Datensicherheit 2.0

Cloud und Hadoop - Sicherheit ist nie absolut

Jörg Fritsch ist Research Director im Team "Security and Risk Management" des Bereichs Gartner for Technology Professionals (GTP). Zu seinen Schwerpunkten zählen die Informationssicherheit, Security im Rechenzentrum und in der Cloud, Big Data (Analytics), Cloud Computing, PaaS, verteilte Systeme, Messaging und Event-driven Systems sowie sehr schnelle Netzwerke und Server.
Weil digitalen Daten für vielen Unternehmen einen enormen Wert darstellen, bekommen auch das IT-Risiko-Management und die Datensicherheit ein besonderes Gewicht. Doch hundertprozentigen Schutz gibt es derzeit nicht.

Abhängig vom Industriesektor übersteigt für viele Unternehmen der Wert der immateriellen Assets und Daten den Wert der physikalischen Güter um ein Vielfaches. Genauso wie ein stromloses RechenzentrumRechenzentrum vor Hackern und MalwareMalware sicher, aber ansonsten nutzlos ist, sind Daten nur wertvoll, wenn man sie verarbeitet und die Erkenntnisse mit anderen Unternehmen teilt. Neue Technologien aus den Bereichen Cloud Computing und Big Data sind dafür geschaffen, dies überhaupt erst zu erreichen. Alles zu Malware auf CIO.de Alles zu Rechenzentrum auf CIO.de

Die Cloud - ein zwischen Vertraulichkeit und Verfügbarkeit der Daten

Bei vielen Klienten existiert eine große Verunsicherung darüber, ob sensible Daten in der Cloud mit Verschlüsselung erfolgreich vor dem Zugriff Dritter geschützt werden können. Datenverschlüsselung ist jedoch kein Allheilmittel, gerade wenn man das Thema "Data at Rest"-Verschlüsselung betrachtet.

Die "Data at Rest"-Verschlüsselung in der Cloud ist eine starke Technologie mit einem Wermutstropfen: Die Vertraulichkeit und der Schutz der Daten, den Unternehmen in der Cloud letztendlich erreichen können, bleiben beim gegenwärtigen Stand der Technik immer ein Kompromiss zwischen der Vertraulichkeit und der Verfügbarkeit der Daten. Obwohl es anwendungs- und datenspezifische Ausnahmen gibt, können Computer gegenwärtig nur Daten verarbeiten, die nicht verschlüsselt sind. Teile der vertraulichen Daten müssen dabei immer unverschlüsselt im RAM gehalten werden - dies gilt auch für die notwendigen Schlüssel.

Noch am 1. April 2014 sind die meisten Entscheider und IT-Spezialisten davon ausgegangen, dass es sich dabei um eine rein theoretische Sicherheitslücke handelt. Nach dem Bekanntwerden von "Heartbleed" wurde deutlich vor Augen geführt, dass es unangenehme Konsequenzen mit sich bringt, wenn ein Angreifer sich Zugang zu den unverschlüsselten Daten im RAM verschaffen kann.

Aber es ist nicht alles verloren - mit dem richtigen Management der Schlüssel kann man in der Abwägung zwischen Vertraulichkeit und Verfügbarkeit bessere Entscheidungen treffen.

Sicherheit bei Hadoop 2.0 (YARN)

Die neue Hadoop-Architektur integriert zwar Sicherheitsfunktionen, doch viele Implementierungen sind unvollständig.
Die neue Hadoop-Architektur integriert zwar Sicherheitsfunktionen, doch viele Implementierungen sind unvollständig.
Foto: Gartner

Datensicherheit in Hadoop bleibt trotz Hadoop 2.0 (YARN) ein Flickwerk mit vielen beweglichen Teilen stark unterschiedlicher Qualität und Ursprungs.

Die gute Nachricht ist, dass die Entwickler von Hadoop einige High-end-Sicherheitsfeatures traditioneller Datenbanken (beispielsweise Cell-level RBAC, Datenbank- und Cell-Verschlüsselung) eingeführt und diese auf Hadoop übertragen haben. Man fängt also nicht bei null an.

Die schlechte Nachricht ist, dass die implementierten Sicherheitskontrollen auch bei traditionellen Datenbanken Nischenprodukte sind, die nur in Umgebungen mit höchstem Sicherheitsbedarf zum Einsatz kommen.

Viele Implementierungen sind zudem unvollständig. Zum Beispiel können sich Administratoren oder Root-Berechtigte oft zu allen Informationen Zugang verschaffen. Entwickler und Hersteller argumentieren hier, dass die zur Verfügung gestellten Mittel angemessen sind, um das eingangs bereits erwähnte Teilen der wertvollen Daten mit so vielen Unternehmen wie möglich und so sicher wie nötig überhaupt erst möglich zu machen.

"Mitdenken" bei BigData

Auch im Bereich Big Data ist eine Realitätsprüfung sinnvoll. Man sollte auf keinen Fall über das Ziel hinausschießen und Big Data mehr (eventuell unnötiger) Sicherheit aussetzen als den Daten in traditionellen Datenbanken. Zusammengefasst ist "mitdenken" für alle wichtig, die von neuen Technologien profitieren wollen oder müssen. Es gibt Kompromisse, die viele Anforderungen erfüllen. Bei der Definition eines tolerierbaren Rahmens für die Erfassung und Verarbeitung von Daten in der Cloud und in Hadoop sollten aber politische Empörung, überzogene Anforderungen und die Angst vor dem Unbekannten keine Rolle spielen.

Links zum Artikel

Themen: Malware und Rechenzentrum

Kommentare zum Artikel

comments powered by Disqus
Zur Startseite