Verschlüsselt sicher unterwegs

Datenverschlüsselung auf mobilen Geräten: Warum braucht es sie? Welche Möglichkeiten gibt es und was ist zu beachten?

Artikel erschienen in Swiss IT Magazine 2008/09

     

Es ist noch keine 60 Jahre her, da sagte der damalige IBM-Chef: «Ich glaube, es gibt einen weltweiten Bedarf an vielleicht fünf Computern.» Die Rechenleistung und Speicherkapazität der ersten Computer werden mittlerweile von jedem Smartphone bei weitem übertroffen.



Heute sind Laptop, PDA oder Smartphone ständige Begleiter in der Arbeitswelt: Nicht nur Aussendienstmitarbeiter, Techniker und Entscheidungsträger arbeiten mit mobilen Geräten, mittlerweile besitzt der Grossteil der Angestellten einen Laptop oder PDA. Auf den mobilen Geräten sind die gleichen Anwendungen installiert wie auf den einstigen Desktop-PCs.
Um die Mobilität der Geräte voll zu nutzen, werden die Dateien lokal gespeichert.




Dadurch verlassen diese Daten das Unternehmen, und auf den mobilen Geräten finden sich oft wichtige Unternehmensdaten wie Gehaltslisten, Entwicklungsdaten, Unternehmenszahlen, Verträge und Business-Pläne. Selbst wenn die Sicherheitsrichtlinie des Unternehmens es verbietet, vertrauliche Dokumente auf mobilen Geräten zu speichern, finden sich dennoch wichtige Daten auf der Festplatte: Dokumente, die mit einem lokalen Office-Programm bearbeitet wurden, sind zumindest als temporäre Datei auf einem Laptop zu finden.



Die temporäre Datei wird zwar nach dem Bearbeiten gelöscht. Einfache Programme wie Winundelete können solche Dateien aber wiederherstellen. Dies funktioniert übrigens auch mit Dateien, die einfach nur gedruckt wurden, ohne sie vorher lokal zu speichern. Beim Drucken erzeugt der Spooler meist eine Postscript-Datei auf der Festplatte und sendet diese an den Drucker. Nach erfolgtem Druck wird die Datei gelöscht – und lässt sich mit genanntem Programm wiederherstellen. Auch die Windows Registry und die Auslagerungsdatei enthalten Daten, unter Umständen sogar Passwörter.


Diebstahl und Verlust

Bei mobilen Geräten besteht immer die Gefahr des Verlustes. In Londoner Taxis werden beispielsweise 5000 Handhelds, 3000 Notebooks und 900 USB-Sticks pro Halbjahr einfach vergessen. Auch Kriminelle haben es entweder auf die Hardware oder auf die Daten abgesehen. Die Daten eines gestohlenen Gerätes lassen sich auch ohne Kenntnis von Passwörtern mit Hilfe einer Boot-CD oder durch Einbau der Festplatte in ein anderes System auslesen. Aus einem PDA oder Smartphone kann man die Speicherkarte ausbauen und mit einem Cardreader lesen.



Für die Unternehmen ist der Hardwareverlust nur ein geringer Schaden. Doch was ist mit den Daten, die auf den Geräten gespeichert sind? Sind Dokumente wie Verträge, technische Entwicklungen oder Business-Pläne abhandengekommen oder zur Konkurrenz gelangt, so lässt sich der finanzielle Schaden sehr schwer abschätzen. Werden Kundendaten veröffentlicht, dann sinkt das Ansehen des Unternehmens drastisch. Der daraus entstandene Schaden lässt sich nicht beziffern.
Im Februar 2007 entwendeten Diebe den Bundesrats-Laptop von Doris Leuthard. Glücklicherweise war die Festplatte verschlüsselt.


Zum Schutz der Daten

Daten auf den mobilen Geräten werden am sinnvollsten durch Verschlüsselung geschützt. Schon seit einigen Jahren gibt es Programme, die einzelne Dokumente, Ordner, Partitionen oder die komplette Festplatte verschlüsseln. Den Bereich der Device-Verschlüsselung schauen wir uns nun im Detail an.



- Office und Zip-Verschlüsselung:

Möglichkeiten zur Verschlüsselung bieten schon Standardanwendungen wie Office und Zip-Programme. Allerdings fehlen hier Passwortverwaltung und ein zentrales Management.



- Virtuelle Laufwerke oder Container:

Ein spezielles Programm stellt dabei ein virtuelles Laufwerk bereit. Alles, was der Benutzer darin ablegt, speichert das Programm in einer verschlüsselten Datei (dem Container) auf der Festplatte. Sowohl kostenlose wie auch kostenpflichtige Programme sind für diese Art der Verschlüsselung verfügbar.


Anwender neigen dazu, Dateien unverschlüsselt zu speichern – ausnahmsweise, weil es gerade schnell gehen musste. Gelöschte und temporäre Dateien, die Auslagerungsdatei, die Registry und das Hibernation-File enthalten zudem unverschlüsselte Kopien der Daten, die grundsätzlich vor unberechtigtem Zugriff geschützt werden sollten.



- Festplattenverschlüsselung:

Sicherer und einfacher in der Handhabung ist die Verschlüsselung der kompletten Festplatte: Bevor das Betriebssystem startet, muss der Anwender zum Beispiel sein Windows-Passwort eingeben. Viele Verschlüsselungsprogramme sorgen dafür, dass die Anmeldung an Windows automatisch mit dem bereits eingegebenen Passwort geschieht.


Bei der Festplattenverschlüsselung ist jeder Block des Datenträgers verschlüsselt, auch die Dateien des Betriebssystems. Ein Filtertreiber liest die verschlüsselten Blöcke von der Festplatte, entschlüsselt diese und gibt sie an den Dateisystemtreiber entschlüsselt weiter. Betriebssystem und alle Anwendungen bemerken dadurch gar nicht, dass die Festplatte verschlüsselt ist. Dies bedeutet aber auch, dass die Festplatte nur geschützt ist, wenn der Rechner ausgeschaltet ist oder sich im Suspend-to-Disk / Hibernation Mode befindet (weitere technische Details in der Infobox links unten auf dieser Seite). Aktuelle Produkte verschlüsseln nicht nur die Festplatten, sondern auch USB-Sticks. Die meisten Produkte für Festplattenverschlüsselung sind für Microsoft-Betriebssysteme verfügbar. Nur wenige Hersteller bieten Produkte für Linux und Mac an.


Festplattenverschlüsselung und Authentifizierung

Windows-Betriebssysteme laden beim Starten viele Treiber und bieten eine Vielzahl an Schnittstellen an. Dadurch ist das Betriebssystem im laufenden Betrieb angreifbar. Ein Mini-Betriebssystem, die Pre-Boot Authentication, schützt vor unberechtigtem Starten des eigentlichen Betriebssystems.



Die Reihenfolge des Boot-Vorgangs einer verschlüsselten gegenüber einer unverschlüsselten Festplatte hat sich wie folgt geändert: Nach dem Einschalten übergibt das Bios an ein Mini-Betriebssystem – die Pre-Boot Authentication (PBA). Erst wenn sich der Benutzer hier erfolgreich angemeldet hat, übergibt die PBA den Startvorgang an das eigentliche Betriebssystem. Die meisten Verschlüsselungsprogramme reichen das Passwort an die Windows-Anmeldung durch und ersparen dem Benutzer eine nochmalige Kennworteingabe.



Bei der Eingabe des Passwortes besteht die Gefahr, dass neugierige Blicke das Kennwort von der Tastatur mitlesen. Sicherer als die Anmeldung per Passwort ist deshalb beispielsweise eine Zwei-Faktor-Authentifizierung durch PIN und Hardware-Token oder die Identifikation mittels Fingerprint-Reader.


Für Unternehmen, die eine automatische Softwareverteilung im Einsatz haben, stellt die Pre-Boot Authentication eine Herausforderung dar, da sie meist einen automatischen Reboot benötigt. Nach dem Neustart ist eine Anmeldung an der PBA notwendig – die Softwareinstallation kann nicht fortschreiten. Bei aktuellen Verschlüsselungsprodukten ist der Administrator allerdings in der Lage, festzulegen, wie oft ein System ohne Anmeldung an die PBA booten darf.


Notfallszenarien erstellen

Verschlüsselungshersteller unterscheiden sich speziell in den Notfallszenarien. Kommerzielle Produkte bieten hier mehr Unterstützung, zum Beispiel wenn Benutzer das Passwort oder den Hardware-Token vergessen haben.
Ein Notfallszenario bei vergessenem Passwort ist das Challenge-Response-Verfahren. Dabei gibt der Benutzer einen Code (Challenge) via Telefon an das Helpdesk. Der Helpdesk-Mitarbeiter erzeugt daraufhin einen Response-Code. Mit diesem Code kann der Benutzer das Gerät starten oder ein neues Passwort vergeben.


Ein anderes Verfahren sind die sogenannten Recovery Tokens (nicht zu verwechseln mit Hardware-Token). Im zentralen Managementsystem der Verschlüsselungssoftware wird automatisch ein weiteres Passwort hinterlegt. Ein Helpdesk-Administrator kann dieses dann bei Bedarf an den Benutzer übermitteln.



Sind Sektoren der Festplatte defekt oder Systemdateien beschädigt, so kann das Betriebssystem meist nicht mehr starten, genau wie bei einem unverschlüsselten System. Hierzu bieten die Hersteller Boot-CDs an, die nach Authentifizierung an der PBA ein Betriebssystem von der CD starten, um auf die Daten zuzugreifen.


Smartphones: Stiefkinder der Verschlüsselung?

Bei PDAs und Smartphone-Herstellern herrscht ein noch stärkerer Innovationsdruck als bei Laptop-Herstellern. Da ständig neue Bios-, Software- und Hardwarerevisionen auf den Markt kommen, ist es für die Hersteller der Verschlüsselungssoftware fast unmöglich, alle Modelle abzudecken. Die meisten Verschlüsselungsprodukte sind für Windows Mobile 5.0 und 6.0 erhältlich. Der Funktionsumfang dieser Produkte unterscheidet sich recht stark – nicht alle können die lokal abgelegten E-Mails und das Adressbuch verschlüsseln. Einige stellen lediglich eine Containerverschlüsselung bereit.



Wesentlich weniger Produkte sind für die Datenverschlüsselung auf Symbian und Palm OS verfügbar. Eine Ausnahme stellt das Blackberry OS von RIM dar. Verschlüsselungssoftware für Daten, Adressbuch und E-Mails ist bereits integriert. Daten und Adressbuch lassen sich ohne zusätzliche Kosten verschlüsseln – man muss nur den Inhaltsschutz in den allgemeinen Einstellungen unter Sicherheit aktivieren und ein Passwort vergeben. Der E-Mail-Verkehr lässt sich mit einer kostenpflichtigen Lizenz von PGP verschlüsseln.


Zentrales Management

Viele Hersteller bieten Verschlüsselungslösungen an. Der Trend geht hier klar in Richtung zentrales Management. Der Vorteil liegt in den niedrigen Betriebskosten: Mit einem zentralen Management lassen sich neben der Festplatten- und PDA-Verschlüsselung auch weitere Verschlüsselungslösungen verwalten. Dies ermöglicht, Daten dort zu schützen, wo sie sich gerade befinden.


Folgendes Beispiel soll diesen Ansatz verdeutlichen: Der Unternehmensleiter bearbeitet die Gehaltsliste auf seinem verschlüsselten Laptop. Danach legt er diese auf einem Netzlaufwerk ab. Hier ist es wichtig, dass Administratoren die Dateien zwecks Backup-Erstellung verwalten können, jedoch keine Einsicht in die Inhalte haben. Dieses Problem kann durch Netzlaufwerksverschlüsselung gelöst werden. Anschliessend möchte der Unternehmensleiter die Datei noch seinem Finanzchef sicher via
E-Mail zusenden – eine E-Mail-Verschlüsselung ist erforderlich. Alle hierzu notwendigen Verschlüsselungsanwendungen werden durch das zentrale Management verwaltet.


Tips zur Festplatten-verschlüsselung


- Vor Installation der Verschlüsselungssoftware ein Vollbackup durchführen


- Datenträger auf Fehler überprüfen (z.B. Scandisk)


- Kompatibilität mit Virenscannern und exotischen Festplattentreibern prüfen


- Alle eingesetzten Hardware- und Softwareplattformen mit der Verschlüsselungssoftware testen


- Prüfen, ob das Verschlüsselungsprodukt das richtige Tastaturlayout wie «Deutsch (Schweiz)» in der Pre-Boot Authentication unterstützt


- Die Softwareverteilung mit installierter Festplatten-verschlüsselung testen


- Eine Zwei-Faktor-Authentifizierung nutzen


Die Benutzer schulen, wie zukünftig die Anmeldung am Arbeitsgerät funktioniert


- Prozesse im Helpdesk einführen, damit sich Benutzer telefonisch beim Helpdesk authentifizieren können, um eine Challenge-Response durchzuführen oder einen Recovery-Token zu erhalten.


Fazit: Es braucht ein Konzept

Die Daten eines Unternehmens sind heute aufgrund der gestiegenen Mobilität nicht mehr nur an einer einzigen Stelle gespeichert. Das Konzept, keine vertraulichen Informationen auf einem Laptop zu speichern, lässt sich nur schwer umsetzen.


Für den richtigen Schutz der Daten ist es unabdingbar, zuerst zu analysieren, was die wichtigen und vertraulichen Daten im Unternehmen sind. Danach ist zu ermitteln, an welchen Orten diese Daten zu finden sind. Hersteller, die die verschiedenen Verschlüsselungslösungen über ein zentrales Management verwalten können, sind zu bevorzugen, da sie die Daten dort verschlüsseln können, wo sie sich befinden. Verschlüsselung bedarf eines Konzeptes. Die verfügbaren Lösungen bieten jedem Unternehmen die Möglichkeit, sensible Daten zu schützen.


Funktionsweise der Festplattenverschlüsselung

Ein wenig vereinfacht sei hier die Funktionsweise der Festplattenverschlüsselung dargestellt: Jeder Datenblock einer Festplatte wird mit einem symmetrischen Data Encryption Key (DEK) verschlüsselt. Als Algorithmus kommt meist AES mit 128 oder 256 Bit zum Einsatz. Der Data Encryption Key ist mit dem Passwort oder dem Public Key jedes berechtigten Benutzers verschlüsselt. Um den Data Encryption Key zu entschlüsseln, ist daher entweder ein zugehöriger Private Key oder das Passwort eines Benutzers notwendig. Erst wenn das Entschlüsseln des Data Encryption Key gelingt, übergibt die Pre-Boot Authentication den Startvorgang an das eigentliche Betriebssystem.


Sicherheit von Windows-Passwörtern

Windows XP speichert standardmässig alle jemals lokal eingegebenen Benutzerkennworte als LanManager- und NT-LanManager-Hash in der lokalen SAM-Datenbank ab. Mit einer einfachen Boot-CD wie ophcrack lassen sich aus den gespeicherten Hash-Werten die meisten Passwörter aller jemals lokal angemeldeten Benutzer wiederherstellen – auch das Passwort des Domain-Admin, falls er einmal lokal angemeldet war. Per Gruppenrichtlinie lässt sich unterbinden, dass unsichere LM- und NT-LM-Hashs lokal gespeichert werden. Auch eine vollständige Festplattenverschlüsselung schützt vor diesem Angriff.


Der Autor

Thomas Kretzschmar ist Technical Account Manager bei Infinigate (Schweiz) AG.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER