BM.I verlässt sich für den Schutz der Speicherdaten auf SafeNet-Verschlüsselung

Mit mehr als 30.000 Mitarbeitern ist das österreichische Bundesministerium für Inneres (BM.I) die oberste Regierungsbehörde, die für die innere Sicherheit in Österreich zuständig ist – von Verbrechens- und Terrorbekämpfung über das Abwickeln von Asyl- und Immigrationsfragen bis zur Katastrophen- und Krisenbewältigung und der Überwachung von Wahlen.

Als öffentliche Institution benötigte das BM.I zuverlässige Verschlüsselungs- und Verwaltungsfunktionen, um sensible Daten zu schützen. Gleichzeitig sollte sich diese Lösung nahtlos in die vorhandene Speicherumgebung integrieren lassen. SafeNet StorageSecure und SafeNet KeySecure sind mit einer ganzen Reihe von Speicher- und Verschlüsselungslösungen kompatibel, was sie zur idealen Sicherheitslösung für das BM.I macht. Beispielsweise unterstützt SafeNet KeySecure direkt die Integration der Lösungen von Drittherstellern wie HP ESL G3, Quantum Scalar Series(i6000, i500 & i40/80), NetApp NSE, Hitachi VSP, Amazon Web Services S3, DropBox, Google Cloud Storage und Google Drive. Mit der optionalen ProtectApp lassen sich zudem die Lösungen von CipherCloud,  Perscesys, PKZip, Sepaton VTL, ServiceMesh und Viasat anbinden.

Entsprechend unkompliziert ließen sich die SafeNet Lösungen StorageSecure und KeySecure in die Speicherumgebungen des BM.I sowie in das vorhandene Microsoft Active Directory integrieren. Auf diese Weise wurde sichergestellt, dass nur autorisierte Einzelpersonen Zugriff auf vertrauliche Informationen haben. Außerdem bieten StorageSecure und KeySecure die Möglichkeit, auf einfache Art und Weise Zugriffsprotokolle zu Kontrollzwecken anzulegen.

„Mit der Implementierung der SafeNet Speicherlösung konnten wir im BM.I wichtige organisatorische Veränderungen vornehmen. Erstmalig lassen sich die Aufgabenbereiche nun trennen, sodass ein Administrator Daten verwalten kann, ohne dabei die tatsächlichen Inhalte zu sehen zu bekommen“ erklärt Roman D´Alessio, Leiter für Kommunikations- und Informationstechnologie des BM.I. „Durch Verwendung des „Vier-Augen-Prinzips“ gewähren IT-Administrator und Abteilungsmitarbeiter nun den gemeinsamen Zugriff auf Daten. Vor allem die Administratoren sehen dies als Vorteil, um Regelverletzungen zu verhindern und die Datenintegrität zu sichern. Wir können jetzt sehen, wer auf welche Daten zugegriffen hat – und diese Informationen sind in manipulationssicheren Protokollen im System gespeichert.“

Die Herausforderung: Das Schützen der Daten des BM.I
Das BM.I speichert hochsensible Daten und steht ständig unter öffentlicher Beobachtung. Daher suchte die Gruppe Infrastruktur und Betrieb eine Verschlüsselungslösung, die sicherstellen sollte, dass vertrauliche Informationen nur von autorisiertem Personal einsehbar sind. Gleichzeitig benötigte man eine Lösung zur Optimierung der Administration, die in den engen Budgetrahmen passte.

Die Lösung
Das BM.I verfügt sowohl über regionale als auch zentralisierte Speicherserver. In jeder regionalen Polizeistelle befindet sich ein Cluster-System mit Core-Anwendungen, Datendiensten, Datenbanken und Microsoft Exchange Servern. Diese Systeme werden zur Gewährleistung einer schnellen Datenwiederherstellung mithilfe von datenträgerbasierten Sicherungskopien in die Hauptdienststelle in Wien repliziert. Dieses vereinheitlichte System ermöglicht es, verschiedene Verwaltungsaufgaben zu automatisieren.

Das BM.I Team schätzte die ununterbrochene Nutzerumgebung zwischen Speicher- und Microsoft-Anwendungen. Man wünschte sich eine Verschlüsselungslösung, die ein ähnliches Maß an Integration ermöglichen konnte. So fiel die Wahl auf SafeNet´s StorageSecure für die Speicherverschlüsselung und KeySecure für ein zentralisiertes Verschlüsselungscode-Management.

SafeNet StorageSecure ist eine hardwarebasierte Verschlüsselungsmethode, die sensible Daten in Ethernet-basierten Netzwerkspeichern (NAS) schützt. Sie bietet nahtlose, fortschrittliche Verschlüsselungsdienste, die auf einer High-Speed 256-Bit AES-Verschlüsselung basieren. Die Lösung, verfügt für eine hohe Zuverlässigkeit über redundante Komponenten und geclustertes Failover. Durch seine granularen Verschlüsselungsfunktionen garantiert StorageSecure, dass Daten jederzeit geschützt und nur für autorisiertes Personal zugänglich sind.

Das BM.I nutzt außerdem SafeNet KeySecure für die zentralisierte Verwaltung von kryptographischen Schlüsseln. KeySecure basiert auf einem Schlüsselmanagement-Interoperabilitätsprotokoll (KMIP), das eine sofortige, mühelose Integration in alle auf der KMIP-Plattform basierenden Lösungen ermöglicht. Dadurch ist es für Organisationen ideal, die das Schlüsselmanagement für mehrere Abteilungen oder vorhandene Verschlüsselungslösungen zusammenlegen möchten.

Besondere Funktionen der Lösung

  • Sicherung von vertraulichen Daten: Implementierung von Datensicherheitsvorschriften in der gesamten Speicher-Infrastruktur
  • Sicherung von archivierten Daten: Datenisolierung und –Schutz über den gesamten Lebenszyklus hinweg – unabhängig von der Speicherungsstufe
  • Aufgabentrennung umsetzen: Speicher-Administratoren können Ressourcen verwalten, ohne dabei Zugriff auf sensible Daten zu erhalten
  • Aktivierung von Multi-Tenant-Datenisolation: Freigegebene Ressourcen nutzen und gleichzeitig Daten sichern durch das Einführen von Richtlinien zur Trennung von Daten für mehrere Abteilungen

Die Vorteile
Das BM.I nutzt KeySecure, um Schlüssel in einer dedizierten Hardware-Appliance zu generieren und zu verwalten. So bleiben die Schlüssel von Speicheranwendungen und Datenbanken getrennt und werden auf einem FIPS-zertifizierten, manipulationssicheren Gerät gespeichert. Es bietet dem BM.I außerdem eine zentralisierte Verwaltung und Speicherung von kryptographischem Schlüsselmaterial.

In Kooperation mit CoreTEC, einem auf Computer- und Datensicherheit spezialisierten Unternehmen, war das BM.I in der Lage ein Pilotprojekt zu entwickeln, das nicht nur Hardware, sondern auch neue Organisationsrichtlinien einführte. Erstmalig konnte das BM.I einen „Vier-Augen“-Ansatz realisieren, bei dem der Datenzugriff streng von der Datenverwaltung getrennt bleibt und Änderungen immer mindestens von zwei Personen überprüft werden müssen. Mithilfe dieser Methode trennte das Ministerium die Aufgabenbereiche nach Tätigkeiten, die für Betrieb und Wartung der Systeme unerlässlich sind, und auf den Datenzugriff bezogene Aufgaben.

Um die „Vier-Augen“-Methode umzusetzen, arbeiten Administratoren mit den Abteilungsleitern zusammen und legen fest, welche Nutzer auf welches Schlüsselmaterial (und damit auch auf welche Daten) zugreifen dürfen und erteilen dann entsprechend granulare Zugriffsrechte. Bestehende Berechtigungsstrukturen – etwa von Verzeichnisdiensten wie Microsoft Active Directory oder LDAP – können integriert werden. Das Einhalten der Compliance-Regeln im BM.I kann nun über ein zentrales Interface kontrolliert werden. Detaillierte Berichte für die Überwachung und Protokollierung lassen sich ebenfalls einfach erstellen.

Im BM.I war die Einführung von StorageSecure ein nahtloser, unterbrechungsfreier Prozess. Die Lösung wurde ins Netzwerk zwischen Client und Speicherservern integriert an zwei 10GB-Ethernetverbindungen angeschlossen. Mit StorageSecure ändert sich bezogen auf die täglichen Aktivitäten der Nutzer nichts – sie können weiterhin mit den bisherigen Laufwerken arbeiten und bemerken nicht einmal, dass die Daten im Hintergrund verschlüsselt werden. Des Weiteren wird ihr Speichersystem nicht geändert. Alle Ver- und Entschlüsselungsarbeiten werden über die Prozessoren der StorageSecure-Appliance abgewickelt.

Über SafeNet
SafeNet (www.safenet-inc.com), 1983 gegründet, ist einer der größten Anbieter der Welt im Bereich Informationssicherheit und sorgt zuverlässig für den Schutz sensibler Daten von führenden Unternehmen weltweit. Mit seinem datenorientierten Ansatz schützt SafeNet die wertvollsten Informationen über den gesamten Lebenszyklus hinweg - vom Datencenter bis zur Cloud. Mehr als 25.000 Kunden in Unternehmen und Regierungsbehörden vertrauen auf SafeNet beim Schutz und der Kontrolle des Zugangs zu sensiblen Daten, beim Risikomanagement, bei der Einhaltung gesetzlicher Vorschriften sowie bei der Sicherung von virtuellen und Cloud-Umgebungen.