Wann und warum macht Festplattenverschlüsselung Sinn?

Der Stellenwert von Lösungen zur Festplattenverschlüsselung hat sich vor allem durch den verstärkten Einsatz mobiler Geräte im Unternehmensumfeld deutlich gesteigert. Aufgrund der verbesserten Anbindungsmöglichkeiten, der gestiegenen Leistungsfähigkeit und nicht zuletzt der sinkenden Preise der Mobilgeräte werden berufliche Aufgaben von jedem Ort aus schnell und flexibel erledigt, E-Mails beantwortet oder Dokumente abgerufen. Folglich ist es nicht ausreichend, Daten allein während des Transfers und der Speicherung im Netz zu schützen. Denn mit dem flexibleren remoten Zugriff auf Daten aus dem Unternehmensnetzwerk und den bei den kleinen Tragbaren vorhandenen großen Speicherkapazitäten sind auf mobilen Geräten inzwischen die großen Datenmengen einschließlich sensibler Kunden- und Unternehmensinformationen zu finden, wie zuvor auf den Desktop-PCs.

Allerdings ist bei mobilen Computern und Datenträgern die Gefahr groß, vergessen, liegengelassen oder gestohlen zu werden. Um zu vermeiden, dass wertvolle Firmeninterna auf diesen Wegen in fremde Hände und vor fremde Augen geraten, ist ein durchgängiges Sicherheitskonzept nötig, das Unternehmensdaten auf Mobilgeräten vor Missbrauch schützt. Die Notwendigkeit hierfür machen die Ergebnisse einer aktuellen Studie des Ponemon Institutes zu Datenpannen in deutschen Unternehmen im Jahr 2008 deutlich: Die Untersuchung ergab, dass mobile Geräte rund 28 Prozent der erfassten Fälle von Datenverlusten verursachten.

Welche Funktionalitäten sind bei einer Festplattenverschlüsselungslösung unverzichtbar?

 

Zunächst einmal darf jede Sicherheitslösung - und das schließt Applikationen zur Festplattenverschlüsselung natürlich ein - nicht kompliziert sein. Was ein Anwender, der in den seltensten Fällen ein Computerspezialist ist, nicht versteht oder was für ihn umständlich zu bedienen ist, wird er nicht benutzen. Ebenso wenig wird er eine Applikation verwenden, die die Leistung oder den Funktionsumfang seines Geräts für ihn spürbar negativ beeinflusst. Wichtig ist zudem, dass eine Absicherung mobiler Geräte als Teil eines unternehmensweiten Datenschutzkonzeptes gesehen wird. Entsprechend muss sich die Festplattenverschlüsselung in die übergreifenden Verschlüsselungs- und Sicherheitsrichtlinien integrieren, für den konsistenten Schutz innerhalb der zentralen Verwaltung der Sicherheitsvorgaben manage- und konfigurierbar sein und auch entsprechende Recovery-Funktionen bieten, die bei Bedarf auch offline greifen. Und natürlich, eine Verschlüsselungslösung muss vor allem eines sein: sicher - und zwar von der Anmeldung bis zum Einsatz der Verschlüsselung an sich.

Was halten Sie von den "hauseigenen" Verschlüsselungsoptionen, die in Betriebssystemen wie Windows, Mac OS X und Linux/BSD integriert sind? Wie grenzen sich diese von Zusatzprodukten für HD-Verschlüsselung ab?

 

EFS beziehungsweise BitLocker in der Windows-Welt, dm-crypt für Linux oder FileVault für den Mac, das allerdings nur das Benutzerverzeichnis verschlüsselt, sind für Privatanwender durchaus sinnvoll. Allerdings werden immer wieder Schwachstellen in den Lösungen gefunden, deren Ursachen, wenn es sich um Closed-Source-Software handelt, im Dunkeln bleiben. Im Gegensatz hierzu haben wir für unsere Lösungen, so auch bei PGP Whole Disk Encryption, den Quellcode offengelegt. Weitere Vorteile sind die PreBoot-Authentifizierung sowie die besseren und flexibleren Recovery-Funktionen. Ein Hauptvorteil von Unternehmenslösungen für die Verschlüsselung liegt aber darin, dass die Festplattenverschlüsselung ein Teil einer übergreifenden Gesamtstrategie abdeckt, die betriebssystemübergreifend vom Endgerät über den Netzwerkverkehr bis hin zur Speicherung und zu den Backup-Prozessen reicht. Das schließt das zentrale Management der Verschlüsselungs-Infrastruktur und der entsprechenden Policies mit ein.

Welchen Stellenwert räumen Sie freien (Open Source/GPL) Projekten wie TrueCrypt oder PGPdisk?

 

Ähnlich wie bei den Betriebssystem-internen Verschlüsselungstools ist es für Privatanwender nützlich, dass es Open-Source-Software zur Verschlüsselung gibt. Datensicherheit ist auch im privaten Bereich eine wichtige Angelegenheit. Freie, eher für private Anwender gedachte Verschlüsselungslösungen für Datenträger oder auch für die E-Mail-Kommunikation wie TrueCrypt oder GPG können, werden und sollen auch weiterhin friedlich neben Unternehmenslösungen existieren, die ein zentrales Schlüsselmanagement und die übergreifende Richtlinienverwaltung bieten, die für lückenlose Datenschutzstrategien über eine gesamte IT-Infrastruktur hinweg unabdingbar sind. Übrigens: PGPdisk ist kein Open-Source-Produkt, sondern lediglich kostenfrei zusammen mit anderen PGP-Client-Lösungen einsetzbar, wohl aber wird der Quell-Code aller PGP Lösungen zum anschauen veröffentlicht.

Was sollten Anwender einsetzen, wenn sie Festplatten verschlüsseln? Software- oder Hardwareverschlüsselung? Wann macht welche Lösung Sinn?

 

Leider haben sich insbesondere preisgünstige Festplatten mit integrierter Hardwareverschlüsslung in den Tests diverser Fachzeitschriften als unsichere Kanonisten erwiesen. Wenn sich der Datenträger mangels physischen Zugangsschutzes relativ einfach aus dem Gehäuse ausbauen und etwa via USB ansprechen lässt, bleibt als einziger Schutz die Verschlüsselung des Datenträgers. Hier wird aber oft gespart, zudem lässt sich die Implementierung der kryptographischen Funktionen kaum überprüfen. Und gerade hier wird von einigen Anbietern im Niedrigpreissegment oft Leistung versprochen, die die Hardware-basierte Verschlüsselung dann nicht erbringt. Softwarelösungen haben nicht nur den Vorteil, preisgünstiger zu sein, flexibler zu arbeiten und mehr unterschiedliche Plattformen zu unterstützen, sondern auch Funktionen für das Schlüssel- und Policy-Management bereitzustellen.

Gibt es beim Einsatz von Festplattenverschlüsselung einen spürbaren Performanceverlust?

 

Nein. Natürlich löst der Einsatz einer Festplattenverschlüsselung zusätzliche I/O-Operationen aus. Im Falle von PGP Whole Disk Encryption führen diese nachweislich aber höchstens zu zwei bis drei Prozent Verlangsamung, so dass für den Benutzer keinerlei spürbare Einschränkungen oder Verzögerungen auftreten.

Existiert eine Recoverymöglichkeit, wenn der Anwender das Passwort vergisst?

 

Ja, über das Whole Disk Recovery Token (WDRT) erlaubt PGP Whole Disk Encryption den Anwendern den Zugriff auf ihren Computer auch für den Fall, dass der gespeicherte Schlüssel oder ein zur Authentifizierung verwendetes Passwort verloren oder vergessen wurde. Der Administrator kann hierzu ein einmal verwendbares Wiederherstellungspasswort bereitstellen, um den Zugriff zu ermöglichen. Nachdem dieses temporäre Passwort verwendet wurde, ist es nicht mehr gültig, und ein neues Wiederherstellungspasswort wird für zukünftige Zwecke erzeugt.

Kann die PreBoot-Authentifizierung an die Windowsanmeldung gekoppelt werden, so dass der Anwender nur ein Passwort zur Anmeldung verwenden muss? (Single Sign On)

 

Ja, und zwar ohne Veränderung des Logon-Prozesses von Windows. Die GINA muss also weder modifiziert noch durch eine andere Version ersetzt werden, sondern bleibt wie ursprünglich erhalten. 

Wenn ja, was muss dabei angepasst werden?

 

Nichts, diese Einstellung lässt sich per Policy vorgeben. Am Windows-System selbst ist daher keine Umkonfiguration nötig. 

Was sind die Vorteile von virtuellen geschützten Laufwerken gegenüber Festplattenverschlüsselung?

 

Dass die Daten auch bei einem Backup verschlüsselt sind, da diese auf Dateiebene durchgeführt wird und sich einfach der gesamte Container sichern lässt.

Warum ist es sinnvoll, unterschiedliche und mit separaten Passwörtern geschützte Laufwerke anzulegen?

 

Letztlich bleibt es dem Benutzer überlassen, ob er mehrere verschlüsselte Laufwerke anlegt. Wenn es seinen bisherigen Arbeitsgewohnheiten entspricht, etwa zur Datensicherung einfach ein Laufwerk zu wählen und dies komplett zu sichern, ist es sinnvoll, diesen gewohnten Arbeitsprozess beizubehalten. Die Arbeit, dafür unterschiedliche Passwörter oder Passphrasen anzulegen, lässt sich vermeiden, sofern ein Public-Key verwendet wird, dessen Private-Key mit einem sicheren Passwort geschützt ist oder der auf einer Smartcard beziehungsweise einem Token abgelegt wird.

Warum dauert Verschlüsselung länger, wenn die ganze Festplatte verschlüsselt wird?

Das ist eine Volumenfrage. Bei der Verschlüsselung einzelner Verzeichnisse werden nur die Sektoren verschlüsselt, in denen Daten des betreffenden Verzeichnisses abgelegt sind. Demgegenüber werden bei der Festplattenverschlüsselung alle Sektoren des Datenträgers einbezogen - unabhängig davon, ob dort Daten gespeichert sind oder nicht.

Ingo Wachter, Vorstand PGP Deutschland AG

• Verwandte Themen
• Ab sofort erhältlich: kostenloses Datenverschlüsselungstool Sophos Free Encryption
• 53 Prozent der deutschen Unternehmen mussten mindestens eine Datenpanne innerhalb der letzten zwölf Monate verzeichnen