Diebstahlsicherung

Ob Zugangsdaten fürs Online-Konto, intime E-Mails oder die Dokumente für die Patentanmeldung: Fast jeder Rechner birgt Daten, die nicht in falsche Hände fallen sollen. Glücklicherweise bieten moderne Betriebssysteme Möglichkeiten, die beim Rechnerklau Daten vor ungewollten Blicken schützen.

Der Ärger ist groß, wenn nach einem kurzen Toilettenbesuch im ICE das Notebook plötzlich verschwunden ist. Oft ist der materiellere Schaden dabei noch das kleinere Problem: Adressen, Telefonnummern, E-Mails, Projektarbeiten oder Firmendaten – wenn wichtige Daten in fremde Hände geraten, befällt einen schnell ein berechtigtes Unwohlsein. Auch wer private Daten auf einem Firmenrechner speichert, möchte sie möglicherweise vor den Blicken der Kollegen oder des Administrators verbergen.

Klassische Schutzmechanismen helfen dabei wenig: Hat jemand erst mal physikalischen Zugang zu einem Rechner, kommt er immer auch an die Daten heran. Betriebssystem-Passwörter nutzen nichts, wenn der Dieb den Rechner einfach von einer System-CD startet. Auch BIOS-Passwörter sind wirkungslos, wenn die Platte aus- und in einen anderen Rechner eingebaut wird. Wirklichen Schutz vor Datenspionage genießt nur, wer seine Daten auf der Festplatte verschlüsselt. Hardware-mäßig können das nur wenige Systeme. So bieten etwa IBMs Thinkpad-Modelle eine Hardwareverschlüsselung der Festplatte an – diese ist aber dann auch nur über ein Passwort geschützt.

Versteckspiel

Betriebssysteme sind zwar im Laufe ihrer Entwicklung immer einfacher zu handhaben geworden, dafür wurde es immer schwieriger, ihre internen Abläufe zu verstehen. Persönliche Daten des Anwenders liegen an zahlreichen Stellen über das System verteilt. Bei mehr als 20 000 Dateien in einer typischen Windows-Installation kann man nur schwer den Überblick behalten, wo welche Daten landen. Zwar sieht Windows etwa für Caches und temporäre Dateien spezielle Verzeichnisse vor, aber leider halten sich nicht alle Entwickler an diese Vorgaben. Unzählige Programme legen Zwischendateien beispielsweise in ihrem Programmverzeichnis oder noch versteckter ab. Immerhin kann man versuchen, alle temporären Dateien in einem Ordner zusammenzufassen.

Daten verstecken sich aber auch noch an anderen Stellen. So bringt es wenig, unerwünschte Dateien mit den Funktionen des Betriebssystems zu löschen. Um diese Aufgabe möglichst schnell zu erledigen, entfernt das System nämlich lediglich den zu einer Datei gehörenden Eintrag aus dem Inhaltsverzeichnis und markiert die Datenbereiche (Cluster) als frei, die die Datei belegt hat. Die Daten selbst fasst das System jedoch überhaupt nicht an: Sie sind trotz vermeintlichem Löschen durch das System auf der Festplatte immer noch leicht erreichbar, etwa für Datenrettungssoftware.

Es nützt meist auch nichts, mit einem speziellen Löschprogramm eine Datei durch explizites Überschreiben etwa mit Zufallswerten zu eliminieren. Die einzige Gewissheit, die man danach hat, ist, dass genau diese eine Kopie beseitigt ist. Kopien entstehen beispielsweise auch beim Sichern in Anwendungsprogrammen – und die erwischt man mit einem Löschprogramm nicht. Viele Applikationen legen dazu nämlich zuerst eine neue Datei an, löschen dann die alte und benennen zuletzt die neue um. Das vermeidet unnötigen Datenverlust, wenn beim Speichern etwas schief geht, lässt aber Datenspuren zurück. Weitere Kopien entstehen auch durch das Bewegen einer Datei auf eine andere Partition. Dabei schummelt das Betriebssystem: Obwohl es im Explorer oder Finder so aussieht, als ob sie am neuen Speicherort auftaucht und am alten verschwindet, ist sie dort noch immer vollständig erhalten. Das System nimmt sie bei einer Bewegen-Aktion nicht wirklich mit, sondern kopiert die Datei an den neuen Ort und löscht sie danach auf die beschriebene, schludrige Weise.

Solche Dateirelikte lassen sich häufig vollständig oder teilweise wiederherstellen. Schon ein simples Durchsuchen der Sektoren einer Festplatte nach Text genügt, um die Daten einzusehen.

Auch die Auslagerungsdatei oder -partition für den virtuellen Speicher und die Datei, die bei Suspend-to-Disk den Speicherinhalt aufnimmt, können Anwenderdaten enthalten. Schließlich steckt in ihnen der RAM-Inhalt des Rechners.

Um wirklich alle kritischen Daten zu erwischen, hilft nur die komplette Verschlüsselung des Dateisystems, was aber nur Linux mit dem Crypto-API schafft. Mit den Bordmitteln von Windows 2000 und XP (EFS, Encrypted File System) lassen sich aber zumindest einzelne Verzeichnisse mit kritischen Daten absichern.

Mit Bordmitteln

Windows 2000, XP und Windows 2003 Server bringen zum sicheren Verschlüsseln von Dateien und Verzeichnissen das Encrypted File System (EFS) mit. Bei EFS handelt es sich nicht um ein eigenständiges Dateisystem, sondern um einen Aufsatz für NTFS, welches Voraussetzung für den Einsatz ist. Windows-2000-Nutzer aufgepasst: Wenn man hinter dem Rücken von Windows 2000 die Zugangspasswörter ändert, erhält man freien Zugriff selbst auf verschlüsselte Dateien.

Das EFS von Windows 2000/XP lässt sich nur mit dem Dateisystem NTFS aktivieren.

Die Rechteverwaltung von NTFS ist übrigens zuständig, will man die Existenz von Dateien vor anderen Benutzern verbergen. EFS leistet dies nicht, sondern sorgt nur dafür, dass ein Unberechtigter den Dateiinhalt nicht zu sehen bekommt. Dateinamen bleiben unverändert. Die EFS-Verschlüsselung funktioniert sowohl mit einzelnen Dateien als auch mit ganzen Verzeichnissen. Im letzteren Fall bezieht sich die Verschlüsselung auch auf alle Unterverzeichnisse. Mit nur wenigen Mausklicks kann man die Dateiverschlüsselung aktivieren: Im Eigenschaftendialog einer Datei oder eines Ordners muss man dazu in den erweiterten Attributen lediglich die Option "Inhalte verschlüsseln" auswählen.

Für den Anwender erfolgt die Verschlüsselung fortan transparent; verschiebt er Dateien in einen verschlüsselten Ordner, so werden sie automatisch mitverschlüsselt. Alle verschlüsselten Ordner und Dateien zeigt der Explorer in grüner statt schwarzer Schrift an. Dies ändert man im Menü Extras/Ordneroptionen. Öffnet man eine Datei – ausreichende Berechtigung vorausgesetzt –, sorgt Windows selbstständig für deren Entschlüsselung.

Wer auf maximale Sicherheit aus ist, kann alle Verzeichnisse im Hauptverzeichnis des aktuellen Laufwerks verschlüsseln. Sollte dies etwa aus Performance-Gründen nicht möglich sein, sollte man EFS neben den Stellen, von denen man weiß, dass dort vertrauliche Daten lagern (eigene Dateien, Arbeitsverzeichnis des E-Mail-Programms ...) außerdem mindestens für die temporären Verzeichnisse "\Dokumente und Einstellungen\Benutzername\Temp" und "\Windows\Temp" aktivieren. Dort können beispielsweise auch noch nach dem Beenden einer Banking-Sitzung mit dem Web-Browser wichtige Daten liegen.

Ein Problem bleibt auch dann die Auslagerungsdatei, die durch EFS nicht verschlüsselt werden kann. Will man sich nicht damit abfinden, bleibt nur die Möglichkeit, die minimale Größe der Auslagerungsdatei in den Systemeigenschaften im Reiter "Erweitert" auf 0 MByte zu setzen. Die Auslagerungsdatei ganz abzuschalten ist keine sinnvolle Idee. Es gibt durchaus Programme, die dann nicht mehr starten.

Allerdings kann man dafür sorgen, dass das System beim Herunterfahren zumindest weite Bereiche der Auslagerungsdatei mit Nullen überschreibt. Mit Tipp 789 aus der c't-Tipp-Datenbank (www.heise.de/ct/tipps/tipps.shtml, direkter Download: 789.adm) lässt sich das bequem einrichten.

Unter Windows XP Professional lässt sich mit der Management-Konsole gpedit.msc (über "Start/Ausführen...") diese Löschaktion konfigurieren: Unter "Richtlinien für Lokaler Computer/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinie/Sicherheitsoptionen" erreicht man die Option "Herunterfahren: Auslagerungsdatei des virtuellen Arbeitsspeichers löschen".

Schlüsselverwaltung

Intern benutzt Windows einen symmetrischen Schlüssel (128-bit TripleDES) zum Schutz der Daten. Dieser Schlüssel ist via RSA mit einem standardkonformen X.509-Zertifikat und dem privaten EFS-Schlüssel des Benutzers geschützt. Somit bleibt einem neben der Standardoption, die von Windows erstellten Zertifikate zu benutzen, auch die Möglichkeit, Zertifikate und Schlüssel aus einer PKI-Umgebung (Public Key Infrastructure) zu importieren und diese für die EFS-Verschlüsselung zu benutzen. Der EFS-Schlüssel ist jedoch nur durch das Passwort des Nutzer abgesichert, weshalb man unbedingt ein schwer zu erratendes wählen sollte. Der Name der Liebsten oder des Familienhundes taugt nicht dafür.

Vom Zertifikat, mit dem EFS Dateien verschlüsselt, sollte man sich unter allen Umständen eine Sicherungskopie an einem sicheren Ort ablegen.

Da die Verschlüsselung der Daten unter Windows nicht nur auf einem merkbaren Passwort, sondern auf Zertifikaten und privaten Schlüsseln beruht, die gelöscht oder unbrauchbar gemacht werden können, sind unbedingt einige Vorsichtsmaßnahmen angebracht. Nicht nur ein kompletter Windows-Absturz mit Schlüsselverlust kann das erfolgreiche Dekodieren der Daten auch durch den rechtmäßigen Besitzer verhindern. Im Zweifelsfall genügt schon, dass der Administrator das Nutzerpasswort ändert: Die verschlüsselten Daten sind dann zwar noch auf der Festplatte vorhanden, Windows kommt aber nicht mehr an die passenden Schlüssel heran. Bei der Beschädigung eines Benutzerkontos reicht es außerdem nicht aus, wenn man ein neues gleichnamiges Konto mit identischem Passwort anlegt. Die von Windows für das neue Konto generierten Zertifikate eignen sich nämlich nicht zur Entschlüsselung der mit dem alten Konto verschlüsselten Datenbestände.

Daher sollte man unbedingt, unbedingt, unbedingt eine Kopie seines Schlüssels auf einem sicheren, externen Medium (CD-R oder USB-Stick) sichern. Anwender von Imaging-Software aufgepasst: Ein Abbild der Systempartition enthält nur EFS-Schlüssel, wenn die Verschlüsselung bereits vor dem Spiegeln genutzt wurde.

Für die Schlüsselsicherung öffnet man den Internet Explorer und geht im Dialog "Extras/Internetoptionen/Inhalte/Zertifikate" auf den Tabellenreiter "Eigene Zertifikate". Wurde bereits mindestens eine Datei oder ein Ordner verschlüsselt, findet man hier das entsprechende Verschlüsselungszertifikat, ausgestellt von und für den aktuellen Benutzernamen. Über die Schaltfläche "Exportieren" kann man das Zertifikat nun auslagern. Im folgenden Export-Dialog wählt man "Privaten Schlüssel exportieren" aus, klickt dann auf "Weiter" zur Eingabe eines sicheren Export-Passwortes und gibt einen Pfad für die Sicherheitskopie der öffentlichen Zertifikatsdatei (.CER) und der privaten Schlüsseldatei (.PFX) an.

Kommt einem einmal der Schlüssel abhanden, etwa weil man Windows neu installieren musste, lässt er sich mit der Sicherheitskopie wie folgt wiederherstellen: Im Internet Explorer gibt man über "Importieren" in "Extras/Internetoptionen/Inhalt/Zertifikate" für den Zertifikatsimport-Assistenten den Pfad zur .PFX-Sicherheitskopie an. Es folgt die Eingabe des Export-Passworts. Im nächsten Schritt gibt man "Alle Zertifikate in folgendem Speicher speichern" an und wählt nach einem Klick auf "Durchsuchen..." wieder "Eigene Zertifikate" aus, um das Zertifikat samt Schlüssel an dem richtigen Platz zu installieren. Alternativ können Sie auch direkt auf die PFX-Datei doppelklicken, um den Import-Assistenten für Zertifikate zu starten.

Nachschlüssel

Über einen so genannten Wiederherstellungsagenten (Recovery Agent) lässt sich ebenfalls sicherstellen, dass man bei Schlüsselverlust noch seine Daten lesen kann. Solch ein Agent ist im Grunde nichts anderes als ein spezielles Windows-Konto, das nur für die Wiederherstellung von verschlüsselten Daten anderer Benutzer zuständig ist.

Unter Windows 2000 hat der Administrator automatisch Wiederherstellungsrechte – EFS lässt sich dort ohne einen Recovery-Agenten gar nicht nutzen. Bei Windows XP muss man den Agenten zuerst in zwei Schritten manuell einrichten: Mit Administrator-Rechten muss man dazu zunächst auf der Kommandozeile mit dem Befehl

cipher /R:<Dateiname>

ein importierbares Wiederherstellungszertifikat in zwei Dateien generieren: <Dateiname>.cer und <Dateiname>.pfx. Wie beim Export befindet sich der private Schlüssel in der pfx-Datei, diese sollte man natürlich nach Sicherung auf ein externes Medium von der Festplatte löschen. In der cer-Datei befindet sich der öffentliche Schlüssel.

Nach diesem Schritt meldet man sich unter Windows XP an das Benutzerkonto an, das künftig zur Wiederherstellung verwendet werden soll. Das Administrator-Konto sollte man dafür nicht heranziehen, es dient als letzte Rettung, wenn andere Benutzerkonten beschädigt sind. Besser legt man dafür ein eigenes Konto an, benennt es aussagekräftig und vergibt ein langes, schwer zu erratendes Passwort dafür.

Mit dem Aufruf von "secpol.msc" über "Start/Ausführen..." rufen Sie das Sicherheitsrichtlinien-Snap-in auf. Mit einem Rechtsklick im Zweig "Richtlinien öffentlicher Schlüssel/Dateisystem" erreichen Sie die Funktion "Datenwiederherstellungs-Agenten hinzufügen" und können im folgenden Dialog das mit cipher erstellte Zertifikat (cer-Datei) importieren.

Mit eingerichtetem Wiederherstellungsagenten speichert EFS den zur Verschlüsselung einer Datei benutzten Schlüssel mehrfach mit dieser Datei: einmal verschlüsselt mit dem öffentlichen Schlüssel des jeweiligen Benutzers und noch einmal verschlüsselt mit dem öffentlichen Schlüssel des Wiederherstellungsagenten – quasi ein Zweitschlüssel. Vorsicht: Der Schlüssel des Agenten landet nur in Dateien, die nach dem Anlegen des Agenten verschlüsselt wurden. Bereits verschlüsselte Dateien enthalten den Agenten-Schlüssel nicht. Dies erreicht man, indem man solche Dateien in ein unverschlüsseltes Verzeichnis kopiert (und dadurch entschlüsselt) und sie anschließend zurück in das verschlüsselte Verzeichnis bewegt.

Sollte der originale Schlüssel oder das Passwort mal abhanden kommen, kann man sich mit dem Wiederherstellungs-Konto anmelden und die von cipher erstellte und gesicherte pfx-Datei per Doppelklick importieren. Jetzt kann der Wiederherstellungsagent die EFS-verschlüsselten Dateien dechiffrieren. Die Zeile

cipher /d /a

entschlüsselt alle verschlüsselten Dateien im aktuellen Verzeichnis.

Man sollte sich jedoch bewusst sein, dass der Wiederherstellungsagent nicht etwa ein zerstörtes oder verlorenes Verzeichnis wiederherstellen kann, sondern lediglich Abhilfe schafft, wenn Windows den Schlüssel des Anwenders nicht mehr nutzen kann. Auch wenn eine Windows-Installation defekt ist, taugt ein Agent nur im Ausnahmefall noch zum Entschlüsseln der Daten.

Sicher ist sicher

Im Falle eines Rechnerdiebstahls läuft man immer Gefahr, dass wichtige Daten in falsche Hände gelangen können. Ein Restrisiko bleibt. Daran ändern auch die in Windows integrierten Sicherheitswerkzeuge nichts, auch andere Betriebssysteme helfen nicht weiter. Man kann das Datenklaurisiko lediglich minimieren. Dazu gehört es auch, nur schwer zu erratende Passwörter zu benutzen und diese nicht auf einem Zettel am Rechner zu notieren. (adb)