Notebook-Daten richtig verschlüsseln

Diverse Umfragen zeigen ein eindeutiges Bild. Firmen-Notebooks werden Mitarbeitern häufig gestohlen oder sie gehen sogar verloren. Gerät ein Notebook in die Hände eines Diebes, hat dieser alle Zeit der Welt, die Harddisk nach vertraulichen Firmendaten zu durchsuchen. Wer heute seine Daten auf mobilen Rechnern nicht genügend schützt, geht ein ziemlich hohes Risiko ein.
Wer jetzt denkt, dass seine Daten durch den Login-Account des Betriebssystems oder ein BIOS/Bootmanager-Passwort geschützt ist, liegt falsch. Es ist relativ einfach, solche Passwörter neu zu setzen. Im Falle eines Windows-Administratoren-Passworts bootet der Dieb einfach von einer Boot-CD, auf der spezielle Tools gespeichert sind, und definiert innert weniger Minuten die Passwörter neu. BIOS- und Bootmanager-Passwörter sind ebenfalls kein Hindernis. Auch diese lassen sich mit wenig Aufwand aushebeln.

Um Firmen-Notebooks effektiv vor Datendiebstahl zu schützen, hilft nur eine starke Verschlüsselung der Daten. Hier gibt es diverse Lösungsansätze. Meistens sind es Software-basierende Produkte, die entweder einzelne Verzeichnisse und Dateien oder gleich die ganze Harddisk oder Partitionen verschlüsseln. Ansätze, bei denen nur einzelne Verzeichnisse und Files verschlüsselt werden, erachte ich als zu riskant. Schnell hat der Benutzer unabsichtlich sensitive Dateien ausserhalb der verschlüsselten Verzeichnisse gespeichert. Ein noch grösseres Risiko sind temporäre Dateien, die diverse Applikationen erzeugen. Hier ein klassisches Beispiel: Ein Benutzer wählt sich per VPN in sein Firmennetzwerk ein und öffnet per Webbrowser ein Dokument aus dem Intranet. Nachdem er es gelesen hat, schliesst er die Applikation, ohne das Dokument zu speichern. Dass der Browser die komplette Datei im Cache-Verzeichnis des Browser zwischengespeichert hat, ist sich der Benutzer nicht bewusst. Ist dieses Verzeichnis nicht verschlüsselt, hat der Dieb leichtes Spiel. Dies gilt auch für allfällige gespeicherte Passwörter in Applika­tionen. Zwar verfügen einzelne Anwendungen über Funktionen, um dieses Verhalten zu verhindern, doch es ist sehr aufwendig und kostspielig, alle Applikationen so in den Griff zu bekommen, dass diese nichts mehr zwischenspeichern.

Die bessere Alternative ist die komplette Harddisk-Verschlüsselung. Hier besteht das Risiko nicht, dass Daten unverschlüsselt auf der Platte liegen. Ein kleiner Nachteil dieses Ansatzes sind Performance-Einbussen bei den Softwarelösungen. Durch die ständigen Ver- und Entschlüsselungs-Operationen kann die CPU spürbar belastet werden. Besser sind hier Hardwarelösungen. Sehr interessant sind dabei Harddisks, welche die hardwarebasierte Verschlüsselung gleich selber anbieten. Hierbei wird die CPU des Notebooks komplett entlastet. Kommt hinzu, dass solche Lösungen völlig transparent sind für das darauf laufende Betriebssystem. Dieses merkt schlichtweg nichts von der Verschlüsselung. So spielt es denn auch absolut keine Rolle, was für ein Betriebssystem benutzt wird. Die Festplatte ver- und entschlüsselt die Daten bei jeder Schreib- und Lese-Operation. Da diese Lösungen noch nicht allzu lange auf dem Markt erhältlich sind, müssen sie sich in der Praxis erst noch beweisen. Doch wer aktuell am Evaluieren einer Lösung ist, dem empfehle ich dringend eine solche Verschlüsselung-Harddisks zu testen.