Sensible Firmen- und Kundendaten sollen Unbefugten nicht zugänglich sein. Ein Drittel aller Datenverluste in Firmen sind aber auf vergessene oder verlorene Mobilgeräte zurückzuführen. Auf der sicheren Seite sind Unternehmen nur, wenn die Daten verschlüsselt und damit für andere nicht lesbar sind.

von Nicole Ott

Sicherheit ist bei Unternehmen ein großes Thema: Firewalls und Virenprogramme schützen die IT-Infrastruktur wirksam gegen Angriffe von außen – sei es vor Hackern, vor Datenspionage durch Trojaner oder ähnlichem. Datenverlusten auf Grund von Hardware-Defekten, Programmfehlern oder schlichtweg unerwünschtem Löschen wird durch regelmäßige Datensicherung vorgebeugt. In diesen Punkten sind die meisten Unternehmen eifrig um entsprechende Maßnahmen bemüht.

Doch es gibt vielerorts noch ein Sicherheits-Stiefkind: Storage-Security: der Schutz so genannter ruhender Daten (data rest). Dabei ist die Liste spektakulärer Datenverluste in diesem Bereich ebenso lang wie illuster. Seit 2007 gerät beispielsweise die Regierung Großbritanniens immer wieder in die Schlagzeilen. In den vergangenen Monaten verschwanden wiederholt Regierungsdaten. Im Januar 2008 wurden dem britischen Militär Daten über etwa 600.000 Rekrutenanwärter gestohlen, die auf dem Notebook eines Offiziers gespeichert waren. Im Dezember 2007 gingen zwei CD-ROMs verloren, auf denen sich Daten des Gesundheitsministeriums über mehr als 100.000 Patienten bzw. Informationen über Teilnehmer der theoretischen Führerscheinprüfung befanden. Einen Monat zuvor verschwanden Daten über 7,25 Millionen Kindergeld beziehende Familien.

Die Fälle in Großbritannien haben eines gemein: Die Daten befanden sich auf optischen Speicherträgern oder Festplatten von Notebooks. Kommen solche Datenträger abhanden, sei es durch Vergessen, Verlust oder Diebstahl, lassen sich die sensiblen Daten in der Regel problemlos verwenden – sofern sie im Klartext, sprich unverschlüsselt, abgespeichert sind.

Hauptgrund für Datenverlust: verlorene Mobilgeräte

36 Prozent aller Datenverluste sind das Ergebnis verlorener oder gestohlener Laptops oder anderer mobiler Endgeräte. Zu diesem Ergebnis kommt eine Ende Februar 2008 veröffentlichte gemeinsame Studie von Ponemon Institute, PGP Corporation und Symantec über die Kosten verloren gegangener Daten. »Auch wenn sich die Studie auf Unternehmen aus Großbritannien bezieht, lassen sich die Ergebnisse durchaus auf den deutschen Markt übertragen«, sagt Andreas Zeitler, Vice President und Regional Manager Zentraleuropa bei Symantec. Doch es gibt noch mehr ungeschützte Hintertüren. Backups werden in der Regel ebenfalls im Klartext angelegt. Geht ein Band verloren oder wird es gestohlen, sind die sensiblen Daten ebenfalls da, wo sie nicht sein sollen: in den falschen Händen. Verschlüsselung und der Schutz vor Datenverlust sind ein ernst zu nehmendes Thema, mit dem sich Unternehmen zusätzlich zur Sicherheit des Datenverkehrs befassen müssen.

Festplattenverschlüsselung schützt effektiv bei verlorenen Mobilgeräten

2007 fand die Deutsche Bundesbahn deutschlandweit knapp 1.000 Notebooks in ihren Zügen. Im Fundbüro des Frankfurter Flughafens wurden sogar 1.579 Mobilrechner abgegeben. Neben kritischen Geschäftsdaten befinden sich auf den Geräten nicht selten auch die Zugangsdaten zum Firmennetz, die Interessierten Tür und Tor zu noch mehr Informationen öffnen. Finder mit krimineller Energie können die darauf abgespeicherten Daten schnell nutzen. Wenn der Mobilrechner oder dessen Festplatte überhaupt mit einem Passwort geschützt sind, kann diese Hürde mit wenigen Tricks und Tools, die sich überall im Internet finden, und geringem Zeitaufwand überwunden werden. Noch einfacher gelangt man an die Daten im Notebook, indem die Festplatte ausgebaut und über einen anderen Rechner ausgelesen wird. Zumindest hiergegen gibt es einen effektiven Schutz: die Verschlüsselung der Festplatte, auch als Hard-Disk-Encryption bezeichnet.

Die Verschlüsselung der Festplatte lässt sich vergleichsweise einfach umsetzen. Bereits die Betriebssysteme Windows Vista (Versionen Ultimate und Enterprise) wie auch MacOS 10.x bringen Tools dazu mit. Ebenso zahlreich sind Alternativen von Sicherheitsspezialisten wie Checkpoint, EMC, PGP oder Ultimaco. Sie setzen auf symmetrische Kryptoalgorithmen wie AES-128, AES-256 sowie Hash-Funktionen und unterstützen auch die Verschlüsselung von Wechselmedien wie USB-Sticks, externe Festplatten, CDs, DVDs und Speicherkarten. Sowohl Notebooks als auch externe Festplatten sind auch bereits mit Hardware-Verschlüsselung erhältlich. Dell zum Beispiel bietet dies als Option bei einigen Modellen von Business-Notebooks an. Seagate stellte Anfang 2008 auf der CES mit »Maxtor BlackArmor« eine externe Festplatte mit integrierter Verschlüsselung vor.

Verschlüsselung als Bestandteil der firmeneigenen Richtlinien

Um die Gefahr durch verlorene, vergessene oder gestohlene Mobilrechner und Speichermedien einzuschränken, zählt bei vielen großen Unternehmen die Festplattenverschlüsselung zum festen Bestandteil der Sicherheitsrichtlinien. Erst Anfang 2008 startete IBM intern eine große Sicherheitsoffensive. PGPs »Whole Disc Encryption« sorgt auf den PCs und Notebooks der 355.000 Mitarbeiter für die Verschlüsselung der Festplatten, um im Falle von Datenträger-Verlusten unbefugten Zugriff auf die sensiblen Unternehmensdaten zu unterbinden. Es wird zudem angestrebt, Verträgen mit Geschäftspartnern eine Klausel hinzufügen, die eine Verschlüsselung der Daten mit IBM-Bezug vorsieht. Die Compliance-Anforderungen von Kunden wie Behörden, Banken und Firmen aus dem Gesundheitswesen sind nur ein wichtiger Antrieb für die firmenweite Sicherheits-Kampagne.

Dass Verstöße gegen firmeninterne Sicherheitsstandards weitreichende Folgen haben können, bekam ein Mitarbeiter des Sicherheitsspezialisten VeriSign 2007 unangenehm zu spüren, dessen Notebook gestohlen wurde. Entgegen den Vorgaben war die Festplatte des Geräts nicht verschlüsselt. Dem Mitarbeiter wurde gekündigt.

Sicherheit im Doppelpack: Verschlüsselte Backups

Die Verschlüsselung von Festplatten mobiler Geräte ist aber nur ein sinnvoller erster Schritt. Auch ruhende Daten in Unternehmen sind gefährdet: Zu den spektakulärsten Fällen zählt der Verlust von Bändern bei der Bank of America mit Kreditkartendaten von 1,2 Millionen Mitarbeitern von US-Behörden im Jahre 2005. Diese wurden noch nicht einmal gestohlen, sondern sind beim Transport verloren gegangen. Ein Einbruch ins Firmengebäude kann sogar noch schlimmere Verluste bedeuten.

Das alltägliche Speichern der Daten auf Servern, aber auch die Sicherungen auf Festplatten und Bandspeichern sollten daher ebenfalls nicht im Klartext stattfinden. Sicherheitskritische Informationen lassen sich auch auf Disk-Arrays und Tape-Librarys effektiv durch Verschlüsselungsmechanismen vor unberechtigten Zugriffen schützen. Bei der Bandsicherung ebnete hier die Einführung des LTO-4-Standards den Weg zu mehr Sicherheit, bei dem eine AES-256-Verschlüsselung bereits auf Laufwerksebene ermöglicht wird. Namhafte Hersteller von Tape-Librarys wie beispielsweise Quantum, IBM und Sun setzen auf diesen Standard auf.

Die verschlüsselte Speicherung von Daten im Unternehmen auf Servern, Disk-Arrays und Bandbibliotheken kann sowohl über eine Software als auch über Hardware erfolgen. Der Einsatz ist bei beiden Möglichkeiten in DAS-, SAN-, NAS- und Tape-Umgebungen möglich.

Software-Lösungen – zum Beispiel Symantecs »Veritas NetBackup Server Encryption« – punkten immer mit niedrigeren Anschaffungskosten gegenüber den Hardware-Pendants, gehen aber oftmals mit Leistungseinbußen und höherem Administrationsaufwand einher. Die Installation muss auf allen Servern erfolgen, bei manchen Produkten sogar zusätzlich noch auf den Clients. Betriebssystem- und Applikationsupdates binden ebenfalls immer wieder Ressourcen. Darüber hinaus steigt der Bedarf an Speicherkapazität auf Grund der Verschlüsselung.

Hardware-Appliances hingegen übernehmen alle Arbeitsschritte selbstständig, ohne irgendwelche weiteren Ressourcen zu belasten. Storage-Security-Systeme wie beispielsweise NetApps »Decru Datafort« kombinieren dabei Zugangskontrolle, Authentifizierung, Verschlüsselung und Protokollierung. Dabei lassen sich mit den kryptografisch versiegelten Daten seitens des Administrators alle notwendigen Prozesse ausführen; allerdings sind die Daten unlesbar. Darüber hinaus lässt sich mit Hardware-Appliances oftmals eine weitere Hürde meistern: Das Key-Management ist meist integriert. Ist die Schlüsselverwaltung nämlich nicht sorgfältig durchdacht und umgesetzt, gerät der Zugriff auf Unternehmensdaten für Hacker erneut – überspitzt formuliert – zum Kinderspiel.

Kommentar schreiben