Datenverschlüsselungslösungen

Die zahlreichen Hersteller von Verschlüsselungslösungen nähern sich somit der Thematik mit unterschiedlichen Lösungsansätzen – einige davon haben doch erhebliche Einschränkungen!

Die einfachste Variante ist die "manuelle" Methode der Dateiverschlüsselung, wo der Benutzer selektiv Dateien verschlüsselt (und entschlüsselt) was auch Cross-Platform-Lösungen zulässt. Eine Stufe höher kann man die ordnerbasierte Verschlüsselung sehen, die schon eine tiefere Integration in das Betriebssystem erfordert. Zudem können auch hier Fallen für falsche Benutzung liegen, wie bei EFS wo das "verschieben" in einen verschlüsselten Ordner keine Verschlüsselung der Datei auslöst.

Einige Werkzeuge bieten verschlüsselte virtuelle Laufwerke (Container) an, wo sich eine große verschlüsselte Datei dem Betriebssystem als logisches Laufwerk präsentiert. Natürlich kann dann auch die ganze Platte per Disk Encryption inklusive Boot und Systemdateien verschlüsselt werden und dadurch schon ein "Pre-Boot-Logon" passieren muss.

=

Manuelle Dateiverschlüsselung

Bei dieser sehr einfachen Variante kann manuell eine Datei verschlüsselt werden. In der Regel erfolgt dies im Explorer mit der rechten Maustaste auf das gewünschte File und dann im Menü auf „Verschlüsseln“ gehen. Diese Methode ist als einzige auch dazu geeignet, eine verschlüsselte Datei zum Beispiel per Mail zu übertragen. Daher bieten gute Festplattenverschlüsselungshersteller auch zusätzlich diese Möglichkeit an (in diesem Fall ist diese Datei dann doppelt verschlüsselt). Aber alleine betrachtet bietet sie keinen hinreichenden Schutz und unterliegt allen Problembereiche bei Dateiverschlüsselungen . Darüber hinaus kommt noch der Fehlerfaktor Mensch hinzu, etwa wenn auf die Verschlüsselung vergessen wird.

=

Dateiverschlüsselung: ©WinMagic Inc.
Dateiverschlüsselung ©WinMagic Inc.

Ordner- und Containerverschlüsselung

Ordnerverschlüsselung

Im Gegensatz zur File Verschlüsselung werden die Dateien innerhalb des angegebenen Folders automatisch Ver- und Entschlüsselt. Durch die Integration in das Betriebssystem ist somit keine Benutzerinteraktion mehr nötig und die Verschlüsselung läuft für den Anwender transparent. Auf den ersten Blick klingt dieses System sehr vernünftig, jedoch können auch Produkte dieser Kategorie keinen Schutz für die Schwachstellen bei File Verschlüsselung bieten. Dazu ist auch noch zu bemerken, dass dieser Ansatz im Vergleich zur Festplattenverschlüsselung erheblich größere CPU und Festplatten-Ressourcen benötigt. Der Overhead liegt darin begründet, dass hier jede Datei des Folders einzeln verschlüsselt wird und dazu eine Schlüsselerzeugung und -Ablage (manchmal mehr als 2 kByte je File) nötig wird.

=

Container Verschlüsselung

In dieser Variante wird eine große versteckte Datei angelegt, in welche alle verschlüsselten Daten geschrieben werden. Für den Anwender erscheint dann ein Virtuelles Laufwerk, welches er wie eine Partition auf der Festplatte behandeln kann. Alle darin angezeigten Files liegen in verschlüsselter Form eben in dieser Datei auf der Platte.

Manche Produkte unterstützen auch mehrere solcher Dateien und bieten eine Zugriffsverwaltung für unterschiedliche Benutzer an, in der auf Container-Ebene in sehr vereinfachter Form Berechtigungen vergeben werden können. Da die gesamte Implementation auf bestehenden Funktionalitäten des Betriebsystems aufsetzen kann, ist hier auch die Unterstützung von HW-Token wie Smart Cards mit und ohne Zertifikate recht komfortabel und umfangreich. Auch biometrische Authentifizierung ist, zusätzlich in Kombination mit einer Smart Card, erhältlich. Diese Lösungen lassen sich sehr einfach und unkompliziert umsetzen, bieten jedoch einige substantielle sicherheitstechnische Schwachstellen. Zum Beispiel behandelt das Betriebssystem dieses virtuelle Laufwerk nicht wie eine physikalische Disk, wodurch sich darauf keine Temporärverzeichnisse und Auslagerungsdateien anlegen lassen. Dies führt natürlich dazu, dass alle dort enthaltenen Informationen nach wie vor unverschlüsselt auf der Platte liegen. Darüber hinaus ist auch nach wie vor das Betriebsystem (speziell die Registry) ungeschützt.

=

Ordner und Containerverschlüsselung ©WinMagic Inc.
Ordner und Containerverschlüsselung ©WinMagic Inc.

Probleme bei Dateiverschlüsselungen

Beim Einsatz von File Encryption, egal welcher Methode muss auch bedacht werden, dass die Informationen bei der Verarbeitung, bzw. in ihrem Lebenszyklus auch an anderen Plätzen vorliegen. Vor allem befinden sich Kopien in temporären Ordner, in Swap-Files, auch im RAM-Abbild des Hibernation Mode oder schlicht dem Papierkorb. Zusätzlich können durch File-Slacks mit forensischen Techniken sensitive Daten offen gelegt werden. File Slacks sind zufällige Daten aus dem RAM mit denen Windows die nicht benötigten Speicherbereiche, eines von Datei nicht mehr vollständig belegten Clusters, auffüllt.

=

Temporäre Dateien

Viele kommerzielle Softwarepakete erzeugen temporäre Dateien um entweder Zwischenergebnisse abzulegen oder darin eine Kopie des Originals mit den letzen Änderungen für den Fall eines unerwarteten Absturzes zu speichern. Diese Files sind zwar oft extrem nützlich, aber auch ein ebenso großes Sicherheitsrisiko bei sensitiven Daten.

=

Auslagerungsdateien

Werden in modernen Betriebssystemen stark verwendet um die Knappheit von Arbeitsspeicher auszugleichen. Dabei werden Speicherinhalte auf die Festplatte geschrieben um Platz für andere Anwendungen zu schaffen. Sobald diese Inhalte wieder benötigt werden, kommen sie zurück an ihre alte Position.

=

Papierkorb

Wenn eine Datei im System gelöscht wird, kommt sie zuerst in den Mistkübel. Bis dieser geleert wird, können die Daten jederzeit wieder hergestellt werden. Aber selbst dann verweilen die darin enthaltenen Informationen auf der Festplatte, solange sie nicht von einer anderen Datei überschrieben werden. Mit vielen Software Werkzeugen können Sie gefunden und gelesen werden.

=

Windows Registry

Viele Windows-Anwendungen legen wertvolle Information in der Registry ab, wie zum Beispiel Username/Passwort-Kombinationen für Websites. Aber auch deren unauthorisierte Manipulation kann, zu erheblichen Sicherheitslöchern führen, z.B. das kommerzielle Tool ERD Commander der Firma Winternals, kann die Registry verändern und das Administrator Passwort des Zielsystems neu setzen.

=

Hibernation und Sleep Mode

Diese Modi werden oft bei Notebooks verwendet um Batterie zu sparen wenn der Computer noch eingeschaltet ist. Dabei wird der gesamte Inhalt des Arbeitsspeichers inklusive aller enthaltenen sensitiven Daten auf die Festplatte gespeichert. Dadurch lässt sich beim nächsten Hochfahren der exakte Zustand wiederherstellen.

=

File Slacks

Windows organisiert seine File Systeme in so genannten Clusters, die wiederum aus bis zu 64 Sektoren bestehen. Auch wenn eine Datei nur wenige Byte lang ist, belegt diese immer einen ganzen Cluster (meist viele Kilobyte). Der letzte von Nutzdaten angefangene Sektor ist mit willkürlichen Daten aus dem RAM aufgefüllt – das können selbstverständlich auch Passwörter oder Inhalte der gerade bearbeiteten E-Mail sein! Es gibt eigene Werkzeuge welche mit forensischen Methoden diese Daten auswerten können.

=

Versteckte Partitionen

Das sind Teile der Hard Disk, die das Betriebssystem nicht erkennt und anzeigt. Dennoch verwenden einige Anwendungen diesen Platz um Daten am System vorbei abzulegen.

=

Festplattenverschlüsselung

Bei der Festplatten Verschlüsselung liegt der größte Unterschied zu den beiden voran genannten Varianten darin, dass sie Sektor für Sektor die gesamte Platte verschlüsselt und nicht jede Datei einzeln behandeln muss. Dadurch läuft die gesamte Ver- und Entschlüsselung für den Benutzer vollkommen im Hintergrund und er bemerkt keinen Unterschied zu einem unverschlüsselten System. Dadurch ist dieser Ansatz auch wesentlich performanter: der WinStone Benchmark ergibt nur eine Geschwindigkeitsreduktion von 3 %, was in annähernd allen Konfigurationen mit freiem Auge nicht mehr unterschieden werden kann.

Da alle Schreib- und Lesezugriffe vom System über eine einzige Schnittstelle erfolgen, sind wirklich alle - also auch die nicht allozierten - Bereiche verschlüsselt. Nur mit diesem Ansatz lassen sich durch diesen Umstand alle der beschriebenen Gefahren eliminieren. Allerdings bringt die Verschlüsselung des Betriebssystem auch eine erhebliche Komplexitätsebene mit sich, da bereits vor dem eigentlichen Boot-Vorgang des Betriebssystems die Authentifizierung des Benutzers zu erfolgen hat um die Entschlüsselung zuzulassen. Dieser Boot-Schutz wird auch "Pre-Boot Authentication" bezeichnet. Da zu diesem Zeitpunkt keine HW-Treiber, also auch nicht jene für Kartenleser oder Netzwerkkarten zur Verfügung stehen, ist die Integration von den essentiell notwendigen Hardware Tokens als zusätzliches Authentifizierungsmedium für die Lösungshersteller sehr aufwändig. Als Folge dessen werden jeweils nur eine begrenzte Anzahl dieser Geräte unterstützt (je nach Qualität der Verschlüsselungslösung und der Erfahrung des Herstellers variiert deren Anzahl zum Teil erheblich!).

=

Festplattenverschlüsselung ©WinMagic Inc.
Festplattenverschlüsselung ©WinMagic Inc.

Einsatzmatrix

AspektFunktionFileFolderContainerDisk
Primärer EinsatzPrimär designed für Desktop Security xxx
Primär designed für das Verschicken über Netzwerkex
Sicherheitschützt ein individuelles File xxxx
schützt den Inhalt eines Folders xxx
schützt temporäre und Auslagerungsdateien x
schützt den File Slack xx
Schutz für Datenbanken xx
Schutz für gelöschte Dateien xx
Schützt Back-Up & Auto-Save Files xx
Ermöglicht die Windows Un-Delete Funktionalität xx
Schützt Dateinamen xx
Schützt die Windows Registry x
Schutz für alle Applikationen (OS, Software, etc.) x
Schützt Dateien auf Wechseldatenträgern xxx
*herstellerabh.Schutz durch Bildschirmschoner **x
TransparenzEchtzeit - Ver und Entschlüsselung xxx
menschliches Fehlverhalten minimiert x
E-MailSenden verschlüsselter Files als E-Mail xx
Senden verschlüsselter E-Mail x