Data Encryption Toolkit for Mobile PCs

Übersicht: Strategischer Ansatz zum Sichern mobiler Daten

Veröffentlicht: 29. Aug 2006

Möglicherweise lesen Sie dieses Dokument auf dem Bildschirm Ihres Laptops oder während Sie auf den Flug zu Ihrem nächsten Zielort warten. Oder vielleicht sind Sie am Wochenende zu Hause und haben noch einige Punkte Ihrer Aufgabenliste zu erledigen. Machen Sie sich dabei jemals Gedanken darüber, ob die Daten auf Ihrem Laptop wirklich sicher sind? Was ist, wenn Ihr Laptop gestohlen wird oder einem Ihrer Mitarbeiter ein Laptop abhanden kommt? Sind Ihre aktuellen Entwürfe und Marketingpläne geschützt? Sind die persönlichen Daten Ihrer Kunden sicher? Oder wird Ihr Unternehmen negative Schlagzeilen machen, weil es Tausende von Kundendatensätzen verloren hat?

Laut "U.S. Survey: Confidential Data at Risk", einer kürzlich vom Ponemon Institute durchgeführten Studie, haben 81 Prozent der 484 Umfrageteilnehmer angegeben, dass in ihren Unternehmen im Laufe der letzten 12 Monate ein oder mehrere Laptopcomputer mit sensiblen oder vertraulichen Geschäftsinformationen verloren gegangen sind.

Werden Sie hellhörig? Das sollten Sie, denn der Verlust von Laptops stellt ein schwerwiegendes Problem dar. Mit stetig zunehmender Speicherkapazität können Laptops enorme Mengen an geschäftlichen und persönlichen Daten speichern. Laptops sind weit verbreitete, überaus effektive mobile Tools, doch der Verlust vertraulicher Daten kann erhebliche Auswirkungen auf die Gewinne Ihres Unternehmens, das Wohlwollen Ihrer Kunden und den rechtlichen Ruf Ihres Unternehmens haben. Sie könnten sogar Ihren Job verlieren.

Es ist jedoch einfacher, als Sie vielleicht vermuten, die geeigneten Schritte zu unternehmen, um diesen schwierigen Problemen zu begegnen. Microsoft bietet Technologien, die Sie dabei unterstützen und über die Sie möglicherweise bereits verfügen. Wenn Ihr Unternehmen Windows Vista™ oder Microsoft® Windows® XP Professional verwendet, sind viele der benötigten Tools bereits vorhanden. Die IT-Abteilung Ihres Unternehmens kann Ihnen mithilfe des kostenfrei herunterladbaren Microsoft Data Encryption Toolkit for Mobile PCs dabei helfen, dieses Problem in den Griff zu bekommen. Das Tool ermöglicht Ihrem und anderen Unternehmen, die Verschlüsselungstechnologie zu aktivieren, über die Sie bereits verfügen.

Mit dem Microsoft Data Encryption Toolkit for Mobile PCs ist Ihr Unternehmen besser geschützt, denn es senkt das Risiko, durch Nachlässigkeit oder einfach nur „Pech“ einen schwerwiegenden Vorfall zu verursachen und dadurch viel Zeit, Geld und Ansehen zu verlieren. Das Toolkit, das im zweiten Quartal 2007 als kostenloser Download veröffentlicht wird, verwendet das verschlüsselnde Dateisystem (Encrypting File System, EFS; für Windows 2000, Windows XP Professional und Windows Vista verfügbar) und die BitLocker™-Laufwerkverschlüsselung (eine wichtige neue Datenschutzfunktion in Windows Vista). Das Toolkit beinhaltet auch den EFS-Assistenten (ein Tool zur leichteren zentralen Verwaltung der EFS-Verschlüsselung).

Auf dieser Seite

Unternehmensrisiken
Rechtliche Risiken
Risikominderung mithilfe des Data Encryption Toolkits
Weitere Schritte

Unternehmensrisiken

Geschäftsleiter und technische Manager müssen ihr Umfeld und die gesetzlichen Gegebenheiten kennen und wissen, wie die mit der Einsehbarkeit von Daten verbundenen Risiken gemindert werden können. Das Microsoft Data Encryption Toolkit for Mobile PCs ist hauptsächlich für den Schutz von Daten auf mobilen Computern ausgelegt. Dieselben Konzepte, Datenschutzbedenken und Lösungen gelten jedoch auch für Desktopcomputer, für die ebenfalls die Risiken des Diebstahls und unautorisierten Zugriffs bestehen.

Im Folgenden wird eine fiktive Firma vorgestellt, deren Daten in die Öffentlichkeit gelangt sind. Dies veranschaulicht das Problem und die möglichen Konsequenzen.

„Contoso, ein mittelgroßes Technologieunternehmen mit Sitz in Kanada, stellte ein Produkt her, das von den Kunden über die Website bestellt wurde. Die personenbezogenen Informationen in der Contoso-Datenbank umfassten Kundennamen, Kreditkartennummern, Adressen und Telefonnummern. Die Kunden stammten aus Kanada, den USA, Großbritannien und Frankreich.

Peter, ein sehr fleißiger Junior-Analyst bei Contoso, nahm seine Arbeit oft mit nach Hause. Bevor er eines Tages seinen Arbeitsplatz verließ, kopierte er ein Arbeitsblatt mit Kundendaten auf seinen Laptop, um Berichte aus diesen Daten zu erstellen. Am selben Abend wurde sein Laptop aus seinem Auto gestohlen, als er Einkäufe tätigte. Peter meldete den Verlust sofort seinem Manager und der Polizei.

Peter und sein Manager besprachen diesen Vorfall mit der Rechtsabteilung des Unternehmens sowie mit externen Beratern. In diesen Gesprächen erfuhren Peter und sein Manager, dass sämtliche Kunden über die mögliche Veröffentlichung ihrer persönlichen Daten informiert werden müssen. Sie setzten sofort einen erklärenden Brief auf, der den Kunden zugesendet werden sollte, und richteten eine Hotline ein, um die Fragen der Kunden zu beantworten. Darüber hinaus boten sie jedem Kunden der Datenbank die einjährige Kreditüberwachung an, um Datendiebstahl zu verhindern.

Leider wurden ihre Probleme durch diese Maßnahmen nicht beseitigt. Obwohl es keinen Hinweis darauf gab, dass die verlorenen Daten für illegale Zwecke missbraucht wurden, wurden einige Sammelklagen im Namen von Kunden aus den USA, Frankreich und Großbritannien eingereicht, die Contoso der groben Verletzung von Datenschutzrechten beschuldigten. Die Geschichte wurde schnell von großen Medienhäusern aufgegriffen und gipfelte in einem Bericht auf der zweiten Seite des Wall Street Journals. Innerhalb von Wochen nach dem Verlust des Laptops verlor die Aktie des Unternehmens aufgrund der wahrscheinlichen Auswirkung auf die Verkaufszahlen für das Produkt 8 Prozent ihres Werts. Darüber hinaus beliefen sich die tatsächlichen Kosten des Vorfalls auf ca. 600.000 Euro.“

In der folgenden Tabelle werden die mit der obigen Geschichte verbundenen Kosten zusammengefasst.

Kostenkomponente

Betrag

Personalkosten im Zusammenhang mit dem Verlust, einschließlich Datenwiederherstellung und Kosten für die Kundenbenachrichtigung.

45.000 €

Mehrkosten, z. B. für Öffentlichkeitsarbeit und Investor Relations sowie zusätzliche Call Center-Kosten.

135.000 €

Kosten für betroffene Kunden (Kreditverfolgung betroffener Kunden)

80.000 €

Juristischer Schaden, einschließlich Geldbußen, rechtliche Gebühren und Kosten im Zusammenhang mit einem Zivilprozess.

165.000 €

Verlorene Kundeneinnahmen (250 verlorene Kunden à 700 €)

175.000 €

Gesamt

600.000 €

Leider sind Laptops leichte Beute für Diebe. Immer häufiger gibt es Meldungen über Unternehmen, deren Laptops mit sensiblen persönlichen Daten oder Kundeninformationen versehentlich verloren gehen oder gestohlen werden. Obwohl die obige Geschichte frei erfunden ist, wird immer mehr echten Unternehmen bewusst, dass die Kosten einer solchen Veröffentlichung von Daten enorm sein können und manchmal sogar weit über dem liegen, was in der obigen Geschichte dargestellt wurde.

Es gibt eine Reihe von Rechnern, mit denen Sie die tatsächlichen Kosten einer Datenschutzverletzung berechnen können, darunter auch der Privacy Breach Impact Calculator (Rechner zur Berechnung der Kosten von Datenschutzverletzungen), der auf der Website von Information Shield, einem weltweiten Anbieter führender Verfahren für die Datensicherheit, verfügbar ist (in englischer Sprache).

Schadenskontrolle

Unternehmen, die Opfer einer Datenveröffentlichung geworden sind, werden sofort mit direkten Betriebskosten konfrontiert. Diese entstehen z. B. durch interne Untersuchungen, Kundenhotlines, Schulungen und Support-Dokumentationen für das Call Center-Personal, Direktmailings zur Benachrichtigung von Kunden, Kreditkarten-Überwachungsdienste und Werbungs- sowie Marketingaktionen für den Umgang mit Kundenanliegen. Darüber hinaus wird wahrscheinlich eine strategische IT-Initiative ins Leben gerufen, um solche Vorfälle in Zukunft zu vermeiden. Alle diese Aktivitäten müssen vom Management in zahllosen Stunden überwacht werden und lenken Unternehmen von ihrem eigentlichen Geschäft ab.

Markenschaden und Vertrauensverlust

Die Auswirkungen, die durch den Verlust des guten Rufs, den Unmut der Kunden über die Verletzung des Datenschutzes oder den Verlust der Beziehung zu Geschäftspartnern entstehen, sind kaum zu bemessen. Die genauen Umstände des einzelnen Vorfalls, die Markentreue und der Erfolg der Maßnahmen zur Schadenskontrolle haben Einfluss darauf, wie groß der durch die Veröffentlichung von Daten entstandene Markenschaden ist. In manchen Fällen kann es Jahre dauern, bis das vollständige Vertrauen der Kunden wiederhergestellt ist.

Rechtliche Risiken

Zusätzlich zu den geschäftlichen Risiken reagieren viele Regierungsbehörden weltweit auf die Datenschutzbedenken ihrer Bürger mit der Einführung erheblicher Bußgelder oder sogar Strafen, wenn die persönlichen Daten nicht ausreichend geschützt werden.

Rechtliche Gesichtspunkte in Nordamerika

In mehr als 30 Staaten der USA wurden Gesetze verabschiedet, nach denen (kommerzielle oder andere) Unternehmen verpflichtet sind, Kunden im Falle der versehentlichen oder illegalen Veröffentlichung von Daten zu benachrichtigen. Diese Gesetze kommen zur Anwendung, wenn persönliche Daten nicht ausreichend verschlüsselt werden. Mit anderen Worten: Die Verschlüsselung von persönlichen Daten ist ausdrücklich vorgeschrieben, um Datenrisiken zu mindern. Neben diesen Vorschriften einzelner US-Bundesstaaten gibt es einige für die gesamten USA gültigen Vorschriften, die ähnliche Einschränkungen und Strafen vorsehen, darunter der Health Insurance Portability and Accountability Act (HIPAA), der Gramm-Leach-Bliley Act (GLBA), und der Sarbanes-Oxley Act (SOX).

In Kanada regeln der Personal Information Protection and Electronic Documents Act (PIPEDA) und der Personal Health Information Protection Act (PHIPA) den Schutz persönlicher Daten.

Rechtliche Gesichtspunkte in Europa und Asien

In der EU schränkt die europäische Datenschutzrichtlinie, die von jedem EU-Mitgliedsstaat umgesetzt werden muss, deutlich ein, welche Verbraucherdaten von Unternehmen gespeichert oder verwaltet werden dürfen. Diese Einschränkungen gelten auch für Unternehmen, die in einem nichteuropäischen Land tätig sind, die jedoch europäische Kunden haben. Diese Richtlinie beinhaltet strenge Richtlinien dazu, welche persönlichen Daten gespeichert und wie diese verwendet werden dürfen. Dies führte zu einer großen internationalen Debatte und zu Verwirrung darüber, wie diese Richtlinie weltweit angewendet werden soll. Diese Probleme sind bei Weitem noch nicht gelöst.

Andere wichtige Vorschriften zum Schutz von Verbrauchern, z. B. der Data Protection Act (DPA) in Großbritannien, betreffen Ihr Unternehmen möglicherweise ebenfalls. Wie die zuvor genannten kanadischen Vorschriften regelt der DPA den Schutz persönlicher Daten. Die kanadischen und britischen Vorschriften unterscheiden sich jedoch in ihrem Ansatz zur Datenspeicherung.

Viele asiatische Länder entwickeln derzeit ebenfalls Formvorschriften und versuchen, mithilfe von Organisationen wie der Asia-Pacific Economic Cooperation Telecommunications Working Group (APECTEL) einheitliche Ansätze einzuführen. Singapur, Chile, Australien, China und Indonesien arbeiten kontinuierlich daran, einen einheitlichen Ansatz für diese Probleme zu schaffen, der die allgemeinen Einstellungen der einzelnen Länder in Bezug auf Redefreiheit, politische und wirtschaftliche Freiheit und Privatsphäre berücksichtigt. Der Caslon Analytics Privacy Guide (Leitfaden zum Datenschutz, in englischer Sprache) von Caslon Analytics, einem australischen Forschungs-, Analyse- und Strategieberatungsunternehmen, enthält eine umfangreiche Zusammenfassung dieser Ansätze.

Für Unternehmen mit Kunden in einem dieser Länder gelten empfindliche Bußgelder oder manchmal sogar Strafen, wenn sie die persönlichen Daten ihrer Kunden nicht ausreichend schützen, unabhängig vom tatsächlichen Standort des Unternehmens. Wenn Ihr Unternehmen persönliche Daten verwaltet (die Definition variiert hier erheblich), muss Ihnen genau bewusst sein, welche Einschränkungen für die Speicherung von Daten Ihnen von internationalen Gerichtsbarkeiten auferlegt werden. Selbst versehentliche Verletzungen dieser Vorschriften können Unternehmen vor umfangreiche Zivilstrafen, Geschäftsschließungen, mögliche Anklagen und erhebliche Kosten für Rechtsberatungen und Gerichtsverhandlungen stellen. Dies führt dazu, dass viele Geschäftsführer und Vorstandsmitglieder nach Lösungen streben, die den Datenschutz erhöhen und die Einhaltung von Vorschriften sicherstellen.

Risikominderung mithilfe des Data Encryption Toolkits

Das Microsoft Data Encryption Toolkit for Mobile PCs beschreibt zwei effektive und kostengünstige Lösungen für die Datenverschlüsselung. Das Toolkit ist ein wertvolles Werkzeug für jeden Sicherheitsexperten, der das Problem der Datensicherung auf mobilen Computern lösen muss. Wenn dieses Toolkit effektiv eingesetzt wird, können Unternehmen bestimmte rechtliche Anforderungen besser erfüllen. Darüber hinaus sind diese Technologien besonders attraktiv, da sie bereits mit den Betriebssystemen Windows XP Professional und Windows Vista lizenziert werden.

Das Toolkit basiert auf dem verschlüsselnden Dateisystem (Encrypting File System, EFS) und der BitLocker-Laufwerkverschlüsselung. Beide Systeme sind robuste Verschlüsselungsmechanismen, die jedoch geringfügig unterschiedlichen Zwecken dienen. Das Toolkit stellt detaillierte Informationen zur Funktionsweise dieser Sicherheitstechnologien bereit. Es beschreibt auch Szenarien, für die die jeweilige Technologie geeignet ist, bietet bewährte Bereitstellungsverfahren und betrachtet betriebliche Aspekte wie die Schlüssel- und Datenwiederherstellung. Das Toolkit enthält auch den EFS-Assistenten, der im ersten Halbjahr 2007 veröffentlicht wird und mithilfe dessen Sie die Bereitstellung und Konfiguration von EFS auf geschützten Computern automatisieren können.

Das Toolkit bietet u. a. folgende Vorteile:

  • Geringe Anschaffungskosten. EFS und BitLocker sind bereits in bestimmten Versionen des Microsoft Windows-Betriebssystems enthalten. Es fallen keine zusätzlichen Kosten für die Anschaffung an.

  • Geringe Betriebskosten. EFS und BitLocker sind robust und dennoch leicht zu bedienen und erfordern nur einen geringen bzw. gar keinen Wartungseinsatz.

  • Einfache Bereitstellung. Das Toolkit kann problemlos in Umgebungen bereitgestellt werden, die Softwareverteilungstechnologien wie den Active Directory®-Verzeichnisdienst und Microsoft Systems Management Server verwenden.

  • Robuste Sicherheit. EFS und BitLocker basieren auf Industriestandards und zertifizierten Verschlüsselungsalgorithmen.

  • Minimale Benutzereinwirkung. Bei effektiver Konfiguration ist das Toolkit nahezu vollkommen transparent für Benutzer. Der technische Schulungsaufwand ist minimal (obwohl Schulungen zur korrekten Datenverarbeitung und Speicherung immer erforderlich sind).

  • Zentrale Verwaltung und erweiterte Steuerung. Mit dem Toolkit können IT-Unternehmen von einer zentralen Verwaltungsinfrastruktur aus alle mobilen PCs steuern. Dadurch wird die einheitliche Einhaltung von Vorschriften gewährleistet.

  • Einheitliche Lösung. Das Toolkit kann auf Desktopcomputern und mobilen Computern eingesetzt werden.

BitLocker-Laufwerkverschlüsselung

Mithilfe der BitLocker-Laufwerkverschlüsselung, einer neuen Funktion in Windows Vista, können alle Daten auf einem gesamten Festplattenvolume problemlos verschlüsselt werden. BitLocker arbeitet nach der Konfiguration transparent im Hintergrund und hat keine Auswirkungen auf die Verwendung des PCs oder dessen Anwendungen. BitLocker verschlüsselt das gesamte Volume. Auf diese Weise werden viele Angriffe verhindert, die die Sicherheit von Windows zu umgehen versuchen, die vor dem Start von Windows nicht erzwungen werden kann.

Darüber hinaus bietet BitLocker optimierte Sicherheit für verschlüsselte Daten mithilfe eines Sicherheitshardwaremoduls mit der Bezeichnung Trusted Platform Module (TPM). TPMs bieten einen Offlinespeicher für Stammverschlüsselungsschlüssel und eine optionale Geheimzahl (Personal Identification Number, PIN), die für die Entsperrung der Datenträgerverschlüsselung benötigt wird. Die Laptops der meisten großen Hersteller (z. B. Compaq, Dell, Lenovo und Toshiba) sind bereits mit TPMs ausgestattet.

Verschlüsselndes Dateisystem (EFS)

EFS ermöglicht die problemlose Datenverschlüsselung von Ordnern und einzelnen Dateien, die vom Benutzer ausgewählt werden. Nach Aktivierung der Verschlüsselung ist die Funktionsweise für den Benutzer transparent. EFS dient auch zum Schutz vor Eindringlingen, die bestimmte bekannte Angriffsmethoden verwenden, um nicht autorisierten Zugriff auf den Computer zu erhalten.

Microsoft Encrypting File System-Assistent

Der Microsoft Encrypting File System-Assistent (EFS-Assistent) ergänzt EFS und ist eine automatisierte, probabilistische Möglichkeit, um zu erkennen, welche Dateien verschlüsselt werden sollten. Er ist für den Benutzer genauso transparent wie EFS. Der Assistent kann so konfiguriert werden, dass die Festplatte regelmäßig auf neue Datendateien überprüft wird, die wahrscheinlich verschlüsselt werden müssen. Diese Funktionalität mindert das Risiko, dass neue Datendateien erstellt aber nicht verschlüsselt und somit verfügbar gemacht werden.

Weitere Schritte

Sie sollten überlegen, welche Möglichkeiten Sie zum Schutz vertraulicher Daten auf mobilen PCs haben. Lesen Sie dazu die Sicherheitsanalyse zum Microsoft Data Encryption Toolkit for Mobile PCs. Mithilfe dieser Analyse können Sie besser erkennen, welche besonderen Risiken für Laptops bestehen und wie Sie diesen Risiken mithilfe von BitLocker und EFS begegnen können. Sie können auch das Planungs- und Implementierungshandbuch zu Rate ziehen, das Sie durch die Bereitstellung von BitLocker und EFS führt. Wenn Sie schließlich EFS zum Schutz von Daten auf Ihren mobilen PCs verwenden möchten, sollten Sie den EFS-Assistenten als Möglichkeit zur zentralen Steuerung von EFS in der betreffenden Umgebung in Betracht ziehen.


Download (engl.)
Data Encryption Toolkit for Mobile PCs herunterladen

Solution Accelerator-Benachrichtigungen (engl.)
Registrieren Sie sich, um automatisch über Updates und neue Versionen informiert zu werden

Feedback
Senden Sie uns Ihre Kommentare und Anregungen


Anzeigen: