Eine Enterprise-Verschlüsselungsrichtlinie ist für die Sicherheit einer Organisation von entscheidender Bedeutung. Diese Richtlinie bietet eine einheitliche Möglichkeit, sicherzustellen Verschlüsselung Best Practices werden in Ihrem gesamten Unternehmen ordnungsgemäß umgesetzt. Darüber hinaus kann eine starke Enterprise-Verschlüsselungsrichtlinie an die von Ihrem Unternehmen entwickelte Verschlüsselungsstrategie angepasst werden, sodass Sie eine unternehmensspezifische Lösung für Ihre Verschlüsselungslücken erhalten.
Die Erstellung einer Verschlüsselungsrichtlinie erfordert viel Planung und Organisation für eine ordnungsgemäße Implementierung. Ihre Unternehmensverschlüsselungsrichtlinie wird wahrscheinlich verschiedene Tools für die Datenverschlüsselung vorschlagen, wie zum Beispiel Codesignatur Lösungen, um Ihren Daten die Sicherheit zu geben, die sie verdienen.
Grundlagen der Verschlüsselung
Der erste Schritt zur Entwicklung einer starken Enterprise-Verschlüsselungsrichtlinie besteht darin, die Grundlagen der Verschlüsselung zu verstehen. Es gibt zwei verschiedene Arten von Verschlüsselungsmethoden: asymmetrische und symmetrische Verschlüsselung. Bei der symmetrischen Verschlüsselung wird ein Schlüssel zum Verschlüsseln von Daten verwendet. Das bedeutet, dass sowohl die Person, die die Daten verschlüsselt, als auch die Person entschlüsseln Daten verwenden denselben Schlüssel.
Die ursprünglichen Klartextdaten werden mit dem symmetrischen Schlüssel verschlüsselt und in Geheimtext umgewandelt. Dieser Geheimtext wird später mit demselben Schlüssel entschlüsselt, der zur Verschlüsselung verwendet wurde, wodurch der Klartext wiederhergestellt wird. Der Schlüssel muss sicher an die Person, die die Daten verschlüsselt und entschlüsselt, übermittelt werden, da nur diejenigen Personen Zugriff darauf haben sollten, die die Daten verschlüsseln oder entschlüsseln müssen.
Wenn die Sicherheit des Schlüssels nicht ordnungsgemäß gehandhabt wird, könnte ein böswilliger Bedrohungsakteur die Klartextdaten stehlen und für unerwünschte Zwecke verwenden.
Die andere Art der Verschlüsselung ist die asymmetrische Verschlüsselung. Bei dieser Verschlüsselungsart wird anstelle eines einzelnen Schlüssels ein Schlüsselpaar verwendet. Das Schlüsselpaar wird aus einem öffentlichen und einem privaten Schlüssel erstellt. Wie der Name schon sagt, ist der öffentliche Schlüssel für jedermann zugänglich, während der private Schlüssel nur dem Ersteller des Schlüsselpaars bekannt ist. Dieses Schlüsselpaar ist mathematisch verknüpft, sodass, wenn der private oder der öffentliche Schlüssel einen Klartext verschlüsselt, der andere Schlüssel den resultierenden Geheimtext entschlüsseln kann.
Die asymmetrische Verschlüsselung von Daten während der Übertragung funktioniert folgendermaßen: Der Absender verschlüsselt die Daten mit dem privaten Schlüssel seines Schlüsselpaares. Der öffentliche Schlüssel wird anschließend an den Empfänger gesendet, der die Daten damit entschlüsselt. Da diese Schlüssel miteinander verknüpft sind, weiß der Empfänger, dass die Daten tatsächlich von der Person stammen, von der er sie erwartet. Auf diese Weise bietet die asymmetrische Verschlüsselung eine zuverlässige Methode, um zu authentifizieren, dass die übertragenen Daten nicht verändert wurden und um die Identität des Absenders zu bestätigen.
Eine letzte Komponente der Verschlüsselung, die wir verstehen sollten, sind die verschiedenen Zustände, in denen sich Daten befinden können, darunter Daten während der Übertragung/Daten in Bewegung, Daten im Ruhezustand und Daten in Verwendung:
Nachdem wir nun die Grundlagen der Verschlüsselung verstanden haben, schauen wir uns an, was Sie bei der Entwicklung einer Strategie für Unternehmensverschlüsselungsrichtlinien berücksichtigen müssen.
Was ist bei der Strategieentwicklung zu beachten?
Die Strategieentwicklung für eine Unternehmensverschlüsselungsrichtlinie ist ein äußerst wichtiger Schritt bei der eigentlichen Richtlinienentwicklung. Dabei sind verschiedene Punkte zu beachten. Die Zusammenarbeit beginnt dabei. Ein Unternehmen, das eine Richtlinie erstellt, sollte mit allen Teams zusammenarbeiten, die in diese Richtlinie einbezogen werden könnten oder über nützliche Informationen verfügen. Dazu gehören auch Compliance-Teams, da sie bei der Entscheidung helfen können, welche Datentypen erkannt und klassifiziert werden müssen und welche Methoden zur Verschlüsselung oder zum Schlüsselschutz erforderlich sind.
Die anderen am Projekt beteiligten Stakeholder können auch dabei helfen, diese Richtlinie mit anderen, bereits in Ihrem Unternehmen bestehenden Richtlinien zu verknüpfen, z. B. Schlüsselschutzrichtlinien. Die Teams, die die Kontrollen der Enterprise Encryption Policy tatsächlich implementieren, sollten ebenfalls in den Strategieprozess einbezogen werden.
Der nächste Schritt bei der Erstellung Ihrer Unternehmensverschlüsselungsrichtlinie ist die Datenklassifizierung. Mithilfe des Fachwissens Ihres Compliance-Teams sollten Sie die verschiedenen Standards und Compliance-Vorschriften ermitteln, die Sie einhalten müssen. Dies gibt Aufschluss darüber, ob und welche Daten klassifiziert und wie diese geschützt werden müssen. Zur Datenklassifizierung muss ein Unternehmen alle seine Daten durchsuchen, um die verschiedenen Datentypen zu bestimmen. Werden bestimmte Datentypen wie Sozialversicherungsnummern, Telefonnummern oder Adressen gespeichert oder in irgendeiner Weise verwendet, müssen diese Daten geschützt werden.
Sobald Daten klassifiziert sind, lassen sie sich durch Verschlüsselung, Tokenisierung oder andere Methoden wesentlich einfacher schützen. Daten werden normalerweise auf eine von vier verschiedenen Arten klassifiziert. „Öffentlich“ ist die erste Klassifizierungsstufe. Dabei handelt es sich um Daten, die öffentlich zugänglich sind oder sein werden. Sollten diese Daten verloren gehen oder gestohlen werden, verursacht dies keine Probleme, da sie öffentlich bekannt sind.
Die zweite Ebene sind Geschäftsdaten, also Daten, die im täglichen Geschäftsbetrieb verwendet werden. Dies ist die Klassifizierungsstufe der meisten Daten, und obwohl ihr Verlust ärgerlich wäre, würde er Ihr Unternehmen nicht lahmlegen. Die dritte Ebene sind vertrauliche Daten. Diese Daten haben nur wenigen Personen Zugriff und würden bei einem Datenleck einen Wettbewerbsvorteil kosten. Schließlich gibt es noch eingeschränkte Daten, die am wenigsten zugänglichen Informationen im Unternehmen.
Die Weitergabe vertraulicher Daten könnte zu Einnahmeverlusten in Millionenhöhe führen und im Falle des Verlusts oder Diebstahls dieser Daten sogar Rechtsstreitigkeiten nach sich ziehen.
Ein weiterer wichtiger Punkt bei der Erstellung der Unternehmensrichtlinien ist die Rollen- und Zugriffskontrolle für Daten. Es ist für die Datensicherheit unerlässlich, sicherzustellen, dass nur die Personen Zugriff auf bestimmte Daten haben, die diesen Zugriff benötigen. Der Zugriff auf vertrauliche Daten durch Unbefugte kann zum Diebstahl oder Verlust unternehmenswichtiger Daten führen. Eine effektive Zugriffskontrolle lässt sich durch die Zuweisung von Rollen an Benutzer implementieren. Diese Rollen können auf Datenklassifizierungsstufen, der Berufsbezeichnung oder der Unternehmensabteilung basieren. So könnte beispielsweise ein Benutzer die Rolle „Vertrauensberechtigter Zugriff“, „Vertriebsmitarbeiter“ oder „Personalabteilung“ innehaben.
Ein weiterer wichtiger Punkt bei der Zugriffskontrolle ist die Aufgabentrennung. Aufgabentrennung bedeutet, dass für die Erledigung einer bestimmten Aufgabe mehrere Personen erforderlich sind. Wenn also jemand Zugriff auf vertrauliche Daten anfordert, müssen ihm ein oder mehrere Genehmiger den Zugriff gestatten, bevor er tatsächlich auf die Daten zugreifen und sie nutzen kann. Dies erhöht die Chancen, eine potenzielle Insider-Bedrohung abzuwehren, da mehrere Personen in die Insider-Bedrohung verwickelt sein müssen, um Daten zu stehlen.
Ein wichtiger Aspekt bei der Entwicklung einer Sicherheitsstrategie ist die Auswahl der passenden Verschlüsselungsmethoden. Diese können je nach den für Ihr Unternehmen geltenden Compliance-Vorschriften und -Standards sowie dem angestrebten Sicherheitsniveau Ihrer IT-Infrastruktur variieren. Jedes Unternehmen sollte bestrebt sein, eine möglichst starke Verschlüsselung und Sicherheit zu implementieren, die den Betrieb nicht beeinträchtigt oder verlangsamt.
Ihr Unternehmen kann jeden beliebigen Verschlüsselungsalgorithmus verwenden, aber der Schutz der Daten in allen Formaten ist entscheidend. Wenn Daten nur während der Übertragung geschützt sind, können sie sowohl im Ruhezustand als auch während der Nutzung gefährdet sein. Behalten Sie außerdem den Überblick über Nationales Institut für Wissenschaft und Technologie (NIST) Aktualisierungen von Vorschriften und Standards, da diese Organisationen die bestmöglichen Vorgehensweisen bieten, um sicherzustellen, dass sie die stärksten Verschlüsselungsalgorithmen, Schlüssellängen usw. verwenden.
Ihr Unternehmen kann die verschiedenen Verschlüsselungsmethoden entweder manuell oder mit Hilfe von [Software/Dienstleistungsanbieter] verwalten. Enterprise-Verschlüsselungsplattformdienstewie Micro Focus oder Protegrity. Dies sollte Ihnen auch helfen, den nächsten Schritt Ihrer Strategie festzulegen, nämlich die Verwaltung von Verschlüsselungsschlüsseln.
Die Verwaltung von Verschlüsselungsschlüsseln ist wohl der wichtigste Teil Ihrer VerschlüsselungsstrategieWie viele der jüngsten Lieferkettenangriffe gezeigt haben, ist das erste Ziel eines Angreifers der private Schlüssel des asymmetrischen Verschlüsselungsschlüsselpaares.
Schlüssel können heutzutage an verschiedenen Orten gespeichert werden, doch nicht alle sind sicher. Manche Organisationen speichern ihre Schlüssel unverschlüsselt auf ihren Geräten, was die unsicherste Methode darstellt. Zwar gibt es softwarebasierte Schlüsselsicherheit, doch auch diese ist nicht optimal, da die Schlüssel weiterhin gestohlen werden können.
Die beste Vorgehensweise, wie sie vom NIST behauptet wird, ist die Verwendung Federal Information Processing Standards (FIPS) Validierte Hardware-Sicherheitsmodule (HSMs) bieten die sicherste Methode zum Schutz von Verschlüsselungsschlüsseln oder Schlüsseln jeglicher Art. FIPS-validierte HSMs decken die Sicherheitsstufen FIPS 140-2 Level 1 bis Level 4 ab. Level 1 bietet die geringste Sicherheit und erfordert einen funktionierenden Verschlüsselungsalgorithmus beliebiger Art sowie produktionsreife Hardware. Level 2 erfüllt alle Anforderungen von Level 1 und ergänzt diese um rollenbasierte Authentifizierung, manipulationssichere physische Geräte und ein Betriebssystem, das den Common Criteria-Standard EAL2 erfüllt.
Die meisten Organisationen verwenden ein FIPS 140-2 Level 3 HSM, da es alle Anforderungen von Level 2 erfüllt und zusätzlich manipulationssichere Geräte, eine Trennung der logischen und physischen Schnittstellen für kritische Sicherheitsparameter sowie identitätsbasierte Authentifizierung bietet. Private Schlüssel, die das System verlassen oder verlassen, müssen vor der Übertragung verschlüsselt werden. Level 4 erfordert alle Anforderungen von Level 3 sowie die Möglichkeit, Manipulationen aktiv zu erkennen und die Daten bei bestimmten Angriffen zu löschen.
Der letzte Schritt einer soliden Strategie zur Erstellung Ihrer Unternehmensverschlüsselungsrichtlinie ist die Auswahl der passenden Lösungen. Diese reichen von Zertifikatsverwaltungslösungen über Plattformen für Unternehmensverschlüsselung und Codesignaturlösungen bis hin zu Schlüsselverwaltungslösungen und Public-Key-Infrastrukturen (PKIs). Die Wahl der richtigen Lösung für Ihr Unternehmen ist von entscheidender Bedeutung, da die verschiedenen Geschäftsanforderungen von den Lösungen erfüllt werden müssen.
Die Wahl der besten Lösung kann schwierig sein. Wenn Sie sich jedoch auf die verschiedenen Compliance-Standards und die Best Practices der NIST-Standards konzentrieren, erhalten Sie die bestmöglichen Lösungen für Ihr Unternehmen, um die Projektanforderungen zu erfüllen. Nachdem wir nun eine Strategie für Ihre Enterprise-Verschlüsselungsrichtlinie entwickelt haben, sehen wir uns die wichtigsten Komponenten dieser Richtlinie an.
Wichtige Richtlinienbereiche für die Unternehmensverschlüsselung
Technische Standards für die Verschlüsselung:
Der Abschnitt „Technische Verschlüsselungsstandards“ der Unternehmensverschlüsselungsrichtlinie beschreibt die technischen Details der verschiedenen Schlüssel, Verschlüsselungsalgorithmen usw. für das Unternehmen. Dieser Abschnitt umfasst Schlüssellänge, Schlüsselstärke, Schlüsseltypen und weitere technische Schlüsseldetails. Die Stärke der verwendeten Verschlüsselungsalgorithmen, die Art der verwendeten Algorithmen und die Stärke der verwendeten Chiffren sind weitere Bestandteile der technischen Verschlüsselungsstandards. Ziel dieses Richtlinienbereichs ist es, die Einheitlichkeit der Schlüssel und anderer Aspekte der Verschlüsselung in allen Geschäftsbereichen des Unternehmens sicherzustellen.
Zu verschlüsselnde Daten:
Dieser Richtlinienbereich befasst sich mit der Frage, welche Daten verschlüsselt werden müssen und warum. Er umfasst Datenklassifizierungsmethoden, Datenklassifizierungsrichtlinien und andere Methoden zur Datenidentifizierung. Daten lassen sich in verschiedene Kategorien einteilen; ein Beispiel hierfür findet sich in der Was ist bei der Strategieentwicklung zu beachten? Abschnitt dieses Dokuments.
In welcher Phase soll verschlüsselt werden:
Hier geht es um die verschiedenen Datentypen und deren Verschlüsselung. In diesem Richtlinienbereich sollten Sie die besten Lösungen für die Verschlüsselung ruhender, übertragener und genutzter Daten ermitteln. Diese Lösungen richten sich nach den Compliance-Standards und Best Practices, die Ihr Unternehmen einhalten muss.
Schlüsselschutz:
Dieser Richtlinienbereich befasst sich mit der Stärke von Schlüsseln und deren Schutz. Die gängigste Methode ist die Einhaltung der NIST-Standards und die Implementierung einer Multi-Faktor-Authentifizierung für die Schlüsselspeicherung und den Schlüsselzugriff. Zusätzlich sichern Tools wie HSMs die privaten Verschlüsselungsschlüssel bestmöglich.
Schlüsselhinterlegung:
Die Hinterlegung von Schlüsseln (Key Escrow) bezeichnet die Abholung von Schlüsseln aus rechtlichen Gründen, beispielsweise im Rahmen von Compliance-Prüfungen oder der Notfallwiederherstellung. Sollte es in Ihrem Unternehmen zu einem unvorhergesehenen Notfall kommen und Schlüssel wiederhergestellt oder zurückgesetzt werden müssen, muss die Hinterlegung von Schlüsseln in der Unternehmensverschlüsselungsrichtlinie verankert sein.
Ausbildung:
Schulungen sind für ein Unternehmen unerlässlich, da jedes Teammitglied und jede Geschäftseinheit wissen sollte, wie man auf Daten zugreift, auf welche Datentypen zugegriffen werden kann, wie neue Daten klassifiziert werden und wie neue Verschlüsselungsschlüssel oder Daten geschützt werden. Solange alle wissen, wie man auf Daten zugreift und sie verarbeitet, können sie erfolgreich im Unternehmen zusammenarbeiten.
Monitoring:
Die Überwachung der Verschlüsselung und der Daten im gesamten Unternehmen ist von entscheidender Bedeutung, da ein Prüfprotokoll erstellt, Zertifikate und Schlüssel nachverfolgt und eine strenge Zugriffskontrolle eingerichtet werden muss.
Produkte und Dienstleistungen der Verschlüsselungsberatung
Wenn Ihr Unternehmen eine starke Verschlüsselungsrichtlinie für Ihr Unternehmen plant, kann Encryption Consulting Ihnen helfen. Wir bieten eine breite Palette an Produkten und Dienstleistungen, die Ihr Unternehmen sicher machen. Für unsere Dienstleistungen bieten wir Verschlüsselung, PKIund HSM Bewertungs-, Design- und Implementierungsdienste für Ihr Unternehmen.
Wir können auch Zug Ihre Mitarbeiter über den Einsatz von HSMs, PKI und Amazon Web Services. Wir bieten auch eine Code-Signing-Lösung an, CodeSign Secure 3.0, das unter anderem über Überwachung, Viren-/Malware-Scanning und Multi-Faktor-Authentifizierung verfügt. Unsere PKI-as-a-Service ist eine weitere hervorragende Möglichkeit, eine starke Enterprise-Verschlüsselungsrichtlinie zu implementieren, ohne jeden Teil der PKI verwalten zu müssen. Bei Fragen zu den Dienstleistungen oder Produkten von Encryption Consulting besuchen Sie bitte unsere Website unter www.encryptionconsulting.com.
