Verschlüsselung mit Bordmitteln, Hardware und Software Der Weg zur verschlüsselten Festplatte

Autor / Redakteur: Oliver Schonschek, IT-Fachjournalist und IT-Analyst / Stephan Augsten

Festplatten und andere Speichermedien lassen sich auf unterschiedliche Art und Weise verschlüsseln. Trotzdem wird auf eine Verschlüsselung der Datenspeicher allzu oft verzichtet, meist weil die Anwender den vermeintlichen Aufwand scheuen. Im Folgenden stellen wir die verschiedenen Ansätze vor.

Firma zum Thema

Im Unternehmen sollte die Festplattenverschlüsselung zum Pflichtprogramm gehören.
Im Unternehmen sollte die Festplattenverschlüsselung zum Pflichtprogramm gehören.
(Bild: Jiri Hera - Fotolia.com)

Verschlüsselung verursacht Kosten – und ein Großteil davon lässt sich tatsächlich auf den Aufwand der IT-Abteilungen und der Anwender beim Betrieb verschlüsselter Festplatten zurückführen. Dies geht beispielsweise aus der Ponemon-Studie „The True Cost for Full Disk Encryption” hervor.

Dieser zeitliche Aufwand ist es auch, der maßgeblich dazu führt, dass die Festplatten in Desktop-Computern und Notebooks häufig nicht verschlüsselt sind. Die Konsequenzen bleiben nicht aus: Die befragten Unternehmen gaben an, dass mehr als ein Drittel ihrer gestohlenen Desktops oder Laptops unverschlüsselte sensible Daten enthielten.

Bildergalerie

Damit die gespeicherten Daten verschlüsselt werden, reicht es meist nicht aus, die Nutzer zu motivieren oder zu ermahnen. Entscheidend sind Verschlüsselungslösungen, die ohne Zutun des Nutzers verfügbar sind und so weit wie möglich automatisch arbeiten.

Hierfür stehen sowohl die Bordmittel der Betriebssysteme als auch spezielle Software- oder Hardware-basierte Lösungen zur Verfügung.

1. Verschlüsselung über das Betriebssystem

Unter Windows 7 Ultimate und Enterprise sowie Windows 8 Pro und Enterprise können Anwender die Laufwerksverschlüsselung BitLocker nutzen. Dieses interne Verschlüsselungstool lässt sich über den BitLocker-Laufwerkverschlüsselungs-Assistenten oder einfach in den Systemeinstellungen aktivieren. Auch mobile Datenträger wie USB-Sticks können mit BitLocker verschlüsselt werden (BitLocker to Go).

Unternehmen sollten es allerdings nicht den Nutzern überlassen, die Windows-Funktion zu aktivieren. Die Konfiguration von BitLocker sollte mit entsprechenden Skripts automatisiert werden. Zudem lassen sich Gruppenrichtlinieneinstellungen aktivieren, so dass Laufwerke durch BitLocker geschützt werden müssen, bevor ein durch BitLocker geschützter Computer Daten auf die Laufwerke schreiben kann. Im Falle älterer Windows-Versionen und NTFS-Dateisysteme kann EFS (Encrypted File System) zur Verschlüsselung genutzt werden.

Apple liefert Mac OS X Lion oder Mountain Lion mit FileVault 2 aus. Damit ist es möglich, sowohl die komplette Festplatte eines Apple-Endgerätes als auch einen Wechseldatenträger zu verschlüsseln. Auch FileVault 2 muss erst aktiviert werden, so dass Unternehmen dies in der Basiskonfiguration vorsehen sollten. Ubuntu und viele andere GNU/Linux-Distributionen bieten mit Full Disk Encryption (FDE) ebenfalls eine Möglichkeit zur verschlüsselten Datenspeicherung, die ausgewählt werden kann.

Die Verschlüsselungsfunktionen der Betriebssysteme unterstützen jeweils die dem OS untergeordneten (virtuellen) Laufwerke. Bei Endgeräten, die nicht über die Betriebssysteme und damit die genannten Funktionen für das Verschlüsseln von Datenträgern verfügen, können andere Lösungen die Vertraulichkeit der Daten schützen.

2. Verschlüsselung mit Software-Lösungen

Viele Anwendungen bieten integrierte Verschlüsselungsfunktionen, zum Beispiel Office- oder ZIP-Programme. Dies sind allerdings Insellösungen für spezielle Dateiformate. Um interne Festplatten und mobile Datenträger zu verschlüsseln, gibt es spezielle Verschlüsselungslösungen wie TrueCrypt, Steganos Safe, SecurStar DriveCrypt, DriveLock Full Disk Encryption, Secude FinallySecure Enterprise und fideAS file enterprise. Diese verschlüsseln ganze Partitionen bzw. (virtuelle) Laufwerke und Datenträger.

Unternehmen sollten darauf achten, dass von der Verschlüsselungssoftware der Wahl alle eingesetzten Betriebssysteme unterstützt werden. Im Idealfall läuft die Verschlüsselung automatisiert ab, kann also erzwungen werden, und bietet bei erhöhtem Schutzbedarf auch eine Zwei-Faktor-Authentifizierung.

Secude FinallySecure Enterprise unterstützt beispielsweise auch Mac OS X, fideAS file enterprise bietet einen File Encryptor für Linux und DriveLock Full Disk Encryption erlaubt die Verwendung von Security-Tokens und Single-Sign-On (SSO). Securstar DriveCrypt wiederum kann mit der DriveCrypt Plus Pack Enterprise Edition zentral administriert werden, um die Verschlüsselung einheitlich vorzuschreiben.

Für USB-Speichermedien gibt es spezialisierte Anwendungen wie Protectorion To Go oder EasyLock von Endpoint Protector. Solche Verschlüsselungslösungen werden vom Anwender direkt z.B. auf dem USB-Stick installiert. Auf dem Markt erhältlich sind aber auch Datenspeicher, die bereits ab Werk mit einer Verschlüsselungslösung bestückt sind.

3. Vorkonfigurierte Speicher und hardwarebasierte Verschlüsselung

Mobile Festplatten und USB-Sticks, die bereits mit einer integrierten Verschlüsselungssoftware ausgeliefert werden, ersparen den Anwendern den Schritt, selbst eine entsprechende Anwendung zu beschaffen und zu installieren. Beispiele für derartige Datenträger sind Safe To Go von Prosoft und G&D, USB-Speicher von LaCie mit LaCie Private-Public und Speichermedien von Digittrade. Solche Lösungen bieten zum Teil ebenfalls die Möglichkeit, den Schlüssel um weitere Schutzfaktoren zu ergänzen, um Unbefugten die Entschlüsselung zu erschweren.

Der IndependenceKey von Quantec verfügt über einen Krypto-Chip und kann als Verschlüsselungselement zum Beispiel mit USB-Speichermedien verbunden werden. Die Daten auf den USB-Speichern können dann nur mittels IndependenceKey und Kennworteingabe entschlüsselt werden.

Je nach Endgerät kann auch eine interne, hardwarebasierte Verschlüsselung zum Einsatz kommen, wenn ein TPM-Chip vorhanden ist. In dem Trusted Platform Modul (TPM) werden dann die für das Entschlüsseln notwendigen Schlüssel verwahrt.

Fazit: Verschlüsselung ist kein Aufwand, sondern Pflicht

Verschlüsselungslösungen sollten dem Anwender möglichst vorinstalliert und konfiguriert bereitgestellt werden. Wenn der User nur ein sicheres Passwort wählen muss, sinkt der Aufwand für die Datenverschlüsselung bei Festplatten und anderen Speichermedien deutlich.

Bleibt noch der geringe zeitliche Aufwand durch die Ver- und Entschlüsselung. Dieser ist gerechtfertigt und sollte gar nicht erst zur Debatte stehen: Rechtlich gesehen ist Verschlüsselung bei entsprechendem Schutzbedarf Pflicht, wie zum Beispiel das Bundesdatenschutzgesetz betont.

(ID:42377738)