Verschlüsselung

So schützen Sie die Daten Ihrer Kunden

30.06.2014 von Thomas Bär und Frank-Michael Schlede
Mit den Enthüllungen zur US-Spionage im Internet wird das Thema "Verschlüsselung" wieder aktuell. Ob Festplatte, E-Mail oder Dateiübertragung – lesen Sie, welche Methoden dabei funktionieren.

Daten lassen sich mit einer Verschlüsselung effizient schützen. Doch die "universelle" Verschlüsselung, die mit einem Knopfdruck die gesamte IT sicher verschlüsselt, existiert noch nicht.

Postkarten waren einmal ein probates Mittel, um Nachrichten zu versenden - dabei störte es in den damaligen Zeiten kaum jemand, dass wenigstens der Postbote den Inhalt dieses "Datenträgers" in Klarschrift mitlesen konnte. Was den Geheimhaltungsgrad angeht, so entsprechen die E-Mail-Nachrichten in der heutigen Zeit durchaus den früheren Postkarten. Hier kann jeder den Text einfach mitlesen, wenn er nur ein wenig Mühe und Sachverstand aufweist.

Was liegt also näher, als die Daten, die per E-Mail übertragen werden sollen, einfach zu verschlüsseln? Und wenn man gerade dabei ist, dann sollten doch bitte alle Daten auf der Festplatte und auf allen anderen Übertragungswegen ebenso wie bei Zugriffen über den Web-Browser, über eine VPN-Verbindung (Virtual Private Network) oder bei der Fernwartung nur noch verschlüsselt vorliegen.

Da die "universelle" Verschlüsselung, die mit einem Knopfdruck die gesamte IT sicher verschlüsselt, leider noch nicht existiert, haben wir in diesem Ratgeber einige beispielhafte Verschlüsselungsmethoden für die verschiedenen Einsatzzwecke und entsprechende Programme zusammengestellt.

Der Anfang: Verschlüsselung einzelner Dateien

Wer ein halbwegs aktuelles Windows-System besitzt, der besitzt auch direkten Zugriff auf eine Verschlüsselung für Dateien und Ordner: Seit Windows 2000 steht für Datenträger, die mit NTFS (New Technology Filesystem - das Standard-Dateisystem der modernen Windows-Systeme) formatiert wurden, auch eine Dateiverschlüsselung zur Verfügung. Dieses Feature wird von Microsoft als EFS (Encrypting File System) bezeichnet. Die Bezeichnung ist allerdings etwas irreführend, da es sich nicht um ein Dateisystem handelt, sondern um ein Betriebssystemfeature, das einzelne Dateien oder Ordner verschlüsseln kann.

Verschlüsselung – so schützen Sie Ihre Daten
Die eingebaute Sicherheit
Seit Windows 200 ist es auf einem NTFS-Dateisystem möglich, mittels EFS (Encrypted File System) Dateien zu verschlüsseln, so dass ein anderer Anwender nicht mehr auf sie zugreifen kann.
Windows warnt den Anwender
Will er nur eine einzelne Datei mittels EFS absichern, so rät das Betriebssystem dazu, auch die darüber liegenden Ordner mit zu verschlüsseln.
Nur so ist die Wiederherstellung wieder möglich
Das Windows-System bietet bei der Verschlüsselung einer Datei mittels EFS an, Zertifikat und Schlüssel auf einem externen Speichermedium zu sichern.
Der Standard bei EFS
Eine Datei mit der Endung *.PFX dient dem sogenannten "privaten Informationsaustausch", ohne dass dabei eine Zertifizierungsstelle zum Einsatz kommen muss.
Das Zertifikat wurde erfolgreich erstellt
Mit seiner Hilfe kann dann eine verschlüsselte Datei auch ohne das Passwort wiederhergestellt werden.
Eigenschaften der Datei bringen es an den Tag
Diese Datei wurde mit dem verschlüsselten Dateisystem EFS gesichert.
Beim Dateizugriff bemerkt ein Anwender nicht, dass er auf eine verschlüsselte Datei zugreift
Hat er bei den Ordneroptionen die entsprechende Einstellung gewählt, so werden ihm diese Dateien aber in einer anderen Farbe angezeigt.
Vielfältige Möglichkeiten, aber nur bei bestimmten Windows-Versionen vorhanden
Die Verschlüsselungstechnik Bitlocker erlaubt es, ganze Partitionen mitsamt dem Betriebssystem zu verschlüsseln.
Der "Bitlocker To-Go"
Diese unter Windows 7 und Windows 8/8.1 zur Verfügung stehende Technik ermöglicht die Verschlüsselung von mobilen Laufwerken. Für den lesenden Zugriff auf diese Geräte kann eine entsprechende Software auch unter Windows XP zum Einsatz kommen.
Auch beim Bitlocker-Einsatz unbedingt wichtig
Der Wiederherstellungsschlüssel kann ausgedruckt oder auf einem externen Laufwerk gespeichert werden, so dass die Daten auch nach dem Verlust des Passwortes noch im Zugriff bleiben.
Mächtige freie Lösung
Eine Open-Source-Lösung, die ganze Partitionen und auch den Bereich des Betriebssystems komplett verschlüsseln kann: DiskCryptor.
VeraCrypt soll die Nachfolge von TrueCrypt antreten
Die Entwickler haben Teile des Source Codes von TrueCrypt übernommen, aber die Sicherheitslücken beseitigt. TrueCrypt-Container lassen sich auch mit diesem Programm öffnen.
Die Freeware Cryptainer LE
Sie ermöglicht es, Dateien, Verzeichnisse und E-Mail-Nachrichten einfach in Datei-Containern bis zu einer Größe von 100 MB abzulegen.
Die Protectorion Encryption Suite
Eine freie Lösung, die viele Funktionen in sich vereint, die Nutzer bereits von TrueCrypt her kennen. Sie steht auch in einer portablen Version bereit.
DirectAccess von Microsoft
Mit diesem Feature hat der Hersteller eine Zugriffstechnologie in das Betriebssystem integriert, die einen sicheren und verschlüsselten Zugriff auf das Unternehmensnetzwerk ohne zusätzliche Hardware und VPN-Software ermöglicht.
Scribbos von Stonebranch
Die Lösung erlaubt die verschlüsselte Kommunikation über das Internet in einer E-Mail-ähnlichen Form. Sie kann aber auch in Outlook integriert werden und bietet dem Anwender dort auch die entsprechende Verschlüsselung an (Quelle: Stonebranch).

Welche Vorteile bietet diese Verschlüsselungsmethode?

Beim Dateizugriff bemerkt ein Anwender nicht, dass er auf eine verschlüsselte Datei zugreift: Hat er bei den Ordneroptionen die entsprechende Einstellung gewählt so werden ihm diese Dateien aber in einer anderen Farbe angezeigt.
Foto: Bär/Schlede

Sie ist einfach einzusetzen und direkt ins Betriebssystem integriert: Ein Rechtsklick auf eine Datei oder einen Ordner, dann die Eigenschaften auswählen und dort bei den Attributen auf "Erweitert" klicken. Nach anschließender Auswahl von "Inhalt verschlüsseln, um Datei zu schützen" ist die Datei gesichert. Sie befindet sich nun verschlüsselt auf der Festplatte, während der Vorgang für den Anwender völlig transparent bleibt.

Hat er bei den Ordneroptionen die entsprechende Einstellung gewählt, so wird er eine verschlüsselte Datei oder einen verschlüsselten Ordner nur an der anderen Farbe erkennen - beim Zugriff merkt er keinen Unterschied. Aber wovor schützt diese Verschlüsselung? Sie schützt vor dem Zugriff eines anderen Anwenders, der ebenfalls auf diesem Rechner arbeitet oder vielleicht über das Netz auf ein solches Verzeichnis zugreift. Auch ein Administrator hat keinen Zugriff auf diese Dateien.

Welche Nachteile hat der Einsatz dieses Windows-Features?

Die Dateien sind immer noch sichtbar, die Methode funktioniert ausschließlich auf einem NTFS-Dateisystem und ist damit nur schlecht auf USB-Sticks oder Windows-Systemen einzusetzen, auf denen zumeist ein FAT-Dateisystem zum Einsatz kommt. Zudem ist es mit ihrer Hilfe nicht möglich, ganze Partitionen zu verschlüsseln

Ganze Partitionen und Systeme verschlüsseln

Bitlocker erlaubt es, ganze Partitionen mitsamt dem Betriebssystem zu verschlüsseln.
Foto: Bär/Schlede

Gerade was das Verschlüsseln von Partitionen angeht, hat Microsoft unter Windows Vista und noch einmal verbessert unter Windows 7 mit Bitlocker nun aber eine Möglichkeit eingebaut, auch ganze Partitionen einschließlich der Systempartition zu verschlüsseln. Mit der seit Windows 7 vorhandenen "Bitlocker To Go"-Verschlüsselung können sogar ganze USB-Sticks und mobile Festplatten auf diese Weise verschlüsselt werden.

Was können Anwender mit dieser Software verschlüsseln? Bitlocker verschlüsselt immer ganze Laufwerke beziehungsweise Festplattenpartitionen komplett. Auf diese Weise kann auch die Systempartition eines Windows-Systems vollständig verschlüsselt und damit gesichert werden. Ohne ein entsprechendes Passwort oder wahlweise eine Smartcard ist dann kein Zugriff auf dieses System mehr möglich. Ein besonderer Vorteil dieser Lösung: Auch sie arbeitet vollkommen transparent - hat der Anwender erst einmal sein Passwort eingegeben, so stellt sich ihm das System beziehungsweise die verschlüsselte Festplatte wie jedes andere Windows-System dar.

Welche Nachteile besitzt diese Technik?

Der größte Nachteile liegt wohl darin, dass Microsoft sie nur den "großen" Windows-Systemen spendiert hat: Nur die Vista- und Windows-7-Versionen Ultimate und Enterprise stellen standardmäßig dieses Feature zur Verfügung. Die anderen Windows-7-Systeme können entsprechend vorschlüsselte Medien aber lesen und auch für Windows XP stellt Microsoft eine entsprechende Anwendung für den lesenden Zugriff zur Verfügung.

Verschlüsselung mit TrueCrypt

TrueCrypt lässt bei den Möglichkeiten zur Verschlüsselung und zum Verstecken von Daten kaum Wünsche offen, ist aber auch sehr komplex und erfordert etwas Einarbeitung.
Foto: Bär/Schlede

Was können Anwender tun, die keine Vista- oder Windows-7-Versionen im Einsatz haben? Sie können auf die bekannte Software "TrueCrypt" zurückgreifen. Die Möglichkeiten dieser frei erhältlichen Lösung sind so vielfältig, dass wir sie hier nur kurz anreißen können. Was kann diese Software? Ähnlich wie das zuvor geschilderte Bitlocker-Feature ist auch diese Software dazu in der Lage, ganze Festplatten, mobile Laufwerke und Partitionen zu verschlüsseln. Aber auch beliebige Verzeichnisse, Dateien und Festplattenbereiche in sogenannten Containern können auf diese Weise verschlüsselt abgespeichert werden. Auf die Container greift der Anwender dann genau wie auf ein Laufwerk zu. Er kann diese sogar gezielt verstecken - TrueCrypt stellt dabei unter anderem auch die Möglichkeit eines komplett "versteckten Betriebssystems" zur Verfügung.

Welche Nachteile bestehen beim Einsatz von TrueCrypt?

Konnten bei den ersten Versionen der Software, die eine Verschlüsselung des Betriebssystems anboten, noch Stabilitätsprobleme auftreten, so sind Anwendung und Einsatz dieser Lösung mittlerweile sehr sicher. Aber die Vielfalt an Möglichkeiten und die hohe Komplexität fordern ihren Preis: TrueCrypt ist bei allen Hilfen und Erläuterungen, die zur Verfügung stehen, immer noch keine Anwendung, deren Einsatz man jedem Nutzer nahelegen kann. Gerade die Verschlüsselung eines kompletten Betriebssystems erfordert doch etwas Fachwissen, um sich nicht sehr schnell komplett selbst von seinem System auszuschließen.

Freeware hilft, Verzeichnisse zu verschlüsseln und verstecken

DirCrypt löscht einen Original-Ordner sicher, nach dem es ihn in den Container verschoben hat, so dass keine Spuren von ihm auf dem System bleiben.
Foto: Bär/Schlede

Wie bereits geschildert bietet Windows leider keine Möglichkeit, ausgewählte Verzeichnisse so zu verschlüsseln und auch zu "verstecken", dass ein anderer Nutzer sie nicht mehr sieht und auch nicht mehr auf sie zugreifen kann. Dabei sollte eine solche Funktion im Idealfall mittels eines Klicks erreichbar sein und das betreffende Verzeichnis erst nach Eingabe eines Passwortes wieder zur Verfügung stehen. Eine freie Software mit dem Namen "DirCryptHide" stellt genau diese Funktionalität zur Verfügung. Sie bietet die Möglichkeit, beliebige Verzeichnisse beziehungsweise ganze Laufwerke mitsamt den Unterordnern "verschwinden" zu lassen. Die Lösung setzt dabei auf das bereits vorgestellte Freeware-Verschlüsselungs-Tool TrueCrypt auf.

Wie arbeitet dieses Programm?

Es verschiebt eine beliebige Anzahl von Ordnern mit allen Unterordnern, die sich auch auf verschiedenen Laufwerken befinden können, in eine hochverschlüsselte Container-Datei (mit TrueCrypt erstellt). Dieser Vorgang ist natürlich auch wieder umkehrbar. Beim Verschieben kopiert die Software zunächst die Daten, prüft auf Fehler und löscht dann den Originalordner. Um diese dann später wieder im Dateisystem sichtbar zu machen, verwendet das Programm automatisch generierte Junctions (Abzweigungspunkte, auch als "File System Reparse Points" bezeichnet).

Welche weiteren Vorteile bietet der Einsatz?

Mit der aktuellen Version 1.55 der Software kann ein Anwender den Prozess des Ein- und Ausblendens der versteckten Ordner auch mit Hilfe eines USB-Sticks automatisieren: Dazu wird innerhalb der Anwendung ein USB-Stick mit dem Passwort und dem Speicherort der Containerdatei beschrieben. Diese Informationen werden dabei verschlüsselt abgespeichert und gelten nur für diesen einen USB-Stick. Danach können die verstecken Ordner durch das Ein-/Ausstecken des USB-Sticks automatisch ein- beziehungsweise auch wieder ausgeblendet werden.

Lösungen fürs Firmennetz: VPN oder gleich Direct Access

DirectAccess von Microsoft: Zugriff auf das Unternehmensnetzwerk ohne zusätzliche Hardware und VPN-Software.
Foto: Bär/Schlede

Doch was tun die Profis, um beispielsweise eine sichere Verbindung zwischen den Netzwerken von Firmenstandorten zu gewährleisten? Hier sind VPNs (Virtual Private Network) die gängige Methode. Typischerweise werden sie als Appliance in der DMZ (Demilitarized Zone) verwendet und erlauben eine verschlüsselte und somit gesicherte Verknüpfung zwischen den Netzwerken. Allerdings besitzen beinahe alle diese Systeme eine Einschränkung: Nur wenn bei allen Verbindungen wirklich die Geräte eines Herstellers zum Einsatz kommen, ist sichere und verschlüsselte Übertragung wirklich gewährleistet.

Welche Alternativen bieten sich dem Systembetreuer?

Vor diesem Hintergrund ist besonders eine Neuerung unter Microsoft Windows sehr spannend: "Direct Access". Durch diese Technik ist der Zugriff auf ein Windows-System "aus der Ferne" auch ohne zusätzliches VPN im Zusammenspiel von Windows 7 und Windows Server 2008 möglich. Microsofts Ansatz basiert auf dem noch recht jungen Protokoll IPv6 sowie dem Sicherheitsprotokoll IPSec.

Welche Vorteile kann diese Technik bieten?

Microsoft wollte vor allen Dingen die vielen Detailprobleme beim Aufbau einer VPN-Umgebung umgehen. So können dann die Anwender im Idealfall direkt auf die Dateifreigaben, Webseiten und Anwendungen im Unternehmensnetz zugreifen, ohne dass sie dazu eine spezielle Verbindung mittels eines virtuellen privaten Netzwerks herstellen oder eine spezielle Hard- oder Software einsetzen müssen.

Sobald das Client-System eines Nutzers, das diese Technik verwendet, mit dem Internet verbunden ist, baut es automatisch im Hintergrund eine bidirektionale Verbindung zum Netzwerk in der Firma auf. Dies geschieht dabei noch vor der eigentlichen Anmeldung des Anwenders am System, also direkt nach dem Windows-Start. Dabei funktioniert eine derartige Verbindung auch dann, wenn NAT zum Einsatz kommt und, was der Normalfall sein dürfte, eine Firewall das Firmennetzwerk vor Zugriffen von außen schützt.

Welche Nachteile hat der Einsatz dieser Technik?

Zunächst einmal kann sie nur funktionieren, wenn neben Windows-7-Clients auch die entsprechenden Windows Server 2008 im Firmennetzwerk zum Einsatz kommen. Auch der Einsatz von IPv6 (nicht auf der kompletten Strecke) gehört zu den Voraussetzungen, um von dieser Technik zu profitieren.

Die sichere Nachricht: E-Mail-Verschlüsselung

Die E-Mail hat allen anderen Kommunikationsformen den Rang abgelaufen. Versand und Empfang sind einfach und die Infrastruktur äußerst stabil. Gleichzeitig ist die Standard-E-Mail eine im Grundsatz unsichere Kommunikationsform. Es gibt mit S/MIME und PGP zwei weit verbreitete und etablierte Verschlüsselungsformen die in einem gesonderten Beitrag genauer betrachtet werden.

Gibt es noch andere Lösungen?

Scribbos erlaubt die verschlüsselte Kommunikation über das Internet in einer E-Mail-ähnlichen Form. Sie kann aber auch in Outlook integriert werden.
Foto: Bär/Schlede

Neben diesen beiden Klassikern, die mit mehr oder weniger Aufwand problemlos durch jeden Anwender in jede E-Mail-Client-Applikation integriert werden können, gibt es spezielle Lösungen, die sich für den Unternehmenseinsatz anbieten. Eine dieser Speziallösungen ist beispielsweise Scribbos. Diese als "Business-Communication" bezeichnete Lösung erlaubt es, beliebige Arten von Nachrichten und Datei-Anhängen ohne Größenbeschränkung schnell und mit der Verschlüsselung AES 256 (Advanced Encryption Standard) gesichert zu übermitteln. Die Lösung ist als SaaS, On-Premise oder mobile Applikation implementiert.

Was kann diese Lösung bieten?

Der Webservice von Scribbos steht jedem Interessenten für eine 14-tägige Testphase unter der Adresse http://www.scribbos.com zur Verfügung. Nach einer Anmeldung zeigt sich die Software wie jeder andere Webmailer, auch wenn die typische Schaltfläche "Verfassen" hier "Scribb" heißt. Ein besonderer Vorteil der Lösung: Selbst wenn der Empfänger keinen Scribbos-Account besitzt, ist die verschlüsselte Übermittlung möglich. Empfänger erhalten eine E-Mail mit dem Hinweis, dass für sie eine gesicherte Nachricht im Scribbos-System lagert. Meldet sich dieser Empfänger an, so kann er ohne Kosten auf die Nachricht zugreifen und über Scribbos mit dem ursprünglichen Absender im verschlüsselten Kontakt bleiben, ohne dafür selbst einen kostenpflichtigen Scribbos-Account zu besitzen.

Ein weiterer Vorteil des Systems: Pro Nachricht darf der Benutzer beliebig viele Anhänge anfügen, sofern die Summe nicht 2 GByte überschreitet. Die maximale Größe einer Nachricht entspricht somit 40 GByte. (wh)

Datenübertragung im Netz – ein Überblick -
Datenübertragung im Netz – ein Überblick
Im Blickpunkt der NSA-Enthüllungen des Informanten Edward Snowden stehen Angriffe auf verschiedene technische Verfahren, die eigentlich dazu gedacht sind, Daten in einem sicheren und nicht abhörbaren Tunnel durch das offene Netz zu bewegen. Wir geben einen Überblick.
HTTPS (Hypertext Transfer Protocol Secure)
Dieses Kommunikationsprotokoll wird eingesetzt, um im Web Daten sicher zu übertragen, etwa beim Online-Banking, in Internet-Shops oder bei Web-Mail-Diensten. In der Zeile der Webadresse steht dann am Anfang die Zeichenfolge https:// und es erscheint ein kleines Vorhängeschloss-Symbol. <br>Es gibt verschiedene Stufen der HTTPS-Verschlüsselung. So gilt das HTTPS-Verfahren mit dem Namen Perfect Forward Secrecy (PFS) weiterhin als abhörsicher. Es wird aber noch nicht überall verwendet. Von den Web-Mail-Diensten setzten nach einem Test der Fachzeitschrift "c't" die Dienste Gmail, Posteo, Web.de und GMX eine entsprechende Verschlüsselung ein. Arcor, Hotmail, 1&1, Strato und T-Online boten keine PFS-Verschlüsselung.
VPN (Virtual Private Network)
Mit einem VPN können Internet-Nutzer eine Datentunnel zu einem Server aufbauen und damit Teil eines geschlossenen Netzwerks werden. So setzen viele Geschäftsleute einen VPN-Tunnel ein, um von unterwegs aus in einem offenen Netzwerk sicher mit ihrer Firma zu kommunizieren.
Verschlüsselter Chat
Chat-Systeme wie AIM oder ICQ von AOL verschlüsseln die Kommunikation, so dass nicht jedermann mitlesen kann. Allerdings steht AOL im Verdacht, mit dem Prism-Programm der NSA zu kooperieren, so dass der Geheimdienst Zugriff auf die Chat-Protokolle haben könnte. Es gibt aber auch offene Chat-Protokolle wie XMPP, der die Möglichkeit bietet, die Chats wirksam zu verschlüsseln. Außerdem gibt es Browser-Erweiterungen wie BlockPRISM, die Facebooks-Chats mit dem sicheren Verschlüsselungsverfahren PGP absichern.
Voice over IP (VoIP)
Mit dem Dienst Skype ist das Telefonieren über das Internet populär geworden. Damit die dabei im Netz übertragenen Datenpakete nicht von jedem mitgehört werden können, werden sie verschlüsselt übertragen. Aus den Papieren von Edward Snowden geht hervor, dass die NSA versucht hat, Zugriff auf die Sprachdaten zu bekommen, noch bevor sie verschlüsselt werden.
SSH (Secure Shell)
Für Anwender eines Rechners, der mit einer Variante des Betriebssystems Unix läuft, besteht die Möglichkeit, via SSH von außen eine verschlüsselte Netzwerkverbindung mit dem Gerät aufzubauen. Dabei kann man aus der Ferne den Rechner so bedienen als würde man direkt davor sitzen. Die moderne Version von SSH verwendet das als stark eingestufte Verschlüsselungsverfahren AES, das auch nach den jüngsten Enthüllungen als sicher gilt.