1. Digital

Aachen: So schützen Sie Ihre Daten!

Aachen : So schützen Sie Ihre Daten!

Ob Festplatte, E-Mail oder Dateiübertragung. Mit Verschlüsselung schützen Sie Ihre Daten zuverlässig. Lesen Sie, welche Methoden funktionieren.

Postkarten waren einmal ein probates Mittel, um Nachrichten zu versenden - dabei störte es in den damaligen Zeiten kaum jemand, dass wenigstens der Postbote den Inhalt dieses „Datenträgers” in Klarschrift mitlesen konnte. Was den Geheimhaltungsgrad angeht, so entsprechen die E-Mail-Nachrichten in der heutigen Zeit durchaus den früheren Postkarten. Hier kann jeder den Text einfach mitlesen, wenn er nur ein wenig Mühe und Sachverstand aufweist.

Was liegt also näher, als die Daten, die per E-Mail übertragen werden sollen, einfach zu verschlüsseln? Und wenn man gerade dabei ist, dann sollten doch bitte alle Daten auf der Festplatte und auf allen anderen Übertragungswegen ebenso wie bei Zugriffen über den Web-Browser, über eine VPN-Verbindung (Virtual Private Network) oder bei der Fernwartung nur noch verschlüsselt vorliegen.

Da die „universelle” Verschlüsselung, die mit einem Knopfdruck die gesamte IT sicher verschlüsselt, leider noch nicht existiert, haben wir in diesem Ratgeber einige beispielhafte Verschlüsselungsmethoden für die verschiedenen Einsatzzwecke und entsprechende Programme zusammengestellt.

Wer ein halbwegs aktuelles Windows-System besitzt, der besitzt auch direkten Zugriff auf eine Verschlüsselung für Dateien und Ordner: Seit Windows 2000 steht für Datenträger, die mit NTFS (New Technology Filesystem - das Standard-Dateisystem der modernen Windows-Systeme) formatiert wurden, auch eine Dateiverschlüsselung zur Verfügung. Dieses Feature wird von Microsoft als EFS (Encrypting File System) bezeichnet. Die Bezeichnung ist allerdings etwas irreführend, da es sich nicht um ein Dateisystem handelt, sondern um ein Betriebssystemfeature, das einzelne Dateien oder Ordner verschlüsseln kann.

Sie ist einfach einzusetzen und direkt ins Betriebssystem integriert: Ein Rechtsklick auf eine Datei oder einen Ordner, dann die Eigenschaften auswählen und dort bei den Attributen auf „Erweitert” klicken. Nach anschließender Auswahl von „Inhalt verschlüsseln, um Datei zu schützen” ist die Datei gesichert. Sie befindet sich nun verschlüsselt auf der Festplatte, während der Vorgang für den Anwender völlig transparent bleibt. Hat er bei den Ordneroptionen die entsprechende Einstellung gewählt, so wird er eine verschlüsselte Datei oder einen verschlüsselten Ordner nur an der anderen Farbe erkennen - beim Zugriff merkt er keinen Unterschied. Aber wovor schützt diese Verschlüsselung? Sie schützt vor dem Zugriff eines anderen Anwenders, der ebenfalls auf diesem Rechner arbeitet oder vielleicht über das Netz auf ein solches Verzeichnis zugreift. Auch ein Administrator hat keinen Zugriff auf diese Dateien.

Die Dateien sind immer noch sichtbar, die Methode funktioniert ausschließlich auf einem NTFS-Dateisystem und ist damit nur schlecht auf USB-Sticks oder Windows-Systemen einzusetzen, auf denen zumeist ein FAT-Dateisystem zum Einsatz kommt. Zudem ist es mit ihrer Hilfe nicht möglich, ganze Partitionen zu verschlüsseln

Gerade was das Verschlüsseln von Partitionen angeht, hat Microsoft unter Windows Vista und noch einmal verbessert unter Windows 7 mit Bitlocker nun aber eine Möglichkeit eingebaut, auch ganze Partitionen einschließlich der Systempartition zu verschlüsseln. Mit der seit Windows 7 vorhandenen „Bitlocker To Go”-Verschlüsselung können sogar ganze USB-Sticks und mobile Festplatten auf diese Weise verschlüsselt werden.

Was können Anwender mit dieser Software verschlüsseln? Bitlocker verschlüsselt immer ganze Laufwerke beziehungsweise Festplattenpartitionen komplett. Auf diese Weise kann auch die Systempartition eines Windows-Systems vollständig verschlüsselt und damit gesichert werden. Ohne ein entsprechendes Passwort oder wahlweise eine Smartcard ist dann kein Zugriff auf dieses System mehr möglich. Ein besonderer Vorteil dieser Lösung: Auch sie arbeitet vollkommen transparent - hat der Anwender erst einmal sein Passwort eingegeben, so stellt sich ihm das System beziehungsweise die verschlüsselte Festplatte wie jedes andere Windows-System dar.

Der größte Nachteile liegt wohl darin, dass Microsoft sie nur den „großen” Windows-Systemen spendiert hat: Nur die Vista- und Windows-7-Versionen Ultimate und Enterprise stellen standardmäßig dieses Feature zur Verfügung. Die anderen Windows-7-Systeme können entsprechend vorschlüsselte Medien aber lesen und auch für Windows XP stellt Microsoft eine entsprechende Anwendung für den lesenden Zugriff zur Verfügung.

Was können Anwender tun, die keine Vista- oder Windows-7-Versionen im Einsatz haben? Sie können auf die bekannte Software "TrueCrypt" zurückgreifen. Die Möglichkeiten dieser frei erhältlichen Lösung sind so vielfältig, dass wir sie hier nur kurz anreißen können. Was kann diese Software? Ähnlich wie das zuvor geschilderte Bitlocker-Feature ist auch diese Software dazu in der Lage, ganze Festplatten, mobile Laufwerke und Partitionen zu verschlüsseln. Aber auch beliebige Verzeichnisse, Dateien und Festplattenbereiche in sogenannten Containern können auf diese Weise verschlüsselt abgespeichert werden. Auf die Container greift der Anwender dann genau wie auf ein Laufwerk zu. Er kann diese sogar gezielt verstecken - TrueCrypt stellt dabei unter anderem auch die Möglichkeit eines komplett "versteckten Betriebssystems" zur Verfügung.

Konnten bei den ersten Versionen der Software, die eine Verschlüsselung des Betriebssystems anboten, noch Stabilitätsprobleme auftreten, so sind Anwendung und Einsatz dieser Lösung mittlerweile sehr sicher. Aber die Vielfalt an Möglichkeiten und die hohe Komplexität fordern ihren Preis: TrueCrypt ist bei allen Hilfen und Erläuterungen, die zur Verfügung stehen, immer noch keine Anwendung, deren Einsatz man jedem Nutzer nahelegen kann. Gerade die Verschlüsselung eines kompletten Betriebssystems erfordert doch etwas Fachwissen, um sich nicht sehr schnell komplett selbst von seinem System auszuschließen.

Wie bereits geschildert bietet Windows leider keine Möglichkeit, ausgewählte Verzeichnisse so zu verschlüsseln und auch zu „verstecken”, dass ein anderer Nutzer sie nicht mehr sieht und auch nicht mehr auf sie zugreifen kann. Dabei sollte eine solche Funktion im Idealfall mittels eines Klicks erreichbar sein und das betreffende Verzeichnis erst nach Eingabe eines Passwortes wieder zur Verfügung stehen. Eine freie Software mit dem Namen "DirCryptHide" stellt genau diese Funktionalität zur Verfügung. Sie bietet die Möglichkeit, beliebige Verzeichnisse beziehungsweise ganze Laufwerke mitsamt den Unterordnern "verschwinden" zu lassen. Die Lösung setzt dabei auf das bereits vorgestellte Freeware-Verschlüsselungs-Tool TrueCrypt auf.

Es verschiebt eine beliebige Anzahl von Ordnern mit allen Unterordnern, die sich auch auf verschiedenen Laufwerken befinden können, in eine hochverschlüsselte Container-Datei (mit TrueCrypt erstellt). Dieser Vorgang ist natürlich auch wieder umkehrbar. Beim Verschieben kopiert die Software zunächst die Daten, prüft auf Fehler und löscht dann den Originalordner. Um diese dann später wieder im Dateisystem sichtbar zu machen, verwendet das Programm automatisch generierte Junctions (Abzweigungspunkte, auch als "File System Reparse Points" bezeichnet).

Mit der aktuellen Version 1.58 der Software kann ein Anwender den Prozess des Ein- und Ausblendens der versteckten Ordner auch mit Hilfe eines USB-Sticks automatisieren: Dazu wird innerhalb der Anwendung ein USB-Stick mit dem Passwort und dem Speicherort der Containerdatei beschrieben. Diese Informationen werden dabei verschlüsselt abgespeichert und gelten nur für diesen einen USB-Stick. Danach können die verstecken Ordner durch das Ein-/Ausstecken des USB-Sticks automatisch ein- beziehungsweise auch wieder ausgeblendet werden.

Doch was tun die Profis, um beispielsweise eine sichere Verbindung zwischen den Netzwerken von Firmenstandorten zu gewährleisten? Hier sind VPNs (Virtual Private Network) die gängige Methode. Typischerweise werden sie als Appliance in der DMZ (Demilitarized Zone) verwendet und erlauben eine verschlüsselte und somit gesicherte Verknüpfung zwischen den Netzwerken. Allerdings besitzen beinahe alle diese Systeme eine Einschränkung: Nur wenn bei allen Verbindungen wirklich die Geräte eines Herstellers zum Einsatz kommen, ist sichere und verschlüsselte Übertragung wirklich gewährleistet.

Vor diesem Hintergrund ist besonders eine Neuerung unter Microsoft Windows sehr spannend: "Direct Access". Durch diese Technik ist der Zugriff auf ein Windows-System "aus der Ferne" auch ohne zusätzliches VPN im Zusammenspiel von Windows 7 und Windows Server 2008 möglich. Microsofts Ansatz basiert auf dem noch recht jungen Protokoll IPv6 sowie dem Sicherheitsprotokoll IPSec.

Microsoft wollte vor allen Dingen die vielen Detailprobleme beim Aufbau einer VPN-Umgebung umgehen. So können dann die Anwender im Idealfall direkt auf die Dateifreigaben, Webseiten und Anwendungen im Unternehmensnetz zugreifen, ohne dass sie dazu eine spezielle Verbindung mittels eines virtuellen privaten Netzwerks herstellen oder eine spezielle Hard- oder Software einsetzen müssen.

Sobald das Client-System eines Nutzers, das diese Technik verwendet, mit dem Internet verbunden ist, baut es automatisch im Hintergrund eine bidirektionale Verbindung zum Netzwerk in der Firma auf. Dies geschieht dabei noch vor der eigentlichen Anmeldung des Anwenders am System, also direkt nach dem Windows-Start. Dabei funktioniert eine derartige Verbindung auch dann, wenn NAT zum Einsatz kommt und, was der Normalfall sein dürfte, eine Firewall das Firmennetzwerk vor Zugriffen von außen schützt.

Zunächst einmal kann sie nur funktionieren, wenn neben Windows-7-Clients auch die entsprechenden Windows Server 2008 im Firmennetzwerk zum Einsatz kommen. Auch der Einsatz von IPv6 (nicht auf der kompletten Strecke) gehört zu den Voraussetzungen, um von dieser Technik zu profitieren.

Die E-Mail hat allen anderen Kommunikationsformen den Rang abgelaufen. Versand und Empfang sind einfach und die Infrastruktur äußerst stabil. Gleichzeitig ist die Standard-E-Mail eine im Grundsatz unsichere Kommunikationsform. Es gibt mit S/MIME und PGP zwei weit verbreitete und etablierte Verschlüsselungsformen die in einem gesonderten Beitrag genauer betrachtet werden.

Neben diesen beiden Klassikern, die mit mehr oder weniger Aufwand problemlos durch jeden Anwender in jede E-Mail-Client-Applikation integriert werden können, gibt es spezielle Lösungen, die sich für den Unternehmenseinsatz anbieten. Eine dieser Speziallösungen ist beispielsweise Scribbos. Diese als „Business-Communication” bezeichnete Lösung erlaubt es, beliebige Arten von Nachrichten und Datei-Anhängen ohne Größenbeschränkung schnell und mit der Verschlüsselung AES 256 (Advanced Encryption Standard) gesichert zu übermitteln. Die Lösung ist als SaaS, On-Premise oder mobile Applikation implementiert.

Der Webservice von Scribbos steht jedem Interessenten für eine 14-tägige Testphase unter der Adresse http://www.scribbos.com zur Verfügung. Nach einer Anmeldung zeigt sich die Software wie jeder andere Webmailer, auch wenn die typische Schaltfläche „Verfassen” hier „Scribb” heißt. Ein besonderer Vorteil der Lösung: Selbst wenn der Empfänger keinen Scribbos-Account besitzt, ist die verschlüsselte Übermittlung möglich. Empfänger erhalten eine E-Mail mit dem Hinweis, dass für sie eine gesicherte Nachricht im Scribbos-System lagert. Meldet sich dieser Empfänger an, so kann er ohne Kosten auf die Nachricht zugreifen und über Scribbos mit dem ursprünglichen Absender im verschlüsselten Kontakt bleiben, ohne dafür selbst einen kostenpflichtigen Scribbos-Account zu besitzen.

Ein weiterer Vorteil des Systems: Pro Nachricht darf der Benutzer beliebig viele Anhänge einfügen, so lange sie in Summe nicht größer als 2 GB sind.

© IDG / In Zusammenarbeit mit computerwoche.de