IBM i Solutions
Lösungen zum Schutz von IBM i-Daten – Precisely
Der Schutz von IBM i (AS/400)-Daten ist unerlässlich, um Compliance-Vorschriften einzuhalten und die negativen Auswirkungen von Datenschutzverletzungen auf das Ansehen und die Ergebnisse Ihres Unternehmens zu vermeiden.
Schlüsseltechnologie zur Gewährleistung des Datenschutzes
Seit mehr als 30 Jahren wird IBM i, oft immer noch als AS/400 bezeichnet, in Unternehmen aller Branchen eingesetzt. Unternehmen aus den Bereichen Einzelhandel, Unterhaltung, Produktion, Finanzwesen und anderen Sektoren vertrauen auf IBM i-Systeme, die auch als Powersystem zur Transaktionsverarbeitung bekannt sind.
Egal, wo sie eingesetzt werden – Unternehmen verlassen sich auf IBM i-Server, um ihre wichtigsten Arbeitslasten zu verarbeiten und ihre sensibelsten Daten zu verwahren. Eine effiziente Datenschutztechnologie für IBM i muss sensible Daten unkenntlich machen, selbst wenn ein Hacker oder ein unbefugter interner Nutzer es schafft, alle anderen Abwehrmechanismen zu überwinden. Der sichere Schutz von Daten, auch wenn diese in die falschen Hände gelangen, gründet auf vier grundlegenden Verfahren: Verschlüsselung, Tokenisierung, Anonymisierung und eine gesicherte Dateiübertragung.
In der Kryptografie bezeichnet Verschlüsselung einen Prozess, bei dem Daten unkenntlich gemacht werden und ohne einen speziellen Code zur Entschlüsselung unlesbar sind. Die Verschlüsselung von Daten auf IBM i-Systemen ist eine wichtige Sicherheitsmaßnahme. Sie bietet zusätzlichen Schutz gegen Datenschutzverletzungen, für den Fall, dass sich ein unbefugter Nutzer Zugang zum System verschafft hat.
Datenverschlüsselung wird von den meisten Vorschriften im Zusammenhang mit Verbraucherdatenschutz und in Branchen, die vertrauliche Daten speichern oder verarbeiten, verlangt. Bei der Verschlüsselung werden ein oder mehrere öffentlich zugängliche Algorithmen mit einem geheimen Datensatz, dem sogenannten Verschlüsselungs-Key, kombiniert. Zusammen verwandeln der Algorithmus und der Verschlüsselungs-Key einen Klartext in eine unverständliche Zeichenfolge oder Ziffern. Mit dem richtigen Schlüssel lassen sich die Daten wieder in ihre ursprüngliche lesbare Form zurückverwandeln.
Verschlüsselung kann verwendet werden, um ruhende IBM i-Daten in Db2-Datenbankfeldern, in IFS-Dateien, in Spool-Dateien oder auf Backup-Bändern zu schützen. Ab IBM i Version 7.1 wurde Db2 für IBM i eine Feldprozedur (FieldProc) hinzugefügt. Das hat die Verschlüsselung wesentlich vereinfacht und eine Verschlüsselung ruhender Daten ohne Anwendungsänderungen ermöglicht.
Assure Encryption von Precisely automatisiert die Ver- und Entschlüsselung Ihrer Daten mit einer auf Leistung optimierten NIST-zertifizierten AES-Verschlüsselung. Darüber hinaus bietet Assure Encryption zusätzliche Sicherheitsfunktionen, wie integrierte Datenmaskierung, einen Prüfpfad und Integration mit OASIS-KMIP-kompatiblen Verschlüsselungs-Key-Managern.
Um Daten in chiffrierten Text zu verwandeln, verwendet der Verschlüsselungsalgorithmus einen Verschlüsselungs-Key. Dieser Key kann eine Ziffer, ein Wort oder eine beliebige Zeichenfolge sein. Außerdem können Keys eine unterschiedliche Länge haben (z. B. 128, 192 oder 256 Bit). Wenn der Key sowohl der Person, die die Daten schützt, als auch der Person, die die Daten liest, bekannt ist, können beide ihn zum Ver- bzw. Entschlüsseln der Daten verwenden.
Verschlüsselung ist nichts Neues. Ältere Algorithmen können jedoch leichter von Hackern geknackt werden. Deshalb ist es wichtig, Ihre IBM i-Systeme mit Algorithmen zu schützen, die den neuesten Standards entsprechen. Da Verschlüsselungsalgorithmen öffentlich zugänglich und nur Verschlüsselungs-Keys privat sind, ist es auch wichtig, ein zuverlässiges System zum Erstellen, Verteilen und Speichern dieser Keys zu implementieren. Verschlüsselungs-Keys sollten einen geregelten Lebenszyklus haben, der die Erstellung, Aktivierung, Nutzung, Rotation, den Ablauf, die Deaktivierung und die Vernichtung nach einem bestimmten Zeitraum abdeckt.
Bestimmte Vorschriften wie PCI DSS erfordern spezielle Verwaltungsverfahren für Verschlüsselungs-Keys, wie zum Beispiel Aufgabentrennung und Dualkontrollprozesse, bei denen die Verschlüsselungs-Keys von zwei oder mehr Personen verwaltet werden.
Mehr über IBM i-Verschlüsselung und die Bedeutung des Key-Managements erfahren Sie im Precisely-E-Book IBM i-Verschlüsselung 101.
Eine weitere Methode zum Schutz sensibler Daten besteht darin, die Daten durch nicht sensible Ersatzwerte, sogenannte „Token“, zu ersetzen. Bei der Tokenisierung, auch als Pseudonymisierung bezeichnet, werden sensible Daten wie Kreditkarten- oder Bankkontonummern durch nicht sensible, formatgetreue Token ersetzt, die auf die sensiblen Daten zurückschließen. Wenn die Originaldaten aus dem Tresor für autorisierte Betrachter abgerufen werden, können sie durch weitere Sicherheitsmaßnahmen wie Datenmaskierung zusätzlich geschützt werden.
Sowohl Verschlüsselung als auch Tokenisierung sind auf die Sicherheit von ruhenden IBM i-Daten ausgerichtet. Im Gegensatz zur Verschlüsselung kann die Tokenisierung jedoch nicht algorithmisch umgekehrt werden, um den ursprünglichen Wert zu ermitteln. Da Token keine Beziehung zu den Daten haben, die sie ersetzen, können sie nicht „geknackt“ werden. Stattdessen werden die Originaldaten in einer Datenbank, Token-Tresor genannt, gespeichert, die isoliert, verschlüsselt und gesichert sein muss.
Da bei der Tokenisierung sensible Daten über den Token-Tresor von der Produktionsdatenbank getrennt werden, wird das Risiko einer Offenlegung dieser Daten bei einem Angriff auf die Produktionsdatenbank reduziert. Dieser Ansatz bietet signifikante Vorteile im Hinblick auf die Einhaltung von Compliance-Vorschriften, da für den Produktionsserver, auf dem die sensiblen Daten tokenisiert werden, kein Compliance-Nachweis für Auditoren erforderlich ist, da auf diesem Server keine sensiblen Daten gespeichert sind.
Erfahren Sie, wie Sie mithilfe von Tokenisierung Compliance erreichen können.
Anonymisierung (manchmal auch De-Identifikation oder Schwärzung genannt) ähnelt der Tokenisierung, jedoch mit dem Unterschied, dass ruhende sensible Daten dauerhaft durch Token-Werte ersetzt werden, wodurch der Token-Tresor entfällt. Nicht wiederherstellbare Token können das Format des ursprünglichen Datenfelds beibehalten, die Originaldaten können jedoch niemals abgerufen werden.
Die Anonymisierung wird von Verordnungen zum Schutz von Verbraucherdaten, wie dem California Consumer Privacy Act (CCPA) und der europäischen Datenschutz-Grundverordnung (DSGVO) vorgeschrieben. Sie bietet eine effiziente Methode, personenbezogene Daten aus Datensätzen zu entfernen, die an Dritte weitergegeben werden. Sie wird häufig auch in Entwicklungs- und Testumgebungen genutzt. In Produktionsumgebungen wird in der Regel keine Anonymisierung eingesetzt.
Bestimmte Anonymisierungslösungen können in Datenreplikationslösungen für Hochverfügbarkeit und Notfallwiederherstellung integriert werden, sodass eine anonymisierte Umgebung (z. B. eine Business-Intelligence-Umgebung) in Echtzeit mit neuen Daten befüllt wird, deren sensible Felder durch nicht wiederherstellbare Token ersetzt wurden.
Erfahren Sie in unserem E-Book Was der California Consumer Privacy Act (CCPA) und ähnliche Vorschriften für Sie bedeuten, wie Anonymisierung zur Einhaltung von Datenschutzvorschriften beitragen kann.
Verschlüsselung ist eine zuverlässige Methode, Dateien auf ihrem Weg zwischen internen und externen Netzwerken zu schützen. Sichere Dateiübertragungslösungen schützen Daten anhand von Verfahren, die Daten verschlüsseln, während sie in Bewegung sind. Aber das Verschlüsseln von Dateien während der Übertragung ist nicht immer ausreichend. Für eine vollständige Sicherheit bei der Dateiübertragung sollten Dateien auch an der Quelle und am Ziel verschlüsselt werden, damit die Inhalte zu keiner Zeit vor oder nach der Übertragung von unbefugten Personen eingesehen werden können.
Ob bei Übertragungen zwischen Geschäftspartnern, Behörden, Wirtschaftsauskunfteien oder Unternehmensabteilungen – mit einer funktionsreichen, sicheren Dateiübertragungslösung lassen sich auch die Verwaltungsaufgaben der Dateiübertragung automatisieren. Zu diesen Aufgaben gehören Prozessautomatisierung, Anwendungsintegration und eine zentralisierte, konsistente Methode zur Handhabung aller Aspekte des Dateiübertragungsprozesses.
Verwaltete, sichere Dateiübertragungslösungen geben Administratoren die Gewissheit, dass ihre Daten sicher sind und entlasten Entwickler, sodass sie ihre wertvolle Zeit und Energie strategischen Prioritäten widmen können.
Erfahren Sie, wie Assure Secure File Transfer von Precisely Ihre Daten auf ihrem Weg durch Netzwerke vor fremden Blicken schützen und den Übertragungsprozess automatisieren und in bestehende Workflows und Anwendungen integrieren kann.
Gewährleistung von Compliance und Sicherheit
Datenschutzverletzungen sind kostspielig und folgenschwer. Angesichts immer komplexerer Vorschriften und der materiellen und immateriellen Kosten von Sicherheitsverstößen ist eine effektive Datenschutzlösung für Ihr Unternehmen unverzichtbar, denn es kann damit:
- die Compliance mit Datensicherheitsanforderungen der DSGVO und anderer gesetzlicher und branchenspezifischer Vorschriften wie CCPA, PCI DSS, HIPAA oder SOX sicherstellen;
- geistiges Eigentum und Daten, die Ihnen Kunden, Partner und Mitarbeiter anvertraut haben, schützen;
- vertrauliche Daten sowohl im Ruhezustand als auch während der Übertragung schützen;
- eine echte Aufgabentrennung durchsetzen;
- sicherheitsbezogene Best Practices implementieren.
Assure Security bietet Verschlüsselung, Tokenisierung, Anonymisierung und eine gesicherte Dateiübertragung für IBM i. Diese Funktionen können einzeln oder im Rahmen eines Assure Data Privacy-Bundles lizenziert werden. Darüber hinaus bietet Assure Security IBM i-Zugangskontrolle, erweitertes Berechtigungsmanagement, Multi-Faktor-Authentifizierung, Alarme und Berichterstattung für System- und Datenbankaktivitäten und vieles mehr, um Sicherheitsverstöße zu vermeiden und die Compliance sicherzustellen.