Funtap - stock.adobe.com
Datensicherheit verbessern: Verschlüsselung auf Endpunkten
Die Verschlüsselung von Daten auf den Endpunkten in Unternehmen ist eine essenzielle Verteidigungslinie, falls ein Gerät gestohlen wird oder es zu einem Cybereinbruch kommt.
Stellen Sie sich vor, dass einer der Mitarbeiter in Ihrem Unternehmen seinen beruflich genutzten Computer beziehungsweise einen USB-Stick mit vertraulichen Geschäftsdaten verliert oder dass dieser ihm gestohlen wird. Was geschieht dann mit den darauf gespeicherten Daten? Sind sie ausreichend vor nicht autorisierten Zugriffen geschützt? Wenn sie nicht sicher verschlüsselt wurden, kann ein solcher Vorfall verheerende Folgen für das Unternehmen haben.
Eine Verschlüsselung vertraulicher Daten ist das wichtigste Element in einer soliden Strategie zur Datensicherheit. Letztlich sorgt nur sie dafür, dass die Daten nicht durch fremde Personen eingesehen werden können.
Selbst dann, wenn ausgefeilte Schutzebenen aus Firewalls, Systemen zur Intrusion Detection (IDS), Antimalware-Lösungen oder DLP-Software (Data Loss Prevention) versagen beziehungsweise durch Cyberangreifer umgangen werden, bleiben verschlüsselte Daten trotzdem weiterhin geschützt. Die Verschlüsselung der Endgeräte in einem Unternehmen stellt damit sicher, dass Daten vor unerwünschten Zugriffen geschützt bleiben, auch wenn sie auf einem Datenträger gespeichert oder zum Beispiel von einem zu einem anderen Gerät übertragen werden.
Die Verschlüsselung ist deswegen in der Regel auch vorgeschrieben oder empfohlen, wenn es um die Einhaltung von Standards und Gesetzen zum Schutz von Daten geht. Beispiele dafür sind die Datenschutz-Grundverordnung (DSGVO), der Health Insurance Portability and Accountability Act (HIPAA) sowie der Payment Card Industry Data Security Standard (PCI DSS) der internationalen Finanzwirtschaft.
Daten auf Endpunkten verschlüsseln
Unternehmen haben im Prinzip zwei Möglichkeiten, um die Systeme der Anwender in ihren IT-Umgebungen und die darauf abgelegten Daten sicher zu verschlüsseln: Entweder verschlüsseln sie die komplette Festplatte oder nur gezielt bestimmter Ordner beziehungsweise Dateien. Beides hat Vor- und Nachteile.
1. Festplattenverschlüsselung
Die komplette Verschlüsselung einer Festplatte (Full Disk Encryption) schützt sämtliche Inhalte auf dem Speichermedium, also sowohl das Betriebssystem als auch jegliche Anwendungen und Dateien, Swap-Bereiche oder auch die beim Versetzen des Rechners in den Ruhezustand gespeicherten Daten, die sich dann noch auf dem Laufwerk befinden.
Das macht eine Festplatte praktisch nutzlos, wenn nicht vorher die korrekte PIN oder das richtige Passwort eingegeben wurden, mit denen die Daten entschlüsselt werden können. Bedenken Sie aber, dass der Master Boot Record (MBR) einer Festplatte durch rein Software-basierte Lösungen nicht verschlüsselt wird. Nur so kann das System booten und den zur Entschlüsselung benötigten Treiber laden, mit dem der Rechner dann entsperrt wird.
Diese erzwungene Authentifizierung vor dem Start des Betriebssystems sorgt dafür, dass die Daten verschlüsselt bleiben, bis der Freigabeprozess vollständig abgeschlossen werden konnte. Selbst wenn also eine verschlüsselte Festplatte verloren geht, gestohlen oder in einen anderen Rechner eingesetzt wird, sind die darauf enthaltenen Daten vor unerwünschten Zugriffen sicher. Ein weiterer Vorteil der kompletten Verschlüsselung eines Laufwerks ist, dass die darauf vorhandenen Daten automatisch ent- und verschlüsselt werden, so dass die Anwender nahtlos und ohne Umwege mit ihnen arbeiten können.
Weil bei einer kompletten Festplattenverschlüsselung aber die gesamte Festplatte entschlüsselt wird, sobald sich ein Anwender erfolgreich angemeldet hat, sollte das Gerät anschließend nicht mehr unbeaufsichtigt gelassen werden. Damit die Daten auch wirklich geschützt bleiben, sollte sich der Anwender stattdessen am System abmelden, damit die Festplatte und damit die darauf enthaltenen Daten wieder gesichert werden.
Festplattenverschlüsselung ist entweder Hard- oder Software-basiert. Wie bereits erwähnt, kann Letzere aber nicht den MBR oder ähnliche zum Booten benötigten Bereiche verschlüsseln, da sie der Software mitteilen müssen, wo sich das Betriebssystem befindet und wie es geladen werden kann.
Softwarelösungen verändern daher diese Bereiche, so dass sie eine andere Pre-Boot-Umgebung anzeigen, mit der sich der Anwender an seinem Gerät per PIN oder Passwort authentifizieren kann. Möglich ist auch eine zusätzliche Form der Authentifizierung wie zum Beispiel ein biometrischer Scan oder der Einsatz eines Hardware-Tokens. macOS, Linux und Windows enthalten standardmäßig bereits die gesamte benötigte Software zum Ver- und Entschlüsseln von Laufwerken. Darüber hinaus gibt es noch einige weitere Anwendungen, die ebenfalls die Verschlüsselung kompletter Laufwerke ermöglichen.
Eine rein Hardware-basierte Verschlüsselung erfolgt dagegen durch das jeweilige Laufwerk selbst. Dabei kommt ein spezieller Krypto-Prozessor zum Einsatz, der automatisch und sofort alle Daten verschlüsselt, die auf die Festplatte geschrieben werden. Diese Festplatten werden daher auch als selbst verschlüsselnde Laufwerke (Self-Encrypting Drives, SEDs) bezeichnet. Der für die Speicherung und Verschlüsselung der Daten benötigte Schlüssel verlässt nie das Gerät und ist auch nur ihm selbst bekannt.
Der zur Authentifizierung benötigte Schlüssel, der vom Anwender festgelegt wird, wird ebenfalls damit verschlüsselt und auf der Festplatte gespeichert. Er wird verwendet, um den Verschlüsselungs-Key zu entschlüsseln und in den Krypto-Prozessor zu laden. Auf diese Weise kontrolliert die Platte alle Zugriffe auf die auf ihr gespeicherten Daten.
Die zur Verschlüsselung benötigten Schlüssel und die Daten des Nutzers werden also mit Hilfe der Hardware des Laufwerks gespeichert. Dadurch arbeitet das Speichermedium separat sowohl von der CPU und dem Betriebssystem eines Rechners, was es weniger anfällig gegen Angriffe macht. Sich selbst verschlüsselnde Laufwerke haben zudem keinen negativen Einfluss auf die Performance eines Systems, da sich hier der Controller der Festplatte um die Ver- und Entschlüsselung kümmert und diese Aufgabe nicht auch noch durch das Betriebssystem erledigt werden muss.
2. Datenverschlüsselung
Die Alternative zur Festplattenverschlüsselung ist eine gezielte Verschlüsselung einzelner Ordner oder Dateien. Diese Daten bleiben auch nachdem sich ein Anwender an einem System angemeldet hat, verschlüsselt. Sie werden nur entschlüsselt, wenn er sie öffnet und dabei das korrekte Passwort eingibt, das benötigte Token verwendet oder eine andere vorgegebene Authentifizierung durchführt.
Dateibasierte Verschlüsselung funktioniert sowohl mit strukturierten als auch unstrukturierten Daten. Daher kann die Technik genutzt werden, um zum Beispiel Datenbanken, aber auch einzelne Dokumente oder Bilder zu verschlüsseln. Außerdem kann sie Daten schützen, die mit anderen geteilt werden sollen, also etwa per E-Mail-Attachment oder über einen Collaboration-Service. Die Absender können dabei in der Regel festlegen, wie der Empfänger die Daten entschlüsseln kann. So lässt sich das benötigte Passwort zum Beispiel per Telefon auf einem anderen Weg übertragen oder es wird dafür ein spezielles Webportal genutzt, das die Überprüfung der Authentifizierung übernimmt.
Enterprise-Lösungen zur Verschlüsselung von Dateien sind essenziell, um die Verschlüsselungsrichtlinien eines Unternehmens durchzusetzen. Mit ihnen lässt sich etwa festlegen, welche Typen von Dateien verschlüsselt werden müssen und wo dies geschehen soll. Arbeitsgruppen können diese Anwendungen nutzen, um gemeinsam an einzelnen Dateien oder ganzen Ordnern mit Dateien über das Netzwerk zu arbeiten. So erlaubt etwa Windows die Verschlüsselung von Dateien via EFS (Encryption File System), das auf NTFS (New Technology File System) aufsetzt und das per Gruppenrichtlinie konfiguriert werden kann.
Um die Stärke der Software-basierten Verschlüsselung zu erhöhen, greifen viele Produkte auf TPM-Chips (Trusted Platform Module) zurück. Diese Hardware-basierten und vor Manipulationen geschützten Krypto-Prozessoren sind heutzutage in vielen Rechnern bereits auf dem Mainboard enthalten:
- Windows und Linux nutzen TPMs.
- iOS und macOS verwenden Secure Enclave.
- Android-Geräte von Samsung enthalten meist Samsung Knox.
Ein TPM-Chip bietet nur nicht eine Hardware-basierte Verschlüsselung einzelner Dateien und Ordner, sondern auch weitere sicherheitsrelevante Funktionen wie System-Integritäts-Checks, Festplattenverschlüsselung sowie ein sicheres Schlüsselmanagement mit der vollen Systemgeschwindigkeit.
Verschlüsselungsalgorithmen
Zur Verschlüsselung von Endgeräten werden meist AES-256 (Advanced Encryption Standard) oder RSA (Rivest Shamir Adleman) eingesetzt. Bei beiden Methoden handelt es sich um öffentliche Protokolle, die dem US-Standard Federal Information Processing 140-2 entsprechen. AES-256 verwendet einen einzigen Schlüssel zum Ent- und Verschlüsseln von auf einem Datenträger gespeicherten Daten, während RSA oft genutzt wird, um Daten sicher von einem Punkt zum einem anderen zu übertragen. RSA verwendet dafür die sogenannte asymmetrische Verschlüsselung mit zwei separaten Schlüsseln. Einer dient zum Verschlüsseln der Daten und einer zum Entschlüsseln.
Überlegungen zur Verschlüsselung der Endgeräte
Ein oft unterschätztes Thema bei der Absicherung von Daten ist ihre Verfügbarkeit. Verschlüsselte Daten, auf die jemand nicht mehr zugreifen kann, verlieren ihren Wert auch für den rechtmäßigen Besitzer. Jede IT-Umgebung mit verschlüsselten Endgeräten sollte daher auch Möglichkeiten umfassen, wieder auf die Daten zuzugreifen, wenn zum Beispiel das Passwort vergessen wurde, der MBR des Systems defekt ist oder das zur Authentifizierung benötigte Token verloren gegangen ist.
Bei der Wahl einer Verschlüsselungslösung sollten Sie daher darauf achten, dass sie eine Form der Selbst-Wiederherstellung unterstützt wie speziell dafür ausgelegte Einmalpasswörter, Wiederherstellungs-Token oder Admin-Schlüssel, mit denen wieder auf verschlüsselte Systeme zugegriffen werden kann.
Empfehlenswert sind zudem Lösungen mit zentralen Managementfähigkeiten, die die Verschlüsselungsrichtlinien eines Unternehmens automatisch ein- und durchsetzen. Außerdem sollte die Plattform neue Schlüssel erstellen, verteilen, speichern und später bei Bedarf auch wieder deaktivieren oder kompromittierte Endgeräte aus der Ferne sperren können. Ohne diese Fähigkeiten wird das Management größerer verschlüsselter Endpoint-Umgebungen schnell zu einer sehr aufwendigen Aufgabe.
Angreifer fokussieren sich gerne auf Endpunkte, da diese häufig zu den schwächsten Stellen in der IT-Infrastruktur von Unternehmen gehören. Jeder Verlust, Diebstahl oder nicht autorisierte Zugriff auf ein Endgerät erhöht aber die Wahrscheinlichkeit eines Datenleaks. Daraus ergeben sich dann auch schnell Streitigkeiten vor Gericht, teure Strafen durch Regulierungsbehörden, negative Publicity oder Umsatzeinbrüche.
Die Verschlüsselung der Endgeräte sollte daher zur Datensicherheitsstrategie eines jeden Unternehmens gehören. Auch wenn viele Systeme standardmäßig Verschlüsselung unterstützen, ist sie doch nicht in jedem Fall bereits aktiv. Das gilt zum Beispiel teils auch für Windows Bitlocker oder Apple FileVault 2.
Ihre IT-Abteilung sollte daher Sicherheitsrichtlinien formulieren, die dafür sorgen, dass die Verschlüsselung neuer Endgeräte automatisch erfolgen muss, wenn diese für einen Einsatz vorbereitet werden. Außerdem sollte beachtet werden, dass die Verschlüsselung der Endpoints natürlich nicht alle denkbaren Sicherheitsprobleme löst. Durch den Download und die Ausführung schädlicher Software kann es beispielsweise trotzdem passieren, dass eine Malware auf Daten zugreift, wenn diese gerade in einem nicht verschlüsselten Zustand sind. Sie sollten die Verschlüsselung Ihrer Endgeräte deshalb immer nur in Verbindung mit weiteren Sicherheits-Tools wie zum Beispiel Antimalware-Lösungen und Firewalls einsetzen.