Effektiver Datenschutz im Netzwerk, in der Cloud und auf virtuellen Servern Wie SafeGuard Encryption Ihre Dateien überall schützen kann Die Arbeitswelt steht niemals still. Zu den neuesten Entwicklungen zählen die flächendeckende Nutzung von Public-Cloudspeicher-Diensten wie Dropbox und der vermehrte Einsatz virtueller Server. Cloudbasierte Speicher gewinnen in Unternehmen zunehmend an Bedeutung. Ihr Datenschutz muss mit solchen Entwicklungen Schritt halten. Sie müssen Ihre Datenschutzrichtlinien so weiterentwickeln, dass Daten nicht nur auf ausgewählten Geräten, sondern überall sicher sind. In diesem Whitepaper beleuchten wir die aktuellen Entwicklungen im Bereich Datenschutz und zeigen Ihnen, wie Sie Ihre Daten mit SafeGuard Enterprise überall schützen können.
Sicherheit für Daten an jedem Ort Wir leben in einer Welt, in der Daten überall gespeichert und abgerufen werden können. Daher müssen wir unsere Datenschutzstrategie überdenken. Das wo spielt im Endeffekt keine Rolle mehr. Wichtig ist lediglich, dass Ihre Daten unabhängig vom Speicherort sicher verschlüsselt sind. Ihre Datenschutzstrategie darf sich nicht auf die Verschlüsselung von Laptops, Desktops und USB- Geräten beschränken. Stattdessen müssen Sie die nahtlose Übertragung verschlüsselter Daten zwischen Speicherorten ermöglichen sicher vor neugierigen Blicken, aber sofort zugänglich für diejenigen, die Zugriff benötigen. Bei Sophos beobachten wir auf dem Gebiet des Datenschutzes momentan drei neue Herausforderungen, mit denen Unternehmen besonders zu kämpfen haben: Schutz von Daten in Cloudspeicher-Diensten Schutz zentraler Netzlaufwerke Schutz virtueller Server In diesem Whitepaper gehen wir auf jede dieser drei Herausforderungen ein und zeigen, wie Sie Ihre Daten mit SafeGuard Enterprise überall schützen können. Schutz von Daten in Cloudspeicher-Diensten Cloudspeicher-Dienste wie Dropbox, Google Drive, Egnyte und Microsoft OneDrive sind nützliche Programme, die von einem beliebigen Aufenthaltsort und Gerät aus Zugriff auf Dateien ermöglichen. Sie fördern die Zusammenarbeit und steigern die Produktivität. Werden Daten vor dem Hochladen in die Cloud jedoch nicht verschlüsselt, könnten solche Dienste sämtliche Ihrerseits getroffenen Datenschutzvorkehrungen zunichte machen. Dies sind die vier Hauptrisiken von Cloudspeicher- Diensten: 1. Versehentliche Datenverluste: Benutzer können sensible, in der Cloud gespeicherte Daten mit jedem austauschen. Häufige Missgeschicke wie das Senden eines Links zu einem Dokument an die falsche Person gehören damit zur Tagesordnung. 2. Datendiebstahl: Hacker wissen nur allzu gut, dass Cloudspeicher eine Art moderne Goldgrube sind und greifen diese Dienste daher besonders häufig an. Natürlich nehmen seriöse Cloudspeicher- Dienste das Thema Sicherheit sehr ernst. Die Benutzer selbst tragen viel zur Sicherheitsproblematik bei, zum Beispiel durch die Wahl zu einfacher Passwörter für ihre Cloudspeicher-Accounts, die sich im Vergleich zu den hochsicheren, komplexen Passwörtern, die innerhalb Ihres Unternehmens durchgesetzt werden, leicht knacken lassen. 3. Schwachstelle Speicheranbieter: Cloudspeicher-Anbieter haben uneingeschränkten Zugriff auf Ihre Daten und entscheiden, wo die Daten gespeichert werden. Daher besteht immer die Gefahr, dass Ihre Daten durch technische oder Sicherheitsprobleme des Anbieters beeinträchtigt werden. 4. Verbesserungswürdiges Benutzerverhalten: Ihre Benutzer sind mobil und nehmen immer häufiger Cloudspeicher-Dienste in Anspruch. Vielen ist es schlicht zu langwierig und umständlich, sich über VPN mit dem Unternehmensnetzwerk zu verbinden, und sie rufen ihre Dateien stattdessen direkt über die Cloud ab. Wenn Sie diesen Benutzern keine sichere, genehmigte Methode zur Nutzung solcher Dienste liefern können, werden die Benutzer zweifelsohne nach Umgehungslösungen suchen, bei denen die Sicherheit Ihrer Unternehmensdaten vermutlich keine Priorität genießt. Sophos Whitepaper März 2014 2
Die Lösung: SafeGuard Encryption für Cloud Storage Die einfachste Methode, Daten zu schützen, ist Dateien zu verschlüsseln, bevor sie von einem beliebigen verwalteten Endpoint in die Cloud hochgeladen werden. Dieser Prozess sollte für Ihre Benutzer nahtlos erfolgen, die Arbeitsabläufe nicht beeinträchtigen und von überall Zugriff auf die verschlüsselten Daten ermöglichen, auch über Android- und ios-geräte. SafeGuard Encryption für Cloud Storage tut genau das. Das Modul verschlüsselt Daten beim Hochladen in Cloudspeicher-Dienste automatisch und unsichtbar. Die Verwaltung erfolgt über Ihr aktuelles SafeGuard Management Center so lässt sich der Verwaltungsaufwand auf ein Minimum reduzieren. Diese Lösung ist auch für Ihre Benutzer praktisch. Bei Benutzern, die über ihren lokalen Computer mit entsprechendem Schlüssel auf Dateien zugreifen, werden die Dateien automatisch entschlüsselt. Erfolgt der Zugriff über einen anderen Computer oder ein anderes Gerät, müssen Benutzer lediglich das Passwort eingeben, das sie zu Beginn festgelegt haben, und können dann die Datei lesen. Für Unbefugte oder Hacker, die nicht über den Schlüssel oder das Passwort verfügen, bleiben mit SafeGuard geschützte Dateien unzugänglich. SafeGuard Encryption für Cloud Storage in der Praxis Tom erstellt ein Dokument auf seinem Laptop im Büro. Tom lädt die verschlüsselte Datei in die Cloud hoch und erstellt ein Passwort für den Zugriff auf die Datei. Tom teilt Paul das Passwort mit. Tom ruft die Datei zuhause mit seinem Arbeitslaptop auf (kein Passwort erforderlich sein PC hat die Schlüssel bereits). Paul bearbeitet das Dokument und lädt die verschlüsselte danach wieder in den Cloudspeicher-Dienst hoch. Paul greift von seinem Hotelzimmer aus auf die Datei zu (unter Eingabe des Passworts). Tom nimmt letzte Änderungen am Dokument vor. Paul prüft die finalen Änderungen auf seinem ipad im Taxi (unter Eingabe des Passworts). Paul und Tom präsentieren ihren Vorgesetzten das finale Dokument. Ergebnis: Die beiden konnten unabhängig von ihrem Aufenthaltsort effizient zusammenarbeiten und jederzeit sicher sein, dass ihre sensiblen Daten geschützt waren; zu keinem Zeitpunkt hatten unbefugte Dritte (auch nicht der Speicheranbieter) Zugriff auf den Inhalt des Dokuments. Sophos Whitepaper März 2014 3
Netzlaufwerke schützen Malen Sie sich die folgenden Szenarien aus: Szenario 1: Der Leiter Ihrer Forschungs-und Entwicklungsabteilung arbeitet an einem neuen Konzeptdokument. Er speichert die Datei auf seinem mit SafeGuard verschlüsselten Laptop. Die Datei ist also sicher. Dann legt er die Datei jedoch zur Prüfung durch Kollegen in einem Netzlaufwerk ab und entschlüsselt die Datei damit versehentlich. Ein Kollege sendet das Dokument anschließend als E-Mail-Anhang an eine dritte Person und zerstört so Ihren Wettbewerbsvorteil. Szenario 2: Ihr Unternehmen wird übernommen und die Personalabteilung arbeitet an einem vertraulichen Restrukturierungsplan. Die Dateien werden auf dem der Personalabteilung zugewiesenen Bereich des Netzlaufwerks gespeichert, auf den nur Mitarbeiter der Personalabteilung und der Systemadministrator Zugriff haben. Der Systemadministrator öffnet die Datei und erfährt, dass in der IT-Abteilung massive Budgetkürzungen geplant sind. Dies sorgt für große Besorgnis in der Abteilung und beeinträchtigt die Arbeitsleistung und Produktivität. Natürlich benötigen Systemadministratoren Zugriff auf Ihre Netzlaufwerke, um das Geschäft am Laufen zu halten. Aber sie brauchen keinen Zugriff auf den Inhalt von Dateien und Ordnern. Moderne Technologien verschärfen die Problematik zusätzlich. Inzwischen geht es nicht mehr nur um die Frage, wer den Inhalt Ihrer Dateien einsehen kann, sondern auch darum, wohin Dateien übertragen werden können. Entwicklungen wie 4G und die flächendeckende Verfügbarkeit von Hochgeschwindigkeits-Internetverbindungen ermöglichen es einzelnen Benutzern, große Mengen an Daten hochzuladen und in Sekundenschnelle weltweit auszutauschen. Die Lösung: SafeGuard Encryption für File Shares SafeGuard Encryption für File Shares löst beide der oben genannten Probleme mit einer nahtlosen und unsichtbaren Verschlüsselung für Dateien und Ordner. So bleiben Ihre Daten selbst dann sicher, wenn Benutzer Dateien an andere Speicherorte oder auf andere Geräte übertragen, und eine unerwünschte Entschlüsselung wird verhindert. Außerdem stellt das Modul sicher, dass nur befugte Personen in Ihrem Unternehmen Zugriff auf für sie bestimmte Daten erhalten. Benutzer mit erweiterten Rechten wie IT-Administratoren können Dateien auf Servern nach wie vor verwalten, erhalten jedoch keine Einsicht in den Inhalt der Dateien. Auf diese Weise bleiben sensible Unternehmensdaten geschützt und IT-Administratoren vermeiden Konflikte mit Auditoren. So garantieren Sie den unterbrechungsfreien Geschäftsbetrieb, wahren die Produktivität und beseitigen gleichzeitig entscheidende Datenschutzrisiken. Wie SafeGuard Encryption für Cloud Storage wird auch SafeGuard Encryption für File Shares über Ihr SafeGuard Management Center verwaltet, um Ihre IT-Mitarbeiter bestmöglich zu entlasten. Sophos Whitepaper März 2014 4
Virtuelle Server schützen Public-Cloud-Anbieter wie Amazon EC2 sind eine kosteneffiziente Variante zum Hosten virtueller Server, weil die Verwaltungskosten herkömmlicher IT-Hardware wegfallen. Oft bieten Cloud-Anbieter dazu auch bessere Backup- und Notfallwiederherstellungsverfahren, als viele Unternehmen sie intern bereitstellen können. Ein großer Nachteil ist jedoch die zweifelhafte Sicherheit. Sie sollten Ihre Daten daher nur dann auf virtuellen Servern in der Cloud speichern, wenn Sie die Sicherheit der Daten garantieren können. Schließlich können Ihre Daten schnell in die falschen Hände geraten, wenn Ihrem Anbieter Daten abhanden kommen oder die dortigen Mitarbeiter Daten veruntreuen. Und können Sie bei einem Anbieterwechsel ausschließen, dass Ihre Daten weiterhin beim alten Anbieter gespeichert bleiben? Die Lösung ist, Daten zu verschlüsseln. Denn wenn Ihre Daten verschlüsselt sind, besteht auch bei einem Verlust oder Diebstahl keine Gefahr der Zugriff auf die Daten bleibt verwehrt. Aber wie lässt sich eine solche Verschlüsselung erfolgreich umsetzen? Wenn Sie einen Drittanbieter mit der Verwaltung Ihrer Schlüssel beauftragen, klafft eine große Sicherheitslücke in Ihrer Datenschutzstrategie. Wenn dieser Anbieter die Daten zudem nur nach Übertragung auf den virtuellen Server verschlüsselt, sind neugierigen Blicken bei der Übertragung Tür und Tor geöffnet. Die Lösung: SafeGuard Encryption für File Shares Mit SafeGuard Encryption für File Shares wird Ihr virtueller Server einfach zu einer Erweiterung Ihres Netzlaufwerks. Das Modul verschlüsselt Daten vor dem Hochladen in die Cloud automatisch und unsichtbar. Und die gesamte Verwaltung erfolgt über Ihr SafeGuard Management Center. SafeGuard Encryption für File Shares nutzt die gleiche Schlüsselverwaltung wie die anderen Module von SafeGuard Enterprise Sie steuern und kontrollieren sämtliche Vorgänge. Es müssen weder Dritte noch der Anbieter des virtuellen Servers involviert werden. Sie selbst halten die Sicherheit Ihrer Daten aufrecht und können jederzeit den Anbieter wechseln, ohne Datenpannen fürchten zu müssen. Die regulatorischen Konsequenzen eines überall greifenden Datenschutzes Manche Datenschutzvorschriften haben weltweite Gültigkeit (z. B. der Payment Card Industry Data Security Standard). Andere Gesetze und Vorschriften betreffen Sie je nach Standort und Branche (z. B. EU-Gesetzgebung, das australische Gesetz über die Privatsphäre oder der HIPAA für US-Gesundheitseinrichtungen). Durch Cloudspeicher wird die Angelegenheit noch komplizierter. Denn oftmals werden die Daten nicht einmal in Ihrem Heimatland gespeichert. Egal, welche Gesetze und Vorschriften Sie einhalten müssen: Sie müssen Daten in der Cloud und in Netzlaufwerken in Ihre Datenschutzstrategie miteinbeziehen. Behörden ist es egal, Sophos Whitepaper März 2014 5
wo Ihre Daten gespeichert sind. Sie möchten lediglich wissen, ob die Daten unabhängig von ihrem Speicherort immer geschützt sind. Und genau diesen Schutz müssen Sie nachweisen. Die Folgen von Datenpannen bleiben für Sie immer die gleichen unabhängig davon, ob die Daten auf einem ungesicherten Laptop, in einem Cloudspeicher-Dienst, auf einem USB-Stick oder in einem E-Mail-Anhang gespeichert waren. Durch den Schutz von Daten in der Cloud und in Netzlaufwerken mit SafeGuard Enterprise können Sie Ihre Datenschutz-Compliance jederzeit einfach nachweisen. Selbst wenn die Dateien in die falschen Hände geraten, besteht keine Gefahr, da die Daten verschlüsselt und somit unlesbar sind. Sie erhalten also nahtlosen und transparenten Datenschutz, der unabhängig vom Speicherort immer aktiv ist. Zusätzliche Datenschutzkontrollen Eine Verschlüsselung mag das Kernstück Ihrer Datenschutzstrategie sein, aber Sie können noch weitere Maßnahmen ergreifen, um die Sicherheit Ihrer Daten zu erhöhen. 1. Filtern Sie URLs, um den Zugriff auf unzulässige Cloudspeicher-Websites zu beschränken. Alternativ können Sie den Zugriff über verschiedene Profileinstellungen fallweise erlauben, sodass ausgewählte Benutzer weiterhin Zugriff erhalten, während dieser anderen verwehrt bleibt. 2. Nutzen Sie Anwendungskontrollen, um Richtlinien für das gesamte Unternehmen oder bestimmte Gruppen einzurichten, mit denen ausgewählte Anwendungen blockiert bzw. erlaubt werden können. Bei den meisten kommerziellen Cloudspeicher-Anbietern lässt sich mit Anwendungskontrollen verhindern, dass Nutzer die Anwendung des Anbieters installieren und ausführen. 3. Ermöglichen Sie eine einfache E-Mail-Verschlüsselung, indem Sie eine Option zum Verschlüsseln von E-Mails direkt in die Outlook-Toolbars der Benutzer integrieren. So lassen sich sensible E-Mails und Anhänge mit nur einem Klick verschlüsseln. 4. Setzen Sie DLP-Kontrollen (DLP = Data Loss Prevention) für E-Mails durch. Scannen Sie Inhalt und Anhänge von E-Mails automatisch auf sensible Daten wie Kreditkartennummern und personenbezogene Informationen. Informieren Sie anschließend den Absender, wenn eine E-Mail sensible Daten enthält. Auf Basis der von Ihnen erstellten Regeln können Sie die E-Mail blockieren, zur Genehmigung in die Quarantäne verschieben oder verschlüsseln, bevor sie Ihr Netzwerk verlässt und somit Ihrer Kontrolle entgeht. 5. Implementieren Sie ein Mobile Device Management, um sicherzustellen, dass alle firmeneigenen und privaten Geräte den Sicherheitsstandards genügen, bevor sie auf Unternehmensdaten und -E-Mails zugreifen dürfen. Ermöglichen Sie im Falle eines Verlusts oder Diebstahls eine Remotesperrung und -zurücksetzung und setzen Sie integrierte Sicherheitsfunktionen wie Passcodes und Geräteverschlüsselung durch. Sie möchten sich darüber informieren, wie sie diese Kontrollen mit den Endpoint-, Mobileund E-Mail-Lösungen von Sophos ganz einfach implementieren können? Dann besuchen Sie www.sophos.de. Sophos Whitepaper März 2014 6
Sophos SafeGuard Enterprise Alle SafeGuard Enterprise Module wie SafeGuard Encryption für Cloud Storage und SafeGuard Encryption für File Shares sind als unbefristete Lizenzen oder als Teil der praktischen All-in-One-Subscription SafeGuard Enterprise Encryption erhältlich und bieten Ihnen Datenschutz, der wirklich überall greift. Jetzt testen Informieren Sie sich jetzt, wie SafeGuard Enterprise Ihre wachsenden Datenschutzanforderungen erfüllen kann. Kostenlose Testversion unter www.sophos.de/free-trials Sales DACH (Deutschland, Österreich, Schweiz) Tel.: +49 611 5858 0 +49 721 255 16 0 E-Mail: sales@sophos.de Oxford, GB Boston, USA Copyright 2013. Sophos Ltd. Alle Rechte vorbehalten. Eingetragen in England und Wales No. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, GB Sophos ist die eingetragene Marke von Sophos Ltd. Alle anderen genannten Produkt- und Unternehmensnamen sind Marken oder eingetragene Marken ihres jeweiligen Inhabers. 3.14.GH.wpde.simple