Die Einführung eines modernen Identity- und Access-Managements (IAM) bringt schnell die entscheidende Frage für die tägliche Praxis mit: Wie stellen Unternehmen sicher, dass nur befugte Mitarbeiter, Kunden und Partner Zugriff auf bestimmten Daten und Informationen erhalten?
Es gibt vier Methoden, die sich untereinander ergänzen können:
-
Verschlüsselte Datenspeicher;
-
Zugriffskontrolle über RFID;
-
Biometrische Erkennungsverfahren;
-
Mehrfaktor-Authentifizierung.
Verschlüsselte Datenspeicher - aber bitte berechnungssicher
Foto: Ilona Baha - Fotolia.com
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sehr konkrete Anforderungen an Speichermedien definiert. Dazu gehört unter anderem die Wahrung der Vertraulichkeit von Daten bei logischen wie physischen Angriffen. Realisiert werden kann dies beispielsweise durch eine mehrstufige Nutzerauthentifizierung für den Zugriff auf den geschützten Speicherbereich im Zusammenhang mit einer (hardwarebasierten) Verschlüsselung der Daten. Für letzteres wird beispielsweise die AES-Verschlüsselung mit einer Schlüssellänge von 256-Bit im CBC-Modus empfohlen. AES steht für "Advanced Encryption Standard", ein symmetrisches Kryptosystem, welches weltweit als berechnungssicher gilt und so beispielsweise in den USA für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen ist. Die AES-Betriebsart Cypher Block Chaining (CBC) bezeichnet ein kompliziertes Verfahren, bei dem die einzelnen Klartextblöcke zunächst mit dem im jeweils letzten Schritt erzeugten Geheimtextblock verknüpft und erst anschließend mit dem AES-Schlüssel verschlüsselt werden. Darüber hinaus muss der Anwender eines als hochsicher geltenden Speichermediums in der Lage sein, den kryptografischen Schlüssel selbst zu generieren und im Notfall zu zerstören.
Verschlüsselung ist nicht alles
Anwender sitzen im Zusammenhang mit der Verschlüsselung jedoch immer wieder einem populärem Irrtum auf: Sie meinen, eine Verschlüsselung ihrer Daten würde ausreichende Sicherheit vor unbefugtem Zugriff und Datenklau bieten. Doch selbst die besten Verschlüsselungsverfahren sind für Datendiebe kein echtes Hindernis, sofern keine entsprechend effektive Zugriffskontrolle existiert. Denn die Vertraulichkeit von Daten auf mobilen Speichermedien, wie beispielsweise mobilen Sicherheitsfestplatten, kann nur durch eine Kombination von Zugriffskontrolle und Verschlüsselung garantiert werden. Während nämlich die Verschlüsselung die Vertraulichkeit der Daten speziell bei physischen Angriffen auf den Speicher sicherstellt, werden mittels einer Zugriffskontrolle nicht authentisierte Zugriffsversuche auf den Speicher auf Hardware-Ebene geblockt.
Sollte eigentlich die Schnittstelle für alle Arbeiten an den Festplatten unter Windows sein: Die Datenträgerverwaltung funktioniert aber nicht, wenn von der Kommandozeile aus gearbeitet werden muss (beispielsweise bei der Systemwiederherstellung).
Würdiger Nachfolger des „fdisk“-Programms: Aktuelle Windows-Systeme stellen dem Anwender mit dem Kommandozeilen-Programm „diskpart“ eine Lösung bereit, die sehr viel mehr Aufgaben lösen kann – hier eine Übersicht der Optionen.
Erfordert etwas Einarbeitung: Die Kommandos des „diskpart“-Programms verlangen, dass der Anwender genau spezifiziert, mit welchem Teil einer Festplatte er arbeiten möchte, bevor er die Befehle darauf absetzen kann.
Hat auch keine Probleme mit dem Beta von Windows 8: Der Anbieter der freien Software Partition Master hebt diese Kompatibilität zu Microsofts kommendem Betriebssystem besonders hervor, weshalb es sich auch auf dieser Plattform beweisen musste.
Auch die Einbindung in den neuen Startbildschirm klappt: Partition Master 9.1.1 erscheint automatisch auf der Metro-Oberfläche, wechselt aber nach dem Start auf die „normale“ Windows-Oberfläche zurück.
Die Arbeit des Partition Master auf dem Windows 8 Consumer Preview: Alle Zugriffe funktioniert auf die gleiche Art und Weise wie auf den Windows-7-Systemen.
Übersichtliche Darstellung: Mit dem auf Java basierenden Programm JDiskReport können sich Anwender sehr schön und die den verschiedenen Darstellungsarten zeigen lassen, wie sehr ihre Festplatten belegt sind.
Wo sind die wirklich großen Dateien und wie viele sind davon abgespeichert: Dieses Balkendiagramm von JDiskReport zeigt recht übersichtlich, wo die „Speicherfresser“ sitzen.
Wie schnell ist meine Festplatte wirklich? Mit der freien Version des Programms HD Tune können Anwender auf jeden Fall die Geschwindigkeit beim lesenden Zugriff selbst mit Hilfe eines Benchmarks untersuchen.
Wie heiß ist es meiner Platte? Unterstützt die eingesetzte Festplatte die entsprechenden SMART-Features, so kann HD Tune diese Werte ebenfalls anzeigen und den Anwender warnen.
Leider notwendig und verursacht dann auch einen Reboot: Bei der Installation der Software Paragon Backup & Recovery 2012 Free wird ein spezieller Treiber auf dem Windows-System installiert.
Einfache Startseite: Die erste Seite, die ein Anwender der freien Paragon-Software zu sehen bekommt, ist bewusst einfach gehalten und führt direkt zu den entsprechenden Sicherungsaufgaben.
Die erweiterte Oberfläche und der Assistent: Der Anwender wird bei der Paragon-Lösung durch die Schritte zur Sicherung einer Partition oder ganzen Festplatte geleitet. Dadurch sind Sicherungen einfach durchzuführen.
Einfache, gut strukturierte Oberfläche: Die freie Software SymMover ist sehr funktionell aufgebaut, verlangt aber vom Anwender, dass er bereits weiß, was es mit den symbolischen Links im Dateisystem auf sich hat.
Die Dateien werden auf eine andere Festplatte verlegt, der Originaleintrag verbleibt: Das Werkzeug SymMover bietet eine interessante Möglichkeit, auf Festplatten mehr Platz zu bekommen, ohne das beispielsweise Programme neu installiert werden müssen.
Die Dateien werden verschoben: Die Software SymMover benutzt die normalen Kopierfunktionen des Betriebssystems, um die Dateien von einem Ort an einem neuen zu transportieren und legt dann einen Link vom Originalverzeichnis an.
Entweder Tür oder Schloss
So bietet selbst die empfohlene AES Full-Disk-Verschlüsselung nicht die erwartet höchste Sicherheit, solange der Daten-Zugriff nicht über einen mehrstufigen, komplexen Authentifizierungsmechanismus erfolgt und der kryptographische Schlüssel nicht extern, außerhalb der Festplatte, gespeichert ist. Ansonsten tritt der Fall ein, dass sensible Daten - bildlich gesprochen - zwar hinter einer massiven Stahltür liegen, diese Stahltür jedoch lediglich mit einem Vorhängeschloss gesichert ist, das sich im Handumdrehen entfernen lässt. "Die Sicherheitsleistung kann insbesondere durch die Ausnutzbarkeit vorhandener Schwachstellen unwirksam werden", stellt das BSI dazu ausdrücklich fest.