Verschlossen und verriegelt

Wollen Unternehmen ihre Daten auf Notebooks nachhaltig vor unberechtigtem Zugriff schützen, bedarf es einer leistungsfähigen Authentisierungs- und Verschlüsselungssoftware. Das Einrichten von Passwörtern unter Windows ist bei weitem nicht genug.

Was mobilen Anwendern ein komfortables Arbeiten ermöglicht, bereitet Administratoren in Unternehmen schlaflose Nächte. Tritt der Ernstfall ein und das Notebook kommt abhanden, bleibt nur noch die Hoffnung, dass das Gerät nicht in falsche Hände gerät. Denn für Datenspione bildet ein mit Bordmitteln geschütztes Notebook kein ernsthaftes Hindernis: Mit frei zugänglichen Tools lassen sich in kurzer Zeit neue Administrator-Passwörter setzen. Sind die Dateien des Anwenders und wichtige Systemeinstellungen dann sichtbar, ist nicht nur der Zugriff auf Accountdaten für interne Firmenserver möglich, sondern auch zu schützende Geschäftsgeheimnisse können offen gelegt sein.

Datensicherheit auch jenseits der Unternehmensgrenzen

Es genügt daher nicht, sich bei der IT-Sicherheit für mobile Endgeräte auf die Zugangssperren des Betriebssystems oder mitgelieferte Tools zu verlassen. Für einen wirksamen und vollständigen Schutz müssen mobile Geräte vollständig in unternehmensweite Sicherheitsmaßnahmen eingebunden werden. Das Grundgerüst liefern zentral eingerichtete und administrierte Lösungen.

Im ersten Schritt müssen Sicherheitsregeln definiert und kommuniziert werden, sofern dies noch nicht geschehen ist. Als oberste Regel dürfen Mitarbeiter des Unternehmens nur solche Geräte und Datenträger nutzen, die vollständig verschlüsselt sind. Das fängt beim Betriebssystem an und reicht über die Applikationen bis zu den Daten. Dazu ist auf die Verwendung hinreichend sicherer Passwörter zu achten sowie ein Zeitraum festzulegen, nach dem die Passwörter zu wechseln sind. Zum Unterbau einer zentralen Verwaltung gehören zudem die Auswahl der Verschlüsselungsmethode, eine Beschreibung der Installationsprozeduren sowie die Vergabe von Administrationsrechten.

Konfiguration zentraler Sicherheitsprofile

Den Ausgangspunkt bilden die Spezifikation und die zentrale Erstellung von Sicherheitsprofilen. Damit wird der Grundstein der gesamten Sicherheitsadministration gelegt. Das Sicherheitsprofil umfasst die Blöcke Benutzerdatenbank und Systemeinstellungen. In den Systemeinstellungen wird festgelegt, welche Daten mit welchem Algorithmus (etwa AES, Triple-DES, CAST oder Blowfish) zu verschlüsseln sind, während die Benutzerdatenbank Informationen zu den Benutzern und deren Zugriffsrechten enthält.

Um das Auslesen der Passwörter auf den Festplatten der Endgeräte unmöglich zu machen, ist auf diesen nur eine kryptographische Ableitung des Passworts vorhanden. Zur Authentifikation des Benutzers können zudem nicht nur Passwörter, sondern auch 2-Faktor-Authentifizierungen mittels SmartCards oder Token zum Einsatz kommen. Ein zentrales Repository der Passwörter existiert aus Sicherheitsgründen nicht.

Zur Verteilung der Sicherheitsrichtlinien und der Verschlüsselungssoftware kommen verschiedene Programme von Drittanbietern zum Einsatz. Dazu zählen Werkzeuge wie der Microsoft Systems Management Server (SMS), die IBM Tivoli Systemmanagement-Software und die Altiris Deployment Solution.

Installationsverlauf einer typischen Verschlüsselungslösung

Der für den Start des Betriebssystems zuständige Master-Boot-Record (MBR), der an definierter Stelle der Festplatte abgelegt ist, wird während der Installation verschoben und verschlüsselt. An seiner Stelle speichert die Installationsroutine einen speziellen Boot-Record, der lediglich einen Verweis auf den originalen Boot-Record enthält, den Bootvorgang jedoch erst nach Eingabe des richtigen Passworts an diesen übergibt. Der Anwender muss sich also gegenüber dem Rechner bereits vor dem Start des Betriebssystems authentifizieren (Pre-Boot-Authentication, PBA). Der MBR wird nach Durchlaufen der BIOS-Testroutinen und der Eingabe eines möglicherweise vorhandenen ATA-Passwortes (siehe Kasten ATA-Security) abgearbeitet, daraufhin startet das Betriebssystem.

ATA-Security ATA-Security ist eine in der Firmware von Festplatten implementierte Passwortsperre (ATA Security Feature Set). Vorgesehen sind hier jeweils zwei 32 Byte lange Zugangscodes, das User Password und das Master Password. Dabei fungiert das Master Password als eine Art Zweitschlüssel. Hat der Benutzer sein User Password vergessen, kann der Administrator eines Unternehmens mit dem Master Password dem Anwender den Zugang zu den Festplattendaten wieder freischalten. Allerdings bietet diese Form der Passwortsperre weniger Sicherheit als eine vollständige Verschlüsselung der Festplatte: Zumindest professionellen Datenrettern bereitet das Umgehen dieses Schutzes keine Schwierigkeiten. ATA-Security ist für wirklich sensible Daten zu unsicher [1] und lässt sich zudem nur schwer in unternehmensweite Sicherheitsmechanismen einbauen. [1] Harald Bögeholz, Bärendienst, Wie ATA-Sicherheitsfunktionen Ihre Daten gefährden, www.heise.de/ct/05/08/172/

Bei der Installation wird die gesamte Festplatte sektorweise verschlüsselt. Die Lösungen der größeren Hersteller erlauben dem Anwender, während dieser Prozedur weiter an seinem Notebook zu arbeiten, da der Verschlüsselungstreiber erkennt, ob der angeforderte Sektor bereits verschlüsselt ist oder nicht.

Ist der Datenträger komplett verschlüsselt, werden alle neu bearbeiteten Dateien in Echtzeit und – bei Notebooks mit Prozessoren oberhalb einem Gigahertz – ohne nennenswerte Performance-Einbußen verschlüsselt gespeichert. Umgekehrt werden sämtliche Files transparent dechiffriert, sobald der Anwender sie öffnet. Sie stehen dann als ganz normal lesbare Dokumente zur Verfügung. Speichert der Nutzer die Datei, legt die Encryption-Software sie ohne Zutun des Anwenders wieder verschlüsselt ab.

Der Start eines mit einer solchen Pre-Boot-Authentification-Software ausgestatteten Notebooks verändert sich damit dahingehend, dass die Eingabe der Nutzerkennung bereits vor dem eigentlichen Bootvorgang stattfindet. Die üblicherweise notwendige Anmeldung am Betriebssystem kann durch die vorab erfolgte Authentifizierung des Anwenders gegenüber der Verschlüselungssoftware entfallen, die Lösung erlaubt damit "Single-Sign-on" und bringt keine Komforteinbußen für den Anwender mit sich. Auch die bei Notebooks übliche Arbeitsweise, das Betriebssystem nicht herunterzufahren, sondern in einen Stromsparmodus zu versetzen, (Standby- und Hibernation-Modi) wird von den Lösungen der führenden Hersteller unterstützt.

Passwort vergessen?

Vergisst der Anwender – etwa nach einem längeren Urlaub – sein Passwort und gibt es dann mehrfach falsch ein, sperrt die Verschlüsselungssoftware den Zugang zum originalen Boot-Record und allen übrigen Daten auf der Festplatte – das Notebook kann nicht mehr gestartet werden. In diesem Fall kommt die Einbindung des Systems in die unternehmensweite Infrastruktur zum Tragen, meistens durch eine so genannte Challenge-Response-Prozedur zwischen Anwender und Helpdesk. Zunächst einmal muss sich der Nutzer in einer vorab definierten Weise gegenüber dem Helpdesk ausweisen (etwa telefonisch oder via SMS). Anschließend generiert der Anwender in der Anmeldungsanwendung eine Zeichenkette (Challenge) und übermittelt diese dem Helpdesk-Mitarbeiter. Dieser antwortet mit dem passenden Gegenstück (Response), das auf Basis der Challenge von der zentral vorhandenen Administrationssoftware ermittelt wird. Dieses Verfahren ist der Übermittlung von Passwörtern, auch wenn sie verschlüsselt wären, weit überlegen, denn jede Response gilt nur für einen Zugriff. Der Anwender muss nach einer erfolgreichen Prozedur sofort ein neues Passwort wählen.

Nach der Verschlüsselung der Festplatte ist die Installation eines weiteren Betriebssystems nicht mehr möglich, da dessen Installationsroutine die Festplatte aufgrund der Verschlüsselung nicht als valides Format erkennen wird. Andere Modifikationen am MBR werden den Start des Bootloaders verhindern; der PC startet nicht mehr, die Festplatte ist unbrauchbar. Die Hersteller bieten Administratoren jedoch die Möglichkeit, mit Hilfe von Maintenance-Tools die Installation zu reparieren.

Ähnliche Funktionen wie die geschilderten Software-Lösungen gibt es auch in Hardware. So bietet beispielsweise die Firma Stonewood 2,5-Zoll-Festplatten an, die eine Pre-Boot-Authentifizierung durchführen und anschließend alle Daten bis zum nächsten Abschalten transparent ver- und entschlüsseln. Das funktioniert betriebssystemübergreifend; mehr dazu in c't 3/06, S. 62.

Risiken und Nebenwirkungen

Fällt allerdings ein laufendes Notebook einem Dieb in die Hände, sind diesem alle Daten ohne jegliche Beschränkung zugänglich. Auch können unberechtigte Personen über Laufwerksfreigaben im internen Netzwerk – sofern vom Benutzer eingerichtet – an geschützte Daten gelangen. Diese Risiken sind jedoch unabhängig von der Verschlüsselung. Ein zusätzlicher Schutz persönlicher Daten lässt sich zudem über Verschlüsselungsprogramme erreichen, die lediglich auf Dateiebene arbeiten (etwa die Open-Source-Lösung TrueCrypt).

Da alle Entschlüsselungsprozesse zum Booten des Betriebssystems vom gültigen User-Account und dem zugehörigen Passwort abgeleitet werden, bleibt Unbefugten der Zugang zum Datenträger versperrt. Auch der Einsatz von Harddisk-Tools zur Festplattenanalyse wird damit wirkungsvoll unterbunden. Als Passwortschutz gewährleistet PBA im Zusammenspiel mit einer leistungsfähigen Disk-Encryption-Software höchste Sicherheit.

Immer mehr Notebooks, vor allem aus der Business-Klasse, sind mit TPM-Chips ausgestattet. Diese dienen unter anderem der sicheren Aufbewahrung von Passwörtern, greifen aber bereits vor einer auf der Festplatte installierten Verschlüsselungslösung ein: Sie unterbinden ohne Benutzerauthentifizierung bereits den Bootvorgang des Notebooks, Diebe können ein gestohlenes Notebook also selbst mit einer neuen Festplatte nicht mehr nutzen. Sie ersetzen jedoch nicht die Verschlüsselung zum Schutz der auf der Festplatte vorhandenen Daten. (ll)

Martin Odenthal ist technischer Leiter bei Pointsec, einem Hersteller von mobilen Sicherheitsprodukten.

Themenforum Notebooks

Übersicht über Festplatten-Verschlüsselungslösungen für Notebooks Hersteller Produkt unterstützte Betriebssysteme Verschlüsselungsalgorithmen CompuSec Free Compusec Windows 2000/XP/Linux Red Hat und SuSe AES Pointsec Pointsec for PC Windows & Linux AES, 3DES, Blowfish, CAST Safeboot Device Encryption Windows 95/98/NT/ME/2000/XP/2003 AES, DES und RC5 Secude secure notebook Windows NT/2000/XP Blowfish, DES, DESX, XOR und IDEA Securstar DriveCrypt Plus Pack Windows NT/2000/XP AES (256-Bit) Utimaco SafeGuard Easy Windows 95/98/NT/2000/XP AES mit 128 und 256 Bit, Rijndael-256, DES, DES SB-II, Blowfish-8, Blowfish-16 und STEALTH-40 WinMagic SecureDoc Windows 95/98/NT/2000/XP DES, 3DES und AES Stonewood Flagstone alle AES