Digitale Daten können in drei verschiedenen Zuständen vorkommen.
Data in Use (Daten in Verwendung)
Data in Motion (Daten in Bewegung)
Data at Rest (Daten im Ruhezustand)
Diese Zustände werden verwendet, um die Endpunkte zu identifizieren, an denen die Daten verschlüsselt werden sollten. Mit zunehmender Vernetzung und Flexibilität vergrößert sich auch die potenzielle Angriffsfläche. Ein Austausch von Daten über Netzwerke ist somit für Angreifer von hohem Interesse.
Durch die größere Vernetzung wird IT-Sicherheit für die IT-Infrastruktur immer relevanter. Der Umfang und Anforderung an die IT-Sicherheit sind somit ständig am Wachsen. Die Ausgangsbasis einer ganzheitlichen Implementierung von Sicherheitsmechanismen bilden die Bewertung der potenziellen Gefahren und Festlegung des Schutzbedarfs.
Die umzusetzende Lösung muss in Abstimmung mit der bereits vorhandenen bzw. geplanten Infrastruktur und den Leistungsparametern und Betriebsprozessen erfolgen.
Data in Use
Bei Data in Use handelt es sich um Daten, die gerade von einem System aktualisiert, verarbeitet, gelöscht, abgerufen oder gelesen werden. Diese Art von Daten wird nicht passiv abgespeichert, sondern bewegt sich aktiv durch Teile einer IT-Infrastruktur.
Die Daten befinden sich aktuell in Gebrauch und werden üblicherweise in einen flüchtigen Speicher oder in eine CPU-Cache geladen.
Beispiele für Data in Use sind Daten die in RAM, Datenbanken oder CPUs gespeichert oder verarbeitet werden. Anwendungen von Daten in Verwendung sind Abfragen des Transaktionsverlaufs auf einer Bankwebsite oder die Autorisierung von Benutzereingaben.
Sicherheit für Data in Use
Es können ein oder auch mehrere Benutzer direkten Zugriff auf die verwendeten Daten haben und sind somit anfällig für Angriffe und Missbrauch. Umso mehr Berechtigungen und Geräte in Verwendung sind, desto größer werden die Sicherheitsrisiken.
Neben der Verschlüsselung gibt es auch weitere wichtige Maßnahmen zum Schutz von Data in Use. So auch die Benutzerauthentifizierung in allen Phasen, ein starkes Identitäts- und Zugriffsmanagement und gut verwaltete Berechtigungen für Profile innerhalb einer Organisation.
Der Schutz von Data in Use hat durch die Verarbeitung von Daten bei externen Dienstleistern und die zunehmende Nutzung von Cloud-Services wie Software-as-a-Service (SaaS) stark an Bedeutung gewonnen.
Nachdem unter Data in Use auch Zertifikate, Verschlüsselungsschlüssel und geistiges Eigentum enthalten sein können, müssen diese unbedingt von Unternehmen überwacht werden. Es kann beispielsweise ein hardwarebasiertes Verfahren benutzt werden. Diese stellen sicher, dass die Daten während der kompletten Zeit ihrer Verwendung in einem separierten Memory-Bereich verschlüsselt werden.
Gängige Praktiken zum Schutz
Strenge Zugangskontrolle und Endpunkt-Sicherheitsmanagement mit Authentifizierungsmaßnahmen
Verschlüsselung der gesamten Festplatte oder des Speichers
Gut dokumentierte Pläne zur Verhinderung von Datenverlusten (Data Loss Prevention) und für Disaster Recovery Pläne.
Überwachung von Datenevents und Logfiles
Vertraulichkeitsvereinbarungen (Non-disclosure Agreement) für Mitarbeiter und Beteiligte
Verfolgung und Meldung des Datenzugrffs, um verdächtige Aktivitäten und potenzielle Bedrohungen zu erkennen. Z.B. Überwachung von Anmeldeversuchen bei Plattformen mit sensiblen Informationen.
Data in Motion
Data in Motion beschreibt jene Daten, die sich aktuell in Bewegung befinden. Sie werden über Netzwerkverbindung von einem Ort zu einem anderen Ort übertragen. Data in Motion wird auch Data in flight oder Data in transit genannt. Es handelt sich dabei um bewegte Daten, die sich durch ein Netzwerk bewegen, entweder von Endgerät zu Cloud-Dienst, von Client zu Webserver oder vom Mailserver zur Inbox des E-Mail-Clients.
Die Übertragung der Daten erfolgt über ein privates Netzwerk (Firmen-LAN) oder ein öffentliches Netzwerk. Sind die Daten am Zielort angekommen, werden sie zu ruhenden Daten oder Daten in Verwendung.
Beispiele für Data in motion sind: Synchronisation lokaler Daten mit einem Cloud-Speicher, Datenübertragung bei der E-Mail-Übermittlung, Datei-Downloads per FTP, über WiFi- oder Mobilfunknetze übertragende Daten, Datenübertragung von Instant-Messengern oder der Datenaustausch zwischen Webbrowser und Webserver.
Bewegte Daten sind besonders anfällig für Man-in-the-Middle-Angriffe. Um Daten während der Übertragung bestmöglich zu schützen, wird ein Verschlüsselungsverfahren eingeführt, oder die Daten werden über gesicherte Tunnel übertragen, um Hackern den Zugriff so schwer wie möglich zu gestalten.
Data at Rest
Data at Rest sind unter anderem archivierte Daten, Daten auf die nicht häufig zugegriffen wird, oder die nicht häufig geändert werden sowie Daten, die auf IoT-Geräten gespeichert werden.
Daten im Ruhezustand sind in der Regel weniger anfällig wie Daten in Bewegung oder Daten in Verwendung.
Diese Daten werden auf lokalen Massenspeicher, Netzwerk-Storage oder in einem Cloud-Speicher gespeichert. Diese Daten werden aktuell nicht aktiv verarbeitet oder über ein Netzwerk übertragen. Um Data at rest von unbefugtem Zugriff und missbräuchlicher Nutzung zu schützen, kommen vor allem Verfahren wie Identiy- und Access-Management und Verschlüsselung zum Einsatz.
Daten im Ruhezustand werden weder verwendet noch übertragen und befinden sich beispielsweise auf der Festplatte eines Rechners, auf externen Backup-Medien, lokalen Massenspeicher, im Cloud-Speicher oder es handelt sich um archivierte Daten.
Je nach Zustand sind die digitalen Daten hinsichtlich auf Datensicherheit und Datenschutz unterschiedlichen Bedrohungsszenarien ausgesetzt. Um sie vor diesen Bedrohungen zu bewahren, kommen Verschlüsselungsverfahren und Identität- und Zugriffsmanagement zum Einsatz.
Die Verschlüsselung, auch Data-at-rest-Encryption genannt, soll verhindern, dass Daten in falsche Hände gelangen. Geräte mit Massenspeicher könne physisch verloren gehen, oder Angreifer erhalten Zugriff auf den Massenspeicher.
Im Ruhezustand sind die Daten immer verschlüsselt gespeichert und müssen für die Verwendung wieder entschlüsselt werden. Identity- und Access-Management garantiert dabei, dass nur authentifizierte und berechtigte Personen, Anwendungen oder IT-Systeme Zugriff auf die ruhenden Daten erhalten.