IBM Z

Performante Verschlüsselung soll Datenklau reduzieren

| Redakteur: Jürgen Schreier

Großrechner von IBM können künftig sensible Unternehmensdaten end-to-end verschlüsseln und damit Cyberangriffen besser trotzen.
Großrechner von IBM können künftig sensible Unternehmensdaten end-to-end verschlüsseln und damit Cyberangriffen besser trotzen. (Bild: IBM)

Mehr Schutz gegen globale Datendiebstähle will IBM seinen Anwendern mit dem Transaktionssystem IBM Z bieten. Die Sicherheitstechnologie, die sich unter anderem an Betreiber Kritischer Infrastrukturen wendet, umfasst auch eine automatisierte Unterstützung für die Einhaltung der EU-Datenschutzrichtlinie und zukünftiger Vorschriften.

IBM stellt eine neue Generation des Transaktionssystems unter dem Namen „IBM Z“ vor. Das neue System, z14 genannt, führt eine neuartige Verschlüsselung ein, die erstmals ermöglicht, sämtliche Daten, die mit einer Anwendung, einem Cloud-Service oder einer Datenbank verbunden sind, zu verschlüsseln. IBM Z soll in der Lage sein, mehr als 12 Milliarden verschlüsselte Transaktionen pro Tag auszuführen.

Ziel ist, die Flut an Datendiebstählen zu reduzieren, die einen beträchtlichen Teil der auf annähernd 2 Billionen-US-Dollar bezifferten Auswirkungen von Cyberkriminalität für die Weltwirtschaft ausmachen. Von den mehr als neun Milliarden Datensätzen, die seit 2013 verloren gingen oder gestohlen wurden, waren nur vier Prozent verschlüsselt.

Verschlüsselung bremst die Performance - bisher

IBM Z erweitert den schützenden kryptographischen Schirm seiner Verschlüsselungstechnologie und des Schlüsselschutzes. Die kryptografischen Möglichkeiten des Mainframe-Systems erstrecken sich nun über Daten, Netzwerke, externe Geräte oder ganze Anwendungen - wie zum Beispiel den IBM Cloud Blockchain Service - ohne dass Änderungen bei den Anwendungen und Verfahren notwendig werden. Auch die auf die Gesamtsystemleistung soll IBM Z keine negativen Auswirkungen haben.

Eine aktuelle IBM-Studie zeigt, dass ein umfangreicher Einsatz von Verschlüsselung ein wichtiger Faktor für die Verringerung der Geschäftsrisiken und der Kosten eines Datendiebstahls sein kann. Das kann auch zu einer Reduzierung der Kosten pro verlorenem oder gestohlenem Datensatz um 16 US-Dollar führen. Der IBM X-Force Threat Intelligence Index zeigt das Ausmaß dieses Risikos: Im Jahr 2016 wurden mehr als vier Milliarden Datensätze gestohlen, was einer Zunahme um 556 Prozent gegenüber 2015 entspricht.

Allerdings fehlt die Verschlüsselung bisher weitgehend in Unternehmens- und Cloud-Rechenzentren, weil aktuelle Lösungen für die Datenverschlüsselung in x86-Umgebungen die Leistung (und damit die Benutzererfahrung) erheblich beeinträchtigen. Sie sind zudem komplex und teuer, wenn die Einhaltung gesetzlicher Vorschriften gewährleistet sein soll. Folglich werden heute nur etwa zwei Prozent der Unternehmensdaten verschlüsselt, während mehr als 80 Prozent der mobilen Gerätedaten verschlüsselt sind.

Mit einem Klick alle Daten verschlüsseln

IBM Z macht es für Organisationen erstmals möglich, mit einem Klick alle Daten zu verschlüsseln, die mit einer Anwendung, einem Cloud-Service oder einer Datenbank verbunden sind - gleichgültig, ob es sich um ruhende Daten („at rest“) oder Daten in Verarbeitung („in flight“) handelt. Übliche Praxis heute ist, nur kleine Datenmengen in einem "Rutsch" zu verschlüsseln, was einen erheblichen Aufwand in die Auswahl und Verwaltung der zu verschlüsselnden Daten bedeutetet.

Die Massenverschlüsselung in Cloud-Dimensionen durch IBM Z wird durch eine massive siebenfache Erhöhung der kryptographischen Leistung gegenüber der vorherigen Generation z13 möglich, bei einer vierfach höheren Chipfläche für kryptographische Algorithmen. Das führt in Summe bis zur 18-fachen Beschleunigung gegenüber x86-Systemen (die sich heute nur auf begrenzte Datenmengen konzentrieren) und bei nur fünf Prozent der zurechenbaren Kosten gegenüber x86-basierten Lösungen.

Schlüssel zerstören sich bei Manipulationsversuche selbst

Ein wichtiges Anliegen für Organisationen ist der Schutz der für die Verschlüsselung notwendigen Schlüssel. In großen Organisationen haben Hacker oft diese geheimen Schlüssel im Visier, die routinemäßig im Hauptspeicher stehen, wenn sie verwendet werden. Wie es heißt, könne bisher nur IBM Z Millionen dieser Schlüssel (sowie den Prozess des Zugriffs, der Erzeugung und des Recyclings) in einer "manipulationssensiblen" Hardware schützen. Bei jedem Anzeichen eines Eindringens zertören sich die Schlüssel selbst und können später wieder rekonstituiert werden.

Das IBM Z-Schlüsselmanagementsystem ist so konzipiert, dass es die Anforderungen der Federal Information Processing Standards (FIPS) Level 4 erfüllt. Die Norm für hohe Sicherheit in der Branche ist derzeit lediglich Stufe 2. Diese IBM Z Systemfähigkeit kann über den Mainframe hinaus auf andere Geräte erweitert werden - zum Beispiel Speichersysteme und Server in der Cloud. Außerdem schützen IBM Secure Service Container gegen Insider-Bedrohungen durch privilegierte Anwender, bieten eine automatische Verschlüsselung von Daten und Code "in-Flight" und "at Rest" und Manipulationswiderstand bei Installation und in der Runtime-Umgebung.

Verschlüsselte APIs. IBM z/OS Connect-Technologien machen es für Cloud-Entwickler einfacher, IBM Z-Anwendungen oder Daten aus einem Cloud-Service aufzurufen, oder auch für IBM Z-Entwickler, um jeden Cloud-Service aufzurufen. IBM Z ermöglicht es Unternehmen, diese APIs als zentrales Element, das Dienste, Anwendungen und Systeme miteinander verbindet, fast 3x schneller als Alternativen auf Basis von x86 zu verschlüsseln.

IBM Z unterstützt Firmen beim gesetzlichen Datenschutz

IBM Z ist auch darauf ausgelegt, Unternehmen bei der Einhaltung neuer Standards wie die EU-Datenschutzgrundverordnung zu unterstützen. Mit der EU-DSGVO werden sich ab kommenden Jahr die Anforderungen für in Europa tätigen Organisationen hinsichtlich Datenschutz und entsprechender Nachweise deutlich verschärfen. Die EU-DSGVO/GDPR fordert von Organisationen, Datenverletzungen innerhalb von 72 Stunden zu melden. Ansonsten drohen Geldstrafen von bis zu vier Prozent des Jahresumsatzes, es sei denn, die Organisation kann nachweisen, dass die Daten verschlüsselt wurden und die Schlüssel geschützt wurden.

Auf der US-amerikanischen Bundesebene gibt der Federal Financial Institutions Examination Council (FFIEC), der die fünf Bankenaufsichtsbehörden einschließt, Richtlinien zur Verwendung von Verschlüsselung in der Finanzdienstleistungsbranche. Singapur und Hongkong haben ähnliche Richtlinien veröffentlicht. In jüngster Zeit veröffentlichte auch das New York State Department of Financial Services Anforderungen an die Verschlüsselung in den Cybersecurity Requirements for Financial Services Companies.

Hochsicherer Blockchain Service

Als Beispiel von IBM Z als Verschlüsselungs-Engine für Cloud-Services hat IBM heute die Eröffnung von IBM Cloud Blockchain-Rechenzentren in New York, London, Frankfurt, Sao Paolo, Tokio und Toronto bekannt gegeben. Diese Zentren sind alle mit IBM Z Kryptographie-Technologie gesichert , die IBM in ein Hochsicherheits-Business-Netzwerk für Organisationen rund um den Globus integriert.

Außerdem startete AngelHack in Partnerschaft mit IBM am 18. Juli einen globalen virtuellen Hackathon mit über 50.000 US-Dollar an Preisgeldern ( "Unchain the Frame"). Entwickler aus der ganzen Welt sind eingeladen, ihre Fähigkeiten und Kreativität mit Technologien wie Blockchain, native Open-Source-Anwendungen, APIs aus der Finanzindustrie und maschinelles Lernen unter Beweis zu stellen.

IBM hat auch drei neue Container-Pricing-Modelle für IBM Z angekündigt. Diese Optionen wurden konzipiert, um Kunden die Vorhersagbarkeit und Transparenz in den Betriebskosten zu vermitteln, die sie für ihr Geschäft benötigen. Die Preismodelle sind sowohl innerhalb als auch über logische Partitionen (LPARs) hinweg skalierbar und liefern deutlich verbesserte Mess-, Steuerungs- und Abrechnungsfunktionen. Container-Pricing für IBM Z wird voraussichtlich bis zum Jahresende 2017 verfügbar sein und in z/OS V2.2 und z/OS V2.3 nutzbar.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44792538 / Technologie)