Verschlüsselung von Notebooks und Festplatten
Ein einziger unachtsamer Moment, schon ist das Notebook verschwunden – und mit ihm die Kundendatenbank oder andere sensible Unternehmensdaten. Das wiegt oft schwerer als der finanzielle Verlust. Mit Verschlüsselung sind aber zumindest die Daten effektiv vor Missbrauch geschützt.
von Nicole Ott
Mehr als 1.500 Notebooks wurden 2007 im Fundbüro des Frankfurter Flughafens abgegeben. Rund 1.000 Mobilrechner sammelte die Deutsche Bundesbahn in ihren Zügen im gleichen Zeitraum ein. Zumindest die Daten auf diesen Computern konnten vermutlich ihren rechtmäßigen Eigentümern zurückgegeben werden. Wie viele sensible Daten jedoch auf Grund gestohlener Rechner den Weg in unerwünschte Hände fanden, lässt sich nur erahnen.
Einer Studie von Ponemon Institute, PGP Corporation und Symantec zufolge sind zumindest mehr als ein Drittel der Datenverluste das Ergebnis verlorener oder gestohlener mobiler Geräte. Eine Zahl, die verdeutlicht, dass hier dringend Handlungsbedarf zur Wahrung von Unternehmensinterna besteht. Denn Notebooks sind für Diebe ein begehrenswertes Gut: Zum einen sind sie leicht zu entwenden, zum anderen in der Regel hochpreisig – und somit gut wieder an den Mann zu bringen. Auch wenn der Dieb erst einmal nicht die gespeicherten Daten im Visier hat, einen Blick auf die Festplatte riskiert bestimmt der eine oder andere. Unter Umständen lässt sich deren Inhalt ja auch noch zu Geld machen. Dafür bedarf es nur wenig: Eine bootfähige Linux-CD macht die Daten ebenso sichtbar wie das Auslesen der Festplatte über einen anderen Rechner. Sicher sind die Daten nur, wenn die Festplatte verschlüsselt ist.
Um Endgeräte zu verschlüsseln gibt es mehrere Ansätze: Das Betriebssystem kann bereits über eine Verschlüsselungsfunktion verfügen, das Notebook oder die Festplatte kann mit einem entsprechenden Chip ausgestattet sein oder es wird eine Softwarelösung eingesetzt. Doch bereits vor der Implementierung von Verschlüsselungstechniken hilft eine grundsätzliche Überlegung, das Sicherheitsrisiko eines unerwünschten Fremdzugriffs zu minimieren.
Datenrichtlinien: Sensibler Umgang mit sensiblen Daten
Wer darf überhaupt welche Daten auf welchen Medien speichern? Für das so genannte Data-Lost-Prevention kommen Tools in Frage, über die der Administrator festlegen kann, wo Daten überhaupt gespeichert werden dürfen, also auf welchen Desktop-PCs, Notebooks und externen Speichermedien wie Festplatten oder USB-Sticks. Dieser Ansatz ist so einfach wie einleuchtend. Wenn der Mitarbeiter sensible Kundendaten erst gar nicht auf seinem Notebook oder dem USB-Stick mit nach Hause nehmen darf, gelangen diese auch bei einem Diebstahl oder anderweitigem Verlust nicht in die falschen Hände.McAfee bietet beispielsweise entsprechende Produkte an: McAfee »Control« ist eine skalierbare, unternehmensweite Sicherheitslösung, bei der eine strenge Zugriffskontrolle die unbefugte Verwendung von externen Speichergeräten an USB-, Firewire-, seriellen, parallelen und allen anderen Schnittstellen verhindert. McAfee »Total Protection for Data« bietet eine bessere Kontrolle und Übersicht über Daten, indem sich unternehmensweite Sicherheitsrichtlinien festlegen lassen, wie Mitarbeiter sensible Daten verwenden können. Die Regeln und Beschränkungen beziehen sich dabei auf die Verwendung der Daten und deren Übertragung per E-Mail, Messenger, Drucker oder USB-Laufwerk. Eine Verschlüsselung der Daten bietet das Programm darüber hinaus auch. So lässt sich ganz gezielt festlegen, dass Mitarbeiter A Dokument X nur am Arbeitsplatz verwenden, Dokument Y aber auch auf dem Laptop speichern darf, während er Dokument Z nur verschlüsselt auf einem USB-Stick mitnehmen kann.
Auch Utimacos Unternehmenslösung »SafeGuard Enterprise« beinhaltet Module, die Zugriffs- und Speicherrichtlinien für Daten sowie Device- und Portkontrolle liefern. »SafeGuard Configuration Protection« ermöglicht Administratoren die Verwaltung von stationären und mobilen Geräten. Mit »LeakProof« lassen sich Dokumente als vertraulich markieren und Richtlinien zu ihrer Verwendung und Speicherung erstellen.
Verschlüsselung mit Bordmitteln und Software-Lösungen
Bei einigen Betriebssystemen ist bereits eine Verschlüsselung eingebaut: Windows Vista Ultimate integriert »BitLocker«, eine Software, die die Festplatte abhängig vom Anmeldepasswort verschlüsselt. Mit der Systemanmeldung, deren Passwort gemäß allgemeinen Unternehmensrichtlinien sicher gewählt sein sollte, steht die Festplatte während der Arbeitssitzung entschlüsselt dem Benutzer zur Verfügung. Wird das Notebook oder der Computer ausgeschaltet, ist die Festplatte verschlüsselt und kann von Fremden nicht ausgelesen werden.
Bitlocker nutzt vorhandene Active-Directory-Domänendienste, um Schlüssel zur Wiederherstellung zu hinterlegen. Außerdem steht eine Wiederherstellungskonsole zur Verfügung, die in die Boot-Komponenten integriert ist. Nachteil von Bitlocker war bis zum ersten Service-Pack von Windows Vista vor allem, dass die Verschlüsselungsoption nur für die Systempartition zur Verfügung stand. Die Kodierung mehrerer Partitionen war nicht möglich. Für einen ersten grundlegenden Schutz ohne großen finanziellen Aufwand schadet es jedoch nicht, Bitlocker zu nutzen. In vielen Unternehmen kommen jedoch noch ältere Windows-Versionen zum Einsatz, in denen Bitlocker nicht integriert ist.
Hierfür lassen sich auf Notebooks und Computern auch Verschlüsselungen von Software-Herstellern einsetzen: Utimaco »SafeGuard Device Encryption«, Symantec »Endpoint Encryption«, McAfee »Endpoint Encryption« und Checkpoint »Pointsec PC« sind nur einige Beispiele. Allen gemein ist die Möglichkeit der Integration in die bestehende IT-Struktur, beispielsweise die Synchronisation mit Microsoft Active-Directory für die Handhabung von Gruppenregeln zu nutzen. Auch die Verschlüsselung von mobilen Geräten wie USB-Sticks und externen Festplatten ist oftmals bereits mitgeliefert oder über ein zusätzliches Modul möglich. Der Nachteil der Software-Lösungen liegt wie so oft in der Belastung der Systemressourcen: Für die Chiffrierung werden Prozessor und Speicher belastet, die Leistung sinkt.
Notebooks und Festplatten mit Verschlüsselung
Die Brisanz des Datenverlusts durch verlorene oder gestohlene Endgeräte haben auch namhafte Computerhersteller erkannt und entsprechend Geräte mit integrierter Verschlüsselung ins Portfolio aufgenommen. Dell beispielsweise bietet für die Business-Notebooks der Serie »Latitude« die Option, diese mit Festplattenverschlüsselung zu bestellen. Dabei setzt der Hersteller das Seagate-Modell »Momentus 5400 FDE.2« ein, das bereits mit einem Verschlüsselungschip ausgestattet ist. Lediglich das Ultramobile-Modell »D430« muss noch ohne Verschlüsselung auskommen, da hier eine Festplatte im 1,8-Zoll-Format zum Einsatz kommt und das Seagate-Laufwerk im 2,5-Zoll-Formfaktor gefertigt ist. Ein großer Vorteil der nativen Festplattenverschlüsselung gegenüber Software-Lösungen liegt in der Geschwindigkeit: Der Krypto-Chip übernimmt die anfallende Rechenarbeit, die Systemressourcen bleiben davon unberührt.Seagate setzt bei seiner verschlüsselten Festplatte auf den offenen Standard der Trusting Computing Group (TCG) und kodiert die Daten mit einem AES-128-Bit-Schlüssel. Die Festplatte wird im Gesamten verschlüsselt, das heißt, alle Daten inklusive Betriebssystem liegen grundsätzlich chiffriert darauf. Beim Start des Rechners ist folglich bereits vor dem Booten des Betriebssystems die Eingabe des entsprechenden Schlüssels notwendig. Über das eigene Management-Tool soll aber in Zukunft auch Single-Sign-On ermöglicht werden. Ein Sicherheitsplus hierbei ist, dass nach fünfmaliger Falscheingabe die Festplatte für weitere Passworteingaben erst aus- und dann wieder einschaltet. »BruteForce«-Attacken, wie sie häufig zum Hacken des Windows-Anmeldepassworts verwendet werden, sind somit wirkungslos – hierfür wären mehrere Tausend Versuche pro Sekunde vonnöten.
Der Einsatz von Seagates Momentus FDE.2 ist auch in herkömmlichen Desktop-Rechnern und als externe Festplatte im entsprechenden Gehäuse möglich. Verschlüsselung per AES 128 Bit bietet auch Hitachi zu seiner Reihe »Travelstart-7K200« als Option. Externe Platten mit Verschlüsselung sind ebenfalls im Trend: Seagate stellt auf der CES mit »Maxtor BlackArmor« ein entsprechendes Modell vor, Secunet mit »SINA mobile Disk« zur Cebit. Weitere mobile Produkte, sowohl Festplatten als auch Notebooks und USB-Speichermedien mit nativer Verschlüsselung folgen sicherlich in Kürze auch von anderen Herstellern. Eine Übersicht über aktuell verfügbare Geräte finden Sie hier ((LINK)). Auf Grund der Performancevorteile gegenüber den Software-Lösungen liegt die Zukunft »sicherer« Mobilgeräte in den Produkten mit eingebautem Krypto-Chip.