Konzepte zur Datenverschlüsselung

Datensicherheit spielt in Unternehmen nicht erst seit Umsetzung der Europäischen Datenschutz-Grundverordnung (DSGVO) eine entscheidende Rolle. In Szenarien, in denen eine reine Berechtigungskontrolle in Sachen Datenzugriff nicht mehr ausreicht, müssen Informationen daher mit sicheren Methoden verschlüsselt werden. Wir unterscheiden dabei prinzipiell zwischen der Verschlüsselung auf dem Übertragungsweg (Data-in-Motion) und bei der Speicherung (Data-at-Rest). Bei Ersterer findet die Verschlüsselung der Daten nur auf dem Übertragungsweg statt, während letztere Methode die Daten bei der Speicherung auf den Medien schützt.

Im Nachfolgenden betrachten wir die Verschlüsselung beim Speichern der Daten. Jede Verschlüsselungsebene, die hierfür in Betracht kommt, hat ihre individuellen Vor- und Nachteile und schützt vor unterschiedlichen Gefahren. Wir beleuchten drei exemplarische Data-at-Rest-Encryption-Technologien, die in der Praxis häufig Anwendung finden: Dies sind die Full Disk und Volume Encryption als Funktionen in einem Storage-Array und die File/Folder Encryption, die als Applikation realisiert ist und zwischen Client und Storage agiert.

Vollständige Festplattenverschlüsselung

Bei der Full Disk Encryption (FDE) handelt es sich um eine vollständige Verschlüsselung auf Festplattenebene, die angesichts einer Realisierung in Hardware quasi ohne Performanceverlust möglich ist. Die Daten werden bei der Speicherung verschlüsselt und für den Lesevorgang wieder entschlüsselt. Die Encryption Engine ist innerhalb der Festplattenelektronik realisiert und daher nur auf bestimmte vom Hersteller unterstützte beziehungsweise angebotene FDE-Disks begrenzt.

Der Schutz der Datenablage arbeitet völlig transparent für höhere Ebenen wie Applikationen und Anwender. Da FDE auf der untersten Diskebene angesiedelt ist, besteht hier die geringste Komplexität, aber auch der geringste

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.