Festplattenverschlüsselung Teil 1: Devices
Mit der Verbreitung von BYOD (Bring Your Own Device) rückt die Frage nach der Sicherheit von Geschäftsdaten und damit deren Verschlüsselung in den Fokus. Ein kleiner Überblick.
Obwohl erst der BYOD-Trend bei den CEOs die Angst um ihre Geschäftsdaten so richtig entfacht, hat das Thema „Sicherheit und Verschlüsselung" eigentlich schon viel früher höchste Priorität verdient. Denn jegliche Möglichkeiten, die Zugriffe auf kritische Geschäftsbereiche zulassen, sollten schon von Anfang an minimiert oder zumindest abgesichert werden. Die Schlupflöcher für sensible Daten reichen vom banalen Geschäftslaptop über das auch privat genutzte Geschäftshandy bis hin zu externen Speichergeräten und dem klassischen E-Mail. Nicht zu vergessen sind auch die immer populärer werdenden Cloud-Dienste wie Dropbox & Co sowie private Arbeitsgeräte in jeglicher Form. Das Thema ist weitläufig und wir beschränken uns in diesem Artikel auf die Verschlüsselung von Festplatten und USB-Sticks.
Komplett-Verschlüsselung per Software
Die sicherste Art der Verschlüsselung ist die Komplett-Verschlüsselung des gesamten Datenträgers mit einer Open Source-Software, die von namhaften Experten einem Audit unterzogen wurde. Bei dieser Methode wird jeweils der ganze Datenträger (ausser Boot-Partition bei Systemplatten) inklusive Leerbereich verschlüsselt und es ist somit kaum möglich, irgendwelche Rückschlüsse auf die eigentlichen Nutzdaten zu ziehen. Im laufenden Betrieb sieht das Betriebssystem jedoch nur unverschlüsselte Daten und es funktionieren somit alle gängigen Programme und Tools. Als Alternative stehen auch diverse kommerzielle Programme zur Verfügung, bei deren Einsatz man jedoch dem Hersteller vertrauen muss, dass er keine Sicherheitslücken verschweigt oder irgendwelche Hintertüren eingebaut hat.
Teil-Verschlüsselung per Software
Die Teil-Verschlüsselung gleicht der Komplett-Verschlüsselung bis auf ein kleines Detail: Unbenutzte Bereiche werden nicht verschlüsselt. Dies kommt vor allem bei der Zeitdauer der Erstverschlüsselung und beim Wear Leveling von SSD-Platten zum Tragen. Allerdings ist in diesem Fall zu beachten, dass das Betriebssystem nicht ungewollt unverschlüsselte Bereiche für temporäre Auslagerungen benutzt und somit unfreiwillig Daten(-reste) freigegeben werden.
Verschlüsselung der Benutzerdaten per Software
Eine weitere Möglichkeit ist die Verschlüsselung von reinen Benutzerdaten. Diese beschränkt sich entweder auf alle Daten des Benutzers, auf einen bestimmten Ordner oder einen vordefinierten Container, der als Ablage für sensitive Daten verwendet wird. Diese Verschlüsselungsart kann von den Benutzern auch unabhängig oder zusätzlich zu den Geschäftsvorgaben und einer Komplett-Verschlüsselung eingesetzt werden. Jedoch gilt auch hier und zwar noch viel stärker: Temporäre Daten können jederzeit von jedem, der Zugriff auf das Gerät oder die Festplatte hat, unverschlüsselt eingesehen werden.
Verschlüsselung per Hardware
Als Alternative zu einer software-mässigen Komplett-Verschlüsselung existiert die Verschlüsselung auf Hardwareebene, wie sie einige Hersteller direkt in ihren Produkten anbieten. Hierbei übernimmt der Datenträger die Aufgabe der Verschlüsselung automatisch. Diese an sich für die Sicherheit und Performance des Datenträgers gute Idee, wurde leider in der Vergangenheit schon oft durch eine schlechte Implementierung wieder zunichte gemacht. Deshalb gilt auch hier: Man muss dem Hersteller bedingungslos vertrauen.
Risiken und Nebenwirkungen
Egal, welche Verschlüsselungsart man schliesslich wählt, stets sollte man sich der entsprechenden Risiken bewusst sein:
- Existieren unverschlüsselte Bereiche, ist es gut möglich, dass dort sensitive Daten temporär ausgelagert werden und somit wieder in den öffentlichen Zugriffsbereich gelangen.
- Bei älteren SSDs kann je nach gewählter Art die Geschwindigkeit darunter leiden (Wegfall von TRIM & Wear Leveling).
- Verliert man das Passwort, sind die Daten weg. Ausser man hat seinen Recovery-Key sicher aufbewahrt oder er wurde Domain-seitig gesichert.
- Verschlüsselung nützt nichts gegen Trojaner und kaputte Daten, ein Backup ist stets zu empfehlen.
Weiterführende Links
- TrueCrypt (wird nicht weiterentwickelt, diverse OS): www.heise.de/download/truecrypt.html
- VeraCrypt (diverse OS): veracrypt.codeplex.com
- BitLocker (Windows): technet.microsoft.com/en-us/library/cc732774.aspx
- Encrypting File System (EFS) (Windows): technet.microsoft.com/en-us/library/cc700811.aspx
- FileVault 2 (Mac OS X): support.apple.com/de-ch/HT204837
- LUKS (Linux): en.wikipedia.org/wiki/Linux_Unified_Key_Setup