IT-Sicherheit ist ein Thema, um das sich Verantwortliche in jedem Unternehmen, das Daten digital verarbeitet, Gedanken machen sollten. Doch im Alltag besteht die Gefahr, dass es beim guten Vorsatz bleibt, wenn nicht explizit ein Mitarbeiter, als IT-Sicherheitsbeauftragter, mit dieser Aufgabe betraut wird. Daher gibt es die Möglichkeit, einen Mitarbeiter vorzusehen, der sich haupt- oder nebenamtlich darum kümmert, das eigene System abzusichern.

Muss jedes Unternehmen einen IT-Sicherheitsbeauftragten bestellen?

IT-Sicherheit ist vom Datenschutz zu unterscheiden. Der eine Bereich umfasst die Absicherung der IT-Infrastruktur, der andere den Umgang mit personenbezogenen Daten. Zu trennen sind beide Felder dennoch nicht. Bei einem Systemeinbruch durch einen Hacker, sind meistens auch persönliche Daten von Kunden und Mitarbeitern betroffen. Für die meisten Firmen gibt es zwar keine Pflicht, einen IT-Sicherheitsbeauftragten zu bestellen. Wenn aber Daten abfließen konnten, weil eklatante Sicherheitsmängel in der IT vorlagen, kann eine Haftung der Geschäftsführung gegeben sein. Diese kann sich, je nach Rechtsform des Unternehmens, aus nachfolgenden Gesetzen ergeben:

-Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG),

-dem Aktiengesetz (AktG),

-Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG).

Für Unternehmen, die eine Tätigkeit im Bereich der kritischen Infrastrukturen (KRITIS) ausüben, ist die Benennung eines IT-Sicherheitsbeauftragten ohnehin vorgeschrieben. Dies ist im IT-Sicherheitsgesetz festgelegt (IT-SIG). Zu den Unternehmen zählen beispielsweise Energieerzeuger, Telekommunikationsanbieter und Wasserwerke.

Wo ist ein IT-Sicherheitsbeauftragter angegliedert?

Die Rolle des IT-Sicherheitsbeauftragten ist nicht starr festgeschrieben. Dies ist beim Datenschutz anders. Die Rechte und Pflichten des Datenschutzbeauftragten sind im Bundesdatenschutzgesetz in den Paragraphen 6 und 7 festgelegt. Unter anderem ist dort geregelt, dass er rechtzeitig in Entscheidungen eingebunden werden soll und nicht weisungsgebunden sein darf.

Es ist sinnvoll, sich daran zu orientieren. Ein IT-Sicherheitsbeauftragter sollte direkt der Geschäftsführung unterstellt sein. Handelt es sich um einen Mitarbeiter der IT-Abteilung, besteht die Gefahr, dass es zu Interessenskonflikten kommt. Zudem sollte er standardmäßig gehört werden, bevor im IT-Bereich Entscheidungen getroffen werden. Außerdem muss ihm die Möglichkeit gegeben werden, auf die für seine Tätigkeit notwendigen Informationen Zugriff zu bekommen. Daher muss er freien Zutritt zu allen Bereichen haben und Zugriff auf die Systeme bekommen. Sinnvoll ist es auch, ihm das Recht zu geben, Kontrollen durchzuführen.

Welche Aufgaben erfüllt ein IT-Sicherheitsbeauftragter?

Grundsätzlich soll ein IT-Sicherheitsbeauftragter über Aufbau und Struktur der Informationstechnik im Unternehmen Bescheid wissen. Ihm obliegt es, sich zu Beginn seiner Tätigkeit einen kompletten Überblick zu verschaffen. Dazu muss er genau wissen, wie und wo Daten erhoben und weiterverarbeitet werden. Es ist für ihn notwendig, Kenntnis zu haben, welche Systeme und was für Hardwareprodukte eingesetzt werden. Zudem muss er die Schnittstellen zwischen den einzelnen Bereichen kennen. Dieses Wissen muss er laufend aktualisieren.

Darüber hinaus muss er über die aktuelle Bedrohungslage informiert sein. Nur so ist ihm möglich, die konkrete Gefährdung des eigenen Unternehmens einzuschätzen. Dies kann sich auf Schadsoftware, wie beispielsweise als Mailanhänge kursierende Verschlüsselungstrojaner beziehen. Ebenso aber auch auf unsichere Hardware, wie zum Beispiel eingesetzte Router, deren Verschlüsselung angreifbar ist.

Aus diesen Informationen soll ein IT-Sicherheitsbeauftragter konkrete Maßnahmen zur Einhaltung und Verbesserung der Datensicherheit entwickeln und vorschlagen. Dies sollte in Form von Richtlinien oder eines Maßnahmenkatalogs geschehen. Wichtig ist es, die Schutzziele und Maßnahmen zur Einhaltung zu dokumentieren. Nur so kann das Unternehmen im Schadensfall nachweisen, dass es Vorkehrungen getroffen hat und nicht fahrlässig gehandelt wurde.

Als Orientierung kann hierbei die Beschreibung eines Informationssicherheitsmanagements (ISMS) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) dienen. Dort sind mögliche Gefahren systematisch in den Grundschutzkatalogen aufgelistet. Dies betrifft Elementarschäden wie Feuer und Wasser, aber auch Datenverlust durch Fehlbedienung oder Sabotage. Zudem werden dort konkrete Einschätzungen der Gefährdung von Geräten mit spezifischen Betriebssystemen gegeben. In der Folge sind dort Maßnahmen beschrieben, die zur Absicherung einzelner Endgeräte empfohlen werden.

Weitere Orientierungen können an den Normen:

– ISO/IEC 27001 (IT-Sicherheitsverfahren, Informationssicherheits-Managementsysteme, Anforderungen, zuletzt aktualisiert im Juni 2017) und

-ISO/IEC 27002 (IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management, zuletzt aktualisiert im Oktober 2013)

erfolgen.

Die Umsetzung der vorgeschlagenen Maßnahmen wird in der Praxis nach Beratung mit der Geschäftsführung geschehen. Schließlich können durch Austausch unsicherer Hardware oder Umstrukturierung von Arbeitsabläufen Kosten entstehen.

Zudem sollten vorgegebene Richtlinien auch in Audits oder Revisionen kontrolliert werden.

Weiterhin muss ein IT-Sicherheitsbeauftragter den Mitarbeitern als Ansprechpartner zur Verfügung stehen. Sie sollen ihm aufkommende Fragen, die IT-Sicherheit betreffend, stellen können. Auch Schulungen der Mitarbeiter führt ein IT-Sicherheitsbeauftragter durch.

Bei konkreten Gefährdungen, soll er kurzfristige Warnungen und Verhaltenshinweise an die Mitarbeiter herausgeben.

Zudem erstellt ein IT-Sicherheitsbeauftragter, Pläne für das Verhalten im Schadensfall und macht diese den Mitarbeitern zugänglich.

Voraussetzungen für den IT-Sicherheitsbeauftragten

In gewisser Weise muss ein IT-Sicherheitsbeauftragter Allrounder im IT-Bereich sein. Er benötigt das notwendige Fachwissen im gesamten überwachten Bereich. Um Kontrollen durchführen zu können, muss er in der Lage sein, die verwendeten Systeme auch selber zu bedienen. Zudem müssen seine Vorschläge zur Verbesserung praxistauglich sein, was ebenfalls entsprechende Kenntnisse voraussetzt.

Darüber hinaus muss er über aktuelle Entwicklungen in der Hardware, hier insbesondere in sicherheitsrelevanten Belangen, informiert sein.

Insbesondere aber muss er Kenntnisse im Bereich der IT-Security haben. Angriffe lassen sich am wirksamsten abwehren, wenn man weiß, wie sie im Detail funktionieren. Auch kann nur dann eine Überprüfung der eigenen Systeme auf eine Anfälligkeit erfolgen.

Einige Universitäten bieten Studiengänge mit Spezialisierung auf den Bereich an. Zudem gibt es diverse Anbieter von Fortbildungen und Zertifizierungen für dieses Tätigkeitsfeld.

Für kleine und mittelständische Unternehmen ist die Variante interessant, einen IT-Sicherheitsbeauftragten von einem externen Dienstleister zu verpflichten. Dies vermeidet den Schulungsaufwand eigener Mitarbeiter. Zudem kann es eine objektive Herangehensweise garantieren, wenn eine externe Person die Aufgabe übernimmt. Diese wird üblicherweise keine persönlichen Bindungen zu den Mitarbeitern haben und auch gegenüber der Geschäftsführung unbefangener auftreten. Weiterhin hat dieses Modell einen Vorteil, wenn die Größe der eigenen IT-Landschaft es nicht rechtfertigt, einen Mitarbeiter komplett mit der Aufgabe der IT-Sicherheit zu betrauen.

Fazit

Jedes Unternehmen tut gut daran, sich mit dem Thema zu beschäftigen, ob ein IT-Sicherheitsbeauftragter bestellt werden soll. Einerseits trägt es die Verantwortung für die ihm anvertrauten Daten, was bis zu einer persönlichen Haftung der Geschäftsführung bei Missbrauch führen kann. Andererseits gibt es inzwischen Bedrohungen, wie Verschlüsselungstrojaner, die auch umsichtige und vorsichtige Unternehmen betreffen und erhebliche Schäden anrichten.

Bei SHA256 handelt es sich um eine Variante der kryptologischen Hashfunktion Secure Hash Algorithm, in der Version 2. Hashfunktionen werden in der Informationstechnik vorrangig dazu benutzt, die Integrität von Daten zu garantieren. Sie eignen sich hierzu besonders, da der Ausgabewert beliebig langer Datensätze immer die gleiche, kompakte Größe hat. Die Änderung an nur einem Bit hingegen führt dazu, dass ein komplett anderer Hashwert entsteht. Dies hat zur Folge, dass kein Rückschluss auf Länge und Inhalte der übertragenen Daten möglich ist.

Ein paar Details zu Hashfunktionen wie SHA256

Eine Hashfunktion führt eine Berechnung mit den Bestandteilen des Inhalts durch. Ähnlich einer Prüfsumme. In der einfachsten Form könnte dies eine Quersummenberechnung sein. Diese könnte solange durchgeführt werden, bis das Ergebnis immer eine bestimmte Anzahl Stellen hat. Hierbei würde es, trotz unterschiedlicher Ausgangszahlen, massenhaft Überschneidungen beim Ergebnis geben. Diese nennt man Hash-Kollisionen. Daher ist eine derart simple Rechenoperation für diesen Zweck ungeeignet. Vielmehr verwendet man stattdessen komplexe Algorithmen. Neben der Anforderung, dass es zu keinen Kollisionen kommen darf, muss ein guter Hash-Algorithmus weitere Voraussetzungen erfüllen. Eine ist die Effizienz der Berechnung, eine weitere der Lawineneffekt. Hiermit ist gemeint, dass kleinste Veränderungen am Eingabewert größtmögliche Veränderungen am Ausgangswert verursachen sollen. Besonders wichtig ist die Unumkehrbarkeit. Es muss unmöglich sein, den Eingabewert anhand des Ausgabewerts zu errechnen. Man spricht hier von einem Einweg-Hash. Wesentlich ist zudem die Unkenntlichkeit der zugrunde liegenden Daten. Diese sind, nimmt man die Übersetzung des englischen Begriffs „to hash“ wörtlich, nach Durchführung der Berechnungen „zerhackt“.

Die Geschichte

Der SHA wurde in seiner ersten Fassung (SHA-0) vom National Institute of Standards and Technology (NIST) sowie der National Security Agency (NSA) entwickelt und 1993 vorgestellt. Aufgrund einer Schwäche im Algorithmus, wurde bereits 1995 der Nachfolger SHA-1 vorgestellt. Dieser wiederum gilt seit 2005 als nicht mehr sicher. Forschern war es gelungen, den Rechenaufwand zur Erzeugung von Kollisionen soweit zu reduzieren, dass eine Berechnung in einem endlichen Zeitraum möglich schien. Aus diesem Grund wurde SHA-2 entwickelt. Ihn gibt es in den Varianten SHA224, SHA256, SHA384 und SHA512. Die Ziffer beschreibt die Länge der Bitfolge in der Ausgabe. Die Darstellung erfolgt in der Regel allerdings in hexadezimaler Schreibweise. Dies ist kompakter und Veränderungen an der Ausgabe sind für den Menschen leichter erkennbar.

SHA-3 ist seit 2015 veröffentlicht, aber bislang noch nicht sehr verbreitet. Diesem liegt ein komplett anderer Algorithmus zur Berechnung zugrunde. SHA-2, mit ausreichender Ausgabelänge, kann allerdings nach wie vor als sicher angesehen werden.

Wie funktioniert SHA-2?

Der Eingangswert wird in gleichlange Elemente unterteilt. Diese nennt man Blöcke. Da ein Vielfaches der Blocklänge benötigt wird, ist es in der Regel notwendig, die Daten aufzufüllen, also zu expandieren. Der aufgefüllte Wert ist das Padding. Die Verarbeitung erfolgt danach blockweise. Es werden die Blöcke durchlaufen und dabei jeweils als Schlüssel für Zwischenberechnungen an den nachfolgend zu kodierenden Daten verwendet. Der Datensatz wird in 64 Runden (SHA224 und SHA256) oder 80 Runden (SHA384 und SHA512) durchlaufen. Das Ergebnis der letzten Berechnung ist der Ausgabewert, also der Hash.

Anwendungszwecke von SHA256

Der Hashwert einer Datei wird oftmals im Zusammenhang mit deren Download bereitgestellt. Hier ist SHA256 inzwischen eine der häufigsten Varianten. Der Nutzer kann nach dem vollständigen Download den Hashwert seiner Datei lokal berechnen und mit dem Wert auf der Anbieterseite abgleichen. Stimmt er überein, besteht eine absolute Sicherheit, dass die korrekte Datei fehlerfrei übertragen wurde. Man spricht in diesem Zusammenhang auch vom digitalen Fingerabdruck einer Datei. Zur Berechnung des Hashwertes können kostenlose Programme wie HashCalc verwendet werden.

Anwendung von Suchalgorithmen

Den im Vergleich zum Inhalt um ein Vielfaches kürzeren Fingerabdruck kann man auch zur Indexierung von Dateien, beispielsweise in Datenbanken, nutzen. Hier ist es oft üblich, dass Metadaten wie Dateinamen und Pfad, getrennt vom eigentlichen Inhalt gespeichert werden. Zum einen muss dann nicht nach dem gesamten Inhalt gesucht werden. Zum anderen können die entstandenen Hashwerte der Dateien sortiert werden, was die Anwendung von Suchalgorithmen erleichtert.

In ähnlicher Weise kann SHA256 bei digitalen Zertifikaten zur Anwendung kommen. So findet das Verfahren bei der Erstellung von TLS/SSL-Zertifikaten Anwendung. Weiterhin wird es für die Signaturerstellung bei den Verschlüsselungsverfahren S/MIME und PGP genutzt. Auch IPSec, das Protokoll zum Aufbau einer sicheren Internetverbindung, nutzt SHA256 zur Authentifizierung im Zusammenhang mit dem Verfahren HMAC (Keyed-Hash Message Authentication Code).

SHA256 bei der Erstellung von Blockchains

Zudem kann SHA256 Bestandteil der Erstellung von Blockchains sein. Dieses Prinzip ist vor allem im Zuge der Verbreitung von Bitcoins bekannt geworden. Es ist aber auch auf andere Bereiche übertragbar. Verwendet man einen sicheren Hash-Algorithmus, ist es möglich, Transaktionen dezentral zu verwalten. Jede Transaktion besteht aus einer Kopfzeile (Header) und einem Datenteil und wird in einem Block festgehalten. Diese Blöcke werden nun untrennbar miteinander verbunden. Im Header einer Transaktion werden der SHA256-Hashwert des vorhergehenden Headers und des eigenen Datenteils festgehalten. Nach Beendigung der Transaktion wird die Blockchain wieder auf mehrere redundante Speicherorte (Knoten) hochgeladen. Eine Manipulation ist somit ausgeschlossen. Wird eine Transaktion entfernt oder verändert, stimmen die Hashwerte der folgenden Transaktionen nicht mehr. Zudem ist jedes beteiligte System in der Lage, die Integrität der Blockchain anhand der Hashwerte zu berechnen.

Eine Flut oder Cyber Attacke, Fehler in der Lieferkette oder der Verlust eines wichtigen Mitarbeiters. Es ist der Albtraum eines Unternehmers, aber schwerwiegende Betriebsstörungen können jederzeit auftreten. Beim Business Continuity Planning (BCP) geht es darum, einen Plan für die Bewältigung schwieriger Situationen zu haben, damit das Unternehmen so störungsfrei wie möglich weiter funktioniert.

Egal, ob es sich um ein privates Unternehmen, eine Organisation des öffentlichen Sektors oder eine Wohltätigkeitsorganisation handelt, Mitarbeiter der entsprechenden Führungsetagen müssen wissen, wie sie auch unter schwierigsten Bedingungen die Geschäfte am Leben erhalten können. Genau dafür gibt es BCP.

Was ist Business Continuity Planning?

Business Continuity Planning ist die Vorausplanung und Vorbereitung innerhalb einer Organisation, um sicherzustellen, dass sie in der Lage ist, ihre kritischen Geschäftsfunktionen während und nach dem Eintreten von Notfällen auszuführen. Solche katastrophalen Ereignisse können Naturkatastrophen, Geschäftskrisen, Pandemien, Gewalt am Arbeitsplatz oder Ereignisse sein, die zu einer Störung des Geschäftsbetriebs führen könnten. Beim effektiven Business Continuity Management wird nicht nur für Ereignisse geplant und vorbereitet, durch die Funktionen vollständig gestoppt werden, sondern auch für Ereignisse, die sich möglicherweise bloß sehr negativ auf einzelne Dienste oder Funktionen auswirken, sodass einzelne Tätigkeitsfelder einer Organisation starken Störungen unterliegen. BCP stellt sicher, dass Personal sowie Sach- und Vermögenswerte geschützt und im Katastrophenfall schnell wieder einsatzfähig sind.

Die Vorteile von BCP

  1. Es kann im äußersten Fall nicht nur Daten und Produktionszyklen, sondern Leben retten.

 

  1. Es schafft Vertrauen bei Mitarbeitern, Kunden & Geschäftspartnern.

 

  1. Es stellt die Einhaltung der Industriestandards sicher (aus versicherungstechnischer Sicht relevant).

 

  1. Es schützt den Brand Value und das Image.

 

  1. Es pflegt eine belastbare Organisationskultur.

 

  1. Es liefert wertvolle Geschäftsdaten.

 

  1. Es hilft, finanzielles Risiko zu mindern.

 

  1. Es schützt die Lieferkette.

 

  1. Es gibt Unternehmen im besten Fall einen Wettbewerbsvorteil

Schlüsselelemente im Business Continuity Management

Durch die Durchführung einer Business Impact Analysis (BIA) können mögliche Schwachstellen sowie die Auswirkungen einer Katastrophe auf verschiedene Abteilungen aufgedeckt werden. Der BIA informiert eine Organisation über die wichtigsten Funktionen und Systeme, die in einem Business Continuity Plan priorisiert werden müssen.Ein Business-Continuity-Plan besteht aus drei Schlüsselelementen: Ausfallsicherheit, Wiederherstellung und Kontingenz.

Ein Unternehmen kann die Ausfallsicherheit erhöhen, indem es kritische Funktionen und Infrastrukturen mit Blick auf verschiedene Katastrophenmöglichkeiten entwirft. Dies kann Personalwechsel, Datenredundanz und die Aufrechterhaltung eines Kapazitätsüberschusses umfassen. Durch die Gewährleistung der Ausfallsicherheit in verschiedenen Szenarien können Unternehmen wichtige Dienste auch ohne Unterbrechung vor Ort und außerhalb des Standorts bereitstellen.

BCP als Notfallplan

Eine schnelle Wiederherstellung der Geschäftsfunktionen nach einem Notfall ist von entscheidender Bedeutung. Das Festlegen von Zielen für die Wiederherstellungszeit für verschiedene Systeme, Netzwerke oder Anwendungen kann helfen, Prioritäten für die Elemente festzulegen, die zuerst wiederhergestellt werden müssen. Andere Wiederherstellungsstrategien umfassen Ressourceninventare, Vereinbarungen mit Dritten zur Übernahme von Unternehmensaktivitäten und die Nutzung umgebauter Räume für geschäftskritische Funktionen.

Ein Notfallplan enthält Verfahren für eine Vielzahl externer Szenarien und kann eine Befehlskette enthalten, die die Verantwortlichkeiten innerhalb der Organisation während eines Katastrophenfalls verteilt. Diese Aufgaben können den Austausch von Hardware, die Anmietung von Büroräumen für Notfälle, die Schadensbeurteilung und die Beauftragung von Drittanbietern umfassen.

Ein entscheidender Faktor für einen schnellen Wiederanlauf beschädigter Geschäftsfunktionen sind kontinuierliche IT-Funktionen: Mit der heutigen Technologie können viele Vorsichtsmaßnahmen getroffen werden, um Daten, Informationen und Vorgänge zu schützen. Die Schlüsselwörter Datensicherung und Backup spielen hierbei in unserer digitalen Welt eine zentrale Rolle. Ein cloudbasierter Rechenzentrumsdienst ermöglicht Unternehmen, Ressourcen schnell zu verschieben und trotzdem auf dieselben Anwendungen und Informationen zuzugreifen. Der Business Continuity Plan und die IT-Infrastruktur einer Organisation sollten diese Strategie berücksichtigen.

Fünf Schritte zur Business Continuity-Planung

 

Um einen effektiven Business Continuity Plan zu erstellen, sollte ein Unternehmen die folgenden fünf Schritte ausführen:

 

Schritt 1: Risikobewertung

 

– Bewertung der Sicherheit vor bestimmten Szenarien

 

– Überprüfung der Points of Failure

 

– Bewertung der Auswirkungen verschiedener Geschäftsunterbrechungsszenarien

 

– Bestimmung der Eintrittswahrscheinlichkeit eines Risikos anhand eines Ratingsystems

 

– Entwicklung eines Plans zum weiteren Vorgehen anhand voriger Priorisierung

 

Schritt 2: Business Impact Analysis (BIA)

– Analyse der Recovery Point Objectives (RPO) und Recovery Time Objectives (RTO)

 

– Identifizieren kritischer Geschäftsprozesse und Workflows sowie unterstützender Produktionsanwendungen

 

– Identifizieren von Interdependenzen, sowohl intern als auch extern

 

– Identifizieren von kritischem Personal, einschließlich Backups, Fähigkeiten, primären und sekundären Kontakten

 

– Identifizieren eventueller spezieller Umstände

 

Schritt 3: Entwicklung eines Business Continuity Plans

 

– Abnahme der Business Impact Analysis durch die Geschäftsleitung

 

– Zusammenfassen der Risikobewertung und der BIA-Ergebnisse, um einen umsetzbaren und gründlichen Plan zu erstellen

 

– Entwicklung von unabhängigen Abteilungs- und Standortplänen

 

– Überprüfung des Plans mit den wichtigsten Interessengruppen zur Fertigstellung und Verteilung

 

Schritt 4: Implementierung planen

 

– Verteilung des Plans an alle wichtigen Stakeholder

 

– Durchführung von Schulungen, um sicherzustellen, dass die Mitarbeiter mit den im Plan beschriebenen Schritten vertraut sind

 

Schritt 5: Testen und Wartung planen

 

– Durchführung von Simulationsübungen, um sicherzustellen, dass die wichtigsten Stakeholder mit den Planschritten vertraut sind

 

– Durchführung von halbjährlichen Planprüfungen

 

– Durchführung jährlicher Business Impact Assessments

Lange Jahre wurde die Architektur von Speicher ausschließlich durch die Parameter der Hardware bestimmt. Zumindest, was Größe, Zugriffsgeschwindigkeit und Cache anging. Dynamische Volumes und RAID-Verbünde waren ein erster Schritt, zu mehr Flexibilität. Software defined Storage (SDS) ist die konsequente Fortentwicklung dieses Ansatzes. Der Speicherplatz wird dabei von der Hardware abstrahiert. Dies erlaubt maximale Flexibilität und Skalierbarkeit.

Wie funktioniert die klassische Speicherung von Dateien?

Bis der physikalische Speicher dem Benutzer zum Ablegen seiner Daten angeboten wird, durchläuft er mehrere logische Bearbeitungsprozesse. Dies beginnt beim Controller der klassischen Festplatte. Dieser fasst Speicherbereiche zusammen und bietet sie dem Dateisystem in einer logischen Adressierung an. In Flashspeicher ist ebenfalls eine Abstraktionsschicht integriert, der Flash Translation Layer (FTL). Dieser übernimmt die Adressierung des vom Controller verwalteten Speichers.

Sowohl vom Betriebssystem, als auch auf Hardware-Ebene, können Verbünde erzeugt werden. Beispielsweise durch einen RAID-Controller, der den Speicher von zwei oder mehr Festplatten transparent zu einem großen Bereich zusammenfasst. Auch auf Software-Ebene ist dies möglich, indem beispielsweise unter Windows aus mehreren Festplatten ein dynamisches Laufwerk gebildet wird.

Auf den so zur Verfügung gestellten Speicher greift das Dateisystem zu und übernimmt die Partitionierung sowie Speicherung der Dateien.

Bezüglich der Schreib- und Lesegeschwindigkeit ist man bei diesen Methoden immer auf das „schwächste Glied“ im Verbund reduziert. Die Ablage der Dateien erfolgt zufällig. Auch ist der Austausch oder die Erweiterung der Komponenten nicht in jedem Fall möglich, ohne den gesamten Verbund neu aufzubauen. Ausnahme hiervon sind natürlich RAID-Verbünde, die speziell auf Redundanz ausgelegt sind, dafür aber eine homogene Hardware benötigen.

Wie funktioniert Software defined Storage?

Software defined Storage (SDS) übernimmt mehrere Aufgaben, die zuvor durch unterschiedliche Komponenten erledigt wurden. Er setzt an der Stelle an, wo der Speicher vom Controller logisch zur Verfügung gestellt wird. Er fasst die eingebundenen Komponenten zusammen und setzt sie dynamisch ein.

Dabei kann heterogene Hardware zum Einsatz kommen, ohne dass hierdurch die gesamte Performance beeinträchtigt wird. Vielmehr werden beispielsweise schnelle Speicher für eine Zwischenspeicherung verwendet. Die Daten werden dann zu weniger lastintensiven Zeiten auf andere Bereiche verteilt. Weiterhin ist das Dateisystem ein fester Bestandteil des Systems. So wird dafür gesorgt, dass Daten nicht doppelt abgelegt werden. Sind Dateien inhaltlich mehrfach vorhanden, speichert das Dateisystem sie nur einmal ab und legt Verweise auf den Inhalt an. Diesen Vorgang nennt man Deduplikation.

Auch das Anlegen von Snapshots und Backups wird durch Software defined Storage (SDS) gewährleistet. Die Datenablage erfolgt in redundanten Arrays. So kann Datenverlust bei Ausfall einzelner Komponenten verhindert oder vermindert werden.

Ein großer Vorteil ist die bereits angesprochene Skalierbarkeit. Es ist zu jedem Zeitpunkt möglich, Speicher zu ergänzen. Auch ein Austausch oder das Entfernen von Komponenten ist im laufenden Betrieb möglich.

Anwendungsfälle für Software defined Storage

Software defined Storage (SDS) bietet die flexible Basis für gemeinsam genutzten Speicherplatz in lokalen Netzwerkverbünden. Hauptsächlich dürfte dies für Firmennetzwerke interessant sein. Aus allen bereits vorhandenen Servern kann ein Software defined Storage (SDS) gebildet werden. Auf diesem können dann die notwendigen Dienste angeboten werden. Eine Möglichkeit ist beispielsweise die Nutzung des Speicherplatzes als Fileservers. Auch beliebige Serverdienste können darauf ausgeführt werden. Diese dürfen auch in einer virtualisierten Umgebung laufen. Das gesamte System ist nach der Einrichtung zentral administrierbar.

Was ist Ceph?

Ceph ist eine freie Variante des Software defined Storage (SDS). Sie wird unter GNU Lesser General Public License angeboten (LGPL). Ceph läuft unter Linux und wird von einem Konsortium verschiedener Hard- und Softwarehersteller entwickelt. Unter den Firmen befinden sich Canonical (Entwickler von Ubuntu-Linux), Cisco, Fujitsu, Intel, Red Hat, SanDisk und SuSE-Linux.

Die Software läuft auf handelsüblicher Hardware. Zur Speicherung wird ein Algorithmus mit Namen CRUSH verwendet. Dies steht für Controlled Replication Under scalable Hashing und setzt die Verteilung der Daten im System um. Die Komponenten im System werden Object Storage Nodes (OSDs) genannt. Es ist eine Redundanz der Daten vorgesehen, die dafür sorgt, dass ausgefallene Komponenten ohne Datenverlust ersetzt werden können. Die Software bringt mit CephFS ein eigenes Dateisystem mit.

Was ist Storage Spaces Direct?

Storage Spaces Direct (S2D) heißt der Software defined Storage (SDS) von Microsoft. Das System ist bereits in den Datacenter-Versionen von Windows Server 2016 und 2019 integriert. Es kann also relativ einfach verwendet werden, wenn die Infrastruktur auf diesen Betriebssystemen basiert. Die Flexibilität ist allerdings insofern eingeschränkt, als dass für jedes eingebundene Gerät eine Lizenz erforderlich ist.

Die Einrichtung von S2D erfolgt per PowerShell. Als Dateisystem kann das bekannte NTFS oder das für diesen Zweck optimierte ReFS zur Anwendung kommen. Bei ausreichend eingebundenen Komponenten liegt die Speichereffizienz bei bis zu 80 Prozent. Auch S2D bietet eine Wiederherstellung verlorener Dateien. Dies wird mit der Technik Local Reconstruction Codes (LRC) gewährleistet.

Weitere Anbieter von Software defined Storage

VMWare, der Spezialist für Virtualisierung, verwendet Software defined Storage (SDS) für seine Software vSAN, die Wiederherstellungssoftware Site Recovery Manager und sein Framework Virtual Volumes. Hierbei handelt es sich um ein kostenpflichtiges Angebot. Eine freie Alternative zu Ceph ist das Netzwerk-Dateisystem GlusterFS.

OpenStack Swift ist ein weiteres System zur Bereitstellung von Netzwerkspeicher aus verteilten Systemen. Es handelt sich dabei um Open-Source-Software, die also kostenfrei genutzt werden darf.

Gehört Software defined Storage die Zukunft?

Es sieht im Moment danach aus, dass Software defined Storage (SDS) das Konzept der Zukunft ist. Insbesondere gegenüber vorhandenen NAS- und SAN-Lösungen besticht es durch seine Flexibilität.  Man kann Hardware kann integrieren. Zuwächse in der Performance sind auch mit geringen Investitionen möglich. Zudem scheint der integrative Ansatz ein großer Vorteil bei der Administration zu sein. Backup-Strategien müssen beispielsweise nicht separat entworfen werden. Die Möglichkeit zur zentralen Administration ist ein grundsätzlicher Bestandteil der Technologie. Zudem sind keine Beschränkungen bei der Art der Nutzung des Speicherplatzes des Software defined Storage (SDS) gegeben. Somit harmoniert es beispielsweise gut mit dem Konzept der Virtualisierung von Systemen.

Storage Spaces direct (S2D) ist ein System von Microsoft, mit dem skalierbarer softwaredefinierter Speicher realisiert wird. Es handelt sich um eine Funktion für die Betriebssysteme Windows Server 2016 und 2019 Datacenter. Dabei wird ein Cluster aus den physikalischen Speichermedien der eingebundenen Server erstellt und logischer Speicherplatz gebildet. Dieser ist hochverfügbar und kann unkompliziert erweitert werden.

Wie funktioniert Storage Spaces direct im Detail?

Direkte Speicherplätze, wie Storage Spaces direct (S2D) in deutschsprachigen Programmversionen heißt, nutzt das Prinzip der Virtualisierung. Aus den physikalischen Speichermedien, egal ob Festplatte, SSD oder NVM, wird ein Verbund gebildet. Der schnellste verfügbare Speicher wird dabei automatisch als Cache genutzt. In einer Abstraktionsschicht sorgt das Cluster Shared Volumes Filesystem (CSVFS) dafür, dass der gesamte Speicherbereich logisch wie ein Laufwerk verwaltet werden kann. Die Funktionalität der Dateiverwaltung wird optional durch das bekannte Desktop-Dateisystem NTFS oder ReFS, das spezielle Server-Dateisystem von Microsoft, gewährleistet. Microsoft empfiehlt die Verwendung von ReFS. Der Speicherplatz kann danach zentral verwaltet werden. Dies ist das Prinzip des softwarebasierten Speichers, dem Software-Defined Storage. Die Einrichtung und Verwaltung ist mit der integrierten Microsoft Powershell möglich.

Vorteile von Storage Spaces direct

Das System Storage Spaces direct (S2D) ist direkt in die neuen Server-Betriebssysteme integriert. Hierdurch ist eine reibungslose Einbindung gewährleistet. Aus einer gewachsenen, heterogenen Server-Landschaft kann ein einheitlicher Speicher gebildet werden, der für alle eingebundenen System verfügbar ist. Dieser ist in der Folge auch zentral administrierbar.

Das System ist zudem skalierbar. Mit wenigen Befehlen können nachträglich weitere Komponenten hinzugefügt oder ausgetauscht werden.

Ein bedeutendes Merkmal ist die Ausfallsicherheit. Hier unterscheidet man zwischen der Einzelparität, die einem RAID-5 gleicht und dadurch nur 50 Prozent des physikalischen Speichers nutzen kann und der dualen Parität. Diese ähnelt dem RAID-6 und die Effizienz steigt mit der Anzahl der eingebundenen Hardware-Speichermedien auf bis zu 80 Prozent.

Zudem verwendet Microsoft eine Technik mit Namen Local Reconstruction Codes (LRC). Dabei werden innerhalb der eingebundenen Medien kleinere Gruppen gebildet, damit der Aufwand zur Wiederherstellung nicht auf den gesamten Speicher angewendet werden muss, sondern nur auf die lokal betroffenen Bereiche. Zur Steigerung der Effizienz kann zudem parallel Spiegelung für Teile des Speichers verwendet werden. Dieser Speicher wird dann vorrangig für Schreibvorgänge genutzt und die Daten erste später in andere Speicherbereiche verschoben.

Nachteile von S2D

Storage Spaces direct (S2D) ist an die entsprechenden Server-Lizenzen gebunden. Das bedeutet, dass alle eingebundenen Systeme auch über eine Lizenz für Windows Server 2016 oder 2019 Datacenter verfügen müssen. Das verursacht Kosten von etwa 5000 Euro pro Server, der in den Verbund aufgenommen werden soll. Insbesondere wenn es vorrangig um eine File-Server-Funktionalität geht, gibt es günstigere Alternativen. Bei Nutzung als Plattform für virtuelle Maschinen, müssen die Kosten anderer kommerzieller Anbieter gegenübergestellt werden.

Alternativen zu Storage Spaces direct

Eine ähnliche Funktionalität wie Storage Spaces direct (S2D) bietet das 2012 vorgestellte Ceph. Das System wird unter der GNU-General Public License angeboten und ist damit kostenfrei. An der Weiterentwicklung arbeiten namhafte Firmen. So sind beispielsweise die Hardware-Herstellern CISCO, Fujitsu und Intel sowie Linux-Distributoren, wie Red Hat, SuSE und Canonical (Entwickler von Ubuntu) beteiligt. Es ist allerdings nur unter Linux lauffähig.

Früher war 3DES eine der bekanntesten und beliebtesten Formen der Verschlüsselung. Der Verschlüsselungsalgorithmus basiert auf dem für die US-Regierung entwickelten DES-Algorithmus, den ab den 1980er-Jahren so gut wie alle Hersteller in ihren Programmen hatten.

3DES – Definition

Bei 3DES handelt es sich um einen Verschlüsselungsalgorithmus. Obwohl es offiziell als Triple Data Encryption Algorithm (3DEA) bekannt ist, wird dieser Verschlüsselungsalgorithmus am häufigsten als 3DES bezeichnet. Dies liegt daran, dass der 3DES-Algorithmus die DES-Verschlüsselung (Data Encryption Standard) dreimal verwendet, um zu sichernde Daten zu verschlüsseln.

DES ist ein Symmetric-Key-Algorithmus, der auf einem Feistel-Netzwerk basiert. Als symmetrische Key-Verschlüsselung wird dabei derselbe Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet. Das Feistel-Netzwerk macht diese beiden Prozesse nahezu identisch, was zu einem Algorithmus führt, dessen Implementierung effizienter ist.

DES hat sowohl eine 64-Bit-Block- als auch eine Schlüsselgröße, in der Praxis gewährt der Schlüssel jedoch nur 56-Bit-Sicherheit. 3DES wurde aufgrund der geringen Schlüssellänge von DES als sicherere Alternative entwickelt. In 3DES wird der DES-Algorithmus dreimal mit drei Schlüsseln ausgeführt. Er wird jedoch nur als sicher angesehen, wenn drei separate Schlüssel verwendet werden.

Triple DES verschlüsselt die Eingabedaten dreimal. Die drei Schlüssel werden dabei mit k1, k2 und k3 bezeichnet. Diese Technologie ist im Standard von ANSIX9.52 enthalten. Triple DES ist abwärtskompatibel mit regulärem DES.

3DES ist vorteilhaft, da es eine erheblich größere Schlüssellänge hatals die meisten anderen Verschlüsselungsmodi. Der DES-Algorithmus wurde jedoch durch den Advanced Encryption Standard des National Institute of Standards and Technology (NIST) ersetzt. Somit gilt 3DES nun als veraltet. Software, die für ihre Kompatibilität und Flexibilität bekannt ist, kann problemlos für die Triple-DES-Integration konvertiert werden. Daher ist diese Form der Verschlüsselung möglicherweise nicht annähernd so veraltet, wie von NIST angenommen.

Die Geschichte der 3DES-Verschlüsselung

Da 3DES von DES abgeleitet ist, ist es am besten, zuerst den früheren Standard, DES, zu erklären. In den 1970er-Jahren suchte das National Bureau of Standards (NBS – inzwischen in NIST umbenannt) nach einem Algorithmus, der als Standard zur Verschlüsselung sensibler, aber nicht klassifizierter Regierungsinformationen verwendet werden konnte.

Die NBS akzeptierte Vorschläge für einen Standard, der ihren Anforderungen entsprach, aber keiner der Kandidaten aus der ursprünglichen Runde setzte sich durch. Es wurden weitere Einsendungen entgegengenommen, und diesmal schickte IBM einen von seinem Team entwickelten Algorithmus durch. Die Vorlage wurde von der Luzifer-Chiffre abgeleitet, die Horst Feistel entworfen hatte.

1975 wurde der IBM-Algorithmus von der NBS als vorgeschlagener Datenverschlüsselungsstandard veröffentlicht. Die Öffentlichkeit wurde gebeten, sich zu dem Entwurf zu äußern, der einige Kritik hervorrief. Einige prominente Kryptografen behaupteten zum Beispiel, die Schlüssellänge sei zu kurz.

Zu der Zeit dachten viele in der kryptografischen Community, dass die National Security Agency (NSA) das Projekt sabotiert und sich eine Hintertür eingebaut hatte, so dass es die einzige Agency sein würde, die DES brechen könnte. Dieser Verdacht konnte jedoch nie bewiesen werden.

Trotz der anfänglichen Fragen zur Sicherheit des Algorithmus und zur Beteiligung der NSA wurde der IBM-Algorithmus 1976 als Datenverschlüsselungsstandard anerkannt. Er wurde 1977 veröffentlicht und 1983, 1988 und 1993 als Standard bestätigt. Die Notwendigkeit eines neuen Algorithmus wurde mit der Weiterentwicklung der Technologie und der Zunahme potenzieller Angriffe verstärkt.

3DES in der heutigen Zeit

Verschiedene Hackerangriffe zeigten, dass es weniger schwierig war, den Algorithmus zu brechen, als bisher angenommen. Im Jahr 1998 war Distributed.net in der Lage, DES innerhalb von 39 Tagen zu knacken.

Anfang 1999 hatte die Electronic Frontier Foundation mit Deep Crack die Zeit auf etwas mehr als 22 Stunden verkürzt.

Ein neuer Algorithmus wurde dringend benötigt. Dies war ein Problem, da es mehrere Jahre dauern würde, bis sich NIST mit dem Algorithmus, der zum Ersatzstandard wurde, dem Advanced Encryption Standard (AES), befasste.

Während die Verschlüsselung mit AES beschlossen wurde, wurde 3DES als Notlösung vorgeschlagen. Dabei wird der DES-Algorithmus dreimal mit drei separaten Schlüsseln ausgeführt. 1999 wurde DES erneut bestätigt, jedoch mit 3DES als idealem Algorithmus. Normales DES war nur in wenigen Anwendungen zulässig.

3DES entwickelte sich zu einem weit verbreiteten Verschlüsselungsalgorithmus, derheutzutage aufgrund seines hohen Ressourcenverbrauchs und seiner Sicherheitsbeschränkungen in den meisten Anwendungsfällen durch AES ersetzt wurde.