Test: Utimaco Safeguard LAN Crypt 3.5
Verschlüsselung für das gesamte Unternehmen
Mit Safeguard LAN Crypt bietet Utimaco eine flexible Verschlüsselungslösung an, die sich unternehmensweit einsetzen lässt. Die enge Integration mit dem Active Directory von Windows ermöglicht die Nutzung von Gruppenrichtlinien und vereinfacht die Verwaltung.
Der Zugriff auf sensible elektronisch gespeicherte Daten wie Personal- oder Finanzinformationen
wird in Unternehmen oft nur unzureichend kontrolliert. Zwar stellt die Vergabe von Benutzerrechten
auf Verzeichnisse sicher, dass nur berechtigte Personen die jeweiligen Daten lesen können. Meist
verfügt aber zumindest ein Teil der Administratoren über unbegrenzte Zugriffsrechte auf alle
Dateien, um Probleme zu beheben, Datenmigrationen durchzuführen oder verlorene Dateien
zurückzusichern.
Damit auch diese Super-User keinen Einblick in sensible Dokumente erhalten, müssen die Dateien
verschlüsselt werden. Der Security-Spezialist Utimaco bietet mit Safeguard LAN Crypt eine
Verschlüsselungslösung an, die eine flexible Konfiguration von Verschlüsselungsregeln für
unterschiedliche Benutzergruppen erlaubt. Infolge der Integration mit dem Active Directory von
Microsoft lassen sich zahlreiche Windows-Sicherheitsmechanismen gemeinsam mit Safeguard LAN Crypt
einsetzen. So werden unter anderem die Windows-Gruppenrichtlinien dazu genutzt, die allgemeinen
Verschlüsselungseinstellungen für alle Benutzer zentral zu steuern. Die Software unterstützt per
LDAP (Lightweight Directory Access Protocol) auch das Novell E-Directory.
Safeguard LAN Crypt setzt sich aus einer Administrations- und einer Client-Komponente zusammen,
die auf allen zu schützenden Rechnern installiert wird. Derzeit kann die Software
Client-Betriebssysteme mit Windows XP und Windows 2000 verschlüsseln sowie Fileserver mit Windows,
Novell Netware und Samba unter Linux/Unix.
Datenbank als zentraler Informationsspeicher
Alle für die Verschlüsselung erforderlichen Informationen speichert Safeguard LAN Crypt in einer
zentralen Datenbank. Für sehr kleine Installationen reicht die MSDE 2000 von Microsoft. In größeren
Unternehmen ist ein MS-SQL-Server 2005 oder eine Oracle-Datenbank erforderlich. Für den
LANline-Test kam ein SQL-Server 2005 zum Einsatz. Die Administrator- und die Client-Komponente von
Safeguard LAN Crypt wurden auf zwei Windows-XP-Rechnern installiert. Ein Windows-2003- Server
diente als Domänen-Controller. Getestet wurde die Version 3.50.1.7 des Softwareprodukts.
Safeguard LAN Crypt verschlüsselt Dateien unter anderem mit 3DES (168 Bit), IDEA (128 Bit) und
AES (128 und 256 Bit). Als Hash-Algorithmen kommen MD5 und SHA-256 zum Einsatz. Die Software
unterstützt auch Cryptographic Service Provider (CSP), womit sich RSA-fähige Komponenten wie
Chipkarten oder USB-Token für die Benutzerauthentisierung einsetzen lassen. Die Ver- und
Entschlüsselung erfolgt über einen Filtertreiber, der auf den Client-Systemen automatisch alle
Dateien in den vom Sicherheitsadministrator dafür konfigurierten Verzeichnissen schützt.
Trennung von Sicherheits- und Systemadministration
Bei der Installation von Safeguard LAN Crypt wird ein "Master Security Officer" angelegt, der
alle Rechte erhält. Für die Delegierung einzelner Aufgabenbereiche, zum Beispiel das Einrichten von
Verschlüsselungsregeln für die Benutzer in einer bestimmten Filiale, lassen sich zusätzlich so
genannte "Security Officers" einrichten.
Utimaco hat die Verantwortlichkeiten von System- und Sicherheitsadministratoren strikt getrennt.
Der Systemverwalter kann wie gewohnt alle Dateien verwalten, hat aber keine Möglichkeit, sie zu
entschlüsseln. Denn die Schlüssel werden vom Sicherheitsadministrator verwaltet. Dieser wiederum
hat keine Zugriffsrechte auf die Dateien, sodass auch ihm ein Einblick in die Daten nicht möglich
ist.
Welche Verschlüsselungsregeln für einen Benutzer gelten, ergibt sich aus seinen
Gruppenzugehörigkeiten. Der Safeguard-Client sorgt bei der Anmeldung am Netzwerk dafür, dass jeder
Benutzer automatisch die für ihn gültigen Sicherheitseinstellungen erhält. Der Client verschlüsselt
dann transparent im Hintergrund alle Dateien, die in den geschützten Verzeichnissen gespeichert
werden. Um hierfür die Benutzer und Gruppen des zentralen Verzeichnisdienstes zu nutzen, kann der
Systemverwalter sie mithilfe des Administrations-Tools in die LAN-Crypt-Datenbank importieren.
Alternativ ist auch ein selektiver Import von Gruppen und Benutzern auf Basis von Textdateien
möglich.
Übersichtliche Verwaltungswerkzeuge
Die Verschlüsselungsregeln erstellt der Administrator mithilfe des grafischen Tools Safeguard
LAN Crypt Administration sowie mit dem MMC-Snap-in Safeguard LAN Crypt Client-Computer GPO. Über
das GPO-Tool legt er die für alle Benutzer gültigen grundlegenden Einstellungen fest. Dazu zählt
unter anderem, welche Einträge sie im Kontextmenü sehen, an welchem Speicherort die
Schlüsseldateien und die Richtliniendateien zu finden sind und ob die persistente Verschlüsselung
aktiv ist. Der Administrator kann auch angeben, welche Laufwerke, Geräte oder Anwendungen von der
Verschlüsselung grundsätzlich ausgenommen bleiben sollen.
Die individuellen Verschlüsselungsregeln für einzelne Gruppen oder Benutzer werden über das Tool
Safeguard LAN Crypt Administration eingerichtet. Der Systemverwalter definiert, welche
Verzeichnisse mit Gruppen- beziehungsweise mit Benutzerschlüsseln verschlüsselt werden sollen. Die
neue Version von Safeguard LAN Crypt unterstützt nun auch Standardpfade wie zum Beispiel "Eigene
Dateien".
Des Weiteren ist es möglich, alle Dateien mit einer bestimmten Endung automatisch zu
verschlüsseln. Über so genannte Ignore- und Exclude-Regeln gibt der Administrator zudem vor, welche
Pfade oder Dateien von der Verschlüsselung ausgenommen beziehungsweise ignoriert werden. Dabei
lassen sich mehrere Regeln miteinander zu einem individuellen Verschlüsselungsprofil kombinieren,
wodurch eine sehr hohe Flexibilität erreicht wird.
Kompatibel zu Public-Key-Infrastrukturen
Die Richtliniendateien werden mithilfe von Zertifikaten für jeden einzelnen Benutzer
verschlüsselt. Dafür kann eine vorhandene Public-Key-Infrastruktur (PKI) genutzt werden. Alternativ
lassen sich die X.509-Benutzerzertifikate auch mit Safeguard LAN Crypt signieren.
Die Benutzer laden die für ihr Profil erzeugte Richtliniendatei bei der Anmeldung automatisch
entweder aus dem Netlogon-Verzeichnis eines Domänen-Controllers, von einem zentralen LAN Crypt
Fileserver oder von einem HTTP-Server, auf den die Richtliniendateien zuvor übertragen wurden. Auf
diesem Weg lassen sich die Profile auch an entfernten Standorten sehr einfach bereitstellen. Die
Zertifikate können ebenfalls bei der Anmeldung automatisch eingelesen werden.
Damit mobile Anwender auch ohne Netzwerkverbindung auf ihre verschlüsselten Dateien zugreifen
können, wird automatisch eine lokale Kopie der Richtliniendatei erzeugt. Sobald wieder eine
Verbindung zum Unternehmensnetz besteht, aktualisiert der LAN Crypt Client diese Datei.
Einfach zu handhabende Verschlüsselung
Ein Unternehmen kann seinen Mitarbeitern auch erlauben, dass sie Dateien selbst ver- und
entschlüsseln dürfen. In diesem Fall erscheint im Kontextmenü der Dateien ein zusätzlicher
Befehlseintrag zum Ver- beziehungsweise Entschlüsseln von Dateien. Nach der Erstinstallation von
Safeguard LAN Crypt muss zunächst eine Initialverschlüsselung der zu schützenden Dateien
durchgeführt werden. Diese kann entweder der jeweilige Benutzer über das Kontextmenü der
Verzeichnisse selbst starten, oder der Administrator verwendet hierfür ein spezielles grafisches
Tool. Das Sglcinit-Programm lässt sich auch über die Kommandozeile ausführen, womit die
Initialverschlüsselung per Skript automatisiert werden kann.
Auch verschobene Daten bleiben verschlüsselt
Die neue Funktion der so genannten "persistenten Verschlüsselung" verbessert den Schutz
sensibler Daten, indem sie sicherstellt, dass verschlüsselte Dateien auch nach dem Verschieben oder
Kopieren in ein nicht geschütztes Verzeichnis verschlüsselt bleiben. Bisher konnte es vorkommen,
dass Dateien versehentlich entschlüsselt wurden, wenn der Benutzer sie an einen nicht
verschlüsselten Ort verschoben hat.
Im LANline-Test war die persistente Verschlüsselung zunächst abgeschaltet. Als eine Datei aus
einem verschlüsselten Verzeichnis in einen nicht geschützten Ordner verschoben wurde, konnte der
Administrator der Windows-Domäne deren Inhalt lesen. Anschließend wurde die persistente
Verschlüsselung aktiviert und wie zuvor nochmals eine verschlüsselte Datei in ein nicht geschütztes
Verzeichnis verschoben. Diesmal bekam der Domänenadministrator nur kryptische Daten zu sehen, weil
die Datei nach wie vor verschlüsselt war und nur von den Benutzern gelesen werden konnte, die über
den richtigen Key verfügten.
Um die Benutzerfreundlichkeit zu erhöhen, hat Utimaco die Statusanzeige des Clients erweitert.
Sie zeigt nun zusätzlich an, welche Verschlüsselungsregeln auf einem Rechner aktiv sind, auf welche
einzelnen Verzeichnisse sie angewendet werden und welche Schlüssel für diesen Zweck zum Einsatz
kommen.
Die verschlüsselten Dateien lassen sich außerdem problemlos auch auf Netzlaufwerken,
USB-Speichermedien, mit UDF-Dateisystem formatierten CD/DVD-Medien oder auf Speicherkarten ablegen.
Safe- guard LAN Crypt unterstützt ab der Version 3.5 Unicode, was insbesondere für international
agierende Unternehmen von Vorteil ist.
Um Dateien auch dann entschlüsseln zu können, wenn der dazu verwendete Schlüssel verloren
gegangen ist, sollte der Sicherheitsadministrator einen Recovery-Key erzeugen. Dieser Key lässt
sich auf vier Teildateien verteilen, wodurch ein Mehraugenprinzip möglich ist, bei dem für eine
Datenwiederherstellung mindestens zwei Personen erforderlich sind.
Unternehmen, die bereits eine ältere Version von Safeguard LAN Crypt einsetzen, sollten ihre
geschützten Dateien auf die neue Version umschlüsseln. Zwar kann der neue 3.5-Client das alte
Dateiformat lesen – um alle Optionen des neuen Datei-Headers nutzen zu können, ist aber das neue
Format erforderlich. Während der Umstellungsphase lässt sich der 3.5-Client in einem
Kompatibilitätsmodus betreiben, wobei er nach wie vor die alten Dateiverschlüsselungs-Header
schreibt.
Fazit: flexibel einsetzbar
Die Verschlüsselungslösung Safeguard LAN Crypt von Utimaco überzeugt durch ihre flexiblen
Einsatzmöglichkeiten und die für den Benutzer weitgehend transparente Funktionsweise. In
Windows-Umgebungen kann der Systemverwalter zahlreiche Einstellungen über die Gruppenrichtlinien
zentral vorgeben.
Der Preis von 685 Euro inklusive fünf Lizenzen für die Verschlüsselungssoftware erscheint
angesichts des damit möglichen gezielten Schutzes sensibler Daten durchaus gerechtfertigt. Für
größere Unternehmen mit sehr vielen Benutzern dürfte der Preis pro Client deutlich niedriger
liegen, wobei der Gesamtpreis in der Regel Verhandlungssache ist.
Info: Utimaco Tel.: 06171/881444 Web: www.utimaco.de
Lesen Sie mehr zum Thema
