AV-Software, Firewall, Netzwerksegmentierung reichen nicht Verschlüsselung macht Notebooks sicherer

8. August 2017

In jedem Unternehmen dreht sich inzwischen alles nur noch um Daten, deren Austausch und ständiger Verfügbarkeit von Informationen. Arbeitsplätze, Serverlandschaften, Produktionsmaschinen und vieles mehr sind miteinander vernetzt und erlauben den schnellen Austausch von Daten im ganzen Unternehmen, Zuhause oder beim Kunden. Daher werden die „internen Ressourcen“ mit Hilfe von Antivirensoftware, Firewalls und der Netzwerksegmentierung abgesichert. Doch wie ist es um die Sicherheit bestellt, wenn Net- oder Notebooks verloren gehen oder entwendet werden?

Frage zum aktuellen Schutz

Mitarbeiter im Außendienst oder im Homeoffice greifen extern über Firmennotebooks auf wichtige Dokumente zu oder haben sie lokal gespeichert. Diese Geräte stellen ein erhöhtes Sicherheitsrisiko dar: zwar sind die Geräte meist durch Benutzer-Logins geschützt, beim Verlust jedoch sind die Daten nicht mehr sicher. Denn welchen Schutz bietet heutzutage ein einfaches Passwort?

Mobile Geräte sind ein Risiko, denn sie können leicht in einem unbeaufsichtigten Moment „ausgeliehen“ oder entwendet werden. Trotz strukturierter Laufwerke auf zentralen Servern speichern viele Mitarbeiter „ihre“ Daten lokal ab. Bei Diebstahl sind diese Daten ein leichtes Ziel: Selbst, wenn das Passwort nicht geknackt wird, können die Daten von der Platte kopiert werden.

Das Passwort verhindert in diesem Fall maximal den Start von Windows, nicht jedoch den Einbau der Platte in einen anderen Computer oder das booten von einem Bootstick/CD. Auch leicht zugängliche Orte wie z.B. Besprechungsräume mit nicht gesperrten Rechnern stellen ein Risiko dar. Ein unbeaufsichtigter Besucher kann Daten per USB-Stick entwenden oder gar die Festplatte ausbauen und mitnehmen.

Verschlüsselung

Quelle: Microsoft

Doch man kann seine Daten vor einem solchen Angriff schützen und den Zugriff auf Laufwerke und Daten beschränken, auch wenn jemand bereits physischen Zugriff auf ein Gerät erlangt hat. Dazu gibt es die Verschlüsselung. Microsofts Bitlocker-Technik bietet zum Beispiel eine bereits in Windows integrierte Lösung der Laufwerksverschlüsselung. Fast jedes Notebook besitzt den dafür notwendigen TPM-Chip (Trusted Platform Module) und kann somit ohne zusätzliche Software verschlüsselt werden. Auch USB-Sticks und externe Festplatten, sowie Festplatten in ihren lokalen Workstations oder Servern lassen sich so verschlüsseln.

Die Verschlüsselung können sie händisch für jedes einzelne Gerät einrichten oder per Gruppenrichtlinie auf allen Rechnern erzwingen. Bei Computern ohne TPM-Chip kann ersatzweise ein USB-Stick zum Einsatz kommen, welcher diese Funktion übernimmt und eine Schlüsseldatei zur Verfügung stellt. Doch auch Bitlocker muss richtig konfiguriert werden, um wirklich Schutz zu bieten.

TPM-Chips bieten Schutz bei Festplattendiebstahl, da mit Bitlocker verschlüsselte Platten nicht in einem anderen Rechner ausgelesen werden können, sondern nur mit dem zugehörigen TPM-Chip. Wird der verschlüsselte Rechner zusätzlich durch einen Pin oder eine andere Authentifizierung geschützt, ist auch das Starten von Bootstick nicht mehr möglich, da Bitlocker bereits vor dem Start des Betriebssystems eingreift. Das Aktivieren solcher zusätzlicher Sicherheitsmaßnahmen ist somit äußerst sinnvoll.

Wiederherstellen

Dorothee Ott ist Servicetechnikerin bei der Celos Computer GmbH; Quelle: Celos

Doch ein Argument, das besorgte Anwender gegen die Verschlüsselung ins Feld führen, lautet: Was passiert, wenn mein Notebook kaputtgeht und der TPM-Chip dadurch unbrauchbar wird? Dafür gibt es die Option, Wiederherstellungsschlüssel anzulegen und sie zu speichern. Diese sollten allerdings an einem sicheren Ort verwahrt oder direkt in einem Verzeichnisdienst wie dem Active-Directory hinterlegt werden, um sie automatisch jedem Benutzer zuzuordnen. Dadurch erhält der betreffende Administrator die Möglichkeit, Wiederherstellungsvorgänge durchzuführen und Bitlocker inklusive aller Einstellungen per Gruppenrichtlinien zu verwalten.

Bei all diesen Vorteilen in Bezug auf Sicherheit, Zeitersparnis und manueller Überwachung sollte aus Sicherheitsgründen darauf geachtet werden, dass Bitlocker nur von Fachpersonal eingerichtet wird, um zu verhindern, dass die Daten, beispielsweise ohne die geschilderte Wiederherstellungsoption, auch für die Anwender unlesbar werden.

Bitlocker selbst wird von Windows 7, 8 und 10, sowie allen Windows-Serverbetriebssystemen ab Server 2012 unterstützt und muss lediglich aktiviert und eingerichtet werden – getreu dem Motto: Sicherheitsoptimierung mit Bordmitteln.

Dorothee Ott

ist Servicetechnikerin bei der Celos Computer GmbH.

Hier geht es zu Celos Computer

Lesen Sie auch