IT-Sicherheit auf Basis von Windows-Bordmitteln, Teil 2: Verschlüsselung
Zuletzt aktualisiert am 16. Dezember 2018 durch Jürgen Voskuhl
Im Teil 1 dieses Beitrags ging es vorwiegend um das Thema Datensicherung.
In diesem Teil wird das Thema Verschlüsselung näher beleuchtet: Wir werden sehen, warum Verschlüsselung so wichtig ist und welche Tools empfehlenswert sind.
Warum Verschlüsselung sinnvoll und notwendig ist
Der Schutz personenbezogener Daten ist in der Europäischen Union ein Grundrecht.
Spätestens seit Einführung der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 ist das Thema den meisten Menschen geläufig.
Neben personenbezogenen Daten sind auf Computern häufig auch immaterielle Werte gespeichert.
Im Unternehmensumfeld sind dies zum Beispiel Patente, Forschungsergebnisse oder Marktanalysen.
Aber auch für private Daten (etwa digitale Kontoauszüge, Bewerbungsschreiben oder private Fotos und Videos) gilt, das man die Einsichtnahme durch Dritte vermeiden möchte.
Wenn wir aber beispielsweise unsere Sicherungs-Festplatte unserem Nachbarn oder einem Verwandten geben, gibt es zunächst einmal kein technisches Hindernis, diese an einen anderen PC anzuschließen, um auf die gespeicherten Daten zuzugreifen und diese zu verwenden. Das einzige was dagegen hilft ist, die Daten zu verschlüsseln.
Und was ist mit der internen Festplatte?
Sinngemäß gilt das auch für die im PC oder Notebook eingebauten Datenträger.
Stellen die eigenen vier Wände noch einen gewissen Schutz dar, hört dieser spätestens auf, wenn Sie Ihren Notebook auch unterwegs nutzen: Es liegt in der Natur der Sache, das mobile Geräte verloren gehen oder gestohlen werden. In einem solchen Fall fällt es Unbefugten nicht besonders schwer, an die darauf gespeicherten Daten zu gelangen: Ein Windows-Anmeldekennwort lässt sich bereits mit IT-Grundkenntnissen umgehen, im Internet existieren zahlreiche Anleitungen dazu. Im Zweifelsfall hängt man die Notebook-Festplatte einfach an einen anderen Rechner – schon kommt man an die darauf gespeicherten Daten heran! Den einzigen Schutz davor bietet die Verschlüsselung des eingebauten Datenträgers.
Datenschutz: die Tools
Nutzer der Professional-Version von Windows 10 haben es auf den ersten Blick gut: Hier gehört das Tool BitLocker, mit dem sich ganze Laufwerke (dazu gehören auch am Computer angeschlossene externe Laufwerke) verschlüsseln lassen, bereits zum Lieferumfang.
Die Laufwerksverschlüsselung verhindert, dass nicht-autorisierte Personen den Windows Datei- und Systemschutz auf dem verlorenen, gestohlenen oder unzureichend entsorgten Computer aushebeln. Um das zu erreichen, verschlüsselt BitLocker die komplette System-Partition, inklusive Benutzer- und Systemdaten, Auslagerungsdateien und Speicherabbildern (Hibernation Files).
Eine zentrale Bedeutung kommt dabei dem Wiederherstellungsschlüssel zu: ohne diesen ist kein Zugriff auf die verschlüsselten Daten möglich. Bitte speichern Sie diesen daher lokal und drucken Sie ihn zur Sicherheit auch noch aus.
Besitzer moderner Geräte haben es noch einfacher: Diese verfügen heute häufig über eine zusätzliche TPM-Hardware (Trusted Platform Module), in welcher die Schlüssel erzeugt, benutzt und sicher abgelegt werden.
Benutzer anderer Windows-Versionen sind auf externe Tools angewiesen. Der Autor empfiehlt in diesem Fall den Einsatz des kostenfreien Tools VeraCrypt.
Mit VeraCrypt lässt sich – ebenso wie mit BitLocker – die Systempartition oder ein anderes Laufwerk komplett verschlüsseln.
VeraCrypt kann aber noch mehr. So steht BitLocker beispielsweise ausschließlich für Windows-Umgebungen zur Verfügung, VeraCrypt ist dagegen auch für Linux und MacOS verfügbar.
Auch wenn Sie eine Professional-Version nutzen, aber Microsoft nicht vertrauen, sollte VeraCrypt das Tool Ihrer Wahl sein.
Egal ob BitLocker oder VeraCrypt: Mit beiden Tools können und sollten Sie Ihre Systempartition und alle anderen Laufwerke in Ihrer unmittelbaren Umgebung (also eingebaute ebenso wie externe USB-Laufwerke) verschlüsseln. Das macht es Unbefugten unmöglich, auf die darauf gespeicherten Daten zuzugreifen.
Von sicheren Häfen und dem unsicheren Meer
Die nächste Überlegung, die es anzustellen gilt: Was passiert mit dem Datenschutz, wenn die Daten unseren nunmehr "sicheren Hafen" (nämlich unsere verschlüsselten internen und externen Datenspeicher) verlassen?
Die Probleme beginnen bereits bei der privaten Cloud, also dem hauseigenen NAS. Sobald die Daten jedoch die von uns kontrollierte Umgebung (Wohnung, Haus, Büro) verlassen, kommt dem Datenschutz eine noch zentralere Bedeutung bei.
Hierbei geht es nicht nur um den "Bestimmungsort": auch der Weg dahin spielt eine signifikante Rolle. Aber der Reihe nach…
Solange wir unsere Daten innerhalb der von uns kontrollierten Umgebung bewegen, müssen wir uns keine besonderen Gedanken um die Übertragungswege machen: entweder fließen die Daten durch Kabel (Ethernet, Stromleitung) oder über eine Funkstrecke (WLAN). In beiden Fällen haben wir die Sache im Griff: Kabel innerhalb der von uns kontrollierten Umgebung kann so einfach niemand anzapfen. WLAN-Verbindungen sind heute üblicherweise durch Passwörter und geeignete Verschlüsselungsverfahren ausreichend geschützt. Dies gilt ebenso für Powerline-Strecken.
Spätestens beim Speichern der Daten auf dem eigenen NAS wird es aber wieder kritisch! Beispielsweise ist das von Windows erstellte Image-Backup zunächst einmal nicht verschlüsselt. Das macht uns nichts aus, da dieses Image ja auf unserer verschlüsselten externen Festplatte gespeichert und damit sicher ist.
Wenn wir dieses Image aber nun auf unser NAS verschieben, wird es dort gespeichert – und zwar in der Regel unverschlüsselt! Im Klartext: Mindestens der Administrator des NAS kann auf Ihre Daten zugreifen.
Abgesehen davon sind falsch oder gar nicht konfigurierte NAS ein beliebtes Einfallstor für Datendiebe. Dies gilt auf jeden Fall, sobald das NAS von außen zu erreichen ist – für manchen eine der Schlüsselfunktionen einer derartigen privaten Cloud-Lösung.
Umso mehr gilt dies, wenn wir unsere Sicherung in eine Public Cloud schieben: Bildlich gesprochen begeben wir uns dadurch mit unseren sensiblen Daten hinaus auf das weite, unsichere Meer auf dem allerlei Gefahren lauern. Auch hier spielen zunächst wieder die Übertragungswege eine Rolle – wobei wir diese im Unterschied zu unserem Heim-Netz nun nicht kontrollieren können!
Verwenden Sie also unbedingt ein verschlüsseltes Protokoll (HTTPS, SFTP, SSH, …) oder einen VPN-Tunnel.
Gehen Sie bei einer Public Cloud grundsätzlich davon aus, das Ihre Daten gelesen werden. Sei es von den Mitarbeitern des Cloud-Anbieters "nur zum Spaß", von Datendieben, die das das Unternehmen gehackt haben oder wahlweise von der NSA.
Spätestens jetzt dürfte jedem Leser klar sein, das Daten niemals unverschlüsselt gespeichert werden sollten, wenn sie den eigenen sicheren Hafen verlassen. Doch wie bekommen wir die Verschlüsselung hin?
It's VeraCrypt again!
Apple-User haben es an dieser Stelle etwas einfacher: Das Apple-Tool Time Machine Backup verschlüsselt auf Anforderung auch die erzeugten Backups. Windows-User haben es hier nicht ganz so leicht.
In diesem Beitrag haben wir bereits VeraCrypt im Zusammenhang mit der Verschlüsselung von Festplatten-Partitionen kennengelernt. Aber das Tool kann noch viel mehr.
Ein Feature ist die Erstellung von verschlüsselten Containern und deren Bereitstellung als virtuelles Laufwerk.
Ein solcher Container ist letztendlich nichts anderes als eine (große) Datei. Diese können Sie unbesorgt auf Ihrem NAS oder in einer Public Cloud speichern: Ein Datendieb kann zwar die Datei lesen. Da diese jedoch verschlüsselt ist, ist sie unbrauchbar und somit wertlos.
Nachdem Sie also mittels VeraCrypt einen Container erstellt und bereitgestellt haben, brauchen Sie nur noch das Image-Backup-Tool anweisen, dieses Laufwerk für die Erstellung eines Image Backups zu nutzen.
Nach Fertigstellung des Backups heben Sie in VeraCrypt die Bereitstellung wieder auf und kopieren anschließend den Container auf Ihr Sicherungsmedium.
Transparente, individuelle Verschlüsselung
Für das Verschlüsseln eines Image-Backups, um es dann auf ein NAS zu kopieren, ist VeraCrypt das Mittel der Wahl. Für die häufige Sicherung einzelner Dateien und Verzeichnisse gibt es Besseres.
Der Autor empfiehlt hier das Tool Cryptomator: Nach der Installation wird zunächst in einem beliebigen Verzeichnis ein sogenannter Tresor erstellt. Diesen stellt Cryptomator als virtuelles Laufwerk bereit, in das Sie einfach Ihre zu sichernden Dateien und Verzeichnisse kopieren. Hierbei unterstützt Sie das bereits beschriebene Tool FreeFileSync.
Alles, was Sie auf dem virtuellen Laufwerk ablegen, landet verschlüsselt in Ihrem Tresor. Im Gegensatz zu Festplattenverschlüsselungstools verschlüsselt Cryptomator jede Datei einzeln. Wenn Sie also zum Beispiel nur eine kleine Textdatei bearbeiten, verändert sich auch nur die entsprechende verschlüsselte Datei.
Dies macht Cryptomator besonders in Verbindung mit Public Cloud Diensten interessant: Wenn Sie Ihren Tresor einfach im Cloud-Ordner erstellen, werden die (verschlüsselten) Daten auch dahin synchronisiert.
Links
Unser Beitrag "Verschlüsselung: Welche Lösung für welchen Zweck? Die ultimative Übersicht" enthält eine Übersicht über in Frage kommende Verschlüsselungs-Tools, übersichtlich geordnet nach zu verschlüsselnder Datenmenge und dem jeweiligen Anwendungsszenario.
Fazit
Schon aufgrund der in diesem Artikel angesprochenen unterschiedlichen Szenarien lässt sich nachvollziehen, das es eine allumfassende Lösung, also "das eine IT-Sicherheitskonzept für alle Anwendungsfälle" nicht gibt – und dabei hat der Autor sogar bewusst komplexere Anforderungen wie beispielsweise die Synchronisation von Dateien für die Online-Zusammenarbeit in kleineren oder größeren Teams außer Acht gelassen.
Abhängig von den jeweiligen Anforderungen des Einzelfalls muss immer ein individuelles Konzept entwickelt werden, welches genau für diesen Anwendungsfall passt. Gerne unterstützen wir Sie hierbei, wenn Sie jetzt Kontakt mit uns aufnehmen. Vereinbaren Sie einfach einen für Sie kostenlosen und unverbindlichen Erstberatungstermin.