Notebook-Sicherung per Verschlüsselung
Verschlossen und verriegelt
Wollen Unternehmen ihre Daten auf Notebooks oder anderen mobilen Endgeräten nachhaltig vor unberechtigtem Zugriff schützen, bedarf es einer leistungsfähigen Authentisierungs- und Verschlüsselungssoftware. Das Einrichten von Passwörtern unter Windows ist bei weitem nicht genug.
Der Dieb freute sich zu früh: Da hatte er einem in feinsten Zwirn gekleideten Reisenden im
Intercity von Frankfurt nach Köln das Firmen-Notebook gestohlen. Das Inventarsiegel auf dem Gerät
bezeichnete ein namhaftes Bankinstitut als Eigentümer. Dann aber erwies sich das Diebesgut als
Reinfall. Statt der erhofften Kreditkartennummern, den Passwörtern für die Firmenserver oder
wenigstens vertrauliche Informationen, die sich zu Geld machen ließen, konnte er keinerlei Daten
auf dem Notebook lesen. Es war komplett verschlüsselt.
So manches Finanzinstitut sichert seine Desktops, Notebooks, Handhelds und Smartphones mit einer
Authentisierungs- und Verschlüsselungssoftware, denn für Hacker sind kennwortgesicherte Daten kein
Hindernis: Wird ein Windows-Rechner über CD gebootet, lassen sich mit einem entsprechenden Tool
innerhalb kürzester Zeit sämtliche Accounts inklusive Zugriffsrechten, User-Namen und Passwörtern
im Klartext auslesen. Danach kann der Angreifer den Windows-PC problemlos hochfahren, und mit den
vorhandenen Zugangscodes stellt auch der mobile Zugriff auf das Firmen-LAN für ihn keine
Schwierigkeit mehr dar.
Zentrale Sicherheitsprofile
Zu den Kernelementen eines nachhaltigen Schutzes zählen von der IT-Administration verantwortete
Vorkehrungen. Den Ausgangspunkt bildet die Spezifikation und die zentrale Erstellung von
Sicherheitsprofilen. Damit wird der Grundstein der gesamten Sicherheitsadministration gelegt. Das
Sicherheitsprofil umfasst die großen Blöcke
Benutzerdatenbank: Festlegung der Benutzer und deren Zugriffsrechte, andere
Sicherheitsrichtlinien eines Unternehmens und
·System-Settings: Festlegung der zu verschlüsselnden Daten,
Verschlüsselungs-Algorithmen wie AES, Triple-AES, CAST oder Blowfish.
Das zentral erzeugte Installationsprofil enthält damit die grundlegenden
Sicherheitsanforderungen eines Unternehmens zur Verwendung von Passwörtern, der
Verschlüsselungsmethode, eine Beschreibung der Installationsprozeduren sowie die Vergabe von
Administrationsrechten.
In der Benutzerdatenbank werden die Voraussetzungen für den Benutzernamen und ein gültiges
Passwort festgelegt. Denn nur dann, wenn Benutzer sich authentisieren können, erhalten sie Zugang
zu den verschlüsselten Daten. Die Passwörter können fest oder dynamisch sein und zudem mit einer
Smartcard erzeugt werden. Es existiert kein zentrales Repository der Passwörter. Auf dem
chiffrierten Endgerät (Desktop, Notebook oder ein Mobile Device) ist lediglich eine kryptografische
Ableitung des Passworts vorhanden. Die sichere Authentisierung ist eine wichtige Schutzfunktion,
die sofort nach dem Einschalten der Geräte und noch vor dem eigentlichen Booten zum Tragen kommen
sollte.
Die zentrale Festlegung der Sicherheitsprofile gewährleistet zugleich, dass die damit
konfigurierten Endgeräte wirksam geschützt sind. Denn nach dem Deployment der Sicherheitsprofile
auf den Endgeräten sind alle darauf enthaltenen Daten verschlüsselt – dies fängt beim
Betriebssystem an und reicht über die Applikationen bis zu den damit erzeugten Daten. Ganz wichtig:
Zum Einsatz kommt im idealen Fall eine vollständige Sektor-für-Sektor-Verschlüsselung der gesamten
Festplatte. Einbezogen sind dabei nicht nur die im Gebrauch befindlichen Speicherbereiche, sondern
auch solche mit temporären oder gelöschten Files sowie der aktuell nicht genutzte Platz.
Rollout der Sicherheitsprofile auf den Endgeräten
Der nächste logische Schritt nach der Spezifikation und Konfiguration der Sicherheitsprofile für
die in einem Unternehmen genutzten Endgeräte und die Festlegung der Benutzerrechte ist das
Deployment. Erst im Rahmen des Rollouts gelangt die Verschlüsselungssoftware auf die Endgeräte.
Pointsec, ein Anbieter von Authentisierungs- und Verschlüsselungssoftware für Desktops, Notebooks,
Smartphones und PDAs, nutzt zur Softwareverteilung in diesem Zusammenhang etwa Werkzeuge wie den
Microsoft Systems Management Server (SMS), die IBM Tivoli Systemmanagementsoftware, die Altiris
Deployment Solution, Intellisync, den XTND Connect Server oder Afaria von Xcellenet.
Die eigentliche Installation der Software benötigt je nach System nur wenige Minuten. Bei der
Erstverschlüsselung eines Desktops oder Notebooks wird die komplette Festplatte, also alle Daten,
alle Ordner, alle Programme und das komplette Betriebssystem, mindestens mit einem 168- oder besser
noch mit einem 256-Bit-Key verschlüsselt. Da der gesamte Vorgang mit einer niedrigen Priorität im
Hintergrund ablaufen kann, stehen die Geräte während dieser Zeit normalerweise für die
Alltagsarbeit zur Verfügung. Wirksam wird die Verschlüsselung dann nach dem nächsten Neustart des
Systems.
Dieses Verfahren wird auch als "Pre-Boot-Authentication" (PBA) bezeichnet. Die Authentisierung
des Benutzers erfolgt vor dem eigentlichen Start des Rechners und damit noch vor dem Laden des
Betriebssystems in den Arbeitsspeicher. Ist die Festplatte – oder allgemeiner: der Datenträger –
einmal verschlüsselt, werden alle neu bearbeiteten Dateien in Echtzeit und ohne nennenswerte
Performance-Einbußen verschlüsselt gespeichert. Für den umgekehrten Fall gilt: Sämtliche Files
werden "on-the-fly" dechiffriert, sobald der Anwender sie öffnet. Sie stehen dann als ganz normal
lesbare Dokumente zur Verfügung. Schließt der Nutzer die Datei, legt die Encryption-Software sie
wieder verschlüsselt ab – vollkommen automatisch, transparent und ohne jedes Zutun des
Anwenders.
Da alle Entschlüsselungsprozesse zum Booten des Betriebssystems vom gültigen User-Account und
dem gültigen Passwort abgeleitet werden, bleibt Unbefugten der Zugang zum gesamten System
versperrt. Damit wird auch der Einsatz von Harddisk-Tools zur Festplattenanalyse wirkungsvoll
unterbunden. Als Passwortschutz gewährleistet das PBA-Verfahren im Zusammenspiel mit einer
leistungsfähigen Disk-Encryption-Software, bei der alle Daten auf der Festplatte des Rechners
inklusive Betriebssystem verschlüsselt sind, höchste Sicherheit.
Gerade weil sie nicht manipulierbar ist, lässt sich die Pre-Boot-Authentication ideal als
Single-Sign-On-Hilfsmittel einsetzen. Die einmalige Eingabe eines Passworts ist in diesem Fall
ausreichend, um sich umfassend zu authentisieren. Das heißt: Anwender verschaffen sich damit den
Zugang zum System und zu allen Daten auf der Festplatte.
Mit dem korrekten Passwort ist der Zugang kein Problem. Was aber passiert, wenn sich ein
Anwender mehrmals Mal vertippt oder – was nach einem längeren Urlaub vorkommen soll – sein Passwort
vergessen hat? In diesem Fall hilft nur eine Challenge-Response-Prozedur zwischen dem Anwender und
dem Administrator. Zunächst einmal muss sich dabei der Nutzer gegenüber dem Helpdesk "ausweisen".
Anschließend generiert der Anwender eine Zeichenkette (Challenge). Der Administrator, der nur die
Benutzer-Accounts, nicht aber die Passwörter verwaltet, antwortet mit dem passenden Gegenstück
(Response). Dieses wird auf Basis der Challenge von der zentral vorhandenen Administrationssoftware
ermittelt. Dieses Verfahren ist der Übermittlung von Passwörtern, auch wenn sie verschlüsselt
wären, weit überlegen, denn jede Response gilt nur für einen Zugriff.
Lesen Sie mehr zum Thema
