Mittwoch 7. Januar 2009
suche

IT-Solutions

29.10.08

Festplatten- und Dateiverschlüsselung: Eine sinnvolle Kombination

Die regelmässigen Meldungen über den Verlust oder den Diebstahl von sensitiven Informationen scheinen nicht so schnell zu verschwinden. Behörden und Unternehmen sind hier im gleichen Masse betroffen. Eine der Ursachen ist sicherlich die weite Verbreitung von mobilen Rechnern und Datenpeichern jeder Grösse. Ob USBFlash-Drives, MP3-Player, externe Festplatten oder die allgegenwärtigen Mobiltelefone: Informationen sind so schnell verloren, wie sie abgespeichert werden.

Daniel Messerli, Leiter Bereich Information Security & Risk Management

Die regelmässigen Meldungen über den Verlust oder den Diebstahl von sensitiven Informationen scheinen nicht so schnell zu verschwinden. Behörden und Unternehmen sind hier im gleichen Masse betroffen. Eine der Ursachen ist sicherlich die weite Verbreitung von mobilen Rechnern und Datenpeichern jeder Grösse. Ob USB-Flash-Drives, MP3-Player, externe Festplatten oder die allgegenwärtigen Mobiltelefone: Informationen sind so schnell verloren, wie sie abgespeichert werden.

Informationen sind heutzutage einer der wichtigsten Erfolgsfaktoren einer Behörde oder einer Unternehmung. Der Datendiebstahl wird interessanter und einfacher zugleich. Firmen und Behörden sollten einerseits ausreichende Vorkehrungen treffen und andererseits die Nutzung der Informationen für die Berechtigten nicht unnötig erschweren.

Die Verschlüsselung von kompletten Festplatten, von externen Datenträgern sowie von Verzeichnissen und Dateien bietet einen wirksamen Schutz gegen die üblichen Gefahren. Werden die zwei Verfahren kombiniert, können sowohl gespeicherte sowie übertragene Informationen umfassend und zuverlässig geschützt werden.

Die ideale Verschlüsselung von gespeicherten Informationen ermöglicht den autorisierten Benutzern den uneingeschränkten Informationszugriff - ohne Umwege und ohne Performanceverlust. Alle Ver- und Entschlüsselungsprozesse laufen transparent im Hintergrund. Zudem soll ein gut gestaltetes Sicherheitsmanagement die Administration einfach und übersichtlich halten, so dass bei der Einführung und dem Betrieb der Lösung die Verfügbarkeit gewährleistet bleibt. Zudem sollen die aktuellen Compliance-Anforderungen erfüllt werden.

Lösungsansätze für die Sicherung von gespeicherten Informationen

Es bestehen zwei unterschiedliche und ergänzende Verfahren für den Schutz von gespeicherten Informationen: Die Festplattenverschlüsselung (Power-off Encryption) und die Dateiverschlüsselung (Power-on Encryption). Mit der Kombination der beiden Verfahren wird der beste Schutz erreicht.

Verschlüsselung von Festplatten und Datenträgern

Bei der Festplattenverschlüsselung werden alle Daten in einer Festplatten-Partition verschlüsselt. Die einzigen Ausnahmen sind der Master-Boot-Record und ein Mini-Betriebssystem, die zum Starten des Rechners benötigt werden. Somit sind alle Dateien, inklusive der System- und Auslagerungsdateien, verschlüsselt. Dies betrifft auch die vermeintlich gelöschten Informationen, die sich allenfalls noch im Papierkorb oder in einer Zwischenablage befinden. Der erste Schritt bei der Einführung ist eine vollständige Verschlüsselung der gesamten Partition oder Festplatte. Anschliessend erfolgt die Ver- und Entschlüsselung im Hintergrund, ohne dass Betriebssystem, Programme und der Benutzer etwas davon bemerken. Ohne vorgängig erfolgte Authentifizierung können Dateien nicht entschlüsselt werden und die Maschine kann nicht starten.

Dateiverschlüsselung

Die Dateiverschlüsselung schützt Dateien und Verzeichnisse. So werden lokal gespeicherte Informationen verschlüsselt sowie solche, die auf Servern abgelegt sind. Im Normalfall werden alle Daten in einem internen Netzwerk in Klartext übermittelt. Mit der Dateiverschlüsselung sind diese Informationen bereits im internen Umfeld geschützt. Nur Benutzer mit Berechtigung können die Dateien entschlüsseln und somit lesen. Kritische Informationen sind so zuverlässig auch vor neugierigen IT-Administratoren geschützt. Diese haben zwar Zugriff auf Rechner und Server, trotzdem können sie zum Beispiel die Informationen der Personalabteilung nicht lesen. Dieser Schutz gilt in gleichem Masse für Datensicherungen. Administratoren können auch Daten wiederherstellen, ohne diese lesen zu können.

Typische Bedrohungsszenarien für gespeicherte kritische Informationen

  • Diebstahl oder Verlust von Rechnern und Datenträgern
    Geräte, die gerne verloren gehen oder gestohlen werden, sind Notebooks, tragbare Datenträger, wie zum Beispiel USBFlash-Drives, externe Festplatten, CDs, DVDs sowie mobile Geräte wie Handys und PDAs. 3’300 mobile Rechner verschwinden allein jede Woche auf den acht grössten Airports Europas. Werden die Informationen auf solchen Geräten verschlüsselt gespeichert, sind die Verluste für die Behörden und Unternehmen überschau- und handhabbar.
  • Interne Attacken
    Missbräuche durch Administratoren können mit einer Dateiverschlüsselung elegant verhindert werden. Nur wer die entsprechenden Berechtigungen besitzt, kann die Daten entschlüsseln.
  • Rechnerstart mit externem Betriebssystem
    Unverschlüsselte Informationen können auch dann gelesen werden, wenn ein Rechner mit einem externen Betriebssystem gestartet wird. Die aktuelle Technologie macht's einfach: Ein Linux Betriebssystem passt bestens auf einen USB-Stick. Wird ein Rechner mit dem Linux gebootet, sind alle Sicherheitsmechanismen des Betriebssystems ausgehebelt.
  • Erpressung
    Wird ein Mitarbeiter erpresst und aufgefordert, Informationen zugänglich zu machen, zahlt sich die doppelte Vorkehrun ebenfalls aus. Hier kann wie folgt vorgegangen werden: Die wirklich sensitiven Informationen werden mit der Dateiverschlüsselung verschlüsselt und in einem Verzeichnis versteckt. Im Erpressungsfall kann der Mitarbeiter kooperieren, indem er die Zugangsinformation zur Festplattenverschlüsselung freigibt. Die kritischen Informationen bleiben mit der Dateiverschlüsselung geschützt.
  • Unsachgemässe Lagerung oder Entsorgung
    Gemietete, geleaste oder ausrangierte Geräte können zum Sicherheitsrisiko werden. Untersuchungen haben gezeigt, dass in vielen Fällen die Datenträger von retournierten oder zu entsorgenden Geräten nicht ausreichend gelöscht sind. Werden nur verschlüsselte Informationen gespeichert, ist ein Missbrauch auch hier ausgeschlossen.

Schutz für Informationen und Geräte

Einer der ersten Schritte bei der Einführung einer Festplatten- und Dateiverschlüsselung ist, die schützenswerten Informationen und die betroffenen Geräte zu identifizieren. Alle mobilen Geräte sind gleichermassen zu schützen. Zudem sind USB- und andere PC-Schnittstellen zu berücksichtigen. Kritische Informationen umfassen nicht nur normale Informationen, sondern auch gelöschte Daten, Sicherungskopien sowie zwischengespeicherte Daten auf Ebene Applikation und Betriebssystem.

Vertrauliche Informationen

Vertrauliche Informationen werden häufig nur innerhalb einer Abteilung genutzt. Die Personalabteilung mit den persönlichen Informationen der Mitarbeiter ist hier das klassische Beispiel. Solche Informationen müssen auf Abteilungsebene verschlüsselt werden, so dass ein klarer Schutz möglich ist.

Erfolgskriterien

Damit eine Verschlüsselungslösung in einer Behörde oder einem Unternehmung erfolgreich eingesetzt und genutzt wird, muss sie vor allem von den Benutzern akzeptiert werden. Zudem muss sie die Sicherheitsanforderungen erfüllen. Die wichtigsten drei Punkte sind:

  • Hohe Sicherheit
    Ohne ausreichende Sicherheit ist die Lösung wertlos. Unter anderem sollten die Benutzer mit Hardware-Token (Chipkarte oder USB-Stick) authentifiziert werden.
  • Einfache Benutzbarkeit
    Ohne Akzeptanz der Benutzer werden wohl bald Schlupflöcher entstehen. Falls die Administration zu aufwendig ist, wird die Kosten/Nutzen-Frage aktuell.
  • Effiziente Administration
    Für die Administration erzeugen die Verschlüsselungslösungen einige neue Aufgaben, die optimal unterstützt werden müssen. In Notfall-Situationen sollten verschlüsselte Informationen wieder hergestellt werden können. Zudem sollten umfassende Auswertungs- und Analysetools zur Verfügung stehen.

Eine umfassende Festplatten- und Dateiverschlüsselung schützt nicht nur gegen Versehen und Angriffe von aussen, sondern auch gegen Attacken von innen.

Daniel Messerli war während sieben Jahren als Informatiksicherheitsbeauftragter im Eidgenössischen Justiz- und Polizeidepartement (EJPD) tätig. Er war unter anderem verantwortlich für den Aufbau der Zentralen Authentisierungsstelle des EJPD und die Inbetriebnahme des SSO Portals mit der Integration der Public Key Infrastruktur des Bundesamts für Informatik (BIT) für die starke Authentifizierung auf sämtlichen Justiz- und Polizeisystemen. Daniel Messerli ist regelmässig auch als Dozent für Informatiksicherheit am Institut für Wirtschaftsinformatik der Hochschule für Wirtschaft in Luzern anzutreffen, an der er auch sein Studium als Executive Master of IT Security abgeschlossen hat.


Ergonomics AG
Marktgasse 5
CH-3011 Bern
dmesserli@dont-want-spamergonomics.ch
www.ergonomics.ch

«« Zurück
 

© 2008 by Fachpresse.com GmbH | info@dont-want-spamfachpresse.com | Impressum | Disclaimer