Artikel versenden
Artikel drucken- Pentration Test
- Cyber Attacken
- Datenbanksicherheit
- Firewalls/UTM
- Schutz vor Hackerangriffen
- Biometrie Teil 1
- IT Security Trends 2010
- Pandemie
- Festplattenverschlüsselung Teil 2
- Festplattenverschlüsselung Teil 1
- Identity Management
- Green IT
- Phishing & Pharming
- VoIP-Tauglichkeit
- End - to - End Security
- IP Storage 3. Teil
- SIEM
- UTM
- IP Storage 2. Teil
- Web Application Security
- IP Storage 1. Teil
- Heute schon geNACt?
- Risikomanagement
- VPN auf Basis von SSL oder IPSec?
- Managed-Security-Services
- Hochverfügbarkeit bei VoIP
- Forensik
TIM AG: Verschlüsselung sollte für den Benutzer transparent sein, hierfür sind „Single-Sign-On“, LDAP-Anbindung usw. hilfreich
Was passiert, wenn ein Benutzer das Passwort für eine verschlüsselte Festplatte vergessen hat?
Warum sollte sich jedes Unternehmen mit dem Thema „Festplattenverschlüsselung“ befassen?
Jedes Unternehmen besitzt Daten, die schützenswert sind bzw. nicht versehentlich offengelegt werden sollten. Übergreifend fällt dies in das unternehmensweite (Data Lost Prevention) Konzept. Verschlüsselung der Daten auf Festplatten ist hierbei die wichtigste Maßnahme. Der Schutz der Daten auf Festplatten und sogenannten Endpoints wird immer mehr zum kritischen Punkt. Dies hängt mit der wachsenden Mobilität, den Speicher- und Zugriffsmöglichkeiten zusammen.
Was sind die wichtigsten Auswahlkriterien bei der Beschaffung einer Lösung für die Festplattenverschlüsselung?
Grundsätzlich ist es wichtig, dass die Lösung „sicher“ und für den Endbenutzer „einfach“ in der Handhabung ist, weiterer wichtiger Aspekt ist Performance und Stabilität.
Wie sicher die Lösung ist, hängt von vielen Kriterien ab, dazu zählen beispielsweise der Verschlüsselungsalgorithmus und die Architektur.
Einfach bedeutet, dass die Verschlüsselung für den Benutzer Transparent sein sollte, hierfür sind „Single-Sign-On“, LDAP-Anbindung usw. hilfreich.
Performance ist gerade bei „Softwareverschlüsselung“ ein Knackpunkt, da jede Verschlüsselung einen Overhead impliziert und damit auch die Akzeptanz der Lösung indirekt beeinflusst.
Wie sicher ist die Festplattenverschlüsselung? Welche Verfahren sind empfehlenswert?
Verschlüsselungsmethoden können proprietär oder offen dokumentiert sein. Propietäre Verschlüsselungsverfahren können potentiell sicherer sein als dokumentierte Standards, da ein Angreifer nicht nur den Schlüssel, sondern auch den Algorithmus knacken muss. Hierbei kann er im Regelfall nicht auf fertige Tools und Verfahren zugreifen. Dies ist jedoch nur eine theoretische Betrachtung, realistisch und empfehlenswert ist der Einsatz von angesehenen Verfahren. Dazu zählen beispielsweise Rijndael / AES (Advanced Encryption Standard), Twofish und 3DES.
Generell gilt eine Verschlüsselungsmethode als sicher, wenn keine Schwachstellen in der Verschlüsselungsmethode bekannt sind und die Verschlüsselung nicht in angemessener Zeit zu knacken ist. Der AES Standard ist in den USA für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen und gilt somit als empfehlenswert.
Wie effektiv ist die Festplattenverschlüsselung eines Notebooks bei einer Geschäftsreise in die USA? Wie können die Daten geschützt werden, wenn der Zoll bei der Einreise feststellt, dass die Festplatte verschlüsselt ist und den Geschäftsreisenden bittet die Daten zu entschlüsseln?
Hier sollte man sich fragen, ob es sinnvoll ist sich den staatlichen Kontrollstellen zu widersetzen, rein technisch gibt es hierzu verschiedene Möglichkeiten Informationen zu verbergen.
Ein bekanntes Konzept hierzu ist das sogenannte „Konzept der glaubhaften Abstreitbarkeit“, engl. „plausible deniability“. Hier werden Daten im freien Speicherplatz eines verschlüsselten Volumens versteckt. Ein Nachweis ist schwer möglich, dies gilt aber auch für den Gegenbeweis, dass ein solches Versteck nicht vorliegt!
Lässt sich die Festplattenverschlüsselung mit anderen Systemen kombinieren? Was bringt das?
Es gibt eine ganze Reihe von Kombinationsmöglichkeiten, z.B. Integration mit „Smart card Authentizierung“, „Single Sign On“ usw. Ziel ist es die Lösung so transparent wie möglich zu gestalten.
Was passiert, wenn ein Benutzer das Passwort für eine verschlüsselte Festplatte vergessen hat? Gibt es die Möglichkeit für eine Art administrativen Master-Key?
Ja, die Möglichkeit Keys zu Recovern gibt es und dies sollte man gerade in Unternehmenslösungen kritisch betrachten. Generell kann der Helpdesk des Unternehmens mit vergleichbar vielen Anfragen rechnen, wie zu einem vergessenen Anmelde-Passwort. Augenmerk sollte man hier auf die Übermittlung des neuen Schlüssels setzen. Wie wird dieser übermittelt, ist hierzu eine Onlineverbindung notwendig usw.
Welchen Beitrag leistet die Festplattenverschlüsselung zur Einhaltung von Compliance-Richtlinien? Welche Anforderungen ergeben sich daraus für das Management und die Administration?
Verschlüsselung von Datenträgern ist ein wichtiger Beitrag zur Einhaltung von Compliance-Richtlinien. Unabhängig davon ob dies vom Gesetzgeber vorgegeben ist oder ob dies Teil der eigenen Unternehmensrichtlinie ist. Wichtig ist das dem Management und der Administration die Bedeutung des Themas bewusst ist bzw. welche Folgen ein Datenverlust für das Unternehmen hat.
Wie kann die Festplattenverschlüsselung mit IT-Security-Maßnahmen in einem Unternehmen abgestimmt werden?
Datenträgerverschlüsselung wird meist nicht allein sondern als Teil der Unternehmensweiten „Data Lost Prevention“ Richtlinie umgesetzt. In der Betrachtung geht es zunächst um die Betrachtung der schützenswerter Daten. Nach entsprechender Klassifikation bzw. Risikoeinschätzung kann man anhand der Ergebnisse und Vorgaben eine passende Lösung auswählen und umsetzen.
Erfordert der Einsatz von Festplattenverschlüsselung eine Änderung/Anpassung der IT-Infrastruktur bzw. welche Auswirkung hat eine Änderung der IT-Infrastruktur, insbesondere der Speicher-Infrastruktur, auf die Verschlüsselungs-Strategie?
Idealerweise sollte sich die Verschlüsselungsstrategie ohne größere Änderung der Infrastruktur einbinden lassen. Dies ist meist problemlos möglich, es bringt aber in einigen Teilbereichen Änderungen mit. Bedenken sollte man, dass sich verschlüsselte Daten bei der Ablage, Backup usw. anders verhalten als unverschlüsselte Daten. Während sich unverschlüsselte Daten zumeist einfach indizieren, deduplizieren und komprimieren lassen ist dies bei verschlüsselten nicht ohne weiteres möglich. Eine sorgfältige Planung ist hier wichtig.
Welchen Administrationsaufwand ziehen die einzelnen Lösungen nach sich?
Generell ist jede Verschlüsselung ein Zusatzprodukt und bringt somit einen gewissen Administrationsaufwand mit. Bei der Auswahl einer Unternehmenslösung ist die Zentrale-Administrationsmöglichkeit ein wichtiger Punkt. Richtlinien sollten also zentral verwaltet werden und deren Durchsetzung über ein entsprechendes Reporting auszuwerten sein.
Wie sieht ein optimales Schlüssel-Management aus? Was ist dabei zu beachten?
Die zentralisierte Verwaltung der Schlüssel über das gesamte Unternehmen hinweg ist eine wichtige Disziplin der ausgewählten Lösung. Sie sorgt dafür, dass Informationen gut gesichert und im Verlauf ihres Lebenszyklus jederzeit zugänglich sind. Bei der Auswahl sollte man darauf achten, dass diese entsprechend flexibel und skalierbar sind.
Kann man die vertraulichen Daten vor neugierigen Blicken des Administrators schützen? Gibt es die Möglichkeit Administration und freien Datenzugriff voneinander zu trennen?
Ein gern gefragtes Thema. Generell gibt es hierzu, unabhängig von der Verschlüsselung, geeignete Methoden und Maßnahmen. Die Verschlüsselung ist nur eine Komponente, die den Zugriff auf vertrauliche Informationen für nicht autorisierte erschwert und im Idealfall verhindert.
Helmut Schmitz, Consultant bei der TIM AG
www.tim.de
Autor: Helmut Schmitz
All-About-Security Artikel bookmarken
