Sicherheit integriert

Notebooks ersetzen immer öfter stationäre PCs. Durch die Mobilität entstehen neue Sicherheitsrisiken. Dem begegnen Notebookhersteller mit spezieller Hard- und Software. Darüber hinaus kann man zusätzliche Maßnahmen ergreifen.

Während bei einem stationären PC ein einfacher Passwortschutz unter Umständen noch einen Basisschutz bieten kann, gelten heutzutage für ein Notebook ganz andere Sicherheitsanforderungen. Selbst wenn niemand wirklich damit rechnet, kann das Gerät unterwegs verloren gehen oder jemand entwendet es, wodurch Unbefugte Zugriff auf vertrauliche Daten erlangen können. Während bei Unternehmensnetzwerken inzwischen hohe Anforderungen an den Schutz der Infrastruktur gelten, gehen viele mit der Sicherheit von Notebooks stiefmütterlich um. Dabei ist das Risiko besonders hoch, denn in der Regel liegen bei Notebooks die vertraulichen Daten auf der Festplatte und sie stellen eine offene Tür zum Unternehmensnetz dar, sobald jemand den Zugriffsschutz geknackt hat.

Sicherheitslösungen, die für Notebooks verbreitet sind, konzentrieren sich auf das Betriebssystem. Wer darüber hinausgehen und viele Bereiche abdecken möchte, um das Netz und die Daten zu schützen, setzt deshalb auf eingebaute Sicherheitslösungen. Viele Hersteller von Business-Notebooks haben das inzwischen erkannt und statten ihre Notebooks standardmäßig mit zusätzlicher Hard- und Software aus, die einen besseren Schutz bieten sollen. Der größte Teil der sogenannten "Embedded Security" funktioniert auf Hardware- und auf Firmwareebene. Sie ist unabhängig vom Betriebssystem und lässt sich deshalb schwerer umgehen. Zentrale Elemente sind die Nutzerauthentifizierung vor dem Start des Betriebssystems (siehe [1]) und das Verschlüsseln von Festplatten [2,3].

Ohne Software geht nichts

Es reicht allerdings nicht aus, dass der Hersteller das Notebook einfach auf der Hardwareseite um Sicherheitsmechanismen erweitert. Denn ein Fingerprint-Reader oder ein integrierter Security-Chip helfen wenig, wenn die zugehörige Software fehlt, die für deren Betrieb unabdinglich ist und außerdem eine Integration in ein ganzheitliches Sicherheitskonzept des Unternehmens erlaubt. Ein Lesegerät für den Fingerabdruck mit passendem Treiber, aber ohne Software zum Einbinden in die Systemauthentifizierung, ist somit wertlos.

Im optimalen Fall sollte die Software eine zentrale Verwaltung solcher Lesegeräte bieten und eine Authentifizierung gegenüber einem Verzeichnisdienst im Netzwerk beinhalten, damit man solche Hardwarekomponenten im Geschäftlichen sinnvoll einsetzen kann.

Die beiden wichtigen Bereiche, die Notebookhersteller versuchen abzudecken, sind die Benutzerauthentifizierung und die Verschlüsselung von Daten. Während die Erstere das unbefugte Anmelden verhindern soll, dient das Verschlüsseln der Daten dem Schutz vertraulicher Informationen, wenn das Notebook in fremde Hände gelangen sollte [4] und jemand mit physischen Mitteln, etwa dem Ausbauen der Festplatte, an die Daten gelangen will.

Um die Sicherheit beim Authentifizieren zu erhöhen, statten Hersteller ihre Business-Notebooks mit Zusatzgeräten wie Fingerprint-, Smartcard-Readern und Security-Chips aus. Außerdem gehört oft ein erweiterter BIOS-Schutz dazu, der zum einen den Zugriff auf die Notebookkonfiguration einschränken und eine Authentifizierung nebst Verschlüsselung der Daten vor dem Booten durchführen kann, die unabhängig vom verwendeten Betriebssystem ist. Für das Verschlüsseln der Daten gibt es mehrere Wege: Während die Mehrzahl der Hersteller dafür eine Software mitliefern, die, so vorhanden, mit dem integrierten Security-Chip zusammenarbeitet, sind andere Notebooks mit einer speziellen Festplatte ausgestattet, die in der Lage ist, die Daten auf Hardwareebene zu verschlüsseln, ohne dass das Betriebssystem involviert ist.

Sicherheitssoftware integriert

Inzwischen integrieren Notebookhersteller wie Dell, Fujitsu, Gateway, HP, Lenovo, Motion, Panasonic und Toshiba die Software "Computrace" von Absolute Software in das BIOS ihrer Geräte zum Schutz der Daten, etwa im Falle eines Diebstahls. Falls jemand das gestohlene Notebook verwenden und sich mit dem Internet verbinden will, nachdem der Eigentümer es bei Absolute Software als gestohlen gemeldet hat, sendet Computrace ein Signal dorthin und das Unternehmen versucht daraufhin das gestohlene Gerät zu orten. Während es zahlreiche andere Lösungen gibt, bei denen ein Hintergrundprozess auf Betriebssystemebene läuft, residiert Computrace im BIOS und funktioniert selbst nach Neuinstallation oder gar Entfernen der Festplatte.

Die ThinkVantage Client Security Solutions stellen die Sicherheitsschaltzentrale für Lenovo Thinkpad Notebooks dar.

Beim Erkennen persönlicher Merkmale des Benutzers zum Authentifizieren, der sogenannten Biometrie [5], haben sich bei Notebooks vor allem Fingerprint Reader durchgesetzt. Sie erkennen den Fingerabdruck des Benutzers durch Berühren oder Überstreichen eines Sensors und vergleichen ihn mit gespeicherten Daten. Erst bei einer Übereinstimmung gewähren sie dem Nutzer Zugang zum System. Das Verfahren hat allerdings zwei Haken: Einfach gebaute Lesegeräte lassen sich mit relativ wenig Aufwand überlisten, wenn sich jemand auf irgendeinem Weg den Fingerabdruck des Benutzers beschafft hat, und es kann dazu kommen, dass das System autorisierten Nutzern der Zugang verweigert, weil die Erkennung nicht ordnungsgemäß funktioniert.

Eine Alternative stellt die Smartcard dar. Einige Notebookhersteller statten ihre Geräte von Haus aus mit passendem Kartenleser aus oder bieten ihn zumindest als Option an. Der Benutzer identifiziert sich mit seiner Smartcard und muss meist zusätzlich noch eine PIN oder ein Password eingeben, das auf der Smartcard gespeichert ist. Während das Verfahren grundsätzlich eine hohe Sicherheit bietet, hat es den Nachteil, dass man die Karte immer bei sich tragen muss, da man ohne sie das Notebook nicht verwenden kann. Nimmt man beispielsweise sein Notebook mit auf Geschäftsreise und vergisst die Smartcard zu Hause oder im Büro, hat man verloren. Wer die Smartcard in die Notebooktasche steckt, um sie jederzeit parat zu haben, hebelt das Sicherheitskonzept aus.

Eine andere Schwäche der Smartcard ist, dass das System dem Nutzer mit der Smartcard und dem Passwort Zugang gewährt, aber ihn nicht identifizieren kann. So kann es vorkommen, dass jemand seine Smartcard und sein Password an seinen Urlaubsvertreter gibt, damit der seine E-Mails lesen kann – wohl kaum im Sinne des Sicherheitskonzepts.

Sowohl der Fingerprint-Reader als auch die Smartcard lassen sich nachträglich als externe Geräte etwa per PC-Card oder USB an ein Notebook anschließen. Auf externen Geräten basierende Sicherheitslösungen lassen sich jedoch wesentlich einfacher aushebeln als integrierte, da Angreifer mit Hilfsmitteln die Daten auf Schnittstellen mitlesen beziehungsweise imitieren können.

Einen weiteren Hardwareschutz, mit dem Hersteller ihre Notebooks ausstatten, bietet das "Embedded Security System" (ESS), mit dem beispielsweise viele Thinkpad-Notebooks von Lenovo ausgestattet sind. Die Geräte enthalten einen Security-Chip, der das Speichern von Schlüsseln sowie digitalen Signaturen und gleichzeitig Verschlüsselungsaufgaben übernimmt. Der Chip, der das oft kritisierte "Trusted Platform Module" (TPM) enthält, kann die Keys speichern, was die Sicherheit erhöht, da sie dort schwerer zugänglich als auf einer Festplatte sind. Einige Verschlüsselungsprogramme wie "SafeGuard Easy" von Utimaco unterstützen den Security-Chip und hinterlegen dort ihre Schlüssel. Ein durchgehendes Sicherheitskonzept kann aber nur funktionieren, wenn alle Sicherheitsmechanismen nahtlos zusammenarbeiten.

Verschlüsselung in Stufen

Beim Verschlüsseln von Daten auf der Festplatte gibt es mehrere Varianten. So lassen sich die Sicherheitsmechanismen in Stufen einteilen: Ganz oben steht die einzelner Dateien, etwa mit einer Software wie Pretty Good Privacy (PGP).

Pretty Good Privacy erlaubt sowohl das Verschlüsseln einzelner Dateien als auch das Anlegen verschlüsselter Laufwerke.

Eine Stufe weiter geht es um Daten auf der Ebene von virtuellen Laufwerken. Die Verschlüsselungssoftware legt ein virtuelles Laufwerk an, dessen Inhalt sie in der Regel als eine Datei auf der physischen Festplatte ablegt. Nachdem sich der Benutzer per Password authentifiziert, kann er das virtuelle Laufwerk ansprechen, das die Software per Mount ins Dateisystem einbindet. Er kann solange auf die Dateien zugreifen, bis er das Laufwerk abmeldet oder das Notebook ausschaltet. Verfahren wie "ThinkVantage Client Security Solutions", die Lenovo mit seinen Notebooks ausliefert, integrieren die Verschlüsselung auf Basis eines virtuellen Laufwerkes mit dem integrierten Security Chip. Der Benutzer braucht sich nur einmal am System anzumelden, denn die Software übernimmt automatisch das Anmelden am Betriebssystem und dem virtuellen Laufwerk. Die notwendigen Schlüssel liegen im TPM.

Eine weitere Ebene höher gibt es die Laufwerksverschlüsselung per Software für ganze Partitionen. Der Benutzer muss sich vor dem Systemstart bei der Software authentifizieren, die während des Betriebs die Daten entschlüsselt. Das hat den Vorteil, dass sich der Benutzer nicht mehr ums Verschlüsseln einzelner Dateien oder virtueller Laufwerke kümmern muss. Außerdem sind alle Daten und Programme samt den Systemdateien verschlüsselt und somit vor unbefugtem Zugriff weitgehend geschützt. Allerdings beansprucht das ständige Ver- und Entschlüsseln während des Betriebs erhebliche Mengen an CPU-Ressourcen, die das System spürbar verlangsamen.

Abhilfe schafft erst die letzte Stufe, auf der die Hardware im Massenspeicher das Verschlüsseln übernimmt; hierzu zählen die DriveTrust-Platten von Seagate. Der Benutzer muss lediglich beim Systemstart ein vorher vergebenes Passwort eingeben, die restliche ressourcenintensive Arbeit übernimmt dann die Festplatte selber, die CPU des Notebooks bleibt davon unberührt. Diese Art von verschlüsselten Festplatten hatten Hersteller ursprünglich für digitale Videorekorder entwickelt, um zu verhindern, dass der Besitzer unerlaubt Daten kopiert, indem er einfach die Festplatte ausbaut. Inzwischen hat man erkannt, das bei Notebooks ein erheblicher Bedarf an dieser Technik besteht, weil sie deren Festplatten vor unbefugtem Zugriff Dritter schützen kann. Einige Hersteller bieten nun Notebooks mit solchen Festplatten an.

Die Technik hat den Vorteil, betriebssystemübergreifend zu funktionieren und keine zusätzliche Software zu erfordern. Etwas unbequem ist die Eingabe eines Passwortes vor dem Booten und der darauf folgende Warmstart. Dafür kann man aber theoretisch aufs Anmelden beim Betriebssystem komplett verzichten. Lästiger dürfte sein, dass das Notebook nicht mehr in den Standby-Modus gehen kann, da es nach dem "Aufwachen" keinen Zugriff mehr auf die Daten hat, denn die sind erst nach einem erneuten Anmelden und einem Warmstart wieder zugänglich. Der Supsend-to-Disk- oder Hibernate-Modus funktionieren aber weiterhin, da hierbei ein Kaltstart erfolgt und der Benutzer sich an der Festplatte anmelden kann, bevor das Betriebssystem beim Hochfahren die Daten von der Festplatte wieder in den Arbeitsspeicher lädt.

Anbieter von Festplatten arbeiten bei den in Hardware gegossenen Verfahren eng mit den Entwicklern von TPM-Chips zusammen, um eine engere Integration von beiden Systemen zu erreichen, sodass sich der Benutzer nur ein einziges Mal am System anmelden muss. Sämtliche Sicherheitssysteme könnten danach die passenden Schlüssel im TPM nutzen.

Altlasten beseitigen

Im Zusammenhang mit dem Verschlüsseln von Daten besteht ein Sicherheitsrisiko nicht nur während der Nutzungsdauer eines Notebooks, sondern auch danach, da oft nach dem Verkauf oder Entsorgen achtlos Daten auf der Festplatte übrig bleiben. Ähnliches gilt für ausgetauschte Festplatten. Falls die Daten vorher verschlüsselt waren, ist ein ausreichender Schutz gegeben, da erheblicher Aufwand erforderlich wäre, um die Daten zu entschlüsseln. Bei unverschlüsselten Daten bedarf es einer Software, die sämtliche Daten mehrere Male überschreibt. Denn nicht nur nach einem Formatieren der Festplatte gibt es Mittel, die Daten wiederherzustellen. Selbst ein einfaches Überschreiben schützt nicht davor, denn es gibt professionelle Methoden die Daten zu rekonstruieren. Obwohl Lösungen für das sichere Löschen von Festplatten wie "SafeErase" von O&O Software auf dem Markt sind, liefert kaum ein Hersteller eine solche Software mit, damit der Eigentümer des Notebooks seine vertrauliche Daten ordnungsgemäß beseitigen kann.

Ein Teil der Notebookhersteller sorgt für die effiziente Datensicherung. Sie bildet aus mehreren Gründen eine unabdingbare Ergänzung zum gesamten Sicherheitskonzept. Zwar können Sicherheitsmaßnahmen bei einem Notebookdiebstahl vor einem unberechtigten Zugriff auf die Daten schützen, fehlt aber deren aktuelle Kopie und die der Systemkonfiguration, gehen Daten verloren. Will man die Daten neu erstellen und wieder nutzen, muss man unter Umständen das System aufwendig neu installieren und konfigurieren. Selbst wenn eine Ersatzhardware sofort zur Verfügung steht, kann dies Tage in Anspruch nehmen.

Dem kann ein regelmäßiges Backup beziehungsweise ein kompletter Abzug des Systems in Form eines Image vorbeugen. Spätestens vor jeder Geschäftsreise sollte deshalb eine solche Sicherheitskopie entstehen, da gerade unterwegs ein höheres Risiko besteht, das Notebook zu verlieren.

Neben mechanischen Schutzsystemen wie verstärkten Rahmen und stoßgedämpften Festplattenaufhängungen, die bei sogenannten "ruggedized" Notebooks üblich sind, integrieren einige Hersteller einen Bewegungssensor, der die Festplatte parkt und abschaltet, bevor es zu einem Head-Crash kommen kann. Bei Lenovos APS kann man sich in der Symbolleiste den Status der Festplatte und des Sensors in Echtzeit anzeigen lassen.

Fazit

Es lohnt sich, die Angebote wahrzunehmen, die ein Erhöhen der Sicherheit von Daten garantieren und beim Kauf eines Business-Notebooks darauf zu achten, welche zusätzliche Hardware der Hersteller dazu im System integriert hat. Oft sind diese Komponenten nur in einigen speziellen Modellen zu finden oder optional erhältlich. Ein Augenmerk sollte auf der Softwareausstattung liegen, wie sie der Hersteller ab Werk mitliefert. Denn dort gibt es komfortable Lösungen, seine Daten besser zu schützen. Und bei alldem hilft die Hardware zum Schutz der Daten nichts, wenn die zugehörige Software fehlt, weil der Hersteller sie dem Gerät nicht beilegt. (rh)

Literatur

[1] Martin Odenthal, Verschlossen und verriegelt, Notebooks gegen Datendiebstahl sichern, www.heise.de/mobil/artikel/68798

[2] Harald Bögeholz, Sicher aufgehoben, Notebook-Festplatte mit Kryptografie-Elektronik, www.heise.de/mobil/artikel/69300

[3] Andreas Beier, Sicher aufbewahrt, Datenverschlüsselung unter Windows 2000 und XP Home nachgerüstet, www.heise.de/mobil/artikel/58723

[4] Kay Glahn, An die Kette gelegt, Schutzmaßnahmen gegen den Notebook-Diebstahl, www.heise.de/mobil/artikel/79061

[5] Bundesamt für Sicherheit in der Informationstechnik, Biometrie, www.heise.de/security/artikel/55411

Mitgelieferte Sicherheitssoftware Apple MAC OS X enthält unter anderem FileVault zum Verschlüsseln (128 Bit, AES). Zur Passwortverwaltung dient das Schlüsselbund. Beim Entleeren des Papierkorbes überschreibt MAC OS X die zu löschenden Daten mit Zufallsdaten; Spezialsoftware zum sicheren Löschen braucht man deshalb nicht. Dell Dell bietet mit der "OtaniumSuite Pro" für bestimmte Modelle der Latitude D-Reihe ein umfangreiches Softwarepaket an, das auf Basis von Smartcards eine Reihe von Optionen enthält. Hierzu gehören zeitgesteuerte Zugriffskontrolle für Benutzer, Ver- und Entschlüsseln von Dateien, Emergency Access Support, Wiederherstellen von verschlüsselten Dateien und Auto-Caching zum Sichern von Website-Favoriten und -Kontakten. HP HPs "ProtectTools" besteht aus Hard- und Software, wobei Letztere einen wichtigen Teil ausmacht. Sie beinhaltet einfach zu benutzende Werkzeuge zum Registrieren von Fingerabdrücken, Einschränken des Netzwerkzugriffs sowie Verschlüsseln von Dateien und E-Mails mithilfe des TPM-Chips. ProtectTools erlauben außerdem das Anmelden unter Windows mithilfe des Security-Chips und einen Single-Sign-On-Ansatz. Letzteres bedeutet, dass der Benutzer sich nur ein Password merken muss, um sich beim TPM-Chip zu authentifizieren, der alle übrigen Passwörter verwaltet. Lenovo Lenovo liefert seine Thinkpads mit der "ThinkVantage Client Security Solution" aus, die unter anderem aus einem Password-Manager besteht, der in das "Embedded Security Subsystem" (ESS) eingebunden ist, das die Authentifizierung per Fingerabdruck oder über komplexe Passwörter erlaubt. Außerdem bietet Lenovo seinen Kunden kostenlos die "SafeGuard PrivateDisk Personal Edition" an. Es handelt sich um eine Datenverschlüsselungs- und Sicherheitssoftware der Utimaco Software AG, die ebenfalls auf dem ESS aufsetzt und in der Lage ist, virtuelle verschlüsselte Laufwerke zu erstellen, die sich sowohl auf der Harddisk im Rechner als auch auf einem externen Datenträger befinden können. Toshiba Toshiba bietet mit EasyGuard eine komplette Security-Lösung für den Business-Bereich an, die ebenfalls sowohl aus Hardware- und Softwarekomponenten besteht. Sie umfasst neben dem Fingerprint Reader und dem TPM-Chip umfangreiche Password-Utilities. Die Software unterstützt den Einsatz von USB-Tokens und SD-Speicherkarten, die einige Modelle direkt über ihren eingebauten SD-Kartenleser erfassen können. Beide Varianten können die Funktion einer Smartcard übernehmen. EasyGuard unterstützt außerdem das Erstellen von virtuellen verschlüsselten Laufwerken.