Verschlüsselt sicher unterwegs



Ähnliche Dokumente
Erstellen der Barcode-Etiketten:

Installation OMNIKEY 3121 USB

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0)

Drucken aus der Anwendung

CD einlegen (Moment warten) Die Aktion markieren, die durchgeführt werden soll. (in diesem Beispiel»Audio-CD-Wiedergabe)

Verschlüsseln von Dateien mit Hilfe einer TCOS-Smartcard per Truecrypt. T-Systems International GmbH. Version 1.0 Stand

icloud nicht neu, aber doch irgendwie anders

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

WinVetpro im Betriebsmodus Laptop

Erste Schritte mit Microsoft Office 365 von Swisscom

Punkt 1 bis 11: -Anmeldung bei Schlecker und 1-8 -Herunterladen der Software

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

Installationsleitfaden kabelsafe backup professional unter MS Windows

Windows Vista Security

Wie halte ich Ordnung auf meiner Festplatte?

Handbuch. NAFI Online-Spezial. Kunden- / Datenverwaltung. 1. Auflage. (Stand: )

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

Installationshinweise für OpenOffice Portable auf einem Wechseldatenträger Stand: 27. März 2003 LS Stuttgart, Kaufmännische ZPG

Installationsanleitung bootfähiger USB-Stick PSKmail v

Installation kitako. Wir nehmen uns gerne Zeit für Sie! Systemanforderungen. Demoversion. Kontakt

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Installation der SAS Foundation Software auf Windows

S/W mit PhotoLine. Inhaltsverzeichnis. PhotoLine

HANDBUCH PHOENIX II - DOKUMENTENVERWALTUNG

TrueCrypt Anleitung: Datenschutz durch Festplattenverschlüsselung

Konfiguration IKMZ / Universitätsrechenzentrum des Cisco VPN-Clients v3.6 Netze und Datenkommunikation

Datensicherung. Beschreibung der Datensicherung

Anleitung über den Umgang mit Schildern

Computeria Solothurn

Lizenzen auschecken. Was ist zu tun?

Anlegen eines DLRG Accounts

Formular»Fragenkatalog BIM-Server«

Terminabgleich mit Mobiltelefonen

NOXON Connect Bedienungsanleitung Manual

Erweiterung AE WWS Lite Win: AES Security Verschlüsselung

Updatehinweise für die Version forma 5.5.5

Benutzerhandbuch - Elterliche Kontrolle

Gruppenrichtlinien und Softwareverteilung

Kurzanleitung Wireless Studenten (Windows 8) BGS - Bildungszentrum Gesundheit und Soziales Gürtelstrasse 42/ Chur

Windows-Sicherheit in 5 Schritten. Version 1.1 Weitere Texte finden Sie unter

Wireless LAN PCMCIA Adapter Installationsanleitung

Mail-Signierung und Verschlüsselung

2) Geben Sie in der Anmeldemaske Ihren Zugangsnamen und Ihr Passwort ein

Installation von Druckern auf dem ZOVAS-Notebook. 1. Der Drucker ist direkt mit dem Notebook verbunden

CodeSaver. Vorwort. Seite 1 von 6

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

iphone- und ipad-praxis: Kalender optimal synchronisieren

Fernzugriff auf das TiHo-Netz über das Portal

Kapitel 3 Bilder farblich verändern - Arbeiten mit Objekten

ecaros2 - Accountmanager

Windows 2000 mit Arktur als primärem Domänencontroller (PDC)

Dokumentenverwaltung im Internet

Synchronisations- Assistent

II. Daten sichern und wiederherstellen 1. Daten sichern

Step by Step Softwareverteilung unter Novell. von Christian Bartl

Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen

Alltag mit dem Android Smartphone

Einstellen der Makrosicherheit in Microsoft Word

Netzwerk einrichten unter Windows

Informations- und Kommunikationsinstitut der Landeshauptstadt Saarbrücken. Upload- / Download-Arbeitsbereich

AutoCAD Dienstprogramm zur Lizenzübertragung

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

Nutzung von GiS BasePac 8 im Netzwerk

Dokumentenkontrolle Matthias Wohlgemuth Telefon Erstellt am

Kurzanleitung fu r Clubbeauftragte zur Pflege der Mitgliederdaten im Mitgliederbereich

FAQ: G DATA EU Ransomware Cleaner

Treppensoftware Programme. Hilfe - 3D Plus Online. konstruieren/präsentieren

Windows 10 - Probleme

- Zweimal Wöchentlich - Windows Update ausführen - Live Update im Norton Antivirusprogramm ausführen

In 15 einfachen Schritten zum mobilen PC mit Paragon Drive Copy 10 und Microsoft Windows Virtual PC

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

BILDER TEILEN MIT DROPBOX

Durchführung der Datenübernahme nach Reisekosten 2011

FTP-Server einrichten mit automatischem Datenupload für

Dokumentation zum Inco- FORM

ANYWHERE Zugriff von externen Arbeitsplätzen

TeamSpeak3 Einrichten

Cisco AnyConnect VPN Client - Anleitung für Windows7

Einrichten einer DFÜ-Verbindung per USB

26. November EFS Übung. Ziele. Zwei Administrator Benutzer erstellen (adm_bill, adm_peter) 2. Mit adm_bill eine Text Datei verschlüsseln

Kurzanleitung RACE APP

Installation der Eicon Diva PCI Karte unter Windows XP

Installationsanleitung Sander und Doll Mobilaufmaß. Stand

Clientkonfiguration für Hosted Exchange 2010

mobilepoi 0.91 Demo Version Anleitung Das Software Studio Christian Efinger Erstellt am 21. Oktober 2005

Tipps und Tricks zu den Updates

LANiS Mailversender ( Version 1.2 September 2006)

Stundenerfassung Version 1.8 Anleitung Arbeiten mit Replikaten

Daten schützen und Daten sichern - wie geht das? Teil 2 - Verschlüsselung ***

BSV Software Support Mobile Portal (SMP) Stand

Node Locked Lizenzierung für Solid Edge V19 bis ST3

Anleitung zur Installation des Printservers

Verschlüsselung mit Thunderbird

Arbeiten mit MozBackup

Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge

Einleitung. Hauptteil. Wir befinden uns nun im Demoarchiv.

Transkript:

ITMAGAZINE Verschlüsselt sicher unterwegs 9. Mai 2008 - Datenverschlüsselung auf mobilen Geräten: Warum braucht es sie? Welche Möglichkeiten gibt es und was ist zu beachten? Es ist noch keine 60 Jahre her, da sagte der damalige IBM-Chef: «Ich glaube, es gibt einen weltweiten Bedarf an vielleicht fünf Computern.» Die Rechenleistung und Speicherkapazität der ersten Computer werden mittlerweile von jedem Smartphone bei weitem übertroffen. Heute sind Laptop, PDA oder Smartphone ständige Begleiter in der Arbeitswelt: Nicht nur Aussendienstmitarbeiter, Techniker und Entscheidungsträger arbeiten mit mobilen Geräten, mittlerweile besitzt der Grossteil der Angestellten einen Laptop oder PDA. Auf den mobilen Geräten sind die gleichen Anwendungen installiert wie auf den einstigen Desktop-PCs. Um die Mobilität der Geräte voll zu nutzen, werden die Dateien lokal gespeichert. Dadurch verlassen diese Daten das Unternehmen, und auf den mobilen Geräten finden sich oft wichtige Unternehmensdaten wie Gehaltslisten, Entwicklungsdaten, Unternehmenszahlen, Verträge und Business-Pläne. Selbst wenn die Sicherheitsrichtlinie des Unternehmens es verbietet, vertrauliche Dokumente auf mobilen Geräten zu speichern, finden sich dennoch wichtige Daten auf der Festplatte: Dokumente, die mit einem lokalen Office-Programm bearbeitet wurden, sind zumindest als temporäre Datei auf einem Laptop zu finden. Die temporäre Datei wird zwar nach dem Bearbeiten gelöscht. Einfache Programme wie Winundelete können solche Dateien aber wiederherstellen. Dies funktioniert übrigens auch mit Dateien, die einfach nur gedruckt wurden, ohne sie vorher lokal zu speichern. Beim Drucken erzeugt der Spooler meist eine Postscript-Datei auf der Festplatte und sendet diese an den Drucker. Nach erfolgtem Druck wird die Datei gelöscht und lässt sich mit genanntem Programm wiederherstellen. Auch die Windows Registry und die Auslagerungsdatei enthalten Daten, unter Umständen sogar Passwörter. Diebstahl und Verlust Bei mobilen Geräten besteht immer die Gefahr des Verlustes. In Londoner Taxis werden beispielsweise 5000 Handhelds, 3000 Notebooks und 900 USB-Sticks pro Halbjahr einfach vergessen. Auch Kriminelle haben es entweder auf die Hardware oder auf die Daten abgesehen. Die Daten eines gestohlenen Gerätes lassen sich auch ohne Kenntnis von Passwörtern mit Hilfe einer Boot-CD oder durch Einbau der Festplatte in ein anderes System auslesen. Aus einem PDA oder Smartphone kann man die Speicherkarte ausbauen und mit einem Cardreader lesen. Für die Unternehmen ist der Hardwareverlust nur ein geringer Schaden. Doch was ist mit den Daten, die auf den Geräten gespeichert sind? Sind Dokumente wie Verträge, technische Entwicklungen oder Business-Pläne abhandengekommen oder zur Konkurrenz gelangt, so lässt sich der finanzielle Schaden sehr schwer abschätzen. Werden Kundendaten veröffentlicht, dann sinkt das Ansehen des Unternehmens drastisch. Der daraus entstandene Schaden lässt sich nicht beziffern. Im Februar 2007 entwendeten Diebe den Bundesrats-Laptop von Doris Leuthard. Glücklicherweise war die Festplatte verschlüsselt.

Festplatte verschlüsselt. Zum Schutz der Daten Daten auf den mobilen Geräten werden am sinnvollsten durch Verschlüsselung geschützt. Schon seit einigen Jahren gibt es Programme, die einzelne Dokumente, Ordner, Partitionen oder die komplette Festplatte verschlüsseln. Den Bereich der Device-Verschlüsselung schauen wir uns nun im Detail an. - Office und Zip-Verschlüsselung: Möglichkeiten zur Verschlüsselung bieten schon Standardanwendungen wie Office und Zip-Programme. Allerdings fehlen hier Passwortverwaltung und ein zentrales Management. - Virtuelle Laufwerke oder Container: Ein spezielles Programm stellt dabei ein virtuelles Laufwerk bereit. Alles, was der Benutzer darin ablegt, speichert das Programm in einer verschlüsselten Datei (dem Container) auf der Festplatte. Sowohl kostenlose wie auch kostenpflichtige Programme sind für diese Art der Verschlüsselung verfügbar. Anwender neigen dazu, Dateien unverschlüsselt zu speichern ausnahmsweise, weil es gerade schnell gehen musste. Gelöschte und temporäre Dateien, die Auslagerungsdatei, die Registry und das Hibernation-File enthalten zudem unverschlüsselte Kopien der Daten, die grundsätzlich vor unberechtigtem Zugriff geschützt werden sollten. - Festplattenverschlüsselung: Sicherer und einfacher in der Handhabung ist die Verschlüsselung der kompletten Festplatte: Bevor das Betriebssystem startet, muss der Anwender zum Beispiel sein Windows-Passwort eingeben. Viele Verschlüsselungsprogramme sorgen dafür, dass die Anmeldung an Windows automatisch mit dem bereits eingegebenen Passwort geschieht. Bei der Festplattenverschlüsselung ist jeder Block des Datenträgers verschlüsselt, auch die Dateien des Betriebssystems. Ein Filtertreiber liest die verschlüsselten Blöcke von der Festplatte, entschlüsselt diese und gibt sie an den Dateisystemtreiber entschlüsselt weiter. Betriebssystem und alle Anwendungen bemerken dadurch gar nicht, dass die Festplatte verschlüsselt ist. Dies bedeutet aber auch, dass die Festplatte nur geschützt ist, wenn der Rechner ausgeschaltet ist oder sich im Suspend-to-Disk / Hibernation Mode befindet (weitere technische Details in der Infobox links unten auf dieser Seite). Aktuelle Produkte verschlüsseln nicht nur die Festplatten, sondern auch USB-Sticks. Die meisten Produkte für Festplattenverschlüsselung sind für Microsoft-Betriebssysteme verfügbar. Nur wenige Hersteller bieten Produkte für Linux und Mac an. Festplattenverschlüsselung und Authentifizierung Windows-Betriebssysteme laden beim Starten viele Treiber und bieten eine Vielzahl an Schnittstellen an. Dadurch ist das Betriebssystem im laufenden Betrieb angreifbar. Ein Mini-Betriebssystem, die Pre-Boot Authentication, schützt vor unberechtigtem Starten des eigentlichen Betriebssystems.

Die Reihenfolge des Boot-Vorgangs einer verschlüsselten gegenüber einer unverschlüsselten Festplatte hat sich wie folgt geändert: Nach dem Einschalten übergibt das Bios an ein Mini-Betriebssystem die Pre-Boot Authentication (PBA). Erst wenn sich der Benutzer hier erfolgreich angemeldet hat, übergibt die PBA den Startvorgang an das eigentliche Betriebssystem. Die meisten Verschlüsselungsprogramme reichen das Passwort an die Windows-Anmeldung durch und ersparen dem Benutzer eine nochmalige Kennworteingabe. Bei der Eingabe des Passwortes besteht die Gefahr, dass neugierige Blicke das Kennwort von der Tastatur mitlesen. Sicherer als die Anmeldung per Passwort ist deshalb beispielsweise eine Zwei-Faktor-Authentifizierung durch PIN und Hardware-Token oder die Identifikation mittels Fingerprint-Reader. Für Unternehmen, die eine automatische Softwareverteilung im Einsatz haben, stellt die Pre-Boot Authentication eine Herausforderung dar, da sie meist einen automatischen Reboot benötigt. Nach dem Neustart ist eine Anmeldung an der PBA notwendig die Softwareinstallation kann nicht fortschreiten. Bei aktuellen Verschlüsselungsprodukten ist der Administrator allerdings in der Lage, festzulegen, wie oft ein System ohne Anmeldung an die PBA booten darf. Notfallszenarien erstellen Verschlüsselungshersteller unterscheiden sich speziell in den Notfallszenarien. Kommerzielle Produkte bieten hier mehr Unterstützung, zum Beispiel wenn Benutzer das Passwort oder den Hardware-Token vergessen haben. Ein Notfallszenario bei vergessenem Passwort ist das Challenge-Response-Verfahren. Dabei gibt der Benutzer einen Code (Challenge) via Telefon an das Helpdesk. Der Helpdesk-Mitarbeiter erzeugt daraufhin einen Response-Code. Mit diesem Code kann der Benutzer das Gerät starten oder ein neues Passwort vergeben. Ein anderes Verfahren sind die sogenannten Recovery Tokens (nicht zu verwechseln mit Hardware-Token). Im zentralen Managementsystem der Verschlüsselungssoftware wird automatisch ein weiteres Passwort hinterlegt. Ein Helpdesk-Administrator kann dieses dann bei Bedarf an den Benutzer übermitteln. Sind Sektoren der Festplatte defekt oder Systemdateien beschädigt, so kann das Betriebssystem meist nicht mehr starten, genau wie bei einem unverschlüsselten System. Hierzu bieten die Hersteller Boot-CDs an, die nach Authentifizierung an der PBA ein Betriebssystem von der CD starten, um auf die Daten zuzugreifen. Smartphones: Stiefkinder der Verschlüsselung? Bei PDAs und Smartphone-Herstellern herrscht ein noch stärkerer Innovationsdruck als bei Laptop-Herstellern. Da ständig neue Bios-, Software- und Hardwarerevisionen auf den Markt kommen, ist es für die Hersteller der Verschlüsselungssoftware fast unmöglich, alle Modelle abzudecken. Die meisten Verschlüsselungsprodukte sind für Windows Mobile 5.0 und 6.0 erhältlich. Der Funktionsumfang dieser Produkte unterscheidet sich recht stark nicht alle können die lokal abgelegten E-Mails und das Adressbuch verschlüsseln. Einige stellen lediglich eine Containerverschlüsselung bereit. Wesentlich weniger Produkte sind für die Datenverschlüsselung auf Symbian und Palm OS verfügbar. Eine Ausnahme stellt das Blackberry OS von RIM dar. Verschlüsselungssoftware für Daten, Adressbuch und E-Mails ist bereits integriert. Daten und Adressbuch lassen sich ohne zusätzliche Kosten verschlüsseln man muss nur den Inhaltsschutz in den allgemeinen Einstellungen unter Sicherheit aktivieren und ein Passwort vergeben. Der E-Mail-Verkehr lässt sich mit einer kostenpflichtigen Lizenz von PGP verschlüsseln.

Zentrales Management Viele Hersteller bieten Verschlüsselungslösungen an. Der Trend geht hier klar in Richtung zentrales Management. Der Vorteil liegt in den niedrigen Betriebskosten: Mit einem zentralen Management lassen sich neben der Festplatten- und PDA-Verschlüsselung auch weitere Verschlüsselungslösungen verwalten. Dies ermöglicht, Daten dort zu schützen, wo sie sich gerade befinden. Folgendes Beispiel soll diesen Ansatz verdeutlichen: Der Unternehmensleiter bearbeitet die Gehaltsliste auf seinem verschlüsselten Laptop. Danach legt er diese auf einem Netzlaufwerk ab. Hier ist es wichtig, dass Administratoren die Dateien zwecks Backup-Erstellung verwalten können, jedoch keine Einsicht in die Inhalte haben. Dieses Problem kann durch Netzlaufwerksverschlüsselung gelöst werden. Anschliessend möchte der Unternehmensleiter die Datei noch seinem Finanzchef sicher via E-Mail zusenden eine E-Mail-Verschlüsselung ist erforderlich. Alle hierzu notwendigen Verschlüsselungsanwendungen werden durch das zentrale Management verwaltet. Tips zur Festplatten-verschlüsselung - Vor Installation der Verschlüsselungssoftware ein Vollbackup durchführen - Datenträger auf Fehler überprüfen (z.b. Scandisk) - Kompatibilität mit Virenscannern und exotischen Festplattentreibern prüfen - Alle eingesetzten Hardware- und Softwareplattformen mit der Verschlüsselungssoftware testen - Prüfen, ob das Verschlüsselungsprodukt das richtige Tastaturlayout wie «Deutsch (Schweiz)» in der Pre-Boot Authentication unterstützt - Die Softwareverteilung mit installierter Festplatten-verschlüsselung testen - Eine Zwei-Faktor-Authentifizierung nutzen Die Benutzer schulen, wie zukünftig die Anmeldung am Arbeitsgerät funktioniert - Prozesse im Helpdesk einführen, damit sich Benutzer telefonisch beim Helpdesk authentifizieren können, um eine Challenge-Response durchzuführen oder einen Recovery-Token zu erhalten. Fazit: Es braucht ein Konzept Die Daten eines Unternehmens sind heute aufgrund der gestiegenen Mobilität nicht mehr nur an einer einzigen Stelle gespeichert. Das Konzept, keine vertraulichen Informationen auf einem Laptop zu speichern, lässt sich nur schwer umsetzen.

Für den richtigen Schutz der Daten ist es unabdingbar, zuerst zu analysieren, was die wichtigen und vertraulichen Daten im Unternehmen sind. Danach ist zu ermitteln, an welchen Orten diese Daten zu finden sind. Hersteller, die die verschiedenen Verschlüsselungslösungen über ein zentrales Management verwalten können, sind zu bevorzugen, da sie die Daten dort verschlüsseln können, wo sie sich befinden. Verschlüsselung bedarf eines Konzeptes. Die verfügbaren Lösungen bieten jedem Unternehmen die Möglichkeit, sensible Daten zu schützen. Funktionsweise der Festplattenverschlüsselung Ein wenig vereinfacht sei hier die Funktionsweise der Festplattenverschlüsselung dargestellt: Jeder Datenblock einer Festplatte wird mit einem symmetrischen Data Encryption Key (DEK) verschlüsselt. Als Algorithmus kommt meist AES mit 128 oder 256 Bit zum Einsatz. Der Data Encryption Key ist mit dem Passwort oder dem Public Key jedes berechtigten Benutzers verschlüsselt. Um den Data Encryption Key zu entschlüsseln, ist daher entweder ein zugehöriger Private Key oder das Passwort eines Benutzers notwendig. Erst wenn das Entschlüsseln des Data Encryption Key gelingt, übergibt die Pre-Boot Authentication den Startvorgang an das eigentliche Betriebssystem. Sicherheit von Windows-Passwörtern Windows XP speichert standardmässig alle jemals lokal eingegebenen Benutzerkennworte als LanManager- und NT-LanManager-Hash in der lokalen SAM-Datenbank ab. Mit einer einfachen Boot-CD wie ophcrack lassen sich aus den gespeicherten Hash-Werten die meisten Passwörter aller jemals lokal angemeldeten Benutzer wiederherstellen auch das Passwort des Domain-Admin, falls er einmal lokal angemeldet war. Per Gruppenrichtlinie lässt sich unterbinden, dass unsichere LM- und NT-LM-Hashs lokal gespeichert werden. Auch eine vollständige Festplattenverschlüsselung schützt vor diesem Angriff. Der Autor Thomas Kretzschmar ist Technical Account Manager bei Infinigate (Schweiz) AG. Copyright by Swiss IT Media 2016

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback