Einführung in die Endgeräteverschlüsselung
Wenn Sie einen Computer oder ein entfernbares USB-Laufwerk benutzen, kann es gut sein, dass sich sensible Daten auf diesen Geräten
befinden. Ob es sich um einen Heimcomputer mit den familiären Finanzen, einen Arbeitscomputer mit sensiblen Unternehmensinformationen
oder einen USB-Stick mit Regierungsgeheimnissen handelt – Sie müssen sicherstellen, dass kein unbefugter Zugriff auf diese Daten stattfindet,
wenn das Gerät verloren geht oder gestohlen wird.
Endgeräteverschlüsselung, auch als Festplattenverschlüsselung bekannt, schützt diese Daten, indem sie sie für unbefugte Nutzer unlesbar
macht. Diese Abhandlung beschreibt die Unterschiede zwischen Endgeräte- und Dateienverschlüsselung, die genaue Funktionsweise von
Endgeräteverschlüsselung sowie Mechanismen zur Wiederherstellung.
4. 1
Wie Endgeräteverschlüsselung funktioniert
Einführung in die Endgeräteverschlüsselung
Wenn Sie einen Computer oder ein entfernbares USB-Laufwerk benutzen, kann es gut sein, dass sich sensible Daten auf diesen Geräten
befinden. Ob es sich um einen Heimcomputer mit den familiären Finanzen, einen Arbeitscomputer mit sensiblen Unternehmensinformationen
oder einen USB-Stick mit Regierungsgeheimnissen handelt – Sie müssen sicherstellen, dass kein unbefugter Zugriff auf diese Daten stattfindet,
wenn das Gerät verloren geht oder gestohlen wird.
Endgeräteverschlüsselung, auch als Festplattenverschlüsselung bekannt, schützt diese Daten, indem sie sie für unbefugte Nutzer unlesbar
macht. Diese Abhandlung beschreibt die Unterschiede zwischen Endgeräte- und Dateienverschlüsselung, die genaue Funktionsweise von
Endgeräteverschlüsselung sowie Mechanismen zur Wiederherstellung.
Was Endgeräteverschlüsselung ist
Endgeräteverschlüsselung versus Dateienverschlüsselung
Wenn es um Datenverschlüsselung geht, gibt es verschiedene Strategien.
Endgeräteverschlüsselung schützt eine Festplatte im Fall von Diebstahl oder versehentlichem Verlust, indem es die gesamte Festplatte
verschlüsselt – einschließlich Swap-Dateien, Systemdateien und Dateien im Ruhezustand. Wenn eine verschlüsselte Festplatte verloren
geht, gestohlen oder in einen anderen Computer eingebaut wird, bleibt deren Verschlüsselungszustand unverändert, sodass nur ein
berechtigter Nutzer auf die Inhalte zugreifen kann.
Endgeräteverschlüsselung kann Ihre Daten jedoch nicht schützen, wenn Sie sich während des Systemstarts eingeloggt haben und Ihren
Computer unbeaufsichtigt lassen. In diesem Fall ist Ihr System entsperrt, und unbefugte Nutzer können darauf genauso zugreifen wie
berechtigte Nutzer. Hier kommt die Dateienverschlüsselung ins Spiel.
So wie ein Alarmsystem ein ganzes Haus schützt und ein Safe zusätzliche Sicherheit bietet, schützt Endgeräteverschlüsselung das gesamte
System, und Dateienverschlüsselung bietet eine zusätzliche Sicherheitsschicht.
Dateienverschlüsselung verschlüsselt spezielle Dateien, sodass die Inhalte dieser Dateien auch nach erfolgreicher Anmeldung eines
Nutzers bei einem Betriebssystem verschlüsselt bleiben. Eine Anwendung wie Symantec™ File Share Encryption kann einzelne Dateien
und Ordner schützen, indem sie den den Benutzer zur Eingabe einer Passphrase auffordert, um ihm den Zugriff darauf zu erlauben.
Dateienverschlüsselung erfordert eine Aktion des Nutzers, während die Laufwerksverschlüsselung automatisch alle Daten verschlüsselt, die
Sie oder das Betriebssystem erstellen. Dateienverschlüsselung kann auch mit einem Verschlüsselungsrichtlinien-Server gekoppelt werden.
Das ermöglicht es IT-Administratoren, Verschlüsselungsregeln für eine ganze Organisation zu erstellen und bekanntzugeben, einschließlich
des automatischen Verschlüsselns von Dateien aus verschiedenen Anwendungen und/oder Ordnern.
Wie es funktioniert
Während des Hochfahrens eines Betriebssystems wird eine Boot-Sequenz ausgeführt. Das Bootsysten ist die allererste Reihe von
Arbeitsschritten, die der Computer ausführt, wenn er eingeschaltet wird. Der Boot-Lader (oder Bootstrap-Lader) ist ein kurzes
Computerprogramm, welches das Hauptbetriebssystem für den Computer lädt. Der Boot-Lader sucht zuerst einen Boot Record oder eine
Partitionstabelle, die den logischen “Null”-Bereich (oder Startpunkt) des Laufwerks darstellt.
Endgeräteverschlüsselung modifiziert den Nullpunkt-Bereich des Laufwerks. Ein Computer, der mit Symantec™ Endpoint Encryption
geschützt ist, präsentiert dem Nutzer eine modifizierte “Pre-Boot”-Umgebung (Abb. 1).
Dieser modifizierte Pre-Boot-Bildschirm fordert den Nutzer auf, seine Zugangsberechtigung in Form einer Passphrase nachzuweisen
(üblicherweise ein längeres Passwort, das oft einem Satz ähnelt). An diesem Punkt kann der Computer weitere Berechtigungsnachweise
verlangen, wie etwa eine Smartcard, ein Token oder eine andere Zwei-Faktoren-Legitimation.
5. 2
Wie Endgeräteverschlüsselung funktioniert
Nachdem der Nutzer gültige Berechtigungsnachweise eingegeben hat, fährt das Betriebssystem wie gewohnt mit dem Laden fort, und der
Nutzer kann auf den Computer zugreifen.
Endgeräteverschlüsselungs-Software bietet außerdem die Möglichkeit, entfernbare Speichermedien wie USB-Laufwerke zu verschlüsseln.
Wenn Sie ein USB-Laufwerk an ein Computersystem anschließen, verlangt es eine Passphrase, und nach erfolgreicher Legitimation können
Sie das USB-Laufwerk benutzen.
Endgeräteverschlüsselung: Hinter den Kulissen
Grundlagen des Dateisystems
Während des Boot-Vorgangs initialisiert das System die Dateisysteme des Computers.
Wenn ein Nutzer den Zugriff auf eine Datei erbittet (z.B. indem er eine Datei erstellt, öffnet oder löscht), wird diese Anfrage an den Input/
Output-(I/O)-Manager des Betriebssystems gesendet, der sie an den Dateisystem-Manager weiterleitet. Der Dateisystem-Manager verarbeitet
Dateien blockweise.
Leben mit Verschlüsselung: Business as Usual
Die meiste Endgeräteverschlüsselungs-Software arbeitet in Verbindung mit der Dateisystem-Architektur. Sie filtert I/O-Vorgänge für ein oder
mehr Dateissysteme oder Dateissystem-Mengen.
Wenn ein Laufwerk erstmalig mit Endgeräteverschlüsselung verschlüsselt wird, konvertiert es unververschlüsselte Laufwerksblöcke der
Reihe nach in verschlüsselte. Endgeräteverschlüsselung erlaubt es den Nutzern, während dieses initialen Verschlüsselungsvorgangs wie
gewohnt mit der Arbeit fortzufahren, indem sie den Anteil der CPU-Rechenleistung, die dem initialen Verschlüsselungsvorgang zugeteilt ist,
modifiziert.
Passphrase und / oder Token/ Smart Card
das Laufwerk wird
verschlüsselt, Datenblock
für Datenblock
Verschlüsselung von
Laufwerks-
Datenblöcken
6. 3
Wie Endgeräteverschlüsselung funktioniert
Wenn ein Nutzer auf eine Datei zugreift, entschlüsselt Endgeräteverschlüsselung die gespeicherten Daten, bevor sie auf dem Bildschitm
dargestellt werden werden. Wenn der Nutzer irgendwelche Änderungen an der Datei durchführt, werden die Daten im Speicher verschlüsselt
und dann auf den jeweiligen Laufwerksblock zurückgeschrieben, genauso wie das ohne Verschlüsselung ablaufen würde. Verschlüsselte
Dateien stehen niemals auf dem Laufwerk zur Verfügung.
Der Vorgang des Verschlüsselns / Entschlüsselns läuft mit einer solchen Geschwindigkeit ab, dass er für den Nutzer vollkommen
codeunabhängig erscheint.
Endgeräteverschlüsselung: Wiederherstellung
Endgeräteverschlüsselung: Wiederherstellung
Der häufigste Anlass zur Datenwiederherstellung ist eine verlorene oder vergessene Passphrase. Deshalb muss Endgeräteverschlüsselungs-
Software eine Wiederherstellungs-Funktion enthalten. Bei Symantec Endpoint Encryption gibt es verschiedene Möglichkeiten, im Fall einer
vergessenen Passphrase auf ein verschlüsseltes System zuzugreifen, unter anderem die lokale Wiederherstellung, ein Wiederherstellungs-
Token und einen Administratorenschlüssel.
Die lokale Selbstwiederherstellung ermöglicht es Nutzern, während der Boot-Zeit vordefinierte und anpassbare Fragen zu beantworten, um
Zugang zu einem verschlüsselten System zu erhalten und die Boot-Passphrase zurückzusetzen, ohne jemals die IT-Abteilung zu bemühen.
Die Whole Disk Recovery Token (WDRT) ist ein einmaliges, temporäres, geräte- und nutzerbezogenes Wiederherstellungs-Set
alphanumerischer Zeichen, um eine Passphrase zturückzusetzen.
Der Administratorenschlüssel, der im Besitz der Administration ist, wird auf einer manipulationssicheren Smartcard oder einem Token
gespeichert.
Ein anderer Anlass zur Datenwiederherstellung, auch wenn er selten ist, kann in Datenverstümmelung aufgrund eines Hardware-Absturzes
oder anderer Faktoren wie Datenviren bestehen. Die Verstümmelung eines Master Boot Record auf einem Boot-Laufwerk oder einer
entsprechenden Laufwerkspartition, die durch Laufwerksverschlüsselung geschützt ist, kann ein System am Hochfahren hindern. Um solche
Fehler zu vermeiden, ist es das Beste, eine Wiederherstellungs-CD zu erstellen und dann ein Laufwerks-Backup durchzuführen, bevor das
Laufwerk mit Endgeräteverschlüsselung gesichert wird..