END-TO-END-VERSCHLÜSSELUNG BEI FLAM

END-TO-END-VERSCHLÜSSELUNG BEI FLAM

END-TO-END ENCRYPTION WITH FLAM

Encrypt once, use everywhere - encrypted

Herkömmliche Verschlüsselungssysteme unterscheiden zwischen „Data at Rest“ (Speicherung) und „Data in Transit“ (Übertragung). 


Das Problem dabei: Daten müssen  ständig ver- und entschlüsselt werden. Dabei entstehen beim Backup, bei Übertragungen und bei jeder Verarbeitung kritische Punkte.


FLAM geht einen anderen Weg. Es setzt auf eine End-to-End-Verschlüsselung ohne Unterbrechung. Die Daten werden einmal bei ihrer Entstehung verschlüsselt. Danach bleiben sie verschlüsselt: beim Speichern, Übertragen und sogar beim Durchsuchen.


Das Ergebnis sind weniger Angriffspunkte, ein geringerer Energieverbrauch und mehr Sicherheit. Sie behalten die volle Kontrolle bis auf Spaltenebene, ohne Ihre Daten unnötig zu exponieren.

FLAM lässt sich nahtlos in Ihre bestehende Infrastruktur integrieren, ganz gleich, ob diese auf OpenPGP, KMIP (OpenSSL) oder HSM-basierten Lösungen basiert. Es kann mit jedem gängigen Key-Management zusammenarbeiten. 


Da wir persistente Datenbestände schützen, empfehlen wir professionelle Key-Management-Systeme wie IBM DKMS/EKMF mit zentralem Key-Repository und Backup-Strategie für alle statischen Schlüssel, insbesondere für die Repository-Keys, die Ihre Archive schützen.   


Mehr Sicherheit. Mehr Kontrolle. Mehr Möglichkeiten.

GETRENNTE SCHLÜSSEL, KLARE KONTROLLe


Drei Schlüssel für drei Zugriffsebenen

FLAM arbeitet mit drei separaten Schlüsseln, die hierarchischen Zugriff ermöglichen.

Mit dem Directory-Schlüssel können Sie nur das Inhaltsverzeichnis lesen. Der Member-Schlüssel ermöglicht zusätzlich die Durchsuchung der verschlüsselten Archivinhalte.  Erst mit dem Daten-Schlüssel erhalten Sie Vollzugriff auf die eigentlichen Inhalte.

GRANULARE rechte BIS AUF SPALTENEBENE

Präzise Kontrolle über jeden Datenzugriff

Zusätzlich zu den drei Schlüssel-Ebenen können Sie Rechte noch weiter einschränken: auf bestimmte Dateien, spezifische Datenformate oder sogar einzelne Spalten. 

Die Darstellung gesperrter Inhalte kann  angepasst werden, z.B. mit Sternen, Zufallswerten oder nur ersten/letzten Zeichen (Maskierung). Damit lassen sich einzelne Spalten für bestimmte Nutzer anonymisieren.

ZWEISTUFIGES KEY-MANAGEMENT

Ein Repository-Schlüssel schützt alles

Ihr Unternehmen besitzt einen Repository-Key, der alle drei Session-Keys schützt. Bei Bedarf werden diese Session-Keys auf die berechtigten Nutzer umgeschlüsselt, ohne dass die Daten selbst angefasst werden müssen.

Hierbei kann sich jeder User, jede Abteilung oder jeder Bereich auch einen Repository-Key einrichten.

SCHLÜSSELABLEITUNG & INTEGRITÄTSSCHUTZ




Jedes Segment ist individuell geschützt

Für jedes Datensegment wird ein spezifischer Schlüssel abgeleitet: aus Session-Key, Zufallszahl, laufender Nummer und einer Checksumme über den Segment-Header. Jedes Segment erhält sowohl einen Verschlüsselungs- als auch einen Integritätsschutz-Schlüssel.

Maximale Sicherheit: Wer den Header manipuliert, zerstört automatisch den Schlüssel. Ein kompromittiertes Segment gefährdet nicht das gesamte Archiv.


DATENERFASSUNG: ENCRYPT ONCE

Intelligente Verschlüsselung direkt bei der Entstehung

FLAM analysiert automatisch die Eigenschaften Ihrer Daten und wendet die optimale Verschlüsselungsstrategie an:

TLS, OpenPGP, S/MIME, AES, PKI/SKI

FLAM nutzt etablierte Verschlüsselungsstandards - genau die, die Ihre Systeme und Partner ohnehin erwarten. Keine Sonderwege, keine Hindernisse.

Kompatibel mit nahezu allen offenen Datenformaten

Egal, ob es um Zahlungsdaten, Formulare oder Logdateien geht, FLAM verarbeitet und konvertiert Ihre Datenformate ohne Umwege oder teure Speziallösungen.

DATENNUTZUNG: USE EVERYWHERE ENCRYPTED

Volle Funktionalität ohne Entschlüsselung

Die verschlüsselten Daten bleiben in allen Nutzungsszenarien geschützt:

selektive Suche, ohne dass Daten zuvor entschlüsselt werden müssen

Dafür wird ein sogenannter "Bloom-Filter" erzeugt, der an das Archiv gesendet wird. Nur bei einem Treffer schickt das Archiv die immer noch komprimierten, verschlüsselten und signierten Segmente zurück. So geht nur das Nötigste über die Leitung.

Entschlüsselung nur dort, wo sie gebraucht wird 

Die Daten bleiben im Archiv immer verschlüsselt. Eine Entschlüsselung erfolgt ausschließlich lokal, nach erfolgter Umschlüsselung und nur durch autorisierte Benutzer.

unterstützt moderne Hardware-Sicherheitsmodule

FLAM unterstützt bewährte Hardware-Sicherheitsmodule wie NetHSM, IBM CCA und PKCS#11-basierte Geräte. Ihre Daten bleiben so auch vor Insider-Attacken (oder erfolgreichen Hackern) geschützt.

Warum FLAM-Verschlüsselung so stark und dabei so flexibel ist

Anstelle starrer Alles-oder-nichts-Verschlüsselung setzt FLAM auf eine feingranulare Schlüsseltrennung. Dadurch wird sichergestellt, dass Zugriffsrechte, Verschlüsselung und Datenstruktur klar getrennt und gezielt gesteuert werden können.

Über sogenannte Key-Kaskaden und mehrstufige Session-Key-Sets kann exakt definiert werden, wer welche Daten sehen oder bearbeiten darf. Dabei müssen die restlichen Informationen weder entschlüsselt noch bewegt werden.

So bleiben Daten:

  • komprimiert und verschlüsselt,
  • kontrolliert zugänglich,
  • und effizient übertragbar 

ANONYMISIERT HEISST ANONYMISIERT 

Nicht jeder Nutzer braucht Zugriff auf alle Daten. Mit FLAM bestimmen Sie präzise, wer welche Spalten sehen darf  und wie gesperrte Inhalte dargestellt werden. 

Die Anonymisierung ist eine echte Einwegfunktion:​

Von den bereitgestellten Daten kann nicht auf die Originale zurückgeschlossen werden.

Die echten Daten bleiben sicher im komprimierten und verschlüsselten Segment. Bei der Ausgabe ersetzt der FLAM-Kernel die geschützten Spalten durch das gewählte Anonymisierungsverfahren – die Originaldaten verlassen niemals das System.

Der Rechteinhaber bestimmt, welches Verfahren für welche Spalte angewandt wird. So können Statistiker mit dem Archiv arbeiten, ohne sensible Daten zu sehen.


Sicher in der Anwendung. Beispiele aus der Praxis 

FLAM erfüllt höchste Sicherheitsanforderungen und wird genau dort eingesetzt, wo es wirklich darauf ankommt: Bei Behörden, Banken, kritischen Infrastrukturen und internationalen Datenprozessen.

Sichere Mandantenkommunikation

Eine Bank anonymisiert sensible Spalten (z. B. die Kreditkartennummer) und übergibt verschlüsselte Datensätze an seine Partner oder andere Anwendungen damit die nicht im Scope von PCIDSS mehr liegen. Sicher, standardkonform und ohne zusätzliche Software.

Zugriffsgenaue Archivierung im Rechenzentrum

Ein IT-Dienstleister speichert Millionen Datensätze in verschlüsselten Backups. Dank FLAM können bestimmte Datensätze gezielt gefunden und extrahiert, geändert, gelöscht oder ergänzt werden - ohne das gesamte Archiv zu entschlüsseln.

Datenteilung ohne Datenleck

Eine Forschungseinrichtung gibt strukturelle Auswertungen (z. B. statistische Verteilungen) weiter, ohne die echten Daten offenzulegen, perfekt für KI-Analysen, Drittverwertung oder Förderprojekte.

  • Erfüllt Standards wie PCIDSS, DSGVO, BSI TR-02102
  • Unterstützt zertifizierte Schlüsselinfrastrukturen (z. B. PKI, HSM, IBM CCA, FINPIN, KMIP)
  • Im Einsatz bei: Zentralbanken, Telekomunikationsunternehmen, Energiekonzernen, Steuerbehörden, Clearingstellen, Automobilindustrie und vielen mehr
  • 100 % abwärtskompatibel und auditierbar. Made & maintained in Germany


Verschlüsseln sie Smarter - nicht härter.

Mit FLAM schützen Sie Ihre Daten effizient, gezielt und ohne Ihre Prozesse auszubremsen.

Kontaktieren Sie uns