Data Encryption Toolkit for Mobile PCs – Sicherheitsanalyse

Kapitel 5: Auswahl der richtigen Lösung

Für die Auswahl der richtige Kombination aus den verschiedenen Verschlüsselungstechnologien müssen Sie die Risiken kennen, denen die zu schützenden Daten ausgesetzt sind. Sie können diesen Daten dann einen Wert zuweisen (und damit sicherstellen, dass sowohl die direkten als auch die indirekten Kosten berücksichtigt werden) und eine Lösung auswählen, die den besten ROI (Return on Investment) sowie einen angemessenen Schutz bietet.

Die folgende Tabelle mit einer Zusammenfassung der Risikominderungsoptionen enthält eine Übersicht über die Risiken für Daten auf mobilen PCs und gibt für jedes Risiko an, ob es mithilfe einer der in diesem Leitfaden beschriebenen Kombinationen aus Verschlüsselungstechnologien gemindert werden kann. Risiken, die durch bestimmte Optionen gemindert werden, werden durch den Buchstaben J gekennzeichnet. Ein waagerechter Strich (-) steht bei Risiken, die durch die jeweilige Option nur minimal oder gar nicht gemindert werden.

Tabelle 5.1.: Risikominderung – Zusammenfassung

Risikominderung – Zusammenfassung
Auf dieser Seite

Arbeiten mit der Tabelle „Risikominderung – Zusammenfassung“
Schlussbemerkung

Arbeiten mit der Tabelle „Risikominderung – Zusammenfassung“

Die Tabelle hilft Ihnen bei der Auswahl geeigneter Technologien und Konfigurationen, damit Ihr Unternehmen mit dem gewünschten Maß an Sicherheit ausgestattet wird. Da die Wirksamkeit der Verschlüsselungstechnologien auch von der Betriebssystemkonfiguration und den bestehenden Richtlinien abhängt, können Sie sich anhand der Tabelle und der darin genannten Risiken auch einen Überblick darüber verschaffen, welchen Einfluss andere Sicherheitsrichtlinien auf die Verschlüsselungslösung haben.

Eine Erkenntnis, die diese Tabelle bietet, ist z. B., dass Unternehmen bei fast jeder Option die Reaktivierung aus dem Standbymodus konfigurieren müssen, weil nur so bei allen in diesem Leitfaden beschriebenen Microsoft-Technologien ein angemessener Schutz erzielt werden kann. Die Systemeinstellung, die in der Benutzeroberfläche unter der Bezeichnung Kennwort beim Reaktivieren aus dem Standbymodus anfordern angezeigt wird, kann entweder über die Gruppenrichtlinie oder durch Ausführen von Skripts konfiguriert werden, die die Registrierungseinstellungen anpassen.

Mehr Sicherheit in Umgebungen mit niedrigem Bedrohungspotenzial

Auch Unternehmen mit nur recht moderaten Sicherheitsanforderungen streben häufig nach zusätzlichem Schutz durch die Verschlüsselung der Daten auf ihren mobilen PCs. Für diese Unternehmen bietet die Kombination aus BitLocker mit einem TPM und einer PIN hohe Sicherheit bei minimalem operativen Verwaltungsaufwand (abgesehen davon, dass sichergestellt werden muss, dass die geschützten Daten von zugriffsberechtigten Benutzern wiederhergestellt werden können). Wenn Ihr Unternehmen BitLocker nicht bereitstellen kann, lässt sich die Gefahr des Datenzugriffs durch unbefugte Benutzer in Microsoft Windows® XP und Windows Vista™ mithilfe des verschlüsselnden Dateisystems (EFS) mindern. Mit EFS in Windows Vista verringert sich auch das Risiko, dass Daten über die Systemauslagerungsdatei nach außen gelangen. Darüber hinaus benötigen Sie aber noch zusätzlichen Schutz vor anderen Angriffen, z. B. Offlineangriffen auf das Betriebssystem und Angriffen mit dem Ziel, Schlüsselinformationen zu stehlen.

Schutz personenbezogener Informationen

Wenn Ihr Unternehmen personenbezogene Informationen auf Mitarbeiterlaptops vor Bedrohungen von außen schützen muss und Ihre Risikobewertung ergeben hat, dass der Schutz vor mittelschweren Angriffen ausreichend ist, empfiehlt sich als Verschlüsselungslösung eine Kombination aus BitLocker mit einem TPM und PIN. Bei dieser Lösung besteht das Hauptrisiko durch Außenstehende, das zusätzliche Sicherheitsmaßnahmen erfordert, darin, dass diese sich Zugriff verschaffen könnten, wenn der Computer ungeschützt im Standbymodus zurückgelassen wird. Dieses Risiko kann über die Gruppenrichtlinie oder Skripts gemindert werden, die die Registrierungseinstellungen anpassen.

In Umgebungen, in denen personengebundene Daten geschützt werden müssen, BitLocker mit einem TPM aber nicht verwendet werden kann, bietet sich als Lösung vielleicht die Bereitstellung von EFS zusammen mit dem Microsoft-Tool EFS-Assistent an. Mit dieser Option können Sie sich vor einer Reihe einfacherer Angriffe schützen. Wenn Sie mehr Sicherheit benötigen, können Sie EFS zusammen mit Smartcards einsetzen, um dem Prozess eine Authentifizierungsstufe hinzuzufügen.

Denken Sie jedoch bei der Bereitstellung von EFS mit Softwareschlüsselspeicherung daran, dass die Sicherheit der EFS-geschützten Daten auf der Benutzeranmeldung basiert. Schwache Anmeldekennwörter, gemeinsam genutzte Computerkonten oder andere Sicherheitsschwachpunkte können den mit Ihrer EFS-Bereitstellung geschaffenen Schutz beeinträchtigen. Sie sollten daher im Rahmen Ihrer EFS-Bereitstellung auch für eine Minderung dieser Risiken sorgen.

Schutz extrem sensibler Daten

Für Unternehmen, die einen sehr hohen Schutz vor Insider- und Outsiderangriffen benötigen, bietet sich eine Lösung an, bei der durch eine Kombination aus BitLocker und EFS mittelschwere bis sehr schwere Angriffe abgewehrt werden. Wenn Ihr Unternehmen z. B. bestimmte Restriktionen oder Anforderungen an die Schlüsselraumgrößen hat, können Sie die anpassbare Schlüssellänge von EFS mit der Funktion zur vollständigen Volumeverschlüsselung von BitLocker kombinieren und so eine breite Palette an Bedrohungen effektiv abwehren.

Schlussbemerkung

Die beiden in diesem Leitfaden beschriebenen Technologien BitLocker und EFS besitzen zwar einen jeweils anderen Ansatz zur Datenverschlüsselung, ergänzen sich dabei aber hervorragend. EFS schützt Daten in Dateien und Ordnern benutzergebunden, während BitLocker das ganze Systemvolume von Windows Vista-Computern vollständig verschlüsselt. BitLocker wartet mit Integritätsprüfung und Verschlüsselung vor dem Systemstart auf und schützt das Systemvolume vor vielen verschiedenen Arten von Offlineangriffen. Eine Funktion zur Benutzerauthentifizierung ist in BitLocker jedoch nicht enthalten. EFS ergänzt BitLocker, indem es nur denjenigen Benutzern den Zugriff auf die verschlüsselten Dateien erlaubt, die sich auf dem laufenden Computer ordnungsgemäß authentifizieren konnten.

In diesem Leitfaden zur Sicherheitsanalyse wird beschrieben, wie Sie mithilfe von BitLocker und EFS eine Reihe von Sicherheitsrisiken mindern können. Nachdem Sie die tatsächlichen Risiken in Ihrem Unternehmen und die in diesem Leitfaden beschriebenen Sicherheitsmaßnahmen sorgfältig analysiert haben, können Sie eine geeignete Kombination aus den verschiedenen Technologien und Optionen auswählen und so für den notwendigen Schutz Ihrer sensiblen Daten sorgen.


In diesem Beitrag

Download

Data Encryption Toolkit for Mobile PCs (engl.)

Solution Accelerator-Benachrichtigungen (engl.)

Melden Sie sich an, um über Updates und neue Versionen informiert zu werden


Anzeigen: