Remo Rossi ist Regional Director Switzerland, Austria und SEE bei Network Appliance.

Es vergeht kaum ein Tag, an dem nicht über Sicherheitsdelikte und Zwischenfälle wie verloren gegangene Backup-Tapes, Viren, Spyware und Hacker-Attacken berichtet wird. Die Liste der Sicherheitsthemen in Unternehmen ist lang und kostenintensiv. Dazu kommt, dass Sicherheit heute nicht nur den rein physischen Schutz der Daten bedeutet, sondern auch gesetzliche Implikationen zu berücksichtigen hat, wie sie beispielsweise im Sarbanes-Oxley-Act formuliert sind. Und spätestens jetzt wird klar, dass eine umfassende Sicherheit, die allen internen und externen Anforderungen entspricht, nicht mit üblichen Security-Lösungen wie Virenscanner oder Firewalls gewährleistet werden kann, sondern das Einbeziehen von Storage- und Datenmanagementtechnologien erfordert. Die Bedrohungen sind heute so vielfältig, dass kompromisslose Sicherheit Lösungen in drei Bereichen erfordert - Perimeter Security, Sicherheitsfaktor Mensch und Datensicherheit.

Perimeter Security betrifft die Sicherheit an den Stellen, die das Unternehmensnetz mit dem öffentlichen Internet verbinden und sichert das Rechenzentrum anhand festgelegter Richtlinien gegen Gefahren von aussen wie Viren, Würmer und Hacker. Die Umsetzung dieser Richtlinien erfolgt mithilfe von Firewalls, Anti-Virus-Software und Web-Filtering-Lösungen. Damit wird der gesamte Datenverkehr, der in und aus einem Netzwerk fliesst, genau unter die Lupe genommen, werden eventuelle Gefahren geblockt und Zugriffe unterbunden.

Menschliche Sicherheit lässt sich mit der Abkürzung AAA beschreiben - Authentifizierung, Autorisierung und Auditing. Zum einen wird mittels Identifizierungsmassnahmen wie Passwörtern oder biometrischer Daten wie Fingerabdruck oder Iris-Scan festgestellt, dass ein Anwender wirklich der ist, der er behauptet zu sein (Authentifizierung). Zweitens wird die Autorisierung anhand vorab festgelegter Richtlinien festgestellt - was darf dieser Mitarbeiter tun? Auf welche Daten und Informationen darf er zugreifen? Welche Informationen sind für ihn schreibgeschützt, welche ganz gesperrt? Der letzte Bestandteil, Auditing, ist eine Art Protokollierung bezüglich der Netzwerkaktivitäten des Mitarbeiters. Was hat er in letzter Zeit gemacht? Welche Daten hat er angeschaut? Dieser Prozess ermöglicht es einem Unternehmen, wertvolle Daten gegen firmeninterne Bedrohungen zu schützen.

In Sachen Datensicherheit muss die Integrität der Informationen gewährleistet sein. Dies betrifft so genannte ruhende Daten (Data at Rest) auf Platten und Bändern und umfasst nicht nur die Sicherung und Verfügbarkeit dieser geschäftskritischen und vertraulichen Informationen. Vielmehr geht es heute auch darum, den Inhalt geheim zu halten und die Daten bei Bedarf zu löschen. Hier sind Verschlüsselungstechnologien ein Muss. Es reicht mittlerweile nicht mehr aus, Daten nur physisch gegen Systemausfälle, Unlesbarkeit oder echte Daten-Gaus abzusichern oder für sicheren Internettraffic zu sorgen. Daten müssen auch gegen unbefugten Zugriff geschützt werden. Für Datendiebstahl beispielsweise reicht heute ein USB-Stick oder sogar ein MP3-Player. Bisher war der Qualitätsunterschied zwischen Online- und Offline-Security sehr gross. Sind die im Unternehmen gespeicherten Offline-Daten verschlüsselt und zudem durch Zugriffsautorisierung geschützt, kann die Sicherheitslatte noch eine Stufe höher gelegt werden.

Für eine umfassende Sicherheit brauchen Unternehmen effektive Lösungen in allen drei Bereichen. Fehlt ein Element, können sie nicht sicher sein, dass ihre Informationen wirklich geschützt sind. Perimeter Security schützt nicht gegen interne Bedrohungen, Verschlüsselung dagegen hilft nur, wenn die richtigen Personen über die Schlüssel verfügen. Erschwerend hinzu kommen zahlreiche rechtliche Bestimmungen zur Aufbewahrung und Auffindbarkeit von Informationen, sodass die Sicherheit der Daten auch über Jahre hinaus und auf mehreren Systemen gewährleistet werden muss.

Während die meisten Sicherheitslösungen auf Netzwerkebene, Geräte und Anwender zielen, versagen sie beim Absichern der Daten über deren kompletten Lebenszyklus. Nur sehr wenige Lösungen sichern Daten, während sie gespeichert und durch mehrere, heterogene Systeme transportiert werden. Der Ansatz der kompromisslosen Sicherheit bietet Daten starken Schutz, unabhängig von ihrem Lagerort oder den Systemen, über die sie laufen. Ein hohes Sicherheitsniveau wird erst dann erreicht, wenn Daten jederzeit geschützt werden können - egal ob sie in Bewegung sind oder nur mehr gelagert werden. Der erste Schritt ist die zuverlässige Sicherung der Daten auf Platte oder Band und deren ständige Verfügbarkeit beziehungsweise im Fall eines Ausfalles die Möglichkeit, Daten und Systeme schnell wiederherzustellen und somit ein hohes Mass an Business Continuity zu gewährleisten. Im zweiten Schritt muss die Kombination und enge Integration traditioneller Sicherheitslösungen mit den Primär-, Sekundär- und Archivspeichersystemen gegeben sein.

Kompromisslose Sicherheit heisst aber auch, dass die Performance, Kompatibilität, Verfügbarkeit oder Einfachheit keineswegs durch die Installation einer Sicherheitslösung beeinträchtigt - oder kompromittiert - werden dürfen. Dabei spielen Partnerschaften zwischen den Herstellern und Zertifizierungen eine grosse Rolle. Hilfestellung bieten auch Standards. Das Storage Security Industry Forum der Storage Networking Industry Association setzt sich beispielsweise seit 2002 für den Aufbau und Betrieb von sicheren SAN sowie für die Definition und Förderung einheitlicher Sicherheitslösungen ein. In der SNIA Storage Management Initiative SMI zur Standardisierung des Speichermanagements nimmt Security ebenfalls eine immer grössere Bedeutung ein. Die Standards sollen helfen, dass ein definierter Funktionsumfang hersteller- und produktübergreifend zur Verfügung steht und den Aufwand und die Kosten für die Implementierung eines sicheren SAN drastisch zu reduzieren. In der jüngsten Version SMI-S 1.1 sind Sicherheitstechniken wie Security Authorization, Security Role-based Access Control, Security Identity Management, HTTP Authentication und Security Transport Protocols einbezogen.