IBM interpretiert das Thema Datensicherheit neu: Die z14-Mainframe-Generation ist in der Lage, Daten jederzeit und in praktisch jeder Größenordnung zu verschlüsseln. Das soll mehr Schutz gegen Datendiebstähle bieten sowie eine automatisierte Unterstützung für die Einhaltung der EU-Datenschutzgrundverordnung (EU-DSGVO). Wichtige Teile der Neuvorstellung wurden im deutschen IBM Forschungs- und Entwicklungszentrum in Böblingen entwickelt.

Mit dem System z14 bringt IBM die nächste Generation seiner Mainframes auf den Markt. z14 führt eine spezielle Verschlüsselungsfunktionalität ein, die es erstmals ermöglicht, sämtliche Daten, die mit einer Anwendung, einem Cloud-Service oder einer Datenbank verbunden sind, zu verschlüsseln. Dabei ist das System in der Lage, mehr als zwölf Milliarden verschlüsselte Transaktionen pro Tag auszuführen.

Diese Datenverschlüsselungsfunktionen sollen dabei helfen, die Flut an Datendiebstählen zu reduzieren, die einen beträchtlichen Teil der annähernd zwei Billionen Dollar teuren Auswirkungen von Cyberkriminalität auf die globale Wirtschaft bis 2019 ausmacht. Von den mehr als neun Milliarden Datensätzen, die seit 2013 verloren gingen oder gestohlen wurden, waren nur vier Prozent verschlüsselt. Dies ist der Grund, warum der größte Teil dieser Daten für organisierte Kriminelle, staatliche Akteure und missbräuchlich handelnde Mitarbeiter mit Zugang zu sensiblen Informationen bisher nutzbar war.

In der bedeutendsten Neupositionierung der Mainframe-Technologie seit mehr als einem Jahrzehnt – als sich die Plattform für Linux und Open Source-Software öffnete – erweitert IBM nun den schützenden kryptografischen Schirm durch eine extrem leistungsstarke Verschlüsselungstechnologie. Die kryptografischen Möglichkeiten des Mainframe-Systems erstrecken sich nun über Daten, Netzwerke, externe Geräte oder ganze Anwendungen – wie zum Beispiel den IBM Cloud Blockchain Service – ohne Änderungen an den Anwendungen und Verfahren notwendig zu machen und praktisch ohne Auswirkung auf die Gesamtsystemleistung.

Eine aktuelle IBM-Studie zeigt, dass ein umfangreicher Einsatz von Verschlüsselung ein wichtiger Faktor bei der Verringerung der Geschäftsrisiken und der Kosten durch Datendiebstahl sein kann. Das führt auch zu einer deutlichen Reduzierung der Kosten pro verlorenem oder gestohlenem Datensatz. Der IBM X-Force Threat Intelligence Index zeigt das Ausmaß dieses Risikos: Im Jahr 2016 wurden mehr als vier Milliarden Datensätze gestohlen (ein Anstieg von 556 Prozent gegenüber 2015).

Allerdings fehlt die Verschlüsselung in Unternehmens- und Cloud-Rechenzentren bisher weitgehend, da aktuelle Lösungen für die Datenverschlüsselung in x86-Umgebungen die Leistung (und damit die Benutzererfahrung) drastisch beeinträchtigen. Sie sind zudem komplex und hinsichtlich der Einhaltung gesetzlicher Vorschriften recht teuer. Infolgedessen werden heute nur etwa zwei Prozent der Unternehmensdaten verschlüsselt, während bereits mehr als 80 Prozent der mobilen Gerätedaten verschlüsselt sind. Die durchgängige IBM Z-Verschlüsselung ist deshalb ein deutlicher Beitrag zur Verbesserung des Datenschutzes, wie er von Chief Information Security Officers, Datensicherheitsexperten und mehr als 150 IBM-Kunden auf der ganzen Welt seit langem gefordert wurde, und deren Feedback in das IBM Z System-Design eingeflossen ist. Die durchgängige IBM Z-Verschlüsselung beinhaltet folgende Erweiterungen:

Verschlüsselung aller Daten zu jeder Zeit: IBM Z macht es Organisationen zum erstenmal möglich, mit einem Klick alle Daten zu verschlüsseln, die mit einer Anwendung, einem Cloud-Service oder einer Datenbank verbunden sind, egal ob es sich um ruhende Daten („at rest“) oder Daten in Verarbeitung („in flight“) handelt. Die bislang gängige Praxis ist es, nur kleine Datenmengen auf einmal zu verschlüsseln, was mit erheblichem Aufwand für Auswahl und Verwaltung der zu verschlüsselnden Daten einhergeht. Die Massenverschlüsselung in Cloud-Dimensionen durch IBM Z wird durch eine massive siebenfache Erhöhung der kryptografischen Leistung gegenüber der vorherigen Generation z13 möglich, bei einer vierfach höheren Chipfläche für kryptografische Algorithmen.

Schlüssel, die auf Manipulationsversuche reagieren: Ein extrem wichtiges Anliegen für Organisationen ist der Schutz der für die Verschlüsselung notwendigen Schlüssel. In großen Organisationen zielen Hacker oft auf diese geheimen Schlüssel, die routinemäßig im Hauptspeicher stehen, wenn sie verwendet werden. Nur IBM Z kann bisher Millionen dieser Schlüssel (sowie den Prozess des Zugriffs, der Erzeugung und des Recyclings) in einer „manipulationssensiblen“ Hardware schützen, die Schlüssel bei jedem Anzeichen eines Eindringens zur Selbstzerstörung bringt, so dass diese dann später in Sicherheit rekonstituiert werden können. Das IBM Z-Schlüsselmanagementsystem ist so konzipiert, dass es die Anforderungen der Federal Information Processing Standards (FIPS) Level 4 erfüllt. Die Norm für hohe Sicherheit in der Branche ist derzeit lediglich Stufe 2. Diese IBM Z-Systemfähigkeit kann über den Mainframe hinaus auf andere Geräte wie Speichersysteme und Server in der Cloud erweitert werden. Darüber hinaus schützen IBM Secure Service Container Unternehmen gegen Insider-Bedrohungen durch privilegierte Anwender, bieten eine automatische Verschlüsselung von Daten und Code „in-Flight“ und „at Rest“ und Manipulationswiderstand bei Installation und in der Runtime-Umgebung.