Verschlüsselung sichert Laptops

07.06.2005
Von Jürgen Wasem-Gutensohn
Mit Hilfe einer Sicherheitslösung schützt die Swiss Re die Daten auf den Notebooks von insgesamt 4500 Mitarbeitern vor unerlaubten Zugriffen.

Mit einer kompletten Verschlüsselung von Notebook-Festplatten sind unternehmenskritische Daten auf Geschäftsreisen bestmöglich vor Missbrauch geschützt. Geht es dabei um 4500 Notebooks wie bei der Züricher Swiss Re, sind erstens präzise Auswahlkriterien und zweitens eine exakte Planung für den weltweiten Rollout wichtig.

Nomen est omen - das gilt auch für "Enigma" (griechisch für Rätsel): Eine Chiffriermaschine dieses Namens wurde bereits in den 20er-Jahren des letzten Jahrhunderts konstruiert. Berühmtheit erlangte Enigma während des Zweiten Weltkriegs durch ihre Rolle, die sie im U-Boot-Krieg für die deutsche Marine spielte. Enigma taufte aber auch die Züricher Swiss Re ihr IT-Projekt, das die Verschlüsselung von 4500 Notebooks vorsieht. Die Laptops werden von Mitarbeitern genutzt, die viel auf Reisen sind, zwischen verschiedenen Standorten pendeln oder hin und wieder in ihrem Home Office arbeiten. Das Motiv: Der einfache Passwortschutz von Windows XP reichte den Verantwortlichen bei dem Rückversicherer nicht aus. Damit gesicherte Notebooks sind mit leicht zugänglichen Hacking-Tools innerhalb weniger Minuten offen zugänglich für jeglichen Missbrauch.

Dagegen verhindert eine komplette Verschlüsselung der Notebook-Festplatten inklusive des Betriebssystems und sämtlicher Daten, dass Unbefugte die gespeicherten Informationen lesen können. Um die passende Lösung zu finden, wurde das Projektteam beauftragt, Auswahlkriterien zu definieren und damit die auf dem Markt angebotenen Produkte zu begutachten.

"Das A und O einer Verschlüsselungslösung für mobile Endgeräte: Sie muss sich mit der vorhandenen Server-Infrastruktur, den Applikationskomponenten auf den Laptops und dem Softwareverteilmechanismus vertragen", betont Fredi Schmid, zuständiger Projektleiter bei der Swiss Re in Zürich. "Dazu zählt auch, dass sich die Software automatisch im laufenden Betrieb - und das heißt, ohne Supportmitarbeiter vor Ort - auf die im Einsatz befindlichen Geräte installieren lässt. Die heute genutzte Lösung erfüllt diese Voraussetzungen." Für Benutzer solle die Installation so einfach wie möglich sein. Laufe die vollständige Verschlüsselung der Notebook-Festplatte im Hintergrund ab, so Schmid, könne der Anwender seiner täglichen Arbeit weitgehend ungestört nachgehen.

Festplatten verschlüsselt

Die Verschlüsselung der gesamten Festplatte ist für alle Notebook-Benutzer bindend. Gemeint ist damit eine vollständige Sektor-für-Sektor-Chiffrierung des gesamten Laufwerks. Einbezogen sind dabei nicht nur die im Gebrauch befindlichen Speicherbereiche, sondern auch solche mit temporären oder gelöschten Files sowie der aktuell nicht genutzte Platz. Aus diesem Grunde ist auch eine Komplettverschlüsselung notwendig.

Die zwingende Einhaltung der Verschlüsselungsmaßnahmen bedingt auch, dass selbst Mitarbeiter mit Administrationsrechten auf einem Notebook die einmal installierte Chiffriersoftware nicht außer Kraft setzen oder gar löschen können. Zu berücksichtigen sind auch Maßnahmen für den Fall, dass Benutzer sich bei der Passworteingabe mehrmals vertippen oder die selbst gewählte Buchstabenkombination vergessen haben. Hat sich ein Unternehmen bewusst gegen ein zentrales Repository mit allen Passwörtern entschieden, hilft in solch einem Fall eine Challenge-Response-Prozedur zwischen dem Anwender und dem Administrator.

Challenge-Response-Prozedur

Zunächst einmal muss sich dabei der Nutzer gegenüber dem Helpdesk "ausweisen". Anschließend generiert der Anwender eine Zeichenkette (Challenge). Der Administrator, der nur die Benutzer-Accounts, nicht aber die Passwörter verwaltet, antwor- tet mit dem passenden Gegenstück (Response). Die zentral vorhandene Administrationssoftware ermittelt die Response auf Basis der Challenge. Wichtig ist, dass jede Response nur für einen Zugriff gilt. Damit ist das Challenge-Response-Verfahren der Übermittlung verschlüsselt übertragener Passwörtern überlegen.

Nach einer ausführlichen Evaluation mehrerer Angebote entschied sich Swiss Re für die Lösung "Pointsec für PC". "Erstens waren wir von der Technologie überzeugt. Dazu zählt neben der eigentlichen Verschlüsselung auch die Benutzer-Authentisierung. Diese Schutzfunktion kommt sofort nach dem Einschalten der Geräte zum Tragen und damit noch vor dem eigentlichen Booten", betont Schmid. "Zweitens spielte bei der Entscheidung auch die internationale Erfahrung des Herstellers beim Roll-out umfangreicher Installationen eine wesentliche Rolle."

Umfangreicher Produktivtest

Als Verschlüsselungsalgorithmus kommt bei der Swiss Re der Advanced Encryption Standard (AES) zum Einsatz, ein symmetrisches Verfahren, das vom National Institute of Standards und Technology (Nist) in den USA als Nachfolger des Data Encryption Standard (DES) proklamiert wurde. AES bietet variable Schlüssellängen bis zu 256 Bit. Zugleich unterstützt der Algorithmus die von den Schweizern geforderte Challenge-Response-Authentisierung.

Dem eigentlichen Roll-out ging ein umfangreicher Produktivtest voraus. Daran beteiligt waren zirka 100 Mitarbeiter, die sich aus der IT-Abteilung, aus Mitgliedern des Security-Gremiums und ausgewählten Power-Usern in regionalen Niederlassungen rekrutierten. Hier ging es beispielsweise darum, die korrekte Funktion der Verschlüsselungslösung im Umfeld der vorhandenen IT-Infrastruktur zu begutachten. Ein weiterer Punkt war, die Reaktionsfähigkeit des Helpdesk im Fall der Challenge-Response-Authentisierung zu testen. Ein gewollter Nebeneffekt dabei war die Schulung des Supportpersonals quasi am "lebenden Objekt".

Zur Unterstützung der Anwender existiert heute eine dreistufige Service-Organisation, wobei der Third-Level-Support aus explizit von Pointsec zertifizierten System-Administratoren besteht. Sie definieren zentral von Zürich aus Sicherheitsprofile und sorgen so für durchgängige und einheitliche Authentifizierungs- und Verschlüsselungsrichtlinien. Am Stammsitz arbeiten drei solcher Administratoren, von denen jedoch keiner ausschließlich für die Verschlüsselungslösung zuständig ist. Sie betreuen gemeinsam die weltweit 4500 im Einsatz befindlichen Notebooks - rein rechnerisch beläuft sich der gesamte Administrationsaufwand auf eine Vollzeitkraft pro Jahr.

Weltweiter Roll-out

Die eigentliche Roll-out-Phase der Lösung erstreckte sich über nahezu sechs Monate. Pro Woche wurde die Verschlüsselungssoftware als normales Software-Update an durchschnittlich 150 Benutzer verteilt, wobei gut die Hälfte aller 4500 Anwender in Europa tätig sind. In Zürich organisierte Fredi Schmid selbst die Distribution. Darüber hinaus gab es sechs weitere regionale Roll-out-Manager.

Nach der Installation verschlüsselt die Lösung erstmals die gesamte Notebook-Festplatte. Dieser Vorgang dauert mehrere Stunden, läuft jedoch im Hintergrund ab, so dass Anwender ihr Gerät währenddessen normal benutzen können. Allerdings reagiert das Notebook während der Erst-Chiffrierung etwas langsamer als gewohnt. Danach erfolgt die eigentliche Benutzer-Authentifizierung ab dem nächsten Neustart vor dem Boot-Vorgang (Pre-Boot Authentication).

Single-Sign-on

Das Single-Sign-on-Verfahren sorgt dafür, dass sich die Anwender anschließend lediglich mit ihrer Windows-Benutzerkennung und ihrem Pointsec-Passwort anmelden. Möglich ist auch, das Notebook einem Kollegen zu überlassen. Dazu meldet sich der Anwender ohne Neustart ab, und anschließend kann sich sein Kollege anmelden.

Bereits in der Evaluationsphase hatten die Schweizer den zweiten Schritt eingeplant: Außer Notebook-Festplatten sollen in naher Zukunft auch die gemeinsam mit den Laptops genutzten Wechselmedien wie Memory-Cards oder USB-Sticks verschlüsselt werden. (ave)