Anwender schlampen mit Sicherheits-Tools

Werkzeuge für Notebook-Sicherheit werden effektiver

12.01.2001
MÜNCHEN (ba) - Immer mehr Diebe machen gezielt Jagd auf Notebooks. Der Verlust der Hardware lässt sich meist verkraften, die verloren gegangenen Daten bereiten indes den Opfern jedoch Probleme. Mittlerweile gibt es eine Reihe von Sicherheits-Tools. Am konsequenten Einsatz mangelt es jedoch oft.

Er kommt nicht in der Nacht und versteckt sich auch nicht. Der typische Langfinger, der es auf Notebooks abgesehen hat, steckt in einem unauffälligen Geschäftsanzug, trägt eine dezente Krawatte und wahrscheinlich eine dunkle Aktentasche. Millionen anderer Geschäftsleute sehen genauso aus wie er.

In seinem Business-Outfit, mit dem sich der Gauner perfekt seiner Umgebung anpasst wie ein Chamäleon, ist der Eintritt in die Unternehmen und Kongresszentren ein Kinderspiel. Mit einem fingierten Anliegen lässt sich in aller Regel auch der Pförtner als letzte Hürde überlisten. Nun stehen dem Dieb Zimmer mit oft Tausenden von Hightech-Geräten offen. Er muss nur auf einen Moment der Unachtsamkeit warten und dann blitzschnell zuschlagen.

Genauso ist ein Eindringling vermutlich bei der Firma von Luke Mason vorgegangen. Der IT-Manager eines britischen Unternehmens, das CDs und DVDs herstellt und deren Name nicht genannt werden soll, verlor drei Notebooks im Wert von umgerechnet über 13000 Mark. Drei Mitarbeiter der Verkaufsmannschaft hatten während einer kurzen Pause ihre Büros nicht abgeschlossen, berichtet Mason in einem Internet-Forum. Als sie wenige Minuten später zurückkehrten, waren ihre Mobilrechner spurlos verschwunden. Kein Mitarbeiter in den benachbarten Büroräumen hat etwas Auffälliges bemerkt.

Tausende anderer DV-Manager beklagten während der letzten Monate und Jahre ähnliche Erfahrungen. Den Schaden, den die US-Wirtschaft im Jahr 1999 durch gestohlene Computerhardware erlitt, beziffern Experten auf etwa 800 Millionen Dollar. Rechnet man den Verlust an Firmeninformationen dazu, ergebe sich sogar eine Summe von über 40 Milliarden Dollar.

Nach einer Untersuchung von Safeware Insurance, einem in Columbus, Ohio, ansässigen Versicherungsunternehmen, das sich auf IT-Geräte spezialisiert hat, wurden 1999 allein in den USA 319000 Notebooks gestohlen. Das bedeutet, dass etwa alle zwei Minuten ein Rechner verschwand. Gegenüber dem Vorjahr stieg die Diebstahlrate um fünf Prozent. In Deutschland verschwanden im gleichen Jahr nach Angaben des Bundeskriminalamtes über 20000 Notebooks - Tendenz auch hier steigend. Die Aufklärungsrate ist erschreckend niedrig. Nach Informationen der Firma Targus, einem Hersteller von Sicherheitszubehör, tauchen 90 Prozent aller verschwundenen Geräte nie wieder auf.

Polizeistatistiken zufolge haben sich mittlerweile regelrechte Gangs und Verbrecherorganisationen gebildet, die auf Technikklau spezialisiert sind. Manche Ganoven organisieren ihre Raubzüge nach vorgefertigten Bestelllisten, auf denen sie leicht absetzbare Modelle notiert haben. Die Kanäle, in denen die gestohlenen Notebooks verschwinden, sind weit verzweigt: Vom Händler um die Ecke, bei dem das Gerät bereits wenige Minuten nach dem Raub versilbert wird, bis zu Online-Auktionen, wo die gestohlenen Mobilrechner zwischen Millionen anderer Produkte einfach untergehen.

Mason hat Konsequenzen aus dem Diebstahl gezogen. Zu dem materiellen Verlust der Hardware, den die Versicherung wegen der offenen Bürotüren nicht ausgleichen wollte, kam noch ein nicht in Geld zu beziffernder Datenverlust. Der IT-Manager ordnete an, dass die Notebooks künftig im stationären Büroeinsatz angekettet werden müssen. Praktisch alle handelsüblichen Geräte besitzen mittlerweile eine entsprechende Öse, an der sich eine Abschließvorrichtung ähnlich einem Fahrradschloss anbringen lässt. Firmen wie Targus und Kensington bieten entsprechende Schlösser an. Neben dem Schutz des Gerätes soll ein BIOS-Passwort die gespeicherten Firmendaten schützen.

Mehr Verantwortung für die MitarbeiterDie Reaktionen auf Masons Bericht im Internet-Forum zeigen jedoch, dass es damit nicht getan ist. So berichtet ein anderer DV-Manager, dass es lediglich eine Sache von wenigen Sekunden sei, die Abschließöse aus dem Plastikgehäuse eines Notebooks zu brechen. Ferner muss auch das Büroinventar den Sicherheitsansprüchen genügen. Oft werde das Notebook einfach an ein Tischbein gefesselt, obwohl dieses nur angehoben werden müsse, um die Kette abzustreifen und das Gerät zu entwenden. Effektiver sind Löcher am Rand der Tischplatte.

Auch ein BIOS-Passwort bietet nicht in jedem Fall hundertprozentigen Datenschutz. Nimmt der Dieb die Batterie, die den BIOS-Speicherchip mit Strom versorgt, für ein paar Sekunden heraus, wird das System in vielen Fällen in seinen Grundzustand zurückversetzt. Dabei geht auch der Passwortschutz verloren.

Immer mehr Unternehmen gehen inzwischen dazu über, ihre Mitarbeiter in die Pflicht zu nehmen. Sie erhalten alle Mittel und Werkzeuge, um ihre Geräte zu sichern, tragen dafür aber auch die volle Verantwortung, wenn ein Notebook abhanden kommt. So berichtet ein IT-Verantwortlicher, dass jeder Mitarbeiter seines Unternehmens, der aus eigener Schuld einen Mobilrechner verliert, diesen ersetzen und sich für die darauffolgenden sechs Monate mit einem Standard-PC begnügen muss. "Diese Regelung hat sich als sehr effektiv erwiesen."

Für den Schutz unterwegs bietet sich ein Alarmgerät an, wie es zum Beispiel die Firma Targus offeriert. Damit wird 45 Sekunden lang ein 110 Dezibel lautes Signal ausgelöst, sobald Tasche oder Notebook unautorisiert bewegt werden. Sollte das Signal versehentlich ausgelöst werden, kann der Besitzer die Sirene über die Eingabe der richtigen Zahlenkombination stummschalten. Verschiedene Firmen bieten außerdem Aufkleber an, die ebenfalls Diebe abschrecken sollen. Doch ob der Hinweis "Polizeilich registriert" professionell agierende Gauner wirklich abschreckt, ist anzuzweifeln. Wirksamer könnte ein Aufkleber sein, der beim Abziehen den Schriftzug "Gestohlenes Eigentum" auf dem Gerät hinterlässt. Der Weiterverkauf derartig markierter Notebooks dürfte sich als schwierig erweisen.

Wird ein Notebook mit geschäftskritischen Daten gestohlen, bleibt den Betroffenen meist nur die Hoffnung, ihre Informationen gut abgesichert zu haben. Dafür gibt es unterschiedliche Werkzeuge. So lassen sich beispielsweise mit Kryptographie-Programmen alle Daten, die auf der Festplatte eines Mobilrechners abgelegt werden, automatisch verschlüsseln. Der Zugriff ist nur über die Eingabe des richtigen Passworts möglich.

Allerdings gilt es auch hier, ein paar Grundregeln zu beachten. Für einen guten Datenschutz sollte der verwendete Schlüssel möglichst lang sein. Moderne Verfahren wie der Advanced Encryption Standard (AES), Cast oder Blowfish arbeiten mit variablen Schlüssellängen von bis zu 448 Bits. Bei der Wahl von Passwörtern sollten Anwender möglichst unverdächtige Kombinationen aus Buchstaben und Zahlen wählen, um es Hackversuchen so schwer wie möglich zu machen.

Eine weitere Möglichkeit, den Zugang zu den Notebook-Daten abzusichern, funktioniert über Smartcards oder biometrische Erkennungssysteme. Bei der Kartenlösung muss der Nutzer seine Karte in einen Slot am Mobilrechner schieben und sich durch die Eingabe einer PIN-Nummer identifizieren. Biometrische Sensoren registrieren einen Fingerabdruck oder die Iris. Nur wenn die eingegebenen Daten mit den zuvor über ein Sicherheitsprogramm gespeicherten Informationen übereinstimmen, wird das System freigegeben. Neben externen Fingerabdrucklesern, die an den USB-Port des Rechners angeschlossen werden, sind mittlerweile einige Notebook-Hersteller dazu übergegangen, bestimmte Modelle standardmäßig mit biometrischen Systemen auszustatten. Beispielsweise kommen manche Rechner von Compaq oder Acer mit integriertem Fingerabrucksensor auf den Markt.

Zwar versprechen die geschilderten Verfahren einen effektiven Datenschutz, es gibt jedoch auch hier einen Pferdefuß. Bevor die Daten sicher im Notebook lagern, müssen Investitionen getätigt, Schlüssel gepflegt und Passwörter verwaltet werden. Vor diesem Aufwand schrecken viele IT-Abteilungen zurück, besonders da sich die Investitionen nicht in klingender Münze auszahlen. DV-Manager klagen über vergessene Passwörter oder verloren gegangene Smartcards. Und nachdem der entnervte Notebook-Nutzer irgendwo in einem Hotel dieser Welt wieder einmal vergeblich versucht hat, an seine Daten zu kommen und der heimische User-Support nicht zu erreichen war, sind alle Sicherheitsvorkehrungen meist schnell wieder deinstalliert und vergessen.

Größter Unsicherheitsfaktor bleibt in diesem Umfeld der Mensch. Oft vergessen gestresste Manager, Schutzmechanismen zu aktivieren, kritisieren die Anbieter von Security-Systemen. Manche hochrangige Firmenvorstände glauben gar, ihnen könne so etwas wie ein Notebook-Diebstahl erst gar nicht passieren, erzählt Ira Winkler, Präsidentin der Internet Security Advisors Group. Lange Gesichter gebe es dann, wenn dieser Fall plötzlich doch eintritt.

Um gestohlenen Mobilrechnern auf die Spur zu kommen, bietet die kanadische Firma Absolute Software ihr "Computrace"-Paket an. Ein auf dem Notebook installierter Softwareagent meldet sich in regelmäßigen Abständen via Netz oder Internet-Verbindung beim Zentralrechner des Herstellers in Vancouver. Dabei wird der anrufende Rechner anhand einer Seriennummer identifiziert. Ferner werden Nummer beziehungsweise die IP-Adresse sowie Datum und Uhrzeit der Meldung gespeichert. DV-Manager können über eine Passwort-geschützte Website jederzeit den Status ihrer registrierten Mobilrechner abfragen.

Wird ein Notebook als gestohlen gemeldet, warten die Servicemitarbeiter von Absolute Software darauf, dass sich der Dieb ins Netz einklinkt. Mit Hilfe der darauf folgenden Meldungen versuchen die Mitarbeiter den Standort zu lokalisieren und schalten dann die örtlichen Polizeibehörden ein.

Laut Hersteller bleibt der Computrace-Agent unsichtbar. Auch die Meldungen an den Zentralrechner funktionieren unbemerkt im Hintergrund. Das Formatieren der Hard-Disk oder ein erneutes Aufspielen des Betriebssystems können dem Agenten laut den kanadischen Entwicklern nichts anhaben. Allein mit der regulären Installationsdiskette sowie dem dazugehörigen Passwort ließe sich die Software wieder entfernen. Die Preise für den digitalen Spürhund beginnen bei knapp 50 Dollar pro Jahr und Gerät. Allerdings funktioniert Computrace bislang nur in Kanada und den USA. Für die erste Jahreshälfte 2001 planen die Kanadier jedoch den Aufbau ihres Europageschäfts.

Als alleiniger Schutz für die im Notebook gespeicherten Informationen reicht Computrace allerdings nicht aus. So kommen die Diebe unbehelligt an die gespeicherten Informationen, sollten diese nicht durch andere Mechanismen geschützt sein. Der Agent dient lediglich dem Aufspüren des gestohlenen Geräts. Zudem ist eine Lokalisierung nur dann möglich, wenn der Dieb ins Netz geht.

Ein Standardpaket, das alle Sicherheitsprobleme löst, gibt es bislang nicht. Die Hersteller von Notebooks gehen erst langsam auf die Sicherheitsbedürfnisse ihrer Kunden ein, und bieten punktuell einzelne Features an, die jedoch noch weit entfernt sind von einem umfassenden Schutz. Die DV-Manager müssen sich vorerst ihre eigenen Lösungen zusammenstellen.

Neben dem Schutz des Notebooks empfehlen Experten, auch grundlegende Sicherheitsfragen nicht außer Acht zu lassen. Dazu gehören zum Beispiel: Sind die Nutzer ausreichend geschult, um die Geräte sicher von den Geschäftsreisen zurückzubringen? Oder: Wie einfach kommen fremde Personen in das Gebäude? Auch Mason widmet diesen Fragen seit dem Diebstahl mehr Aufmerksamkeit. "Wir schließen nun alle Türen während der Pausen ab." Wer dennoch allen Sicherheitsvorkehrungen misstraut, muss dem Beispiel von Arjen Lenstra, Vice President der Technologieabteilung der Citibank, folgen: "Notebooks werden überall gestohlen. Ich lasse meinen Mobilrechner lieber zu Hause. Es ist zu unsicher, damit zu reisen."

Notebook-Diebstähle 2000

Im Januar verschwand im US-amerikanischen Außenministerium ein Notebook. Das auf den Fall angesetzte FBI lobte schließlich im Oktober einen Finderlohn von 25000 Dollar aus. Das Gerät blieb verschwunden. In einer offiziellen Stellungnahme hieß es, der Rechner könnte brisante Informationen enthalten. Ob diese abgesichert seien, vermochte eine Sprecherin nicht zu bestätigen. In den Monaten vor dem Diebstahl hatten Untersuchungsinspektoren bereits den dort herrschenden laxen Umgang mit Daten kritisiert.

Im März verlor ein Agent des britischen MI5 das ihm anvertraute Notebook, als er sich am Londoner Bahnhof Paddington Station eine Fahrkarte kaufte. Das Gerät enthielt geheime Informationen über Nordirland und die dort schwelenden Konflikte. Der Mobilrechner tauchte bis heute nicht mehr auf. Sprecher der britischen Regierung beteuerten jedoch, die Informationen seien ausreichend verschlüsselt.

Im September wurde Irwin Jacobs, CEO der Firma Qualcomm, Opfer eines Notebook-Diebes. Nach einer Präsentation für Wirtschaftsjournalisten im kalifornischen Irvine verschwand sein IBM-Gerät spurlos. Nach Aussage von Firmensprecherin Christine Trimble nutzte Jacobs den Rechner hauptsächlich geschäftlich. Die Frage, ob die Daten verschlüsselt waren, konnte oder wollte das Unternehmen nicht beantworten.

FirmenAbsolute Software

(www.computrace.com): Softwareagenten mit Suchservice

Computer Sentry

(www.sentryinc.com): Sicherheitssoftware mit Standortmeldung

Kensington

(www.kensington.com): Alarmsirene, Kabelschlösser

Lexent

(www.lexent.com): Radarsender/-empfänger mit Alarmsirene

PC-Guardian

(www.pcguardian.com): Verschlüsselungssoftware

Saflink

(www.saflink.com): Software für biometrische Systeme (Stimme, Fingerabruck, Iris)

Smart Water

(www.smartwater.com): Notebook-Kennzeichnung und Kundenregistrierung

Targus

(www.targus.com): Alarmsirene, Kabelschlösser

World Security Corporation

(www.worldsecuritycorp.com): Sicherheitsaufkleber mit Kundenregistrierung