Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

17.10.2003 - 

IT-Trends/Damit Sie Ihren Kleinrechner ruhig verlieren können

Software verschlüsselt Notebook-Daten

So gut wie jeder Manager und Außendienstmitarbeiter verfügt heute über ein Notebook, auf dem sich kritische Geschäftsdaten befinden. Häufig sind sie ungeschützt und stellen bei Verlust ein erhebliches Sicherheitsrisiko dar. Encryption-Software kann das Risiko mindern.Von Detlef Sandern*

Markus M. aus Köln hat sich auf seinem Weg zu einem wichtigen Geschäftstermin verspätet. Die Passagiere für den Flug nach Berlin, den er nehmen will, gehen bereits an Bord der Boeing 727. Um sein Flugzeug vielleicht doch noch zu erreichen, springt er, nachdem er das Taxi bezahlt hat, schnell aus dem Auto und läuft los. Sein Notebook hat er auf dem Rücksitz vergessen.

Da Markus M. seine Daten nicht verschlüsselt und auch keinen Passwortschutz eingerichtet hat, sind sämtliche Informationen frei zugänglich. Gerät das Notebook in falsche Hände, ist die materielle Einbuße nichts gegenüber dem Imageverlust, der durch Missbrauch der Daten angerichtet werden könnte - ganz zu schweigen von Schäden durch gezielte Industriespionage.

Sicherheitsrisiko Notebook

Als mobile und leistungsfähige Geräte sind Notebooks heute ein allgegenwärtiges Tool und aus der Geschäftswelt nicht mehr wegzudenken. Auf Grund ihrer starken Verbreitung ist auch die Zahl von verloren gegangenen oder entwendeten Geräten enorm gestiegen. Das bestätigt Heinz Kraus, Geschäftsführer des Verschlüsselungsexperten Pointsec in Düsseldorf: "Jeden Tag werden in Deutschland einige hundert Notebooks in Taxis, auf Flughäfen oder in Hotels liegen gelassen. Auf diesen Rechnern befinden sich meist wertvolle Kundendaten, Finanzinformationen, Verträge, E-Mails oder andere vertrauliche Informationen."

Hinzu kommt, dass die Fähigkeit, drahtlos mit dem Firmen-LAN zu kommunizieren, ungeschützte Notebooks zu einer ernst zu nehmenden Sicherheitslücke in einem ansonsten gut geschützten Netzwerk macht. "Das untergräbt massiv sämtliche Security-Maßnahmen eines Unternehmens", unterstreicht Kraus.

Viele Anwender sind sich zwar darüber im Klaren, dass frei zugängliche Informationen ein Sicherheitsrisiko darstellen, doch wissen sie nicht, dass das Einrichten einer Passwort-Abfrage innerhalb von Microsoft Windows als Schutzmaßnahme bei weitem nicht ausreicht.

Denn selbst Passwort-gesicherte Daten und geschwärzte Zugangscodes stellen für Hacker kein Hindernis dar. Wird ein Windows-Rechner über CD gebootet, lassen sich mit einem entsprechenden Admin-Tool innerhalb kürzester Zeit sämtliche Accounts inklusive Zugriffsrechten, User-Namen und Passwörtern im Klartext auslesen. Hat ein Hacker diese Passwörter, kann er den Windows-PC problemlos hochfahren, und mit den vorhandenen Zugangscodes stellt auch der mobile Zugriff auf das Firmen-LAN für ihn keine Schwierigkeit dar.

Als einzig ernst zu nehmender Schutz empfiehlt sich die Datenverschlüsselung. "Leider verzichten die meisten Notebook-Besitzer darauf", kommentiert Ansgar Heinen, Marketing Manager bei Utimaco Safeware in Oberursel. "Sogar viele IT-Verantwortliche unterschätzen die Risiken für die Sicherheit des Firmennetzes, wenn Notebooks unverschlüsselt in falsche Hände geraten. So können auf den mobilen Geräten auch Netzwerk-Zugangsinformationen und Passwörter gespeichert sein. Das Notebook wird dann schnell zur gefährlichen Hintertür in einer ansonsten umfassend geschützten IT-Umgebung."

Dagegen hilft auch ein Bios-Passwort nicht, das gleich beim Einschalten abgefragt wird, unabhängig vom Betriebssystem ist und ein unberechtigtes Hochfahren des Notebooks verhindern soll. Denn baut ein Hacker die Festplatte aus und setzt sie in einen anderen Rechner ein, greift dieser Schutz nicht. Auf diese Weise lassen sich die Daten auf der Festplatte auslesen wie bei jedem unchiffrierten Laufwerk. Datenmissbrauch aller Art ist damit Tür und Tor geöffnet. Was also ist zu tun?

Disk- statt File-Encryption

Um alle Hacker-Tools außer Gefecht zu setzen, genügt es nicht, einzelne Dateien beziehungsweise Ordner zu verschlüsseln: Hier muss die komplette Disk "encrypted" sein. Denn, so erläutert Ralf Bunger, Business Manager bei IT-Sec in Darmstadt: "Im Swap-File, der Windows-Auslagerungsdatei, stehen wichtige Informationen wie Passwörter und Zugangscodes im Klartext, selbst wenn die eigentlichen Dateien verschlüsselt wurden."

Werden nur einzelne Dateien, Ordner oder virtuelle Laufwerke verschlüsselt, müssen Anwender zudem unbedingt sämtliche Temp- und Backup-Dateien löschen. Auch hier befinden sich viele Informationen im Klartext, obwohl die Ausgangsdateien verschlüsselt sind. Pointsec-Chef Kraus bringt die Problematik auf den Punkt: "Echter Schutz ist nur gewährleistet, wenn die ganze Festplatte, also alle Daten, alle Ordner, alle Programme und das komplette Betriebssystem, mindestens mit einem 128- oder besser noch mit einem 256-Bit-Schlüssel verschlüsselt ist."

Nach heutigem Ermessen würden Versuche, allein einen 112-Bit-Schlüssel zu knacken, der dem Triple DES (Data Encryption Standard) entspricht, mehrere Jahrzehnte in Anspruch nehmen. Da sich Verschlüsselungssoftware mindestens dieses Schlüssels bedient, ist Datensicherheit in praktisch allen Fällen gewährleistet.

Pre-Boot-Authentication und Single-Sign-on

Stimmt die Verschlüsselung, stellt sich als nächstes die Frage nach dem sicheren, autorisierten Zugang zu den Daten. Am besten geeignet ist die Pre-Boot-Authentication (PBA). Hier erfolgt die Authentisierung des Benutzers vor dem eigentlichen Start des Rechners und damit noch vor dem Laden des Betriebssystems in den Arbeitsspeicher.

Da alle Entschlüsselungsprozesse zum Booten des Betriebssystems vom gültigen User-Account und dem gültigen Passwort abgeleitet werden, bleibt Unbefugten der Zugang versperrt. Damit wird auch der Einsatz von Harddisk-Tools zur Festplattenanalyse wirkungsvoll unterbunden. Als Passwortschutz gewährleistet PBA deshalb im Zusammenspiel mit einer Disk-Encryption-Software, bei der alle Daten auf der Festplatte inklusive Betriebssystem verschlüsselt sind, höchste Sicherheit.

Gerade weil sie nicht manipulierbar ist, lässt sich die Pre-Boot-Authentication ideal als Single-Sign-on einsetzen. Die einmalige Eingabe eines Passworts ist dann ausreichend, um sich zu authentisieren. Das heißt: Anwender verschaffen sich damit gleich auch den Zugang zum System und zu allen Daten auf der Festplatte.

Störende Abfragen weiterer Passwörter beim Arbeiten mit dem Notebook, beispielsweise beim Öffnen eines neuen Ordners, lassen sich dadurch vermeiden. Hat ein Anwender die PBA-Hürde erfolgreich genommen, arbeitet die Software sowohl für das Betriebssystem als auch bei allen Anwendungen vollkommen automatisch und transparent.

"Die Pre-Boot-Authentication ist eine wichtige Schutzfunktion, die sofort nach dem Einschalten eines Rechners zum Tragen kommt", erklärt Kraus. "Damit wird Missbrauch sozusagen an vorderster Front ein Riegel vorgeschoben. Ratsam ist es dennoch immer, das Passwort von Zeit zu Zeit zu ändern."

Da Encryption-Software bereits bei der Erstinstallation die komplette Festplatte dauerhaft verschlüsselt, lassen sich sämtliche neu bearbeiteten Dateien in Echtzeit, also ohne nennenswerte Performance-Einbußen, abspeichern. Für den umgekehrten Fall gilt: Sämtliche Files werden dechiffriert, sobald der Anwender sie öffnet. Sie stehen dann sofort als ganz normal lesbare Dokumente zur Verfügung. Schließt der Nutzer die Datei, legt die Software sie wieder verschlüsselt ab - vollkommen automatisch, transparent und ohne jedes Zutun des Anwenders.

Neben einem weltweiten 24x7-Support für Administratoren ist auch eine Remote-Help-Lösung für Anwender - telefonisch oder via Web - unumgänglich: beispielsweise dann, wenn sie ihr Passwort vergessen haben und schnell Hilfe brauchen. "Das halten wir für das entscheidende Kriterium", kommentiert Silke Hohmann, Leiterin Kundenbetreuung bei Rubin Software in Nettetal. "Damit Anwender in diesem Fall wieder Datenzugriff erhalten, muss die Software ein Passwort-Reset zulassen. Völlig inakzeptabel ist der rigorose Ansatz einiger Hersteller, die Nutzern bei Passwort-Verlust keinen Ausweg bieten.

Ist ein Passwort-Reset möglich, können Anwender mit dem neuen Zugangscode ihren Rechner wieder starten und problemlos weiterarbeiten. Damit keine Unbefugten in den Besitz der neuen Zugangsdaten gelangen, die sie vom Systemadministrator erhalten, müssen auch hier die Authentisierungsmethoden sicher sein. Bei einer Passwort-Anforderung (challenge) ist dies am besten durch Sicherheitsmaßnahmen des Herstellers gewährleistet; deren effiziente Umsetzung ist allerdings Aufgabe der Unternehmen.

"Das so genannte Challenge-Response-Verfahren bietet eine sehr sichere Unterstützung, um dem Mitarbeiter so schnell wie möglich wieder den geschützten Zugang zu erlauben. Bei diesem Verfahren wird via Telefon im Dialog mit einem Administrator oder sogar per Stimmerkennung automatisch und rund um die Uhr Anwendern bei vergessenen Passworten ein Freischaltcode übermittelt", beschreibt Utimaco-Manager Heinen die Methode.

"Datensicherheit ohne Lücken, das sollte auch beim Passwort-Reset gelten", sagt Kraus. "Ein Anwender muss deshalb vom Administrator oder Helpdesk eindeutig identifiziert werden können, auch via Web. Sonst gibt es keinen neuen Zugangscode."

Fest steht, dass Encryption-Software automatisiert funktionieren muss, so dass Anwender nichts falsch machen können. "Wer-den sämtliche Dateien auf einem Rechner immer vollautomatisch verschlüsselt, ist Datendiebstahl so gut wie ausgeschlossen - selbst wenn sich das Gerät im Sleep-Modus befindet", versichert Kraus. "Dann startet, ebenso sicher wie die PBA, der Screensaver-Zugangsschutz." Erst nach erneuter Anmeldung erhält der Anwender wieder Zugriff auf das Notebook. (bi)

*Dr. Detlef Sandern ist Autor in München.

Für den Anwender

Wichtig sind:

- Komplette Disk- statt File-Encryption,

- Pre-Boot-Authentication (PBA) und Single-Sign-on,

- automatische Verschlüsselung, transparent, in Echtzeit und ohne Performance-Einbußen,

- Passwort-Reset und Remote-Help,

- 24x7-Service, online und per Telefon.

Die Gefahren für Unternehmen

Manipulation und Missbrauch:

Hacker brechen in lokale Netze ein, fälschen Daten oder schleusen falsche Informationen ein.

Wirtschaftsspionage ist lukrativ:

Hightech-Spione stehlen Know-how und verkaufen es an die Konkurrenz.

Störung von Geschäftsabläufen:

Hacker können die Rechnersysteme einer Organisation lahm legen und so wirtschaftliche Schäden in Millionenhöhe verursachen.

Für Administratoren

Wichtig sind:

- Die einfache und schnelle Installation der Encryption-Software.

- Der erste Verschlüsselungsvorgang muss im Hintergrund ablaufen, da er meist längere Zeit in Anspruch nimmt.

- Die Encryption-Software muss sich leicht und zentral administrieren lassen, vor allem in großen Firmennetzen, auf die mit einer Vielzahl von Notebooks zugegriffen wird. Updates müssen per Fernzugriff möglich sein.

- Umfassender 24x7-Service, per Telefon und via Web.

Links

www.it-sec.com

www.pcguardian.com

www.pointsec.com

www.utimaco.de