Verschlüsselung mobiler Geräte

Wie mein Kollege Samuel Isaac in seinem Blogeintrag, „Projekt mobile Sicherheit“ schon geschrieben hat, wurde bei uns in der heco gmbh die Strategie, wie mit den mobilen Geräten zu verfahren sei, überdacht.

Ich gehe hier auf das Thema Verschlüsselung von Firmen-Laptops ein.
Wie allgemein bekannt sein sollte schreibt das Bundesdatenschutzgesetz vor, wie mit sensiblen Daten, die einer natürlichen Person zuzuordnen sind, zu verfahren ist. Ich gehe hier vor allem auf den § 9 des BDSG ein, die technischen und organisatorischen Maßnahm

§ 9 Technische und organisatorische Maßnahmen
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Nun wird im Paragrafen auf eine Anlage hingewiesen, deswegen werfen wir hier einen Blick darauf und finden im Schlusssatz folgende Aussage:

Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung
von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

Diese Sätze 2 bis 4 regeln die

Zugangskontrolle:

zu verhindern, dass Datenverarbeitungssysteme
von Unbefugten genutzt werden können.

Zugriffskontrolle:

zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems
Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten
zugreifen können, und dass personenbezogene Daten bei der
Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen,
kopiert, verändert oder entfernt werden können.

Weitergabekontrolle:

zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung
oder während ihres Transports oder ihrer Speicherung auf Datenträger
nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können,
und dass überprüft und festgestellt werden kann,
an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen
ist

Anhand des Paragrafen geht eindeutig hervor, dass eine Verschlüsselung der mobilen Geräte, insbesondere der Firmen-Laptops vonnöten ist, daher haben wir zwei Lösungen für diesen Bereich analysiert.
Da der Großteil unserer Software aus dem Hause Microsoft stammt und diese ebenfalls ein Verschlüsselungsverfahren anbieten, haben wir uns entschlossen ihr Produkt BitLocker in Augenschein zu nehmen.

Die Verschlüsselung der Systempartition unter BitLocker setzt ein sogenanntes „Trusted Platform Module“ voraus, welches im Bios aktiviert werden muss, um die Vertrauenswürdigkeit der Hardware zu überprüfen. Damit wird sichergestellt, dass die Festplatte nicht mit Hilfe anderer Computer ausgelesen wird.
Ein weiterer Vorteil ist die Integration in einer Domäne. So können Wiederherstellungsdaten in der Active Directory gespeichert werde.

Der für uns gewichtigste Faktor ist allerdings, dass BitLocker nur mit der Enterprise und der Ultimate Version von Windows Vista und Windows 7 ausgeliefert wird. So wäre es mit erheblichen Mehrkosten verbunden, das Programm in unserem Unternehmen einzusetzen.

Als Alternative wurde die Open Source Software TrueCrypt evaluiert.
Das Programm ist als freier Download verfügbar, und die Installation stellt keine Probleme dar. Zusätzliche Sprachpakete sind schnell gefunden, es gibt sie von Arabisch über Deutsch bis zu Vietnamesisch. Diese können einfach im Programmverzeichnis entpackt werden, wodurch TrueCrypt in die gewünschte Sprache übersetzt wird.

Die Anzahl der Optionen sind vielfältig, von der Verschlüsselung der Systempartition über Datenpartitionen bis hin zu ganzen Festplatten. Weitere Features sind das Verstecken von Systempatitionen und die Verschlüsselung von multiplen Betriebssystemen.

Bei dem Verschlüsselungsalgorithmus stehen folgende Standards zur Auswahl:

Advanced Encryption Standard (AES):
Entwickelt 1998 von Joan Daemen und Vincent, Rijmen unter dem Namen Rijndael-Algorithmus, mit einer variablen Blockgröße von 128, 192 oder 256 Bit und einer variablen Schlüssellänge von 128, 192 oder 256 Bit. Zählt als sehr sicher und ist in den USA für staatliche Dokumente zugelassen.
(Quelle: Wikipedia)

Serpent:
Serpent wurde 1998 veröffentlicht und zählte zu den AES-Kandidaten. Es ist ein Blockchiffre mit einer Blockgröße von128 Bit und einer variable Schlüsselgröße bis 256 Bit. Zählt als sehr sicher, ist bei Implementierungen in Hardware sehr schnell, aber bei Software-Implementierungen sehr langsam. Serpent zählte zu den 5 Finalisten für den Advanced Encryption Standard.
(Quelle: Wikipedia)

Twofish:
Ein symmetrischer Verschlüsselungs Algorithmus. Blockchiffre mit einer Blockgröße von 128 Bit und 16 Runden, Schlüssellänge beträgt 128, 192 oder 256 Bit.
Zählt zu den 5 Finalisten für den Advanced Encryption Standard.
(Quelle: Wikipedia)

Ebenso besteht die Möglichkeit, mehrere Verschlüsselungsverfahren zu kombinieren. Die gewählten Verfahren werden in diesem Fall nacheinander ausgeführt.

Beim Hash Algorithmus stehen normaler weise mehrere Standards zur Auswahl. Dies wären RIPEMD-160, SHA-512 und Whirlpool.
Nur bei der Verschlüsselung der Systempartition entfällt die Auswahl, hier wird momentan nur der Algorithmus RIPEMD-160 unterstützt.

Der einzige in meinen Augen zu vernachlässigende Nachteil dieser Lösung stellt die Wiederherstellungs -CD dar, die TrueCrypt vor der eigentlichen Verschlüsselung brennen will. Die Verschlüsselung wird nicht gestartet, ohne dass TrueCrypt die erfolgreiche CD-Erstellung überprüft hat.

Durch die einfache und logische Menüführung des Programmes ist es meiner Meinung nach von jedem einsetzbar, ohne dass lange Recherchen im Handbuch oder Internet anfallen.
Aufgrund dieser einfachen und doch umfassenden Lösung wird es auch zukünftig bei uns eingesetzt werden, um den Anforderungen des Bundesdatenschutzgesetzes gerecht zu werden.

Denn der Verlust von sensiblen Daten stellt für Firmen nicht nur ein finanziellen, sondern vor allem einen nicht wieder gut zu machenden Imageschaden dar.

Verfasser: Sven Boden

Advertisements

Über hecogmbh

Die heco gmbh ist ein Handelshaus sowie ein Produzent für Fittings und Armaturen aus rostfreiem Edelstahl. Unsere Produkte werden im Maschinen-, Anlagen- und Fahrzeugbau sowohl in der chemischen Industrie als auch in der Nahrungsmittelindustrie eingesetzt. Mit mehreren Standorten europaweit sind wir immer in Ihrer Nähe.
Dieser Beitrag wurde unter Sven Boden abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s