Rundumschutz tut not

13.05.2008
Von Peter Mitteregger 
Sicherheit für mobile Daten muss die Informationen auf allen möglichen Speichermedien erfassen - vom Laptop bis zum iPod.

Üblicherweise werden unterschiedliche mobile Geräte - von Notebooks und Tablet-PCs bis zu Handys, PDAs, Smartphones und verschiedenen portablen Speichermedien - in einer unternehmensweiten Umgebung eingesetzt. Dies macht es sehr schwer, die Sicherheit von vertraulichen Unternehmensdaten zu gewährleisten. Hinzu kommt, dass es sich dabei nicht allein um Geräte und Medien handelt, die primär für die Datenspeicherung vorgesehen sind, sondern es auch um iPods, MP3-Player oder sogar Digitalkameras gehen kann. Sicherheitsverantwortliche wissen häufig nicht mehr, wer mit welchem Gerät Zugriff auf welche Daten hat oder wo diese lagern. Mehr noch: Viele erachten es als unmöglich, den Überblick über die vorhandenen, von den Mitarbeitern genutzten Geräte sowie die darauf gespeicherten Daten zu behalten. Denn Mitarbeiter kaufen auch eigene Geräte und synchronisieren E-Mails und andere Unternehmensdaten mit den Firmencomputern. Die Gefahr dabei: Vertrauliche Informationen werden außerhalb der Kontrolle und der Schutzmechanismen zur Unternehmenssicherheit aufbewahrt.

Hier lesen Sie "

warum Festplattenverschlüsselung nicht mehr ausreicht; warum System- und Security-Administration getrennt sein sollten; warum der Nachweis, dass mobile Daten verschlüsselt waren, Pflicht ist.

Mehr Speicherkapazität - höherer Schutzbedarf

Diese Situation wird sich voraussichtlich noch verschärfen, denn einerseits werden mit fallenden Preisen für Speicherkarten die Anwender noch mehr Informationen auf ihren mobilen Geräten vorhalten. Andererseits sind Unternehmen verpflichtet, ihre Informationen effizient und im Einklang mit gesetzlichen Vorgaben zu schützen, da sie für die Folgen jedes Datendiebstahls zur Verantwortung gezogen werden können. Damit ergibt sich die zwingende Notwendigkeit, die Vertraulichkeit der Daten zu gewährleisten und sie durch Verschlüsselung zu sichern.

Die alleinige Definition von verbindlichen Sicherheitsrichtlinien ohne deren automatische Durchsetzung reicht jedoch nicht zum Schutz der Daten aus. Die Folgen sind meist gravierend, angefangen beim Imageschaden, der mit dem Bekanntwerden eines Datenverlustes einhergeht, bis hin zu Haftungsansprüchen für Folgeschäden, die sich aus Bundesdatenschutz, Aktienkontrollgesetz oder individuellen Geheimhaltungsvereinbarungen herleiten lassen.

Flexible Lösungen zum Schutz der Daten

In der Vergangenheit, als Notebooks die einzigen mobilen Geräte mit Unternehmensdaten waren, beruhten Sicherheitslösungen primär auf dem Prinzip der so genannten Full Disk Encryption, das heißt, es wurde die gesamte Festplatte des Geräts verschlüsselt. Doch in den modernen, dynamischen IT-Umgebungen reicht es nicht aus, nur diese Geräte zu betrachten und einfach die Bits auf den Festplatten zu verschlüsseln. Es bedarf einer Lösung, die flexibel genug ist, um den Schutz der mobilen Daten als integralen Bestandteil der unternehmensweiten Sicherheitsprozesse zu gewährleisten. Datensicherheit bedeutet, sicherzustellen, dass alle Teile der Sicherheitskette - Menschen, Prozesse, operativer Betrieb, Durchsetzung und Management - nahtlos zusammenarbeiten. Nur so lässt sich ein Rundumschutz ohne Schwachstellen aufbauen, ohne dass die Funktionalität der mobilen Geräte und Speichermedien dadurch beeinträchtigt wird.

Wenn Daten verloren gehen, spielt es keine Rolle, auf welchem Gerät sie gespeichert waren und ob es Firmen- oder Privateigentum ist. Die Daten auf allen Geräten müssen geschützt werden, nicht nur auf Geräten, die das offensichtlichste Ziel für einen Angriff zu sein scheinen, nämlich den Notebooks. Auch ist mobile Sicherheit kein statischer Prozess, denn sowohl die Gerätetypen und -nutzer als auch die Speicherorte ändern sich ständig. Eine unternehmensweite Sicherheitsinfrastruktur muss sich daher auf die Daten konzentrieren und in der Lage sein, sich den dynamischen Veränderungen kontinuierlich anzupassen. Im Klartext: Eine Lösung muss alle Geräte, auch Smartphones, PDAs oder iPods, die zum ersten Mal Verbindung mit einem Computer im Unternehmen aufnehmen und Daten synchronisieren, automatisch aufspüren können und in die Schutzmaßnahmen einbinden. Wird ein USB-Stick an ein Notebook oder einen Desktop angeschlossen, so muss die Sicherheitsinfrastruktur in der Lage sein, anwender- und geräteabhängig die Benutzung des Speichermediums zu erlauben oder zu verbieten und die Verschlüsselung der Daten auf dem USB-Stick zu steuern. Im Anschluss daran wird der Nutzer aufgefordert, diese Daten mit einem Kennwort zu versehen, und die Daten werden ab sofort nach den geltenden Richtlinien verschlüsselt.

Einer landläufigen Ansicht zufolge lässt sich eine hundertprozentige Sicherheit für Notebooks nur durch die Verschlüsselung der gesamten Festplatte erreichen. Das Problem: Ist die gesamte Festplatte auf dieselbe Weise verschlüsselt, sind für sämtliche Benutzer mit Kenntnis des Passworts auch alle Daten frei zugänglich. Das kann zu einer internen Sicherheitslücke führen. Man denke beispielsweise an den CFO eines Unternehmens, der sein Notebook für ein Upgrade dem zuständigen Support-Mitarbeiter übergibt. Dieser wiederum kennt als Administrator das Festplatten-Passwort und hat damit Zugriff auf alle Informationen auf diesem Rechner, einschließlich der hochvertraulichen Daten des Finanz-Managers. Es empfiehlt sich deshalb, eine Lösung zu wählen, mit der sich die System- und die Sicherheitsadministration trennen lassen. Der Security-Verantwortliche sollte dabei die Möglichkeit haben, Policies einzurichten, die die Verschlüsselung der Daten auf allen mobilen Endgeräten regeln. Diese Richtlinien können ganze Laufwerke schützen oder granular bestimmte Dateitypen für ausgewählte Benutzer oder Gruppen. So kann etwa für besonders kritische Umgebungen eine Policy aufgestellt werden, die lediglich dem Autor den Zugang zu seinen Daten ermöglicht. Auch sollte über Regeln gesteuert werden, ob bestimmte Nutzer externe Speichermedien verwenden dürfen oder nicht. Für die mobilen Geräte sollten alle PIM-, Anwendungs- und E-Mail-Datenbanken einschließlich der Anhänge oder Mediendateien verschlüsselt werden. Wenn der Nutzer sein Gerät einschaltet und sich authentifiziert, bleiben die Daten verschlüsselt. Erst wenn er eine bestimmte Datenbank oder Datei anfordert, findet eine Entschlüsselung "on-the-fly" statt, beim Abspeichern werden die Informationen sofort wieder verschlüsselt. Die Verschlüsselung erfasst dabei alle kritischen Dateien und Ordner, einschließlich der temporären Dateien aller Applikationen, der Paging-Dateien sowie der Zugangsdaten zum lokalen System und zum Netz.

Datenschutz: transparent, aber verpflichtend

Grundlage der Maßnahmen zur Datensicherheit ist die Erkenntnis, dass sie "vernünftig und angemessen" sein müssen. Unternehmen dürfen es niemals den Nutzern überlassen, ihre Daten zu sichern - Anwender haben weder die Zeit noch das hierfür erforderliche Wissen. Das bedeutet zum einen, dass die relevanten Sicherheitsrichtlinien und kryptografischen Schlüssel automatisch an die mobilen Endgeräte verteilt werden und dort die entsprechende Authentifizierung und Verschlüsselung lokal, gesteuert durch den normalen Login-Prozess, durchgesetzt wird. Zum anderen muss ein Mechanismus für die automatische Auslieferung von Policy- und Software-Updates in Echtzeit vorhanden sein, um potenzielle Sicherheitslücken möglichst zeitnah und ohne Beeinträchtigung der Benutzer zu schließen. Die Verteilung dieser Updates ist ebenfalls über gesicherte Kommunikationskanäle vorzunehmen. Für Geräte, die selten oder nie mit einem PC synchronisieren, muss der Vorgang auch über eine Funkverbindung möglich sein.

Sicherheits-Management - zentral von einer Konsole aus

Voraussetzung für eine transparente, obligatorische Einhaltung der Maßnahmen ist eine unternehmensweite Lösung mit einer zentralen Management-Konsole, von der aus alle Geräte verwaltet werden, sowohl die stationären innerhalb einer Organisation als auch die mobilen außerhalb. Das schließt Funktionen zur Sicherheitskontrolle, zum Auditing und für das Reporting ein. Hier werden auch die Policies verwaltet und ausgeliefert sowie die Verschlüsselung gesteuert. Die Verbindung zu bestehenden LDAP-Verzeichnissen wie dem Active Directory stellt sicher, dass Sicherheitsrichtlinien entsprechend existierender Rollen und Gruppendefinitionen ohne erhöhten Aufwand eingerichtet und verwaltet werden können.

Schlüssel zentral generieren und hinterlegen

Das Design vieler Sicherheitslösungen für mobile Endgeräte macht es erforderlich, dass die Krypto-Schlüssel auf dem Zielgerät generiert und dann erst auf einem zentralen Server hinterlegt werden. Doch was passiert, wenn sich dieser Prozess verzögert oder gar fehlschlägt, der Nutzer jedoch seine Daten wiederherstellen muss? Der Vorgang sollte daher in umgekehrter Reihenfolge ablaufen: Schlüssel müssen hinterlegt sein, bevor das erste Daten-Bit verschlüsselt wird - ohne jegliches Zutun der Anwender. Nur dann ist im Notfall eine unverzügliche Datenwiederherstellung möglich.

Verschlüsselung als Beweismittel

Es reicht nicht aus zu behaupten, die Daten seien geschützt. Unternehmensweite Governance fordert konkrete Belege dafür. Geht ein Gerät verloren oder wird es gestohlen, so muss das Unternehmen je nach geltenden gesetzlichen und unternehmensinternen Bestimmungen entscheiden, ob die Betroffenen von diesem Verlust in Kenntnis zu setzen sind und entsprechende Schutzmaßnahmen eingeleitet werden müssen, inklusive aller Kosten und Unannehmlichkeiten, die damit einhergehen. Gibt es jedoch einen Nachweis dafür, dass die Daten zum Zeitpunkt des Verlustes verschlüsselt waren, kann auf diese Maßnahmen verzichtet werden. Aus diesem Grund ist eine detaillierte Dokumentierung der Nutzung und Verschlüsselung mobiler Endgeräte (einschließlich Synchronisationssoftware) ein Muss. Diese Beweise sollten zentral vorgehalten werden.

Sicherheitsprozesse in IT-Abläufe

Die Verwaltungsprozesse auf einer Sicherheitsplattform für mobile Geräte müssen so gestaltet sein, dass sie einen möglichst geringen Aufwand für die IT-Abteilung bedeuten. Zum Beispiel können dann Wartungs- und Wiederherstellungsprozesse in die vorhandenen Recovery-Prozesse eingebunden werden, ohne dass diese verändert werden müssen. Insbesondere ist es wichtig, dass das IT-Support-Desk bei Verlust des Verschlüsselungspassworts den Benutzern nach entsprechender Authentifizierung wieder Zugang zu den Daten geben kann, unabhängig davon, ob das Gerät am Netz angeschlossen ist.

Schützen ja, behindern nein

Die Sicherheitsmaßnahmen sollten Anwendern keinen zusätzlichen Aufwand abverlangen. Denn nur wenn sie ihrer Arbeit ohne Behinderung durch Ver- und Entschlüsseln von Daten nachgehen können, werden sie die Maßnahmen akzeptieren. Doch auch für Sicherheitsadministratoren muss die Security-Infrastruktur handhab- und verwaltbar sein. Das beginnt bei der Definition von feingranularen Policies und reicht bis zu den Management-Prozessen. Eine gute Hilfe stellen dabei Best Practices und Templates für die Definition der Richtlinien dar, aber genauso die Einbindung der Sicherheitsabläufe in die bestehenden IT-Prozesse. (mb)