Critical Data Access
So lassen sich kritische Daten in Echtzeit schützen
In Zeiten vielfältiger Analysemöglichkeiten durch Big Data sind Daten zur Währung des 21. Jahrhunderts geworden. Das führt jedoch immer häufiger zu Missbrauch. So werden gestohlene Daten auf Schwarzmärkten gehandelt und teilweise sogar Hacker beauftragt, Informationen zu beschaffen. Wie aber können Unternehmen ihre kritischen Daten effizient schützen? Mit der Absicherung des Netzwerk-Perimeters ist es nicht getan. Dieser Artikel zeigt, wie sich diese mit dem Konzept des "Critical Data Access" in Echtzeit überwachen lassen.
Was sind meine kritischen Daten?
Der erste Schritt ist häufig der wichtigste, so auch bei Critical Data Access. Schließlich legt er die Basis für alle weiteren Prozesse. So müssen sich Unternehmen zu Beginn fragen, welches ihre kritischen Daten sind. Je nach Branche und Geschäftsmodell kann das sehr unterschiedlich sein. So sind es bei Händlern in der Regel Kundenprofile und Kreditkarteninformationen, bei Banken Kunden- und Kontobewegungsdaten oder bei herstellenden Unternehmen Produktions- und Konstruktionsdaten.
Wichtig hierbei ist, dass sowohl die Mitarbeiter aus den Fachabteilungen als auch IT-Abteilung und Sicherheitsverantwortliche diese Daten gemeinsam klassifizieren. Denn oft besitzen verschiedene Abteilungen innerhalb eines Unternehmens unterschiedliche kritische Daten. Auch Faktoren, die einen Einfluss darauf haben, welche Informationen kritisch sind, sollten beachtet werden. Dazu gehören etwa Daten zur Einhaltung von Compliance- oder gesetzlichen Vorgaben, für Audits, Revisionen oder die Finanzdienstleistungsaufsicht sowie Informationen mit Relevanz für den Betriebsrat oder die aktuelle Bedrohungslage.
- Die besten Security-Appliances
In großen und komplexen Netzwerken mit hohem Datenaufkommen ist es sinnvoll, Sicherheitsfunktionen wie die Firewall oder den Virenschutz in eigene Appliances auszulagern. Wir stellen verschiedene dieser Sicherheitslösungen vor. - Check Point 1100
Für die Außenstelle hat Central Point die UTM-Appliances der 1100er-Serie im Programm. Das Einstiegsmodell mit 10 GBit-Ethernet-Ports liefert eine Threat-Prevention für Büros mit bis zu 50 Mitarbeitern und dient auch gleich als sicherer WLAN-Access-Point. Optional ist das Gerät auch mit integriertem ADSL-Model verfügbar. - Check Point 41000
Am entgegengesetzten Ende der Check-Point-Modellpalette liegen die Enterprise- und Carrier-Systeme. Das modulare 41000 Security System ist für einen Firewall-Durchsatz von bis zu 40 Gbps ausgelegt. Das System ist über sogenannte Software Blades erweiterbar. In der Grundversion stehen die folgenden Funktionen bereits bereit: Firewall, IPsec VPN, Identity Awareness, Advanced Networking sowie Acceleration & Clustering. - Cisco ASA5500
Ciscos Next-Generation-Firewalls der 5000er-Serie für Kleinunternehmen oder Filialen reichen vom Einstiegsmodell ASA 5505 mit einem Stateful-Inspection-Durchsatz von 150 Mbps bis hin zur ASA 5515-X, die 1,2 Gbps bewältigen kann. - Cisco ASA5585-X
Die Enterprise-Firewall ASA 5585-X von Cisco wird mit verschiedenen Service-Modulen kombiniert. In der hier abgebildeten Spitzenversion mit dem Security Services Processor-60 (SSP-60) liefert die Next-Generation-Firewall eine Stateful-Inspection-Firewall-Performance von bis zu 40 Gbps. - Dell SuperMassive 9800
Die SuperMassive 9800 ist das neue Spitzenmodell unter den Next-Generation-Firewalls der 9000er-Serie von Dell. Sie soll bis zu 20 Gbit/s Leistung bei der Deep-Packet-Inspection bringen. - Fortinet FortiGate 5000
Laut Fortinet ist die FortiGate 5144C die erste Firewall mit einem Durchsatz von mehr als einem Terabit pro Sekunde. Das FortiGate-5144C-Chassis bietet Platz für bis zu 14 Security-Blades, mit dem FortiController-5913C kann auch ein 100-GbE-Controller eingesetzt werden. - Fortinet FortiWiFi 60D
Die FortiWiFi-60D-Appliance gehört zur Connected-UTM-Serie von Fortinet. Das Gerät ist für den umfassenden Schutz kleinerer Firmen und Zweigstellen bestimmt und bietet neben sieben Gigabit-Ethernet-Ports auch einen WLAN-Access-Point, der 802.11n auf beiden Bändern unterstützt. - Netgear UTM25S
Die Geräte aus Netgears UMT-S-Serie sollen den bisherigen Router ersetzen und so für Kleinbetriebe, Zweigstellen und auch Privatanwender eine umfassende Sicherheitslösung darstellen. Das UMT25S bietet zwei GBit-WAN und vier GBit-LAN-Ports und unterstützt zudem den 802.11n-WLAN-Standard auf dem 2,4- und dem 5-GHz-Frequenzband. - McAfee M-4050
Die McAfee-Appliance M-4050 ist ein Intrusion Prevention System mit integrierter Network-Access-Control-Funktion. Damit soll die Appliance das Netzwerk nicht nur vor Angriffen von außen schützen, sondern auch die Verwendung nicht genehmigter Endgeräte im Firmennetzwerk unter Kontrolle halten. - McAfee N-450
Die McAfee-Appliance N-450 ist ein Bespiel für hochspezialisierte Security-Appliance: Sie ist eine reine Network-Access-Control-(NAC) Appliance die sicherstellen soll, dass nur bekannte und sichere Endgeräte Zugriff auf das Firmennetzwerk erhalten. Für Gäste und externe Dienstleister können auf Regeln basierende Zugriffsrechte definiert werden, die sie etwa auch ein spezielles Gast-Portal weiterleiten. - McAfee Next Generation Firewall
McAfee hat Entwicklung effektiver Next-Generation-Firewalls den finnischen Anbieter Stonesoft gekauft. Eines der Resultate aus dieser Übernahme sind die Firewall-Appliances der 3200-Serie. Mit einem Stateful-Inspection-Durchsatz von bis 30 Gbps sind sie für den Schutz größerer Netzwerke ausgelegt. - WatchGuard FireboxT10
Die Lösung Firebox T10 hat WatchGuard speziell für SOHO- (Small and Home Office), Einzelhandels- und Filialumgebungen entwickelt. Egal ob stand-alone betrieben oder von der Unternehmenszentrale aus gesteuert: Die Appliance bietet einen theoretischen Firewall-Durchsatz von 200 Mbps beziehungsweise eine 55 Mbps UTM-Performance und verfügt über drei 1-Gigabit-Ethernetports. Konfigurationswerkzeuge und WatchGuards RapidDeploy-Technologie helfen Netzwerkadministratoren, die Firebox T10 in kurzer Zeit per Fernzugriff in Betrieb zu nehmen. - WatchGuard Firebox M440
- Palo Alto Appliance PA-5060
Der Firewall-Durchsatz beträgt 20 Gbps.
Wo liegen meine kritischen Daten?
Der nächste logische Schritt ist die Ermittlung der Orte, an denen diese kritischen Daten gespeichert sind. Schließlich ist dies eine Grundvoraussetzung, um sie schützen können. Mögliche Speicherorte sind zum Beispiel Rechenzentren, Datenbanken, Mail-Server, Datei-Server und -Ordner, Sharepoint-Server, Cloud-Dienste oder mobile Geräte. Weil viele Daten zentral im Datacenter liegen, werden diese für Angreifer immer attraktiver.
Über Datendiebstahl berichten die Medien mittlerweile fast täglich: Bekannt geworden sind unter anderem das Eindringen von Hackern in das Firmennetz des Filmstudios Sony Pictures, bei dem unveröffentlichte Filme, persönliche Details von Filmschaffenden und E-Mails entwendet wurden, oder der Angriff auf das Netzwerk des Deutschen Bundestages.