- Mainframe kann Daten jederzeit in praktisch jeder Größenordnung verschlüsseln
- Mehr Schutz gegen globale Datendiebstähle und automatisierte Unterstützung bei der Einhaltung der EU-Datenschutzrichtlinie und zukünftiger Vorschriften
- Verschlüsselt Daten bis zu 18x schneller als x86-Plattformen (1)
- Sechs neue IBM Cloud-Blockchain-Rechenzentren mit IBM Z als Verschlüsselungssystem, darunter auch Frankfurt
- Bahnbrechendes Container-Preismodell für neue Anwendungen wie Instant-Payments
Die neuen Datenverschlüsselungsfunktionen von IBM Z sollen dabei helfen, die Flut an Datendiebstählen zu reduzieren, die einen beträchtlichen Teil der annähernd 2 Billionen-US-$ teuren Auswirkungen von Cyberkriminalität für die globale Wirtschaft bis 2019 ausmachen. Von den mehr als neun Milliarden Datensätzen, die seit 2013 verloren gingen oder gestohlen wurden, waren nur vier Prozent verschlüsselt (2). Dies ist der Grund, warum der größte Teil dieser Daten für organisierte Kriminelle, staatliche Akteure und missbräuchlich handelnde Mitarbeiter mit Zugang zu sensiblen Informationen bisher nutzbar war.
In der bedeutendsten Neupositionierung der Mainframe-Technologie seit mehr als einem Jahrzehnt, als sich die Plattform für Linux und Open Source-Software öffnete, erweitert IBM Z jetzt den schützenden kryptographischen Schirm seiner extrem leistungsstarken Verschlüsselungstechnologie und des Schlüsselschutzes. Die fortschrittlichen kryptografischen Möglichkeiten des Mainframe-Systems erstrecken sich nun über Daten, Netzwerke, externe Geräte oder ganze Anwendungen - wie zum Beispiel den IBM Cloud Blockchain Service - ohne Änderungen der Anwendungen und Verfahren und praktisch ohne Auswirkung auf die Gesamtsystemleistung.
Wichtige Teile der Neuvorstellung entstammen dem deutschen IBM Forschungs- und Entwicklungszentrum in Böblingen.
"Es gibt eine globale Welle an Datendiebstählen. Die überwiegende Anzahlt der gestohlenen oder verlorenen Daten heutzutage ist ungeschützt und damit einfach zu manipulieren. Ein Grund: Verschlüsselung war bisher schwierig und für große Datenmengen teuer", sagte Ross Mauri, General Manager, IBM Z "Wir haben dagegen eine neue Datenschutz-Engine für die Cloud-Ära geschaffen, von der wir glauben, dass sie einen signifikanten und unmittelbaren Einfluss auf die globale Datensicherheit haben kann."
Technologie-Durchbruch: branchenweit erste durchgängige Verschlüsselung für die Cloud-Ära
Eine aktuelle IBM Studie zeigt, dass ein umfangreicher Einsatz von Verschlüsselung ein wichtiger Faktor für die Verringerung der Geschäftsrisiken und der Kosten eines Datendiebstahls sein kann. Das kann auch zu einer Reduzierung der Kosten pro verlorenem oder gestohlenem Datensatz um 16 US-$ führen. Der IBM X-Force Threat Intelligence Index zeigt das Ausmaß dieses Risikos: Im Jahr 2016 wurden mehr als vier Milliarden Datensätze gestohlen (ein Anstieg von 556 Prozent gegenüber 2015).
Allerdings fehlt die Verschlüsselung bisher weitgehend in Unternehmens- und Cloud-Rechenzentren, da aktuelle Lösungen für die Datenverschlüsselung in x86-Umgebungen die Leistung (und damit die Benutzererfahrung) drastisch beeinträchtigen. Sie sind zudem komplex und teuer für die Einhaltung gesetzlicher Vorschriften. Infolgedessen werden heute nur etwa zwei Prozent der Unternehmensdaten verschlüsselt, während mehr als 80 Prozent der mobilen Gerätedaten verschlüsselt sind (3).
Die durchgängige IBM Z-Verschlüsselung ist ein deutlicher Beitrag zur Verbesserung des Datenschutzes, der von Chief Information Security Officers und Datensicherheitsexperten weltweit und mehr als 150 IBM Kunden auf der ganzen Welt gefordert wurde, und deren Feedback in das IBM Z System-Design über die vergangenen drei Jahre eingeflossen ist.
Als Ergebnis dieser Zusammenarbeit bringt IBM Z erhebliche Fortschritte in der Kryptographie-Technologie mit und baut auf einer bewährten Verschlüsselungsplattform auf. Die durchgängige IBM Z Verschlüsselung hat folgende Erweiterungen und Neuigkeiten:
Verschlüsselung aller Daten zu jeder Zeit:IBM Z macht es zum ersten Mal Organisationen möglich, mit einem Klick alle Daten zu verschlüsseln, die mit einer Anwendung, einem Cloud-Service oder einer Datenbank verbunden sind, egal, ob es sich um ruhende Daten („at rest“) oder Daten in Verarbeitung („in flight“) handelt. Die übliche Praxis heute ist es, nur kleine Datenmengen auf einmal zu verschlüsseln, und erheblichen Aufwand in die Auswahl und Verwaltung der zu verschlüsselnden Daten zu investieren. Die Massenverschlüsselung in Cloud-Dimensionen durch IBM Z wird durch eine massive siebenfache Erhöhung der kryptographischen Leistung gegenüber der vorherigen Generation z13 möglich, bei einer vierfach höheren Chipfläche für kryptographische Algorithmen. Das führt in Summe bis zur 18-fachen Beschleunigung gegenüber x86-Systemen (die sich heute nur auf begrenzte Datenmengen konzentrieren) und bei nur fünf Prozent der zurechenbaren Kosten gegenüber x86-basierten Lösungen.
Schlüssel, die auf Manipulationsversuche reagieren. Ein extrem wichtiges Anliegen für Organisationen ist der Schutz der für die Verschlüsselung notwendigen Schlüssel. In großen Organisationen zielen Hacker oft auf diese geheimen Schlüssel, die routinemäßig im Hauptspeicher stehen, wenn sie verwendet werden. Nur IBM Z kann bisher Millionen dieser Schlüssel (sowie den Prozess des Zugriffs, der Erzeugung und des Recyclings) in einer "manipulationssensiblen" Hardware schützen, die Schlüssel bei jedem Anzeichen des Eindringens zur Selbstzerstörung bringt, so daß diese dann später in Sicherheit rekonstituiert werden können. Das IBM Z-Schlüsselmanagementsystem ist so konzipiert, dass es die Anforderungen der Federal Information Processing Standards (FIPS) Level 4 erfüllt. Die Norm für hohe Sicherheit in der Branche ist derzeit lediglich Stufe 2. Diese IBM Z Systemfähigkeit kann über den Mainframe hinaus auf andere Geräte erweitert werden wie Speichersysteme und Server in der Cloud. Darüber hinaus schützen IBM Secure Service Container gegen Insider-Bedrohungen von Unternehmen durch privilegierte Anwender, bieten eine automatische Verschlüsselung von Daten und Code "in-Flight" und "at Rest" und Manipulationswiderstand bei Installation und in der Runtime-Umgebung.
Verschlüsselte APIs. IBM z/OS Connect-Technologien machen es für Cloud-Entwickler einfacher, IBM Z-Anwendungen oder Daten aus einem Cloud-Service aufzurufen, oder auch für IBM Z-Entwickler, um jeden Cloud-Service aufzurufen. IBM Z ermöglicht es Unternehmen, diese APIs als zentrales Element, das Dienste, Anwendungen und Systeme miteinander verbindet, fast 3x schneller als Alternativen auf Basis von x86 zu verschlüsseln (4).
"Die durchgängige Verschlüsselung, die mit der neuen IBM Z möglich ist und sich vom Design her auch darüber hinaus erstreckt, macht das System zur ersten allumfassenden Lösung gegen die Sicherheitsbedrohungen und Datendiebstähle, die wir in den vergangenen 24 Monaten erlebt haben," urteilt Peter Rutten, Analyst bei der IDC Server und Compute Platforms Group.
Entworfen für anspruchsvolle Regulierungsvorschriften wie die EU-Datenschutzgrundverordnung (EU-DSGVO, englisch GDPR)
IBM Z ist auch darauf ausgelegt, Unternehmen dabei zu helfen, Vertrauen bei Verbrauchern aufzubauen und neue Standards wie die EU-Datenschutzgrundverordnung (GDPR) einzuhalten. Mit der EU-DSGVO werden sich ab kommenden Jahr die Anforderungen für in Europa tätigen Organisationen hinsichtlich Datenschutz und entsprechender Nachweise deutlich verschärfen. Die EU-DSGVO/GDPR fordert von Organisationen, Datenverletzungen innerhalb von 72 Stunden zu melden. Ansonsten drohen Geldstrafen von bis zu vier Prozent des Jahresumsatzes, es sei denn, die Organisation kann nachweisen, dass die Daten verschlüsselt wurden und die Schlüssel geschützt wurden. Auf der US-amerikanischen Bundesebene gibt der Federal Financial Institutions Examination Council (FFIEC), der die fünf Bankenaufsichtsbehörden einschließt, Richtlinien zur Verwendung von Verschlüsselung in der Finanzdienstleistungsbranche. Singapur und Hongkong haben ähnliche Richtlinien veröffentlicht. In jüngster Zeit veröffentlichte auch das New York State Department of Financial Services Anforderungen an die Verschlüsselung in den Cybersecurity Requirements for Financial Services Companies.
IBM Z, eng verzahnt mit IBM Security Software, wurde entwickelt, um Sicherheits- und Compliance-Prozesse zu automatisieren und drastisch zu vereinfachen. Zum Beispiel wird erwartet, dass im Rahmen von Audits die Sicherheit von Datenbanken, Anwendungen und Systemen manuell inspiziert und validiert wird. Unternehmen können nun bisher aufwendige Sicherheits-Compliance-Prüfungen für Daten und Anwendungen durch den automatischen Nachweis der Verschlüsselung und sicherer Schlüssel massiv vereinfachen. Dies wird die stetig steigende Komplexität und die Kosten für Auditoren nachhaltig und erheblich reduzieren. Das System stellt auch einen Audit Trail zur Verfügung, der zeigt, ob und wann autorisierte Insider auf Daten zugreifen.
Hochsicherer Blockchain Service
Als Beispiel von IBM Z als Verschlüsselungs-Engine für Cloud-Services hat IBM heute die Eröffnung von IBM Cloud Blockchain-Rechenzentren in New York, London, Frankfurt, Sao Paolo, Tokio und Toronto bekannt gegeben. Diese Zentren sind alle mit IBM Z Kryptographie-Technologie gesichert , die IBM in ein Hochsicherheits-Business-Netzwerk für Organisationen rund um den Globus integriert.
"Dem IBM Cloud Blockchain-Service aus der Cloud wird aufgrund seiner Sicherheit als Unternehmens-Blockchain-Plattform vertraut", sagt Andreas Thomasch, Business Unit Executive IBM Z DACH . "Der Datenschutz stammt von der IBM Z-Verschlüsselungs-Engine unterhalb des Services, der für Anwendung und Benutzer transparent ist, und ist selbst für Netzwerkadministratoren nicht zugreifbar. Dies ist ein mächtiges Werkzeug, um Cloud-Services in der entstehenden Trust-Economy qualitativ zu differenzieren."
AngelHack in Partnerschaft mit IBM, startete heute "Unchain the Frame", einen globalen virtuellen Hackathon mit über 50.000 US-Dollar an Preisgeldern. Entwickler aus der ganzen Welt sind eingeladen, ihre Fähigkeiten und Kreativität mit Technologien wie Blockchain, native Open-Source-Anwendungen, APIs aus der Finanzindustrie und maschinelles Lernen unter Beweis zu stellen.
Neu: Transparentes Containerpricing für Microservices
IBM hat auch drei wegweisende neue Container-Pricing-Modelle für IBM Z angekündigt, die Kunden eine stark vereinfachte Software-Preisgestaltung bieten, welche eine flexible Implementierung mit wettbewerbsfähigen Preisen gegenüber öffentlichen Clouds und On-Premise-x86-Umgebungen kombiniert:
"Neue Microservices und Applikationen"- für den Einsatz neuer Microservices und Applikationen, die es Kunden ermöglichen, die Wertschöpfung von On-Premise-Systemen sicher und in Echtzeit zu maximieren. Kunden können jetzt Anwendungen innerhalb der gleichen Umgebung betreiben, um qualitativ hochwertige Dienstleistungen zu optimieren, die mit Public Cloud- und On-site-Plattformen konkurrenzfähig sind.
"Anwendungsentwicklung und Test"- mit der Freiheit, die Kapazität aller Entwicklungsumgebungen auf z/OS zu verdreifachen, um die neuesten DevOps Werkzeuge und Prozesse zu unterstützen. Kunden können die Kapazität ohne Erhöhung der monatlichen Lizenzgebühr verdreifachen.
"Zahlungssysteme"- Preisgestaltung auf der Grundlage der Menge der Zahlungen, die in einer Bank verarbeitet werden, nicht auf Grundlage verfügbarer Kapazität. Dies ermöglicht den Kunden viel größere Flexibilität, um in einem wettbewerbsorientierten Umfeld, insbesondere im schnell wachsenden Instant Payment Segment, erschwingliche Investitionen zu tätigen.
Diese Container-Pricing-Optionen wurden konzipiert, um Kunden die Vorhersagbarkeit und Transparenz in den Betriebskosten zu vermitteln, die sie für ihr Geschäft benötigen. Die Preismodelle sind sowohl innerhalb als auch über logische Partitionen (LPARs) hinweg skalierbar und liefern deutlich verbesserte Mess-, Steuerungs- und Abrechnungsfunktionen. Container-Pricing für IBM Z wird voraussichtlich bis zum Jahresende 2017 verfügbar sein und in z/OS V2.2 und z/OS V2.3 nutzbar.
Das leistungsstärkste Transaktionssystem für die Cloud-Ära
IBM z14 baut auf den Fähigkeiten der weltweit leistungsstärksten Transaktions-Engine auf, die im Herz der globalen Geschäftswelt eingesetzt wird:
- 87 Prozent aller Kreditkarten-Transaktionen und fast acht Billionen Zahlungen pro Jahr laufen über IBM Z.
- 29 Milliarden Geldautomaten-Transaktionen jedes Jahr im Wert von fast fünf Milliarden Dollar pro Tag laufen über IBM Z.
- Vier Milliarden Passagierflüge pro Jahr werden über IBM Z abgewickelt.
- Mehr als 30 Milliarden Transaktionen pro Tag - mehr als die Anzahl der Google-Recherchen jeden Tag werden über IBM Z abgewickelt.
- 68 Prozent der weltweiten Produktionsworkloads laufen über IBM Z, bei nur sechs Prozent der gesamten IT-Kosten.
Banken und andere in der Finanzdienstleistungsbranche tätige Unternehmen verarbeiten Tausende von Transaktionen pro Sekunde, um die weltweiten Finanzsysteme in Betrieb zu halten. Der Mainframe ist für den zuverlässigen Umgang mit hohen Mengen an Transaktionsdaten wichtiger denn je.
Heute verlassen sich 92 der weltweit größten 100 Banken aufgrund der unübertroffenen Fähigkeit, riesige Transaktionsmengen effizient zu verarbeiten, auf den IBM Mainframe. Um Finanzdienstleistungsorganisationen dabei zu helfen, besser in der Cloud-Ära zu bestehen, können enorme Mengen an sensiblen Daten, die durch Transaktionen erzeugt werden, nun vor Betrug und Cyberkriminalität geschützt, analysiert und mit IBM Z monetarisiert werden, ohne dass der täglich Betrieb beeinträchtigt wird. Für Banken bedeutet dies Verschlüsselung auf Knopfdruck - auch während die Anwendungen laufen - und die Möglichkeit, Daten von unverschlüsselt in verschlüsselt zu verwandeln, ohne die Leistung zu beeinträchtigen.
IBM z14, die 14. Generation der branchenführenden Mainframe-Technologie von IBM, verfügt über den derzeit schnellsten Mikroprozessor der Branche und eine neue skalierbare Systemstruktur, die eine 35-prozentige Kapazitätserhöhung für traditionelle Workloads und eine Erhöhung um 50 Prozent bei Linux-Workloads im Vergleich zur vorherigen Generation IBM z13 ermöglicht. Das System unterstützt:
- mehr als 12 Milliarden verschlüsselte Transaktionen pro Tag auf einem einzigen System.
- die weltweit größte MongoDB-Instanz mit 2.5x schnellerer NodeJS-Performance als x86-basierte Plattformen.
- bis zu Zwei Millionen Docker-Container.
- bis zu 1.000 gleichzeitige NoSQL Datenbanken.
Weitere neue Eigenschaften:
- dreifach größerer Hauptspeicher als beim Vorgängersystem z13 für schnellere Reaktionszeiten, größerer Durchsatz und beschleunigte analytische Leistung. Mit bis zu 32 TB Arbeitsspeicher bietet IBM z14 eine der größten Memory-Footprints in der Branche an.
- dreimal schnelleres I/O und beschleunigte Transaktionsverarbeitung im Vergleich zur z13, um mehr Transaktionsdurchsatz und niedrigere Reaktionszeit zu ermöglichen.
- die Fähigkeit, Java-Workloads bis zu 50 Prozent schneller als x86-Alternativen ablaufen zu lassen (5).
- sehr kurze Storage-Area-Network-(SAN)-Antwortzeiten mit zHyperLink, bis zu zehnfache Latenzzeitreduktion im Vergleich zur z13 und damit halbierte Antwortzeiten auf Anwendungsebene, so dass Unternehmen mehr Anwendungen wie Echtzeit-Analytik oder Interaktionen mit Internet-of-Things (IoT)- Geräten oder Cloud-Anwendungen innerhalb der gleichen Transaktion leisten können, ohne eine einzige Zeile des Anwendungscodes anfassen zu müssen (6).
Als Teil der heutigen Ankündigung hat IBM auch neue z/OS-Software vorgestellt, die grundlegende Fähigkeiten für die Bereitstellung von Private Cloud-Services bietet und eine Transformation von IT-Shops von einem Cost Center zu einem Service Provider mit unternehmerischem Wertbeitrag ermöglicht. Sobald verfügbar, werden diese neuen Möglichkeiten auch Workflow-Erweiterungen für IBM Cloud Provisioning und Management für z/OS und Echtzeit-SMF-(System Management Facility)-Analytics-Infrastruktur unterstützen.
IBM Global Financing kann qualifizierten Kunden dabei unterstützen, die neue IBM z14 einzusetzen, ihre Gesamtbetriebskosten zu senken und den Return on Investment zu beschleunigen. IBM Global Financing-Angebote für IBM Mainframe-Lösungen sind von IBM und IBM Business Partnern erhältlich und bieten flexible Bedingungen, die angepasst werden können, um die Kosten an Projektergebnissen oder anderen Kundenanforderungen auszurichten.
Über IBM Z: Um mehr über das Portfolio von IBM Z zu erfahren, besuchen Sie http://www.ibm.com/systems/z/, folgen Sie @IBMzSystems auf Twitter oder besuchen Sie den IBM Systems Blog. Um mehr über IBM Security zu erfahren, besuchen Sie http://www.ibm.com/security, folgen Sie @IBMSecurity auf Twitter oder besuchen Sie den IBM Security Intelligence Blog
Fussnoten: 1. Source: “Pervasive Encryption: A New Paradigm for Protection,” K. R. E. Lind, Chief Systems Engineer, Solitaire Interglobal Ltd., June 30, 2017. / 2. Source: Breach Level Index, http://breachlevelindex.com/ / 3. Source: “Pervasive Encryption: A New Paradigm for Protection,” K. R. E. Lind, Chief Systems Engineer, Solitaire Interglobal Ltd., June 30, 2017. / 4. Customers running WebSphere Liberty on z14 Linux on z using clear key encryption AES_128_GCM cipher can get up to 2.6X improvement in throughput per core with IBM Java 8 SR5 compared to x86. / 5. Customers running WebSphere Liberty on z14 Linux on z without encryption can get up to 1.6X improvement in throughput per core with IBM Java 8 SR5 compared to x86. / 6. The 10x lower read latency projection was based on z14 and zHyperLink results with DS8886 and z13 measurements that provided results for I/O interrupt and dispatching. This response time projection was based on IBM internal measurements and projections that contrasted zHyperLink Express with a similar configuration using zHPF. The measurements and projections assume that assume 75% or more of the workload response time is associated with read DASD I/O and the storage system random read cache hit ratio is above 80%. The execution environment for both scenarios was a z14 with 10 CPs. The zHPF tests used FICON Express 16S+ connected to a DS8886. The zHyperLink tests were also conducted using DS8886. The actual performance that any user will experience may vary.