Verschlossen und verriegelt
Wollen Unternehmen ihre Daten auf Notebooks nachhaltig vor unberechtigtem Zugriff schützen, bedarf es einer leistungsfähigen Authentisierungs- und Verschlüsselungssoftware. Das Einrichten von Passwörtern unter Windows ist bei weitem nicht genug.
- Martin Odenthal
Wollen Unternehmen ihre Daten auf Notebooks nachhaltig vor unberechtigtem Zugriff schützen, bedarf es einer leistungsfähigen Authentisierungs- und Verschlüsselungssoftware. Das Einrichten von Passwörtern unter Windows ist bei weitem nicht genug.
Was mobilen Anwendern ein komfortables Arbeiten ermöglicht, bereitet Administratoren in Unternehmen schlaflose Nächte. Tritt der Ernstfall ein und das Notebook kommt abhanden, bleibt nur noch die Hoffnung, dass das Gerät nicht in falsche Hände gerät. Denn für Datenspione bildet ein mit Bordmitteln geschütztes Notebook kein ernsthaftes Hindernis: Mit frei zugänglichen Tools lassen sich in kurzer Zeit neue Administrator-Passwörter setzen. Sind die Dateien des Anwenders und wichtige Systemeinstellungen dann sichtbar, ist nicht nur der Zugriff auf Accountdaten für interne Firmenserver möglich, sondern auch zu schützende Geschäftsgeheimnisse können offen gelegt sein.
Datensicherheit auch jenseits der Unternehmensgrenzen
Es genügt daher nicht, sich bei der IT-Sicherheit für mobile Endgeräte auf die Zugangssperren des Betriebssystems oder mitgelieferte Tools zu verlassen. Für einen wirksamen und vollständigen Schutz müssen mobile Geräte vollständig in unternehmensweite Sicherheitsmaßnahmen eingebunden werden. Das Grundgerüst liefern zentral eingerichtete und administrierte Lösungen.
Im ersten Schritt müssen Sicherheitsregeln definiert und kommuniziert werden, sofern dies noch nicht geschehen ist. Als oberste Regel dürfen Mitarbeiter des Unternehmens nur solche Geräte und Datenträger nutzen, die vollständig verschlüsselt sind. Das fängt beim Betriebssystem an und reicht über die Applikationen bis zu den Daten. Dazu ist auf die Verwendung hinreichend sicherer Passwörter zu achten sowie ein Zeitraum festzulegen, nach dem die Passwörter zu wechseln sind. Zum Unterbau einer zentralen Verwaltung gehören zudem die Auswahl der Verschlüsselungsmethode, eine Beschreibung der Installationsprozeduren sowie die Vergabe von Administrationsrechten.
Konfiguration zentraler Sicherheitsprofile
Den Ausgangspunkt bilden die Spezifikation und die zentrale Erstellung von Sicherheitsprofilen. Damit wird der Grundstein der gesamten Sicherheitsadministration gelegt. Das Sicherheitsprofil umfasst die Blöcke Benutzerdatenbank und Systemeinstellungen. In den Systemeinstellungen wird festgelegt, welche Daten mit welchem Algorithmus (etwa AES, Triple-DES, CAST oder Blowfish) zu verschlüsseln sind, während die Benutzerdatenbank Informationen zu den Benutzern und deren Zugriffsrechten enthält.
Um das Auslesen der Passwörter auf den Festplatten der Endgeräte unmöglich zu machen, ist auf diesen nur eine kryptographische Ableitung des Passworts vorhanden. Zur Authentifikation des Benutzers können zudem nicht nur Passwörter, sondern auch 2-Faktor-Authentifizierungen mittels SmartCards oder Token zum Einsatz kommen. Ein zentrales Repository der Passwörter existiert aus Sicherheitsgründen nicht.
Zur Verteilung der Sicherheitsrichtlinien und der Verschlüsselungssoftware kommen verschiedene Programme von Drittanbietern zum Einsatz. Dazu zählen Werkzeuge wie der Microsoft Systems Management Server (SMS), die IBM Tivoli Systemmanagement-Software und die Altiris Deployment Solution.
Installationsverlauf einer typischen Verschlüsselungslösung
Der für den Start des Betriebssystems zuständige Master-Boot-Record (MBR), der an definierter Stelle der Festplatte abgelegt ist, wird während der Installation verschoben und verschlüsselt. An seiner Stelle speichert die Installationsroutine einen speziellen Boot-Record, der lediglich einen Verweis auf den originalen Boot-Record enthält, den Bootvorgang jedoch erst nach Eingabe des richtigen Passworts an diesen übergibt. Der Anwender muss sich also gegenüber dem Rechner bereits vor dem Start des Betriebssystems authentifizieren (Pre-Boot-Authentication, PBA). Der MBR wird nach Durchlaufen der BIOS-Testroutinen und der Eingabe eines möglicherweise vorhandenen ATA-Passwortes (siehe Kasten ATA-Security) abgearbeitet, daraufhin startet das Betriebssystem.
|
Bei der Installation wird die gesamte Festplatte sektorweise verschlüsselt. Die Lösungen der größeren Hersteller erlauben dem Anwender, während dieser Prozedur weiter an seinem Notebook zu arbeiten, da der Verschlüsselungstreiber erkennt, ob der angeforderte Sektor bereits verschlüsselt ist oder nicht.
Ist der Datenträger komplett verschlüsselt, werden alle neu bearbeiteten Dateien in Echtzeit und – bei Notebooks mit Prozessoren oberhalb einem Gigahertz – ohne nennenswerte Performance-Einbußen verschlüsselt gespeichert. Umgekehrt werden sämtliche Files transparent dechiffriert, sobald der Anwender sie öffnet. Sie stehen dann als ganz normal lesbare Dokumente zur Verfügung. Speichert der Nutzer die Datei, legt die Encryption-Software sie ohne Zutun des Anwenders wieder verschlüsselt ab.
Der Start eines mit einer solchen Pre-Boot-Authentification-Software ausgestatteten Notebooks verändert sich damit dahingehend, dass die Eingabe der Nutzerkennung bereits vor dem eigentlichen Bootvorgang stattfindet. Die üblicherweise notwendige Anmeldung am Betriebssystem kann durch die vorab erfolgte Authentifizierung des Anwenders gegenüber der Verschlüselungssoftware entfallen, die Lösung erlaubt damit "Single-Sign-on" und bringt keine Komforteinbußen für den Anwender mit sich. Auch die bei Notebooks übliche Arbeitsweise, das Betriebssystem nicht herunterzufahren, sondern in einen Stromsparmodus zu versetzen, (Standby- und Hibernation-Modi) wird von den Lösungen der führenden Hersteller unterstützt.
Passwort vergessen?
Vergisst der Anwender – etwa nach einem längeren Urlaub – sein Passwort und gibt es dann mehrfach falsch ein, sperrt die Verschlüsselungssoftware den Zugang zum originalen Boot-Record und allen übrigen Daten auf der Festplatte – das Notebook kann nicht mehr gestartet werden. In diesem Fall kommt die Einbindung des Systems in die unternehmensweite Infrastruktur zum Tragen, meistens durch eine so genannte Challenge-Response-Prozedur zwischen Anwender und Helpdesk. Zunächst einmal muss sich der Nutzer in einer vorab definierten Weise gegenüber dem Helpdesk ausweisen (etwa telefonisch oder via SMS). Anschließend generiert der Anwender in der Anmeldungsanwendung eine Zeichenkette (Challenge) und übermittelt diese dem Helpdesk-Mitarbeiter. Dieser antwortet mit dem passenden Gegenstück (Response), das auf Basis der Challenge von der zentral vorhandenen Administrationssoftware ermittelt wird. Dieses Verfahren ist der Übermittlung von Passwörtern, auch wenn sie verschlüsselt wären, weit überlegen, denn jede Response gilt nur für einen Zugriff. Der Anwender muss nach einer erfolgreichen Prozedur sofort ein neues Passwort wählen.
Nach der Verschlüsselung der Festplatte ist die Installation eines weiteren Betriebssystems nicht mehr möglich, da dessen Installationsroutine die Festplatte aufgrund der Verschlüsselung nicht als valides Format erkennen wird. Andere Modifikationen am MBR werden den Start des Bootloaders verhindern; der PC startet nicht mehr, die Festplatte ist unbrauchbar. Die Hersteller bieten Administratoren jedoch die Möglichkeit, mit Hilfe von Maintenance-Tools die Installation zu reparieren.
Ähnliche Funktionen wie die geschilderten Software-Lösungen gibt es auch in Hardware. So bietet beispielsweise die Firma Stonewood 2,5-Zoll-Festplatten an, die eine Pre-Boot-Authentifizierung durchführen und anschließend alle Daten bis zum nächsten Abschalten transparent ver- und entschlüsseln. Das funktioniert betriebssystemübergreifend; mehr dazu in c't 3/06, S. 62.
Risiken und Nebenwirkungen
Fällt allerdings ein laufendes Notebook einem Dieb in die Hände, sind diesem alle Daten ohne jegliche Beschränkung zugänglich. Auch können unberechtigte Personen über Laufwerksfreigaben im internen Netzwerk – sofern vom Benutzer eingerichtet – an geschützte Daten gelangen. Diese Risiken sind jedoch unabhängig von der Verschlüsselung. Ein zusätzlicher Schutz persönlicher Daten lässt sich zudem über Verschlüsselungsprogramme erreichen, die lediglich auf Dateiebene arbeiten (etwa die Open-Source-Lösung TrueCrypt).
Da alle Entschlüsselungsprozesse zum Booten des Betriebssystems vom gültigen User-Account und dem zugehörigen Passwort abgeleitet werden, bleibt Unbefugten der Zugang zum Datenträger versperrt. Auch der Einsatz von Harddisk-Tools zur Festplattenanalyse wird damit wirkungsvoll unterbunden. Als Passwortschutz gewährleistet PBA im Zusammenspiel mit einer leistungsfähigen Disk-Encryption-Software höchste Sicherheit.
Immer mehr Notebooks, vor allem aus der Business-Klasse, sind mit TPM-Chips ausgestattet. Diese dienen unter anderem der sicheren Aufbewahrung von Passwörtern, greifen aber bereits vor einer auf der Festplatte installierten Verschlüsselungslösung ein: Sie unterbinden ohne Benutzerauthentifizierung bereits den Bootvorgang des Notebooks, Diebe können ein gestohlenes Notebook also selbst mit einer neuen Festplatte nicht mehr nutzen. Sie ersetzen jedoch nicht die Verschlüsselung zum Schutz der auf der Festplatte vorhandenen Daten. (ll)
Martin Odenthal ist technischer Leiter bei Pointsec, einem Hersteller von mobilen Sicherheitsprodukten.
Themenforum Notebooks
|