Täglich verschwinden zahlreiche Notebooks und PDAs auf Nimmerwiedersehen – Diebstahl und Verlust gehören nun einmal zum Leben, und im Gewühl am Flughafen oder Bahnhof genügen Sekundenbruchteile der Unachtsamkeit, damit ein Notebook seinen Besitzer wechselt. Mit besonderer Schusseligkeit zeichnen sich auch diejenigen Zeitgenossen aus, die ihre elektronischen Begleiter im Zug oder im Taxi einfach liegenlassen – und das sind nicht wenige: Laut einer Statistik der Londoner Polizei aus dem Jahr 2001 wurden innert sechs Monaten nicht weniger als 2900 Notebooks und 1300 PDAs allein in Londoner Taxis vergessen. Wer braucht da noch Social Engineering, um an fremde Daten zu gelangen?
Denn darum geht es bei den Diebstählen immer häufiger. Entsprechend wiegt denn auch der Missbrauch der auf den Geräten gespeicherten Daten deutlich schwerer als der materielle Verlust. In Zeiten, in denen Unternehmen jede nur erdenkliche Massnahme ergreifen, um ihre Netzwerke vor Würmern, Spyware und Hackern zu schützen, gehört die Sicherung von mobilen Geräten eigentlich zwingend in ein IT-Sicherheitskonzept. Hat nämlich ein Angreifer physischen Zugriff auf ein Notebook, scheitern die üblichen Windows-Schutzmechanismen kläglich – Passwörter, Dateiberechtigungen und ähnliches lassen sich mit Hilfe einer Boot- oder Diagnose-CD problemlos aushebeln, geheime Informationen wie Firmendaten, private Dokumente sind in Minutenschnelle offengelegt.
Gegen den datenschutztechnischen Super-GAU gibt es nur ein sinnvolles Hilfsmittel: die Verschlüsselung der Festplatte. Für diese Aufgabe stehen mehrere Lösungswege bereit, die alle ihre Vor- und Nachteile haben:
•
Verschlüsselung einzelner Dateien und Verzeichnisse mit Encrypted File System
•
Virtuelle Laufwerksverschlüsselung
•
Verschlüsselung der ganzen Festplatte
Der einfachste Weg – zumindest für Anwender von Windows XP Professional – besteht in der Nutzung des Encrypted File System (EFS), das Microsoft mit Windows 2000 eingeführt hat. Unter Windows 2000 ist das EFS aufgrund eines Fehlers allerdings unsicher, vom Einsatz ist deshalb abzuraten. Das EFS ist eigentlich – anders, als sein Name suggeriert – kein Dateisystem, sondern bloss ein Aufsatz für das NTFS, das denn auch als Voraussetzung genutzt werden muss.
Das EFS lässt sich problemlos in Betrieb nehmen. Es genügt, über die rechte Maustaste das Dialogfeld «Eigenschaften» aufzurufen und darin über den «Erweitert»-Button die Option «Inhalt verschlüsseln, um Daten zu schützen» einzuschalten. Genauso funktioniert das für Verzeichnisse. EFS basiert auf dem relativ sicheren DESX mit einer Schlüssellänge von 112 Bit und arbeitet für den Anwender völlig transparent im Hintergrund.
Mit der EFS-Verschlüsselung erreicht man bereits einen annehmbaren Grad an Sicherheit, der insbesondere granular auf bestimmte Dateien und Ordner angewendet werden kann, während andere frei zugänglich bleiben. Allerdings hat das EFS auch einige gravierende Nachteile: Es wird durch seinen Einsatz nämlich nicht sichergestellt, dass dieselbe Datei oder ein Vorgänger davon nicht irgendwo auf der Festplatte unverschlüsselt vorhanden ist. Ausserdem lässt sich mit EFS nicht die gesamte Festplatte verschlüsseln – insbesondere temporäre Dateien, Druck-Spooler und die Auslagerungsdatei lassen sich damit überhaupt nicht absichern.
Auf dem Markt findet sich jede Menge von weiteren Verschlüsselungstools für Dateien und Ordner, die in ähnlicher Weise arbeiten. Manche davon arbeiten mit Passwörtern, andere speichern ihre Schlüssel im System und erlauben so die Ver- und Entschlüsselung nur auf demselben Rechner. Allen gemeinsam sind aber die oben beschriebenen Nachteile des EFS.
Eine Auswahl von Festplattenverschlüsselungstools
Ähnliche Probleme ergeben sich allerdings auch bei der virtuellen Verschlüsselung von Laufwerken. Hierbei erzeugt die Software eine oder mehrere einzelne Dateien (sogenannte Container), in denen die gewünschten Dateien und Ordner verschlüsselt gelagert werden. Per Passwort kann man auf die Container zugreifen; diese werden nach erfolgter Authentifizierung vom Betriebssystem gemountet und mit einem Laufwerksbuchstaben versehen, worauf sie als virtuelles logisches Laufwerk zur Verfügung stehen. Der Zugriff auf die verschlüsselten Dateien erfolgt darauf völlig transparent, die Ver- und Entschlüsselung wird im Hintergrund on-the-fly erledigt.
Auch bei diesem Verfahren ergeben sich die Probleme mit unverschlüsselten temporären Daten und der Auslagerungsdatei, in denen die eigentlich verschlüsselten Dateien im Klartext zwischengelagert sein könnten.
Andererseits bietet die virtuelle Festplattenverschlüsselung auch einen grossen Vorteil gegenüber EFS und der vollständigen Festplattenverschlüsselung: die geschützten Daten stehen nämlich ausschliesslich solange zur Verfügung, wie das logische Laufwerk gemountet ist. Wird es entfernt (von manchen Tools auch automatisch nach einer frei wählbaren Zeitspanne), ist ein erneuter Zugriff darauf nur nach erneuter Authentifizierung möglich. Die Daten können also nur vom berechtigten Anwender geöffnet werden und nicht von jedermann, sobald der Rechner läuft.
Ein weiterer Vorteil der virtuellen Laufwerksverschlüsselung sind die Backup-Möglichkeiten: Es genügt, die Container auf einen anderen Rechner zu kopieren, sie bleiben in jedem Fall verschlüsselt und lassen sich mit demselben Passwort öffnen.
Die auf den ersten Blick sicherste, aber auch aufwendigste Lösung
ist die Verschlüsselung der kompletten Festplatte. Dabei werden tatsächlich sämtliche Dateien – inklusive Betriebssystem, Programme – chiffriert, was bedeutet, dass die Verschlüsselungssoftware schon
vor dem Betriebssystem geladen werden muss.
Bei diesem Verfahren muss sich der Anwender schon vor dem Boot-Vorgang bei der Verschlüsselungssoftware authentifizieren (sogenannte Pre-Boot-Authentication); nur wenn diese erfolgreich war, wird das Betriebssystem überhaupt geladen. Das hat auch den Vorteil, dass sich der Rechner nicht mehr von anderen Speichermedien wie Diskette oder CD-Rom starten lässt.
Die Daten liegen permanent verschlüsselt auf der Festplatte und werden nur nach Bedarf on-the-fly im Hauptspeicher entschlüsselt. Dies kommt insbesondere der Performance zugute – der Vorgang zur Ent- und Verschlüsselung der gesamten Platte beim Booten oder Herunterfahren des Rechners würde viel zu lange dauern.
Sofern es ein Dieb auf die Daten abgesehen hat, ist für ihn ein Rechner mit komplett verschlüsselter Harddisk absolut wertlos. Es gibt keine Möglichkeit, ohne das Passwort auf die chiffrierten Daten zuzugreifen, ein Umgehen der Verschlüsselung ist nicht möglich. Hier helfen weder Spezialtools noch der Aus- und Einbau der Festplatte in einen anderen Rechner.
Genau das ist aber auch die grösste Gefahr bei der Verschlüsselung von Dateien und Festplatten: Wer sein Passwort vergisst und
kein Backup von den Schlüsseln zu
seiner Harddisk hat, erhält keinen Zugriff mehr auf seine eigenen Dateien. Es empfiehlt sich deshalb dringend, Kopien der Schlüssel und Zertifikate anzufertigen und eventuell eine schriftliche Kopie der Passwörter an einem sicheren Ort
zu verwahren.
Beim Encrypted File System sind
die Schlüssel mit dem Windows-Passwort verknüpft. Es genügt bereits, dass ein Administrator dieses ändert, dass der Zugang zu den verschlüsselten Daten verunmöglicht wird (ändert der Anwender sein Passwort selber, werden automatisch auch die Schlüssel angepasst). Die Schlüssel respektive Zertifikate sollten deshalb unbedingt auf einem weiteren Medium (USB-Stick, CD) gesichert werden, damit sie im Notfall zur Verfügung stehen.
Dies erreicht man über die Microsoft Management Console, die über «Startmenü – Ausführen – certmgr.msc» gestartet wird. Die Zertifikate liegen im Zweig «Eigene Zertifikate» und können über das Kontextmenü mit dem Befehl «Exportieren» exportiert werden. Dies startet einen Assistenten, der durch die weiteren Schritte führt. Zu beachten ist, dass man unbedingt auch den privaten Schlüssel exportieren muss und die Optionen «Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen» und «Verstärkte Sicherheit aktivieren» auswählen sollte.
Um die Zertifikate wieder einzuspielen, genügt ein Doppelklick auf die generierte PFX-Datei, um den Import-Assistenten zu starten.
