Quo vadis Datenverschlüsselung?

Lothar Lochmaier

Jährlich werden weltweit über eine Million Notebooks und PDAs gestohlen. Sind dann, wie vor kurzem bei einer Krankenschwester in den USA der Fall, unglücklicherweise die Login-Daten und das Passwort mit einem Zettel auf dem PC beigefügt, ist dem Missbrauch Tür und Tor geöffnet. Auch die aktuelle Microsoft-Sicherheitsstudie bestätigt den Trend, dass mobile Systeme sich zum wachsenden Sicherheitsrisiko für die Unternehmen entwickelt haben.

Deshalb verwundert es kaum, dass der Markt für Verschlüsselungslösungen prosperiert, egal, wo der Mitarbeiter sich gerade befindet und unabhängig davon, mit welchem Endgerät er auf das Unternehmensnetzwerk zugreift. So verstärkt etwa SafeBoot, ein Spezialist für Verschlüsselungslösungen, derzeit seine Präsenz auf dem europäischen Markt. Das Unternehmen hat seit Juni die deutsche Kobil Systems in das SafeBoot Certified-Token-Partnerprogramm aufgenommen, um passgenaue Authentifikationslösungen gemeinsam mit der SafeBoot Verschlüsselungstechnologie anzubieten.

Damit lassen sich Smart-Card-basierte Lösungen wie Kobil mIDentity künftig mit der SafeBoot-Lösung Device Encryption kombinieren. Doch ist dies nur ein Beispiel unter vielen: So gut wie alle Anbieter stellen sich derzeit mit breit gefächerten Lösungen auf diesem Markt auf. Künftig wollen etwa die Partner SafeBoot und Kobil gebündelte Lösungen anbieten mit einer langen Liste an denkbaren Features, wie Smart-Card-basierte Authentifizierungs-Token, Einmalpasswörter, Single-Sign-On-Applikationen sowie PKI-Management-Tools mit der SafeBoot Netzwerk- und Festplatten-Verschlüsselungstechnologie.

Punkten will SafeBoot auf dem wachsenden Markt für Verschlüsselungssoftware dabei vor allem mit anwenderfreundlichen und skalierbaren Lösungen, mit geringem Installations- und Administrationsaufwand. Der steigende Bedarf ist die eine Seite, andererseits tummelt sich auf dem Markt für Verschlüsselungslösungen die ganze Riege etablierter Anbieter wie Checkpoint, RSA Security, Symantec, Cisco oder Juniper. Und von diesen klingenden Namen propagiert mittlerweile jeder Hersteller sein eigenes Konzept.

Die Fusion zwischen dem Speicherriesen EMC und Verschlüsselungsspezialist RSA Security hat den Markt zusätzlich angeheizt. Eingekauft hat sich EMC ein profundes Know-how in der Verschlüsselung mit zentralisiertem Key Management. Der dadurch ausgelöste Schwenk in der philosophischen Betrachtung der Informationssicherheit ist nicht mehr durch technische Lösungen gekennzeichnet, sondern durch das Bestreben, die Datenbestände umfassend zu verwalten und den Zugriff darauf zentral zu steuern. Eine ähnliche Motivation dürfte Netapp zum Kauf des Kryptoappliance-Spezialisten Decru veranlasst haben.

Auch die amerikanische Symantec spricht nach der Übernahme des Storage-Softwerkers Veritas gerne vollmundig von der "Sicherung der Informationsintegrität" - etwa über die Kombination von Backup und Virenschutz. Die Pläne von EMC und RSA sollen aber noch weiter reichen. Oberste Prämisse hat die Maßgabe, Informationen entlang ihres Lebenszyklus sicher zu managen. Dazu steuert RSA die Elemente Benutzeridentifizierung, Access Management sowie Krypto-Tools und das zentrale Schlüsselmanagement bei, während EMC seine Lösungen in punkto Speicherung, Archivierung und Dokumentenmanagement (Legato, Documentum) mit einbringt. Auch die mit Authentica übernommene Technik zum Digital Rights Management dürfte dabei eine Rolle spielen.

Enterprise-Data-Protection

Derartige Firmenübernahmen charakterisieren deshalb einen allgemeinen Branchentrend, nicht mehr die Daten, sondern die Infrastruktur zu schützen. So hat RSA kürzlich eine Enterprise-Data-Protection-Initiative ins Leben gerufen. Ziel ist es, die Daten zu verschlüsseln, egal wo sie sich räumlich befinden, ob in der Datenbank, auf Laptops, auf Fileservern oder im Bereich des Storage. Kern der Initiative soll ein Key Manager Partner Programm bilden, das die firmenweite Verwaltung von Krypto-Schlüsseln vorantreiben soll. Denn der reibungslose anwendungsübergreifende Austausch von Keys ist ein Grundpfeiler für umfassende Verschlüsselungslösungen.

Durch die Fusion kann EMC seine Archiv- und Speicherlösungen sowie Content- und Information Lifecycle Management zu RSAs Produkten hinzu fügen, in der Benutzeridentifizierung, Zugriffskontrolle sowie Kryptografie und Key-Management. Eine komplette Verschlüsselungskette bleibt allerdings trotzdem mehr ein hehres Wunschziel, denn in der Praxis tatsächlich umsetzbar, insbesondere mit Blick auf ein funktionierendes Rechte- und Schlüsselmanagement. Übergreifende Standards sind Fehlanzeige. Die Anbieter kochen weiterhin ihr eigenes Süppchen.

Deshalb sind Experten skeptisch, ob das Ziel einer lebenszyklus- und anwendungsübergreifenden Verschlüsselung überhaupt realistisch ist. Zudem dürfte die Konkurrenzsituation einzelne Anbieter davon abhalten, sich allzu sehr zu öffnen. Entsprechend dürfte es Utimaco oder Pointsec schwer fallen, sich der zentralen Key-Verwaltung von RSA unterzuordnen. Zumal dabei auch die Synchronisation von Notfallmechanismen wie das Key Recovery problematisch erscheint. Um die Daten auch wirklich auf allen Plattformen verwenden zu können, wären offene Standards erforderlich. Und genau daran zeigen viele Hersteller kein sonderlich großes Interesse.

Mit einer weiteren Initiative hat sich vor kurzem mit IBM ein anderer Branchenprimus an die Öffentlichkeit gewagt. Das Unternehmen kündigt die Einführung einer bislang "einzigartigen Verschlüsselungstechnologie" an, die auf offenen Standards basiert. Das Grundgerüst hierfür bildet das industrieweit erste Bandlaufwerk, das Daten voll verschlüsselt. Das Laufwerk kann Daten auch im Fall von Diebstahl oder anderweitigem Verlust vor unerlaubtem Zugriff schützen.

Die Anwender können damit große Dateien, die auch für den Einsatz in entfernten Rechenzentren oder für Archivzwecke gedacht sind, mit der Geschwindigkeit verschlüsseln, die bei Bandlaufwerken üblich ist. Die auf Band verschlüsselten Daten sollen allerdings mit Geschäftspartnern austauschbar sein. Allerdings stellt sich bei dem stolzen Preis des Bandlaufwerks Storage TS1120 ab 35 000 Dollar die Frage, wie kleine und mittelständische Unternehmen ihre IT-Sicherheit dimensionieren sollen - und welche Infrastruktur noch einem soliden Basisschutz entspricht.

Analog zu IBM setzt auch Sun auf ein ähnliches Konzept für mehr Storage-Sicherheit auf der Basis einer Hardware-Verschlüsselung mit dem neuen T10.000 Bandlaufwerk. Sun Microsystems verstärkt damit sein Storage-Angebot mit Blick auf die Datensicherheit. Mit der Hardware-basierten Verschlüsselung inklusive Key-Management für das Sun StorageTek Bandlaufwerk und der ersten Virtual-Tape-Library-Lösung unter dem Betriebssystem Solaris 10 verstärkt Sun sein umfassendes Angebot an integrierten Sicherheitsfunktionen entlang des gesamten Informationslebenszyklus.

Spezialisten nach wie vor gefragt

Noch in diesem Jahr wollen sowohl IBM als auch Sun ihre neuen Produkte auf den Markt bringen. Gefragt sind neben den Branchengrößen aber auch weiterhin die Spezialisten wie Utimaco, Centennial Software oder SafeNet. Auch auf mobile Lösungen spezialisierte Anbieter wie mTrust sind weiter im Rennen, die sich etwa darauf konzentrieren, mobile Datenträger wie USB-Sticks zu verschlüsseln.

Auf ganzheitliche Lösungen setzt SafeGuard Easy von Utimaco, die vom Netzwerk bis zum tragbaren Endgerät alle Informationen verschlüsselt und auch das Definieren unternehmensweiter Sicherheitsrichtlinien ermöglicht. Als wichtiger Referenzkunde gilt die deutsche Niederlassung von Microsoft. Das Unternehmen ist für den Schutz von 700 mobilen Endgeräten auf Basis von Windows Mobile verantwortlich, mitsamt Vertrieb, Beratung und Management, davon 330 MDAs mit zusätzlicher Telefonfunktion.

SafeNet präsentiert derzeit ebenfalls neue Ansätze mit der Verschlüsselungs-Hardware Ethernet Encryptor. Unternehmen können Hochgeschwindigkeits-Ethernet-Netzwerke mit bis zu 100Mbps und 1Gbps schützen und so eine sichere Daten-Übertragung gewährleisten. Zudem propagiert das Unternehmen seine Festplattenverschlüsselungs-Lösung SafeEnterprise Protect Drive, mit deren Hilfe Unternehmen sensible Daten sichern können, die auf persönlichen Laptops, PCs und Servern gespeichert sind.

Und obendrein offeriert SafeNet Hardware-Sicherheitsmodule, die Daten sowohl durch Software schützen, als auch Manipulationen der Hardware unmöglich machen. Die iKey-Reihe umfasst Hardware-Token, die Zwei-Faktor-Authentifizierung, Key-Management für Verschlüsselung und digitale Unterschriften ermöglichen.

Fazit: Das rasante Tempo um die Gunst der Stunde im lukrativen Markt für Verschlüsselungslösungen erhöht sich weiter - und jeder Hersteller bzw. jedes Unternehmen setzt an einem anderen Punkt an. Der Kunde steht angesichts der unüberschaubaren Zahl an Lösungsansätzen nicht selten im Regen.