlüsselung funktioniert (SaaS, Datacenter, shared oder dedicated, Private Cloud, Public Cloud)
Für viele Arten von Applikationen ist eine Anbindung möglich (z. B. lokal, SaaS oder Hosted)
Minimaler Performance-Verlust durch Ver- und Entschlüsselung
Operative Nutzen
Einfachheit: Für berechtigte Benutzer ist die Verschlüsselung transparent
Ein moderner Shoring-Mix wird vereinfacht, da die Daten immer verschlüsselt sind und nicht zusätzlich geschützt werden müssen
Schutz vor Datenmissbrauch bei Attacken oder bei Fehlern von Anwendern/IT-Admins
Businesskritische Risiken werden minimiert. Datenmissbrauch wird praktisch verunmöglicht, es wird weitestgehend mit geschützten Daten gearbeitet; nur noch berechtigte Nutzer haben Zugriff
Nutzen für Compliance
Erhöhte Personendatensicherheit. Branchenspezifische regulatorische Anforderungen werden eingehalten; Datenschutzgesetzen wird entsprochen
Data Loss Prevention (DLP) für besonders zu schützende Daten wird gestärkt
Das bietet Prewen
Vom Kleinstunternehmen bis zum Weltkonzern, Prewen unterstützt Sie beim Schutz Ihrer Daten, der Einhaltung von Datenschutzgesetzen oder Compliance-Anforderungen. Prewen ist spezialisiert auf datenzentrische Sicherheit, um Ihren Kunden die Unabhängigkeit bei der Wahl der Betriebsart und deren Anbieter zu geben. Datenzentrische Sicherheit funktioniert unabhängig von gewähltem Hyperscaler und Cloud-Applikation. Geschützte Daten können auch ohne Weiteres von on-prem in die Cloud oder zu einem anderen Anbieter verschoben werden. Prewen implementiert Ihren eigenen Verschlüsselungsservice für Sie oder bietet Managed Security-Services, falls Sie die Lösung nicht selbst betreiben wollen. Dank umfassendem Know-how und ausgezeichneter Partnerschaften sorgen wir für eine termingerechte Umsetzung und einen sicheren, skalierbaren Betrieb.
Schifflände 26 | 8001 Zürich |
Andreas Dorta
Telefon +41 43 818 29 29
andreas.dorta@prewen.ch