Februar 2017 - mocotel

1×1 der IT-Sicherheit – Verschlüsseln mit Konzept

Feb 23, 2017 | IT-Ratgeber

Ein positiver Nebeneffekt des Wahlsieges von Donald Trump ist, dass sich neuerdings Verschlüsselungs-Tools besonderer Beliebtheit erfreuen. Dass die Datenverschlüsselung auch unabhängig vom jeweiligen US-Präsidenten eine gute Idee ist, liegt aber auf der Hand: Denn nur ein sinnvolles Verschlüsselungskonzept vermag es, die Sicherheit kritischer geschäftlicher oder privater Daten zu gewährleisten.

Unabhängig von einer eher wagen Angst der Cyberspionage mach Verschlüsselung aus verschiedensten Gründen Sinn: Bei gemeinsam genutzten Computern, können so wichtige Daten für die Mitbenutzer unlesbar bleiben. Das gilt natürlich erst Recht bei Personen, die unberechtigt auf den Rechner zugreifen. Sollten PCs, Notebooks, Smartphones, Festplatten, USB-Sticks oder andere Speichermedien gar gestohlen werden oder verloren gehen, so ist durch eine professionelle Verschlüsselung die Gefahr gebannt, dass kritische Daten in falsche Hände geraten.

Vorüberlegungen zur Verschlüsselung

Als ersten Schritt sollte klar sein, vor wessen Zugriff überhaupt die beabsichtigte Verschlüsselung schützen soll? Dabei sollte immer klar sein, dass die Verschlüsselungstechniken – egal ob bei Festplatten oder anderen Datenspeichern – Daten durch ihr Funktionsprinzip nur im ausgeschalteten Zustand schützen. In dem Moment, in dem ein Passwort die Entschlüsselung aktiviert, sind die Daten wieder lesbar, als wären sie nicht verschlüsselt und das gilt unter Umständen natürlich auch für andere Anwender im jeweiligen Netz oder am Device selbst.

Unabhängig von der letztlich eingesetzten Methode muss jedem auch klar sein, dass es in der Praxis immer auch Sicherheitslücken gibt. Selbst das ausgeklügelste Verschlüsselungsverfahren kann also keine absolute Sicherheit garantieren. Verfahren, die heute noch als sicher gelten, könnten in Zukunft leicht zu kompromittieren sein. Insbesondere die wissenschaftlichen Fortschritte im Bereich der Kryptographie sorgen immer wieder für neue und höhere Ansprüche an die Verschlüsselungssysteme.

Kryptographie für Jedermann

Die Kryptographie als Wissenschaft für die Verschlüsselung von Informationen ist für viele ein Buch mit sieben Siegeln. Dabei lassen sich die Grundprinzipien relativ leicht verstehen:

Ein Verschlüsselungsverfahren bestehen immer aus den beiden Elementen „Schlüssel“ und „Vorschrift“. Durch die „vorschriftsgemäße“ Anwendung des „Schlüssels“ auf die zu verschlüsselnden Informationen werden diese verschlüsselt. Kehrt man diesen Prozess – ebenfalls „vorschriftsgemäß“ unter Anwendung des „Schlüssels“ – wieder um, so werden die Informationen wieder entschlüsselt.

Generell verfolgt die Kryptographie folgende Minimalziele:

Verschlüsselung und Entschlüsselung von Informationen muss bei bekanntem Schlüssel einfach sein.
Ohne Schlüssel dürfen die verschlüsselten Informationen selbst bei Rückgriff auf große Ressourcen und der Bekanntheit des Verschlüsselungsverfahrens nicht entschlüsselbar sein.

Moderne Verschlüsselungsmethoden bieten auch gegen Angreifer mit sehr weitreichenden Möglichkeiten ein hohes Maß an Sicherheit. Genannt sei hier beispielsweise der weit verbreitete Advanced Encryption Standard (AES). Der AES ist das Ergebnis eines öffentlichen Prozesses. Er wird kontinuierlich von auf kryptographische Schwächen hin untersucht und er weist nach dem derzeitigen Stand der Forschung nur in sehr abgeschwächten Varianten kryptographische Schwachstellen auf. Aus diesem Grunde stellt er in vielen Systemen eine wichtige Komponente dar. Natürlich existieren daneben auch andere Verschlüsselungsverfahren auf vergleichbar hohem Sicherheitsniveau.

Vertrauen ist gut, Kontrolle ist besser

Verschlüsselungsverfahren leben letztlich von dem Vertrauen, dass man in sie setzen kann. Immer wieder geistern Gerüchte über mögliche Hintertüren in verschiedenen Kryptographieprogrammen durch die Medien und Öffentlichkeit. So könnte beispielsweise bei nicht öffentlichen Verschlüsselungslösungen ein „ Generalschlüssel“ existieren, der Zugriff auf alle verschlüsselten Informationen gewährt. Deshalb gelten als vertrauenswürdig in der Regel nur Methoden und Programme, deren Funktionsweisen offen liegen.

Wichtig zu wissen

Grundsätzlich darf nicht vergessen werden, dass jede vernünftige Verschlüsselung immer auf Kosten der Leistung geht. Das Datenver- und -entschlüsseln erfordert zusätzliche Rechenkapazität und damit auch mehr Energieaufwand. Daher sind die Auswirkungen in der Praxis je nach Größe der verfügbaren Rechnungskapazitäten größer oder kleiner. Bei leistungsschwachen Rechensystemen kann daher eine Verschlüsselung das System spürbar verlangsamen.

Sie sollten auch wissen, dass die Verschlüsselung an sich niemals zu 100 Prozent das Auslesen von Informationen verhindern kann. Denn in laufenden Umgebungen geistern immer auch unverschlüsselte Informationen umher. Ist z.B. nur eine Partition der Festplatte oder nur ein spezieller Ordner verschlüsselt, so können verschiedene Anwendungen eigentlich verschlüsselte Dateien beim Öffnen entschlüsseln und in temporären Ordnern auf unverschlüsselten Bereichen „zwischenspeichern.“ Im Hauptspeicher eines Computers befinden sich die dortigen Daten ebenfalls im unverschlüsselten Zustand und auch dieser kann damit auch ohne Schlüssel ausgelesen werden. Über die genannten Schwachstellen hinaus existieren noch weitere Einfallstore, die mögliche Angreifer nutzen könnten.

Risiko Passwort

Effektiv setzen viele Verschlüsselungsmethoden auf Passwörter. Ist das Passwort bekannt, so können hinterlegte, kryptographische Schlüssel oft problemlos ausspioniert werden. Die Verwendung sicherer Passwörter ist also essentiell.

Selbst die sichersten Passwörter können aber kompromittiert werden: So können sogenannte „Tastaturtracker“ die Eingaben aufzeichnen und an unberechtigte Dritte weitergeben; oder das Passwort wird einfach abgeschaut; beliebt ist auch immer wieder – so trivial das klingen mag – der Post-It mit dem Passwort am Bildschirm.

Bedenken Sie also immer: Keine Verschlüsselungslösung ist perfekt. Deswegen sollten auch verschlüsselte Systeme mit Virenscannern, Firewall und regelmäßigen Updates vor Angriffen jeglicher Art geschützt werden. Eine sichere Verwahrung aller Schlüssel und Passwörter zum Schutz vor Dieben muss ebenfalls lückenlos gewährleistet werden.

Sehr wichtig ist hier zudem ein Backup: Sicherheitskopien der Schlüssel sollten möglichst an entfernten Orten abgelegt und unter Verschluss gehalten werden. Nur so kann trotz des Verlustes eines Schlüssels oder Passwortes (etwa durch einen Defekt, Brand, Diebstahl oder ähnliches) der Zugriff auf die Daten gewährleistet werden.

Verschlüsselung mit dem Betriebssystem Windows

Unter Windows steht mit dem Encrypted File System (EFS) eine Verschlüsselungslösung für das Dateisystem NTFS bereit. Überprüfen Sie, mit welchem Dateisystem sie arbeiten, indem sie die Eigenschaften ihres Datenträgers aufrufen:

Klicken Sie auf Windows-Explorer. Wählen Sie dann den Buchstaben Ihres Laufwerks (meistens „C:“) und klicken dann auf die rechte Maustaste um in das Menü Eigenschaften und das Untermenü Allgemein zu gelangen.

Minimalanforderung für EFS ist Windows XP mit Servicepack 1; Einzelheiten erfragen Sie am besten bei Microsoft direkt: https://support.microsoft.com/de-de

st Ihr Windows EFS geeignet, so lassen sich mit dem Rechtsklick auf Dateien und/oder Ordner die jeweiligen Eigenschaften aufrufen. Unter dem Menüpunkt Allgemein findet sich der Unterpunkt Erweitert, unter dem sich die Verschlüsselungsmöglichkeit verbirgt.

Setzt man dort das Häkchen, so werden die ausgewählten Ordner und/oder Dateien so verschlüsselt, dass sie nur vom Benutzer geöffnet werden können, der sie verschlüsselt hat. Andere Benutzern wird eine Fehlermeldung beim Zugriff angezeigt, wenn sie von ihrem Konto aus zuzugreifen versuchen. Eine Zugriffsteuerung für unterschiedliche Benutzer ist möglich. Einzelheiten hierzu für Ihr jeweiliges Betriebssystem erfragen Sie wieder am besten direkt bei Microsoft (Link, siehe oben).

Wichtig! Die durch Windows automatisch generierten Schlüssel und Zertifikate können bei Datenverlust oder Neuinstallation abhanden kommen. Sichern Sie diese also extern. Solch einen Export können Sie z.B. über die Microsoft Management Console vornehmen:

Hierzu klicken Sie z.B mit der linken Maustaste auf das Windows-Symbol unten links. Geben Sie dann in das sich öffnende Suchfeld certmgr.msc ein. In der startenden Anwendung befinden sich alle Zertifikate der Anwender, die EFS nutzen. Klicken Sie dann mit der rechten Maustaste auf die zu exportierenden Zertifikate und wählen unter Alle Aufgaben die Schaltfläche Exportieren aus. Daraufhin öffnet sich der Zertifikatexport-Assistent, der Sie durch die weiteren Schritte leitet, bis sie zum Schluss noch ein Passwort setzen, um die (möglichst auf ein externes Medium) exportierten Zertifikate zu schützen.

Zum späteren Reimport genügt ein Doppelklick auf die gesicherte Datei.

Weitergehende Informationen zu EFS und seinen Fallstricken finden interessierte Leser übrigens hier: http://heise.de/-270184

Verschlüsselung mit dem Betriebssystem – Mac OS X

Unter dem Apple Betriebssystem Mac OS X existiert das Programm FileVault (bis Mac OS X 10.6) respektive FileVault 2 (ab Mac OS X 10.7) zur Datenverschlüsselung. FileVault verschlüsselt das Benutzerverzeichnis und FileVault 2 ganze Festplattenpartitionen. Apple bietet auf seiner Webseite eine gute Anleitung zur Verschlüsselung mit FileVault: https://support.apple.com/de-de/HT204837.

FileVault ist dafür ausgelegt, die Daten bei Verlust des Computers vor dem Zugriff unbefugter Dritter zu bewahren. Möchten Sie jedoch Ihre Daten vor anderen Nutzern des Computers verbergen, so setzt Apple auf die Möglichkeit verschlüsselte Disk-Images über das Festplattendienstprogramm anzulegen. So werden passwortgeschützte, verschlüsselte Dateien erstellt. Die so geschützten Dateien werden nach ihrem Öffnen mit dem richtigen Passwort wie ein Laufwerk behandelt, auf das sich beliebige Dateien ablegen lassen. Auch hierzu stellt Apple eine Anleitung bereit: https://support.apple.com/de-de/HT201599.

Verschlüsselung durch OS-fremde Software

Zur Verschlüsselung existieren zahlreiche – auch kostenlose – Programme zur Verschlüsselung einzelner Dateien, Ordner und von Datenträgern. Auch Datenkompressionssoftware wie beispielsweise die Open-Source-Anwendung 7-zip (http://7-zip.org/) bieten Verschüsselungsoptionen. Allein heise online listet beispielsweise 325 Einträge im Bereich heise Download zum Thema Verschlüsselung auf: https://www.heise.de/download/products/sicherheit/verschluesselung/#?cat=sicherheit%2Fverschluesselung&page=1

Hier sollen kurz zwei beliebte Programme erwähnt werden:

TrueCrypt wird seit Mai 2014 nicht mehr weiterentwickelt. Zwar hat das Fraunhofer Institut nach Beauftragung durch das BSI festgestellt, dass TrueCrypt zur Datenverschlüsselung weiterhin geeignet ist und die Version 7.1a können Sie z.B. hier laden: https://www.heise.de/download/product/truecrypt-25104. Dennoch sollten Sie aus Sicherheitsgründen umsteigen. Hier bietet sich als problemlose Alternative VeraCrypt an, dass Sie beispielsweise hier downloaden können: https://www.heise.de/download/product/veracrypt-95747.

Mit dem GNU Privacy Guard (GnuPG) verschlüsseln und signieren Sie Daten sowie E-Mails. GnuPG arbeitet nach OpenPGP-Standard und kann in andere Programme integriert werden. Es existieren Portierungen für Windows (Gpg4win) und für Mac OS X (MacGPG).

Hardwareunterstützte Verschlüsselung

Manche PCs besitzen sogenannte Trusted Platform Module (TPM). Solche Module dienen als sichere Schlüsselspeicher für die Verschlüsselung. Solche TPM werden beispielsweise von der Software Bitlocker genutzt. BitLocker ist eine Festplattenverschlüsselung von Microsoft, die serverseitig ab Windows Server 2008 und clientseitig in den Ultimate- und Enterprise-Versionen von Windows Vista und Windows 7, sowie den Pro- und Enterprise-Versionen von Windows 8, Windows 8.1 und Windows 10 enthalten ist.

Bitlocker speichert die zum Entschlüsseln notwendigen Schlüssel sowie die jeweils aktuellen Systeminformationen auf dem TPM. Treten Änderungen in der Systemkonfiguration auf, so wird eine Entschlüsselung verhindert, da das TPM dann den Zugriff auf den Schlüssel sperrt. Das soll verhindern, dass Verschlüsselte Daten einfach unter Verwendung eines anderen Betriebssystems ausgelesen werde kann. Ein Wiederherstellungskennwort ermöglicht dann noch die Entschlüsselung.

Externe Datenträger wie USB-Sticks lassen sich seit Windows 7 (Ultimate/Enterprise) mit „Bitlocker to go“ verschlüsseln. Die Entschlüsselung kann auch auf Windows-Rechnern ohne Bitlocker-Software erfolgen: Bitlocker starten dann z.B. direkt vom USB-Stick von einem unverschlüsselten Bereich . Unter Windows XP und Vista können die Daten nur gelesen werden.

Einzelheiten zu Bitlocker finden Sie direkt bei Microsoft (https://technet.microsoft.com/de-de/library/dd835565(WS.10).aspx) oder zu BitLocker To Go beim BSI (https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04422.html)

Netzlaufwerke

Network Attached Storage (NAS) sind Datenspeicher in Netzwerken. Diese können, je nach Modell, ebenfalls Daten verschlüsseln. Bei den NAS gelangen unterschiedliche Verschlüsselungsmethoden zum Einsatz: Bei einigen dient ein USB-Stick als Schlüssel, bei anderen hilft ein Passwort weiter oder automatisch abgespeicherte Schlüssel werden bei Neustarts wieder zur Entschlüsselung genutzt. Wird der Schlüssel im letzteren Fall auf dem Laufwerk selbst abgelegt, so ist die gesamte Verschlüsselung natürlich hinfällig. Deswegen sollte hier darauf geachtet werden, dass für die Schlüssel eigene, gesonderte Speicher bereitstehen um die Daten zumindest bei Diebstahl oder Festplattentausch zu schützen. Haben Dritte Zugriff auf das ganze –NAS, dann hilft natürlich auch ein gesonderter Speicherort im Gerät nicht weiter.

Festplatten, SSDs und Speichersticks

Festplatten (Hard Disk Drives, HDD) und SSDs (Solid State Drives) können ebenfalls hardwareseitige Verschlüsselungsmethoden aufweisen. Hier kann vor Manipulationen ein BIOS-Passwort schützen (ATA Security Feature Set). Ohne Angabe des Passworts bei Systemstart ist kein Zugriff auf HDD oder SDD möglich. Mit der Opal Storage Specification haben sich verschiedene Hersteller u.a. auch auf Verschlüsselungsstandards geeinigt, die die Sicherheit der Speichermedien erhöhen. Hardwareseitig für die Verschlüsselung ausgestattete Speicher werden deswegen auch oft als Opal-Speicher bezeichnet.

Auch Gehäuse für externe HDDs und SSDs sowie USB-Sticks können mit hardwareseitiger Verschlüsselung erworben werden. Zugriff auf die Speichermedien ist dann erst nach entsprechender Autorisierung (Fingerabdruck, Codeeingabe, Funkchip u.ä.) möglich. USB-Sticks nutzen oft auch eine Software, die Rechnerseitig Passwörter abfragt.

Fazit

Ganz gleich, ob es um privaten oder geschäftlichen Schutz von Inhalten geht: Die Datenverschlüsselung sorgt für mehr Vertraulichkeit und einen besseren Schutz kritischer Informationen. Dem Nutzer stehen zur Verschlüsselung unterschiedlichste Methoden zur Verfügung. Moderne Betriebssysteme bieten hier ebenso gute Ansätze wie die Software von Drittanbietern und/oder hardwareseitige Lösungen.

Wichtig ist für ein stimmiges Verschlüssungskonzept ein Grundverständnis über die Funktionsweise der Kryptographie – nur so wird klar, was Verschlüsselung leisten kann und was nicht – und die Zweckbestimmung zur Wahl der richtigen Methode.

Sensible Daten richtig löschen

Feb 10, 2017 | IT-Ratgeber

Spätestens seit Edward Snowden wissen wir, was alles technisch möglich ist, um die Privatsphäre anderer Menschen zu verletzen. Oft müssen böse Buben aber nicht mal auf fiese Hacks oder auf intelligente Systemeinbrüche setzen, um an kritische Daten zu gelangen. Nein, oftmals werden sie an Orten fündig, die nur auf Leichtsinnigkeit oder Unwissen im Umgang mit den Datenträgern zurückzuführen sind: So tauchen beispielsweise ungelöschte Festplatten, USB-Sticks und Magnetbänder in Mülltonnen, auf Recyclinghöfen oder bei Ebay wieder auf. Darauf befinden sich dann nicht selten sensible Informationen wie Firmeninterna, personenbezogene Informationen über Mitarbeiter (z.B. Urlaubs- und Krankentage), Kontoverbindungen oder gar Dokumente über Unterhaltspflichten und Krankenakten.

Und das ist kein Einzelfall: Weniger als 50 % aller Unternehmen löschen regelmäßig ihre Speichermedien um sensible Daten zu entfernen. Und selbst bei systematischen Löschungen bleiben viele Daten oft wiederherstellbar.

Was hilft und was nicht?

Einfache Löschbefehle unter Windows oder Mac OS oder das Rüberziehen von Programmicons in den Papierkorb helfen in jedem Fall nicht weiter. Denn gelöscht wird so erstmal nicht viel, lediglich das sogenannte File Allocation Table (FAT) wird tatsächlich verändert und die Daten selbst bleiben unangetastet. Sie lassen sich dann mit wenig Aufwand wieder sichtbar machen.

Das Formatieren der Festplatte reicht ebenfalls nicht zur endgültigen Datenlöschung und auch rechtlich ist das zu wenig, denn das Entfernen logischer Verknüpfungen oder von Dateien aus Verzeichnissen ist im Sinne des Bundesdatenschutzgesetzes keine Löschung. Werden Daten aber nicht ordnungsgemäß gelöscht, obwohl sie nach dem Datenschutzgesetz revisionssicher zu löschen sind, dann stellt das eine Ordnungswidrigkeit dar. Und diese kann mit hohen Bußgeldern von bis zu mehreren hunderttausend Euro geahndet werden!

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt dazu aus: „Eine für den normalen Schutzbedarf ausreichende physikalische Löschung kann erreicht werden, indem der komplette Datenträger oder zumindest die genutzten Bereiche mit einem bestimmten Muster überschrieben werden. Möglich ist auch eine Formatierung des Datenträgers, wenn diese nicht wieder rückgängig gemacht werden kann. Es sollte vermieden werden, nur einzelne Dateien zu löschen, hierbei bleiben häufig Restinformationen erhalten, die die Rekonstruktion der gelöschten Dateien ermöglichen.“

Zur Erfüllung heutiger Datenlöschungsstandards ist grundsätzlich der Einsatz kontrollierbarer Datenlöschmethoden und -strategien geboten. Diese müssen immer größeren Speicherkapazitäten, besserer IT-Technologie sowie den modernen Datenspeichermedien (HDD, SSD, etc.) gerecht werden. Auch unterschiedlichste Speicherorte – vom Smartphone bist zum virtuellen Server – müssen bedacht sein. Einen guten Überblick zu geeigneter Verfahren zur Löschung und Vernichtung von Daten gewährt das BSI übrigens hier.

Erweiterte Maßnahmen

Bei dem herrschenden Angebotswirrwarr ist es nicht leicht, die richtigen Werkzeuge zur revisionssicheren Datenlöschung zu finden. Hier helfen natürlich geprüfte, zertifizierte und zugelassene Produkte weiter. Nur diese garantieren letztlich eine umfängliche und rechtskonforme Datenlöschung auf dem aktuellen Stand der Technik.

Grundsätzlich empfehlen wir Löschsoftware, die von einem bootfähigen Medium (z.B. CD, USB-Stick) gestartet werden kann und eine Festplatte im Ganzen überschreibt.

Achtung! Festplatten, die Sie an Dritte weitergeben, sollten Sie immer im Ganzen überschreiben, damit auch sogenannte Recovery-Partionen vom Hersteller oder des Betriebssystems überschrieben werden.

Weite Welt der Speichermedien

Die rechtskonforme Löschung sollte im Idealfall alle relevanten Medien berücksichtigen. Das sind neben Festplatten auch mobile Solid-State-Speichermedien wie USB-Sticks, Secure Digital (SD) Memory Cards, Compactflash Cards, Microdrives und anderen Flash-Media-Speichermedien. Auch interne und externe Speicher von Mobilgeräten sind zu löschen. Ein Zurücksetzten der Werkseinstellung bei Smartphones und Tablets ist jedenfalls keine Garantie für eine tatsächliche Löschung, denn die vorhandenen Daten können danach meist problemlos wiederhergestellt werden.

Von Vorteil ist zudem eine detaillierte Dokumentation aller Löschprozesse. Das ermöglicht einerseits die Nachvollziehbarkeit aller Löschprozesse und vereinfacht eine weitergehende Automatisierung der Löschvorgänge.

Fazit

Nach den Datendiebstahl- und NSA-Skandalen der vergangenen Zeit, sollte der Schutz von vertraulichen Daten im privaten und beruflichen Umfeld oberste Priorität haben. Dabei darf man nicht bei der zuverlässigen Sicherung von Daten stoppen. Auch eine professionelle und überprüfbare Datenlöschung ist unumgänglich.

Aber Vorsicht! Nur solche Daten, auf die das Überschreibprogramm einen Zugriff hat, können überhaupt richtig gelöscht werden. Moderne halbleiterbasierte Speichermedien (SSD) und auch die mit magnetischen Medien arbeitenden Festplatten (HDD) oder Kombinationen (SSHD) verwenden komplexe Mechanismen zur Fehlerkorrektur. Diese verhindern i.d.R. den Zugriff auf defekte Speicherbereiche oder richten gar geschützte Festplattenbereiche (HPA) ein. Diese sind allerdings mit spezieller Software – zumindest, wenn das physikalisch noch möglich ist – lesbar.

Das BSI gibt darüber hinaus folgenden Hinweis: „Speichermedien wie zum Beispiel SSD oder USB-Sticks, die auf Flash-Technik beruhen, lassen sich für einen Nutzer überhaupt nicht sicher löschen. Falls ein Gerät oder Speichermedium ohnehin nicht weitergegeben werden soll oder sich aus anderen Gründen nicht überschreiben lässt, sollte es physikalisch zerstört werden. Nur so kann eine Wiederherstellung der Daten unmöglich gemacht werden. Nutzer sollten dabei jedoch vorsichtig sein, um Verletzungen durch Splitter oder ähnliches zu vermeiden.“

mocotel revisionssichere Datenlöschung

nach anerkannten Sicherheitsstandards (BSI – Bundesamt für Sicherheit in der Informationstechnik)