Verschlüsselung von Festplatten
Für die Fundbüros an großen Flughäfen in Europa oder den USA ist es normal, dass die Reisenden Monat für Monat tausende Notebooks, Smartphones oder mobile Telefone in den Terminals liegenlassen. Die IT-Abteilungen dürfen sich mit der Leichtsinnigkeit ihrer Kollegen und mit dieser Routine jedoch nicht abfinden. Weil jedes verlorene Gerät ein potentielles Sicherheitsrisiko für das gesamte Unternehmen sein kann.
Reisende in den USA, in Europa und den Arabischen Emiraten verlieren Woche für Woche rund 16.000 Laptops, berichtete das Ponemon Institut. An der Spitze der europäischen Flughäfen stehe London – hier würden wöchentlich etwa 900 Computer als verloren oder gestohlen gemeldet. Auf Platz zwei und drei folgten Amsterdam Schiphol und der Flughafen Paris Charles De Gaulle.
“49 Prozent der europäischen Reisenden wissen, dass sich auf ihrem Laptop sensible oder geheime Informationen befinden”, heißt es in der Studie weiter. Trotzdem hätten 55 Prozent von ihnen keine Vorkehrungen getroffen, diese Daten zu schützen. “Nur 42 Prozent haben den Inhalt ihrer Festplatten auf einem Backup gespeichert.”
Wirklich überraschend ist allerdings, dass lediglich 57 Prozent aller gefundenen Geräte von ihren Besitzern wieder abgeholt werden. In den Fundbüros vieler europäischer Flughäfen türmen sich hunderte von Notebooks, die von ihren Besitzern schlicht vergessen, abgeschrieben oder von deren Versicherungen ersetzt werden.
So scheint es die Standardprozedur der Flughäfen zu sein, diese Geräte in regelmäßigen Abständen auf Auktionen zu versteigern oder etwa an Charity-Organisationen abzugeben.
Liegengelassene Notebooks beflügeln kriminelle Phantasien
Käufer, Diebe oder Finder eines verlorenen Notebooks brauchen keine kriminellen Superhirne zu sein, um mit den Geräten unmittelbar großen Schaden anzurichten. Sie finden in den verlorenen Geräten hunderte Kontakte und Mails gespeichert, Zugriffsrechte auf Unternehmens-Datenbanken oder Mailserver hinterlegt.
Für IT-Abteilungen ein Albtraumszenario: Denn hier sind die Mitarbeiter für die Sicherheit der Daten, der eingesetzten Applikationen und des Zugriffs auf die internen Netzwerken verantwortlich. Jedes verlorene Gerät ist für einen potentiellen Angreifer eine Einladung in Netzwerke, Archive und Datenbanken.
Doch Notebook-Diebe können auch mit den Daten auf den Festplatten maximalen Schaden anrichten. In den Excel-Tabellen sind vertrauliche Vertriebsdaten oder Preiskalkulationen gespeichert. In den E-Mail-Kontakten finden die unehrlichen Finder detaillierte Listen mit Kunden, Partnern und Lieferanten des Unternehmens.
Zwei Klicks weiter im Kalender sind alte, aktuelle und zukünftige Meetings aufgelistet. In den Händen der Konkurrenz oder von Kriminellen kann ein verlorenes Notebook über Erfolg und Misserfolg eines Projektes, einer ganzen Abteilung, womöglich eines ganzen Unternehmens entscheiden.
BitLocker und BitLocker To Go
Ohne die Fernwartung und den Remote-Zugriff auf den tragbaren PC sind IT-Abteilungen die Hände gebunden. Sie können zwar die Zugänge des Notebooks in die Netzwerke sperren, Festplatten, USB-Sticks oder DVDs bleiben im Zugriff der neuen Besitzer.
Eine Möglichkeit die Daten zu schützen bietet Microsoft mit der Funktion “BitLocker” in den Editionen Windows 7 Ultimate und Windows Enterprise von. Hiermit verschlüsseln die Anwender alle Laufwerke und alle darauf gespeicherten Dateien. Zugriff auf die verschlüsselten Laufwerke erhalten nur Anwender oder Administratoren mit den entsprechenden Anmeldeinformationen. Mit einem Hardwarechip – dem “Trusted Platform Module (TPM)” – erlaubt BitLocker den Zugriff nur dann, wenn der Anwender mit dem Rechner das ursprünglich installierte, unternehmenseigene Betriebssystem ausführt. Kein anderes Endgerät oder Betriebssystem kann ein verschlüsseltes Laufwerk lesen. Die Eingabe der persönlichen Identifikationsnummer vor dem Hochfahren des Betriebssystems erhöht die Sicherheit zusätzlich.
Im “Active Directory”-Verzeichnisdienst speichert BitLocker die Wiederherstellungsschlüssel. Administratoren können den Zugriff wieder einrichten, falls ein Anwender seine PIN vergessen hat oder den PC durch einen anderen ersetzt.
“BitLocker To Go” erweitert die Laufwerkverschlüsselung von BitLocker auf Wechseldatenträger wie USB-Sticks. Diese werden mit Hilfe eines Kennworts verschlüsselt und geschützt. Mit Gruppenrichtlinien können Administratoren Daten schützen, wenn sie auf Wechselspeicher abgelegt werden.
Zentrale Sicherheit für alle Daten und Anwendungen
Der nächste evolutionäre Schritt ist “Microsoft BitLocker Administration und Monitoring” – “MBAM”. Die Betaversion wurde auf dem Microsoft Management Summit 2011 vorgestellt und wird voraussichtlich ab Herbst 2011 an die Anwender geliefert. Es ist dann ein Bestandteil der neuesten Version des “Microsoft Desktop Optimization Pack” – “MDOP”.
Laut Microsoft baue MBAM auf BitLocker in Windows 7 auf. “MBAM vereinfacht die Bereitstellung und Implementierung von BitLocker, verbessert die Compliance und das Berichtswesen und verringert die Supportkosten durch Optimierung des wichtigsten Wiederherstellungsprozesses”, heißt es bei Microsoft weiter.