Wann und warum macht Festplattenverschlüsselung Sinn?

 

Verschlüsselung macht immer dort Sinn, wo Daten besonders exponiert sind bzw. geschützt werden müssen. Da praktisch jedes Unternehmen schützenswerte Daten vorzuweisen hat, ist auch in jedem Unternehmen (und bei jedem Heimanwender) Datenverschlüsselung sinnvoll.

Welche Funktionalitäten sind bei einer Festplattenverschlüsselungslösung unverzichtbar?

 

• PreBoot Authentifizierung und permanente Verschlüsselung

• Zentrale Verwaltung der verschlüsselten Rechner

• Leichte Verwaltbarkeit der Lösung

• Integration der Verwaltungsoberfläche der Lösung in bestehende Systeme

Was halten Sie von den „hauseigenen“ Verschlüssselungs-Optionen, die in     Betriebssystemen wie Windows, MACOS X und Linux/BSD integriert sind? Wie grenzen sich diese von Zusatzprodukten für HD-Verschlüsselung ab?

 

 „Hauseigene“ Verschlüsselungslösungen sind meist auf ein einziges Betriebssystem (Microsoft z. B. nur für Microsoft Betriebssysteme und hier auch nur die neueren) beschränkt. Sie sind zum Teil Beiwerk zum jeweiligen Betriebssystem und stehen auch nicht im Fokus der Entwicklung des Betriebssystemherstellers.
Kunden mit mehreren genutzten Betriebssystemen sind mit solchen Insellösungen nicht in der Lage, eine zentrale, systemübergreifende Verwaltung zu realisieren. Aus diesem Grund bieten sich unabhängige Lösungen an.

Welchen Stellenwert räumen Sie freien (Open Source/GPL) Projekten wie Truecrypt oder PGPdisk?

 

Für Unternehmen sind „Freie“ oft problematisch, da keine definitiven Aussagen über „Haltbarkeit“ oder „Zuverlässigkeit“ gegeben werden können. Auch wird oft kein qualifizierter Support geliefert.
Für Privatanwender sind diese Lösungen durchaus eine Alternative zu kommerzieller Software. Allerdings spielen in Firmen Punkte wie zentrale Verwaltung, Wiederherstellbarkeit der Daten, Zugriff auf den Rechner bei vergessenem Passwort und Schlüsselhinterlegung eine wichtige Rolle. Diese Punkte können nur mittels zentraler Verwaltung sinnvoll realisiert werden.

Was sollten Anwender einsetzen, wenn sie Festplatten verschlüsseln? Software- oder  Hardwareverschlüsselung? Wann macht welche Lösung Sinn?

 

Herstellerübergreifende Verwaltung von Verschlüsselungslösungen ist nur mit Softwareverschlüsselung sinnvoll machbar. Beim Wechsel des Rechners bzw. Austausch von Komponenten ist eine Softwarelösung deutlich flexibler. Eine leistungsfähige Software-Lösung ist z.B. die Symantec Endpoint Encryption
Hardwarebasierte Verschlüsselung ist auf Geräten sinnvoll, die sehr viele Daten in sehr kurzer Zeit verschlüsseln müssen. Dies können zentrale Verschlüsselungslösungen z.B. für das SAN (Data At-Rest) aber auch und insbesondere für Daten in Bewegung z.B. über iSCSI (Data IN-Flight) sein.
Eine Leistungsfähige Lösung ist z.B. die DECRU/NetApp DataFort Appliance. 

Gibt es beim Einsatz von Festplattenverschlüsselung einen spürbaren Performanceverlust?

 

Durch zusätzliche Software entsteht immer ein Performance-Verlust. Dieser liegt aber häufig lediglich im einstelligen Prozentbereich. Da PCs mittlerweile die meiste Zeit nicht ausgelastet sind wiegt der Vorteil der universellen Einsetzbarkeit der softwarebasierten Verschlüsselungslösungen den Nachteil des Performance-Verlustes mehr als auf.

Existiert eine Recoverymöglichkeit, wenn der Anwender das Passwort vergisst?

 

Eine gute Verschlüsselungslösung bietet eine zentrale Wiederherstellungsmöglichkeit des Passwortes mit Hilfe z. B. eines HelpDesk-Mitarbeiters. Zusätzlichen Nutzwert und eine Entlastung der Hotline sind Verfahren, bei denen sich der Benutzer selbst helfen kann. 

Kann die PreBoot-Authentifizierung an die Windowsanmeldung gekoppelt werden, so dass der Anwender nur ein Passwort zur Anmeldung verwenden muss? (Single Sign On)

 

Dies ist bei professionellen Lösungen möglich.

Wenn ja, was muss dabei angepasst werden?

 

Dies ist abhängig von der Flexibilität und Integrationsfähigkeit des Produkts, bei Lösungen wie z.B. Symantec Endpoint Encryption ist dies eine Konfigurationsoption der Verschlüsselungssoftware.

Was sind die Vorteile von virtuellen geschützten Laufwerken gegenüber Festplattenverschlüsselung?

 

Die Vorteile liegen in der Möglichkeit diese Laufwerke zu verstecken, so dass Sie nicht entdeckt werden können. Der Nachteil liegt in der Handhabung dieser Laufwerke und der höheren Verschlüsselungsleistung. Für Firmen müssen Daten in der Regel nicht versteckt werden, es reicht, wenn der Angreifer sieht, dass er nicht auf die Daten zugreifen kann.

Warum ist es sinnvoll unterschiedliche und mit separaten Passwörtern geschützte Laufwerke anzulegen?

 

Wird die Verschlüsselung auf einem Laufwerk geknackt, bleiben die Daten auf dem anderen Laufwerk immer noch geschützt. Zudem kann hier mit unterschiedlichen Verschlüsselungsalgorithmen gearbeitet werden, dies kann zusätzliche Sicherheit bringen.
Ein höherer Sicherheitsbedarf kann dies erfordern, gleichzeitig führt dies in der Praxis zu mehr Komplexität und mehr Fehlern durch vergessene Passwörtern.

Warum dauert Verschlüsselung länger, wenn die ganze Festplatte verschlüsselt wird?

Bei der Verschlüsselung einer kompletten Festplatte werden alle Bereiche auf der Festplatte verschlüsselt, das bedeutet, dass auch die ungenutzten bzw. vermeintlich leeren Bereiche verschlüsselt werden.

Helmut Schmitz, Consultant bei der TIM AG