Nach Ansicht des Anbieters von IT-Sicherheitslösungen SecuPi reichen sowohl die Cloud-übergreifende Verschlüsselung als auch die Cloud-Analytics-Verschlüsselung auf Spaltenebene nicht aus, um die Anforderungen der Aufgabentrennung (Segregation of Duties, SoD) durch Cloud-Account-Admins zu erfüllen und den Zugriff auf die Klartextdaten auf einer Need-to-know-Basis zu kontrollieren, wobei der Standort, die Staatsangehörigkeit, das Gerät, der Zweck und die Zustimmung des Datensubjekts berücksichtigt werden müssen[1]Air-Locks for addressing Data Sharing and Sovereignty Requirements.

Segregation of Duties (SoD)
Segregation of Duties (SoD), auch bekannt als „Prinzip der Funktionstrennung“ ist ein Geschäftsprozess innerhalb einer Organisation. SoD-Richtlinien fungieren als Sicherheitsvorkehrung, denn viele Geschäftsprozesse können, wenn sie von einer einzigen Person ausgeführt werden, zu einem Interessenkonflikt führen. Quelle: Was ist Segregation of Duties? 

Die Entschlüsselung kritischer Daten mit externen Funktionen auf verschlüsselten Spalten in jeder Cloud-Analyseplattform erfordert eine Änderung des Schemas, die Erstellung von Ansichten und die Verwaltung des Zugriffs auf die Ansichten auf der Grundlage verschiedener Attribute – was umständlich ist, einen hohen Verwaltungsaufwand erfordert und nicht skalierbar ist -, da mehr Spalten geschützt werden müssen und gleichzeitig mehr Attribute (ABAC) berücksichtigt werden müssen, die bei der Erstellung der Entschlüsselungsansichten nicht verfügbar sind.

Darüber hinaus können externe Funktionen von den Cloud-Kontoadministratoren aufgerufen werden, was die SoD-Stellung untergräbt und die Klartextdaten an die Cloud-Analyseplattform zurückgibt – was nicht dem Zweck des Gesetzes entspricht

SecuPi hat sich mit allen Cloud-Analyseplattformen zusammengeschlossen, um Air-Locks zu liefern, die vollständiges SoD durchsetzen und sicherstellen, dass Klartextdaten NIEMALS in der Plattform verfügbar sind, während sie am Rand/im Land entschlüsselt werden, um die Anforderungen an die gemeinsame Nutzung von Daten und die Souveränität zu erfüllen.

Die Problematik der Funktionstrennung versucht man in der Praxis u.a. durch die Einführung rollenbasierter Zugriffskontrollen (Role-Based Access Controls, RBACs) mittels Identity und Access Management (IAM) in den Griff zu bekommen. “Rollen können je nach Abteilung oder Funktion festgelegt werden. RBAC stellt sicher, dass Benutzer nur Zugriff auf die Ressourcen erhalten, die ihre Rolle erfordert – nicht mehr und nicht weniger. IAM-Systeme erstellen zudem Audit-Trails, indem sie jegliche Aktivitäten der Benutzer protokollieren. IT-Administratoren können über diese Audit-Protokolle die Einhaltung der Vorschriften auf Knopfdruck nachweisen.[2]Was ist Segregation of Duties? .

In der neuen Lösung von SecuPi geht es demnach darum, jetzt auch die IT-Administratoren in die Funktionstrennung mit einzubeziehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert