Sensible Daten angemessen schützen
Mobil, lokal und im Netz
Das neue Bundesdatenschutzgesetz stellt erhöhte Anforderungen an den Schutz personenbezogener Daten. Der Verfassungsschutzbericht 2009 des Bundesinnenministeriums meldet vermehrt Computerspionage-Angriffe auf Wirtschaftsunternehmen und Regierungsstellen. Die meisten Abwehrmaßnahmen basieren auf Bedrohungen von außen. Interne Risiken werden häufig vernachlässigt. Dabei sind die Folgen bei einem Missbrauch vertraulicher Unternehmensdaten immer verheerend, ganz gleich, wo das Datenleck seinen Ursprung hatte.
Verschlüsselung ist daher das Stichwort, wenn es um den Schutz vertraulicher Informationen geht,
sei es für die lokale Ablage, bei der Speicherung von Daten im Netz (LAN oder WAN) oder unterwegs
beim Transport. Welche Daten sensibel sind, kann häufig der Benutzer selbst einschätzen, jedoch hat
er weder die technische Expertise für den gezielten Umgang mit Verschlüsselungstechniken noch die
Zeit, um sich um die Verschlüsselung der Daten zu kümmern. Einzelne Benutzer brauchen
unterschiedliche Freiräume in der Behandlung der Daten. Daher muss eine Verschlüsselungslösung über
zentrale Richtlinien die notwendige Vertraulichkeit steuern und wesentliche Aktivitäten
revisionssicher protokollieren. Entscheidungskriterien müssen dabei die jeweiligen Benutzerrechte,
die verwendeten Datenträger beziehungsweise Speicherorte und die Dateninhalte sein. Die
Verschlüsselung muss für den Anwender einfach sein, weil sie sonst nicht verwendet wird. Zudem
sollte sich der administrative Aufwand in Grenzen halten und im besten Fall keine Administration im
Tagesbetrieb erfordern.
Arbeitsgruppen müssen gemeinsam vertrauliche Dateien nutzen, zum Beispiel können dies die
Personalabteilung, der Betriebsrat oder auch die Entwicklungs- und Konstruktionsabteilung sein.
Meist werden gruppenvertrauliche Daten nur unter dem Schutz von Bordmitteln auf zentralen
File-Servern in eigene Arbeitsgruppen-Verzeichnisse gespeichert. Sind die Dateien einmal an einen
anderen Ort kopiert, geht auch der Bordmittelschutz mittels ACL etc. verloren und die Dateien
können verändert, woanders abspeichert, per E-Mail versendet oder mitgenommen (etwa auf einem
USB-Stick gespeichert) werden. Dieser Gefahr lässt sich nur begegnen, wenn mit einer
Inhaltskontrolle die weitere Verarbeitung dieser Dateien geregelt ist. Eine Regel lautet zum
Beispiel: Datei darf nur verschlüsselt auf USB-Stick geschrieben werden. Den Lebenslauf der
sensiblen Daten kann man auf Knopfdruck abrufen, wenn man geeignete Protokollierungswerkzeuge zur
Verfügung hat, die nicht nur die Daten unter dem Minimalitätsprinzip sammeln, sondern auch
geschickt auswerten.
Die inhaltsbasierende Ver- und Entschlüsselung der Dateien anhand des Containers, in dem sie
liegen, ist die einzig wirksame Methode, Datenverluste an den Client-Schnittstellen durch
unberechtigten Zugriff zu vermeiden. Damit der Benutzer zwar durchaus über die Sensibilität der
Dateien ein Sicherheitsbewusstsein gewinnt, dennoch nicht durch komplizierte Verfahren von der
Verschlüsselung abgehalten wird, sollte pro Benutzer-Session und Container nur einmal ein Schlüssel
einzugeben sein. Danach muss die Verschlüsselung so automatisiert wie möglich und für den Anwender
so sichtbar wie nötig in Windows integriert sein, wobei auch alle Standard-Windows-Mechanismen für
das Datei-Management, wie Drag-and-Drop, Cut-and-Paste und andere Kontext-Menüoperationen genauso
unterstützt sein müssen, wie das "Speichern unter" aus Anwendungen heraus.
Im WAN unter schmalbandigen Bedingungen gilt es, besondere Anforderungen zu berücksichtigen: Die
Verschlüsselung findet lokal auf dem Client statt, um Angriffe auf dem Netz zu verhindern.
Verschlüsselte Dateien erlauben keine sinnvolle Komprimierung und die WAN-Optimierer, die
sektorenbasierend optimieren, greifen nicht. Das heißt: Der Traffic im Netz ist signifikant höher
als ohne Verschlüsselung. Es ist folglich wichtig, darauf zu achten, dass die Techniker für den
WAN-Betrieb eine bandbreitenbasierendeVerzögerung beim Durchschreiben einrichten können.
Verschlüsselung der Festplatte
Die meisten Festplattenverschlüsselungssysteme bieten heute eine Pre-Boot-Authentication. Dieses
Verfahren stellt sicher, dass sich ein Anwender noch vor dem Starten des Betriebssystems –
gegebenenfalls sogar mit einem starken Zweifaktorverfahren – authentisieren muss. So ist
sichergestellt, dass nur Zugriffe eines autorisierten Benutzers auf die Festplatte geschehen
können. Dieses Verfahren bietet einen wirksamen Schutz der Daten bei Diebstahl oder Verlust des
gesamten Geräts oder dessen Festplatte, solange das System ruht und sich der Benutzer noch nicht
angemeldet hat.
Sobald der Anwender angemeldet ist, erfolgt die Ver- und Entschlüsselung der Daten vollkommen
transparent im Hintergrund. Nach dem Microsoft Security Intelligence Report [1] geht jedoch mehr
als die Hälfte aller Gefährdungen von PCs und Notebooks von laufenden Anwendungen, die durch
Schadcode infiltriert sind, von Malware im laufenden Betrieb aus dem Internet und von infizierten
Dokumenten aus. Zudem weist dieser Report aus, dass Schadsoftware immer komplexer und
leistungsfähiger wird. In ähnlichem Maße wie der Leistungsumfang von legaler Software wächst,
ziehen auch Online-Kriminelle nach, die rein kommerzielle Ziele bei ihren Angriffen verfolgen.
Gerade die vollkommene Transparenz der Ver- und Entschlüsselung wird zur Gefahr für die
sensiblen Daten auf der Festplatte, da der Anwender gar nicht merkt, wenn Schadcode im Hintergrund
mit seinen Rechten auf sensible Daten zugreift und diese unbemerkt ins Internet lädt oder
anderweitig nutzt.
Ein guter Ansatz ist es, zum einen durch eine Applikationskontrolle sicherzustellen, dass die
Anwendung integer ist und nicht durch Schadcode infiltriert. Zum anderen sollte jeder Applikation
ein eigener Rechteraum zugewiesen werden können, sodass zum Beispiel der Browser (die Applikation
explorer.exe) gar nicht erst auf verschlüsselte Dateien in einem automatisch entschlüsselnden Modus
lesend zugreifen kann. So wird Sicherheit geschaffen, ohne dabei Wake on LAN und weitere
System-Management-Funktionen wie Patch- und Softwareverteilung zu behindern.
Verschlüsselung beim Transport
Zum Transport sensibler Daten, wie zum Beispiel geplante Firmenübernahmen oder auch
Kundenangebote, kommen häufig hardwareverschlüsselte USB-Sticks zum Einsatz. Nach dem Anstecken und
der erfolgreichen Authentisierung gegenüber dem Stick durch Eingabe der PIN oder anderer
Mechanismen erfolgt die transparente Entschlüsselung des kompletten Speichermediums – für jeden,
der fragt. Normalerweise hat ein Anwender nur einen solchen Stick, weshalb Dateien mit
unterschiedlichen Vertraulichkeitsstufen und unterschiedlichen Verwendungszwecken auf einem Stick
gespeichert werden. Ein USB-Dumper [2] – oder jede andere Anwendung, die auf dem PC oder Notebook
läuft, kann den gesamten Inhalt des Sticks im Klartext auslesen, ohne dass der Anwender dies
merkt.
Anwender transportieren Daten nicht nur auf USB-Sticks, sondern auch auf anderen Speichermedien
wie CD/DVD (Steuersünder-CDs aus der Schweiz und aus Liechtenstein), der Speicherkarte des
Smartphones oder der Kamera sowie per E-Mail. Auch dabei muss sichergestellt sein, dass die
vertraulichen Daten nicht in falsche Hände geraten. Daher ist es wichtig, dass die Verschlüsselung
unabhängig vom jeweiligen Speichermedium nach dem Grad der Sensitivität der Daten erfolgt.
Eine geeignete Methode ist daher die ziel- und inhaltsbasierende Verschlüsselung, sodass
firmenvertrauliche Informationen auch intern bleiben, indem sie mit einem Firmenschlüssel, der
weder dem Anwender noch dem Administrator bekannt ist, automatisch ohne Benutzeraktion
verschlüsselt sind. Hingegen ist bei der Auslagerung von Bilddaten und lokalen Anwendungen auf
digitale Fotoapparate, Bilddrucker oder andere Geräte eine unverschlüsselte Auslagerung zwingend
erforderlich, da sonst das Gerät nicht mehr booten oder nicht arbeiten kann. Die Verschlüsselung
ist also durch eine zentrale Vorgabe abhängig von Zielgerät und Inhalt zu steuern. Es darf aber
nicht passieren, dass die Verschlüsselung genutzt wird, um verbotene Inhalte in die Hausnetze zu
bringen – die Inhaltskontrolle muss also vollautomatisch und zwangsweise nach der Entschlüsselung
durchgeführt werden – unabhängig davon, wo die Entschlüsselung passiert, bei applikatorischer
Entschlüsselung also beim Schreiben des Klartextes.
Daten, die zur Weitergabe genehmigt sind, lassen sich protokollieren und durch einen
persönlichen Schlüssel vor Missbrauch schützen. Mit der Möglichkeit, unterschiedliche Schlüssel für
ein Speichermedium zu nutzen, besteht ein wirksamer Schutz vor USB-Dumpern auf unsicheren Rechnern.
Dabei sind unterschiedliche Schutzstufen auf einem Datenträger gemeinsam realisierbar.
Da die meisten Anwender keine Administrationsrechte haben, darf keine Installation einer
Software für die Entschlüsselung nötig sein. Das Entschlüsselungswerkzeug muss schon beim
Verschlüsselungsvorgang automatisch auf jeden Datenträger aufgebracht werden, damit die Daten nach
Eingabe des richtigen Schlüssels sofort zur Verfügung stehen und ohne Zeitaufwand oder besondere
Rechte entschlüsselt und verfügbar sind.
Literatur [1] Microsoft, Microsoft Security Intelligence Report Volume 8, S.?81 [2] BSI,
IT-Grundschutzkatalog, G5.142
Lesen Sie mehr zum Thema
