Teil 2 - Schutz der Daten

Autor: Siegfried Seifert, MCSEboard.de

Kommen wir nun zu den Sicherungsmaßnahmen, die auf dem Notebook und dem installierten Betriebssystem selber greifen. Der Focus liegt hier auf dem Schutz der Daten. Im Grunde gibt es zwei mögliche Angriffs-Szenarien:

Ein Angreifer hat physikalischen Zugriff auf das Notebook, während es unbeaufsichtigt am Platz steht. Er wird versuchen, Daten zu lesen oder zu manipulieren und dabei keine persönlichen Spuren zu hinterlassen. Seine Zeit ist begrenzt, denn er könnte entdeckt werden. Welche Schutzmaßnahmen greifen am besten?
Ein Angreifer hat das Notebook gestohlen und nun praktisch alle Zeit der Welt, vorhandene Sicherungssysteme auszuhebeln. Dazu gehört auch die Entnahme der Speichermedien aus dem Gerät, um sie in andere, präparierte Systeme einzubauen. Welche Maßnahmen bieten hier den besten Schutz?

Tipp: Die Kombination mehrerer Sicherheitstechniken bringt auf jeden Fall einen erhöhten Schutz mit sich.

Passwörter
Sichere Passwörter sind generell das älteste und einfachste Mittel zum Datenschutz. Wie ein sicheres Passwort beschaffen sein sollte, darüber gibt es tonnenweise Literatur und Empfehlungen, auch im Internet. Einen kleinen Workshop dazu haben wir auch hier auf ServerHowTo.de.

Passwort-Generator
Es gibt eine Reihe von hilfreichen Tools, die nach eingestellten Parametern (Passwortlänge, Komplexität usw.) “auf Knopfdruck” sichere Passwörter generieren.
Solche lokal ausgeführten Tools sind den Passwort-Generatoren auf zahlreichen Webseiten vorzuziehen. Egal, welcher Anbieter hinter einem Online-Angebot steht – was wirklich mit den dort eingegebenen und generierten Daten geschieht, ist niemals völlig transparent.

Passwörter aufbewahren
Der sicherste Tresor für Passwörter ist Ihr Gehirn. Doch als Internetbürger müssen Sie eine Unmenge von Accountinfos und sonstiger Zugangsdaten verwalten. Nur Gedächtnis-Genies können alles “im Kopf” behalten. Das Zauberwort heißt: Passwort-Management.

Was Sie niemals tun sollten:

Passwörter auf dem Notebook selber speichern
Passwörter als Aufkleber oder Etikett auf dem Gerät (z. b. Unterseite) hinterlassen
Passwörter als Notiz mit dem Gerät zusammen in der Tragetasche ablegen

Wenn Sie schon Passwörter schriftlich notieren und ablegen müssen, dann in Ihren persönlichen Unterlagen wie der Brieftasche oder dem Terminkalender. Auf jeden Fall in Dokumenten, die Sie niemals freiwillig aus der Hand geben würden und daher ständig bei sich tragen.

Social Engineering
Eine kniffelige aber sehr wirksame Methode, an Passwörter zu gelangen, ist Social Engineering. Durch Analyse der Lebensumstände und Gewohnheiten des Opfers wird versucht, mögliche Passwörter herauszufiltern. Das wären z. B. Namen (Familienmitglieder, Freunde, Filmidole, Haustiere usw.), bestimmten Termine oder Geburtstage, bestimmte Vorlieben, Hobbys etc.
Versuchen Sie grundsätzlich, eindeutige Passwörter aus solchen Bereichen zu meiden. Gegenüber Fremden sollten Sie auch nicht zu redselig sein, solche Angreifer beherrschen perfekt den scheinbar belanglosen Small Talk.

Vom System abmelden / das System sperren
Moderne Betriebssystem haben eine effiziente und restriktive Userverwaltung. Wenn Sie das Notebook alleine lassen und nicht abschalten wollen/können, melden Sie sich vom System und/oder dem Netzwerk ab. Auch Bildschirmschoner lassen sich mit guten Passwörtern sichern.

BIOS-Einstellungen
Aktuelle Rechnersysteme bieten im BIOS viele bootfähige Schnittstellen (Diskette, LAN, USB) an. Die meisten Angreifer-Tools können von diesen Medien gestartet und ausgeführt werden. Dabei ist das installierte Betriebssystem nicht aktiv und dessen Schutzmechanismen greifen zumeist nicht.
Definieren Sie daher im BIOS Ihres Notebooks als erste und einzige Bootquelle die interne Festplatte. Andere Bootmedien – und damit Hintertüren - fallen damit weg. Sichern Sie den Zugang zum BIOS auch mit einem sicheren Kennwort.

Hinweis: Die meisten BIOS-Hersteller liefern ihre Produkte mit nicht deaktivierten Master-Passwörtern aus, mit deren Hilfe sich ein Angreifer trotzdem Zugriff auf den Rechner verschaffen kann. Der Schutz ist also nicht optimal, sollte trotzdem eingesetzt werden.

ATA-Sicherheitsfunktionen
Bei vielen Notebooks können auch ohne Verschlüsselung die Daten gesichert werden, indem über ein entsprechend ausgestattetes BIOS ein ATA-Passwort für die Festplatte gesetzt wird. Ohne das Passwort verweigert die Festplatte ihren Dienst und die unverschlüsselten Daten sind praktisch nicht mehr erreichbar.

Achtung: vor dem ATA-Feature wird gewarnt, da es durch Dritte (z. B. über online eingeschleusten Schadcode) mißbraucht werden kann, um Festplatten unbrauchbar zu machen. In den meisten Rechner ist dieses Feature – sofern vorhanden - inzwischen deaktiviert.

Biometrie
Biometrie bezeichnet eine Technik, bei der individuelle Körpermerkmale des Anwenders als Schlüssel zum Zugang zum System verwendet werden. Diese Merkmale können sein: Fingerabdruck, Stimme, Netzhaut, Gesichtserkennung.
Techniken zum Netzhautabgleich (Retina-Scan) der Augen sind noch sehr aufwendig und teuer. Die optische Gesichterkennung ist technisch noch nicht ganz ausgereift, die Entwicklung wird jedoch vorangetrieben, auch zur Sicherung einzelner Systeme.
Für den Vergleich von Fingerabdrücken (im Gerät integriert oder extern auf USB-Stick) und Stimmerkennung stehen inzwischen jedoch bezahlbare Hard- und Softwarelösungen bereit.

Externe Zugangsschlüssel
Externe Schlüssel bieten den Vorteil, dass die entscheidenden Komponente (Kennwort, Zertifikat) für den Zugriff nicht auf dem zu knackenden System hinterlegt ist. Der Angreifer ist auf den externen Schlüssel angewiesen. Diesen zu beschaffen erfordert Zeit und zusätzliche Logistik.

Neben den bereits erwähnten Biometrie-Daten können auch Security Token auf USB-Sticks und Flash-Speicherkarten hinterlegt werden. Diese Hardware-basierten* Schutzmechanismen können durch klassische Methoden wie BruteForce und SocialEngeneering nicht unterwandert werden, da die verwendete Hardware ein integraler Bestandteil des Sicherheitskonzeptes** ist.

* z. B. SmartCard, Magnetkarte, USB-Stick oder RSA-SecureID
** 2-Faktor-Authentifizierung: Wissen = Passwort + Besitz = Schlüssel-Hardware

Festplatten-Verschlüsselung
Eine der effektivsten Sicherungsmethoden für Daten auf einem mobilen Rechner ist die Verschlüsselung der internen Festplatte. Es gibt für die bekannten Betriebssysteme inzwischen eine Reihe von ausgereiften Schutzmöglichkeiten.

Windows
Mit Windows Vista wurde BitLocker eingeführt. BitLocker arbeitet mit einer Hardwarekomponente auf dem Rechner-Mainboard zusammen, dem TPM 1.2-Chip. TPM = Trusted Platform Module. BitLocker verwendet einen Zugangsschlüssel, der auf Basis der verwendeten Hardware (TPM 1.2) generiert wird und somit auf unterster Ebene ausserhalb des Betriebssystems arbeitet. Eine mit BitLocker verschlüsselte Festplatte kann z. B. nicht in einem anderen Rechner gelesen werden.

EFS (Encrypting File System) ist ein System zur Dateiverschlüsselung auf Systemen mit Windows 2000 oder höher. Mit diesem System lassen sich Verzeichnisse oder ganze Partitionen sehr gut verschlüsseln. EFS kann mit BitLocker kombiniert werden.

Neben diesen Windows-internen Optionen gibt es diverse Verschlüsselungs-Tools auf dem Markt. Dies sind entweder reine Software-Lösungen oder Kombinationen aus Hard- und Software.

Linux
Unter Linux hat sich LUKS (Linux Unified Key Setup), das Management-Tool für DM-Crypt, inzwischen als Quasi-Standard profiliert. Das Kernelmodul »dm-crypt« verschlüsselt Festplattenpartitionen auf Blockdevice-Ebene, der Inhalt wird dann über ein virtuelles Device im Klartext ausgegeben. Für die Applikation und den Anwender bleibt der Vorgang transparent.

Die Lösung TrueCrypt arbeitet nach einem ähnlichen Prinzip und steht als Open Source-Projekt auch in einer Variante für Windows zur Verfügung.
Auch für andere Unix-Derivate wie den xBSD-Systemen steht eine ganze Reihe verschiedener Tools zur Festplattenverschlüsselung bereit. Zu nennen wären dort z. B. GEOM Based Disk Encryption (gbde) und cryptographic device driver (CGD).

Insgesamt ist das Angebot an Verschlüsselungstools gerade aus dem Open Source-Bereich sehr umfangreich und deckt die verschiedensten Einsatzbereiche ab.

MacOS X
Das Betriebssystem der Apple-Plattform stellt das interne Tool FileVault zur Datenverschlüsselung bereit. File Vault verschlüsselt jedoch nur Verzeichnisse, keine kompletten Partionen oder Festplatten. Allerdings werden die Daten mit dem Advanced Encryption Standard (AES) und einem 128Bit-Schlüssel sehr sicher codiert.

Auch für Mac OS X stehen weitere, kommerzielle und freie Verschlüsselungstools zur Verfügung.

Der Sonderfall: Zugriff für Behörden
Seit 2006 dürfen US-amerikanische Zoll- und Einwanderungsbeamte alle Arten elektronischer Datenträger, also auch Notebooks, bei der Einreise ohne Angaben von Gründen beschlagnahmen und durchsuchen. Aus einigen asiatischen Ländern werden ähnliche Vorfälle gemeldet und es steht zu befürchten, dass sich diese Praxis weiter verbreitet.
Nach etwa 20 Minuten bekommt der Eigentümer das Gerät zurück und es ist davon auszugehen, dass der komplette Inhalt der Festplatte kopiert wurde, um ihn später genau zu analysieren. Industrie- und Handelskammern warnen in diesem Zusammenhang vor möglicher Industriespionage. Daten über Produktentwicklungen, Verträge und Kundeninformationen könnten in falsche Kanäle laufen.

[ Update: 01. 08. 2008 ]
Das US-Heimatschutzministerium (Department of Homeland Security) hat diese Vorgehensweise nun offiziell bestätigt. Dies betrifft auch die Weitergabe von Daten an "Dritte", womit die Möglichkeit der Industriespionage prinzipiell gegeben ist.

Die Vorgaben zur Durchsuchung von elektronischen Geräten sind in diversen Dokumenten (engl.) der CBP Search Authority nachzulesen.
[ /Update ]

Als Schutzmaßnahme bietet sich hier die Festplattenverschlüsselung an. Allerdings dürfen die Behörden die Herausgabe des Schlüssels erzwingen. Es gibt zurzeit keine rechtliche Möglichkeit, sich dieser Aufforderung zu verweigern und trotzdem mit dem Notebook einzureisen. Bei Verweigerung bleibt als Alternative nur eine sofortige Rückreise oder die Zerstörung des Gerätes an Ort und Stelle.

Workaround: Keine kritischen Daten auf dem Gerät speichern, nur eine Basisinstallation mit Betriebssystem und Applikationen. Bei Bedarf sollten alle Daten online über gesicherte Internetverbindungen (VPN) abgerufen werden.