Wer mit seinem Notebook mobil arbeiten möchte hat auf diesem selbstverständlich auch sensible Daten gespeichert. Diese Daten, wie beispielsweise die Zugriffsdaten auf das Firmennetzwerk, oder auch persönliche Finanzunterlagen gilt es in jedem Fall vor dem Zugriff Dritter zu schützen. Gleiches gilt für urheberrechtlich geschütztes Material, das von Fremden unter Umständen gewinnbringend vermarktet werden kann. Neben diesen Worst-Case-Szenarien kostet der Verlust des Notebooks in aller erster Linie einmal Zeit, um den Datenverlust zu kompensieren.
Laptops sind hier besonders gefährdet, da sie leicht zu transportieren und entsprechend auch leicht zu stehlen sind. Darüber hinaus sind sie nicht permanent mit einem Server verbunden und somit werden wichtige Daten nicht zusätzlich abgespeichert.
Bevor Sie sich Gedanken um den optimalen Schutz der eigenen Daten machen, sollten Sie sich vergegenwärtigen, welche Arten des Verlustes und welche Schäden dadurch eintreten können.
Klassifizierung von gespeicherten Daten
Die meisten Daten sind gewöhnliche Dokumente, bei deren Wegfall hauptsächlich ein Verlust in Form eigener Arbeitszeit auftritt. Haben Sie beispielsweise länger an einem bestimmten Schriftstück oder einer Tabelle gearbeitet und wird dieses Dokument versehentlich gelöscht, so ist die investierte Zeit verloren. Daneben gibt es Daten, deren Verlust kein direktes Problem darstellt, weil sie etwa als Kopie auf einem anderen PC oder einer externen Festplatte existieren.
Problematisch sind sicherheitsrelevante Daten, die keinesfalls falsche Hände geraten sollten. Dazu zählen etwa Passwörter für Mailkonten, News- und Datenbankdienste oder Web-Verbindungen. Benutzt ein Dritter zum Beispiel Ihren UMTS-Online-Zugang, entstehen schnell hohe Kosten, für die Sie zunächst aufkommen müssen. Und hat ein Dritter Zugang zum persönlichen Mailkonto, ist keinerlei private Kommunikation mehr gewährleistet.
Dann gibt es natürlich auch Mischformen: Dazu zählt zum Beispiel die firmeninterne Produktpräsentation, auf der auch Preisverläufe der kommenden Monate zu sehen sind. Der Verlust lässt einen zum Zeitpunkt der Präsentation schnell im Regen stehen, der Zugriff auf die Daten durch Dritte macht unter Umständen den kompletten Marketing-Plan zunichte.
Abwehr vor unterschiedlichen Gefahren
Sie sollten sich daher rechtzeitig vor dem irrtümlichen oder durch äußere Einflüsse hervorgerufenen Datenverlust und dem Diebstahl der Daten schützen. Beides ist nicht ganz einfach. Besonders dann nicht, wenn sich die zu schützenden Daten auf einem Notebook befinden. Denn befindet sich ein vergessenes oder gestohlenes Gerät erst einmal im Zugriffsbereich Dritter, ist im Großen und Ganzen alles zu spät – denn dann können halbwegs Versierte – genügend Zeit und die richtigen Tools aus dem Internet vorausgesetzt – praktisch jeden Schutzmechanismus knacken. Allerdings: Wer Notebooks stiehlt, ist in der Regel darauf aus, die Geräte zu verkaufen, und nicht, an die gespeicherten Daten zu gelangen.
Das Einfache zuerst: Die Datensicherung
Mit einem Backup – also einer gewöhnlichen Sicherheitskopie – stellen Sie sicher, dass Daten nach versehentlichem Löschen oder bei einem Festplattendefekt nicht endgültig verloren sind. Da die Sicherung kompletter Festplatten aus Platzgründen meist nicht sinnvoll oder möglich ist, sollten Sie Ihre Dokumente auf dem Laufwerk so organisieren, dass diese leicht zu sichern sind. Am einfachsten gehen Sie dabei den von Microsoft vorgesehenen Weg und legen die eigenen Dokumente im persönlichen Ordner („Eigene Dateien“) oder Unterordnern davon ab. Um alle eigenen Dokumente zu sichern, brauchen Sie dann nur den Inhalt dieses Verzeichnisses mit allem, was darin enthalten ist, auf ein anderes Laufwerk zu kopieren. In diesem Fall brauchen Sie sich also keine Gedanken über weitere auf der Festplatte verteilte Daten zu machen.
Sollen zudem auch wichtige Einstellungen von Programmen, die Einträge im Windows-Adressbuch und ähnliche Infos gesichert werden, kopieren Sie einfach den Benutzerdatenordner „Dokumente und Einstellungen“, denn die zum Betriebssystem gehörenden Programme legen dort ihre Daten ab. Dazu gehören zum Beispiel auch die Adressdaten von Outlook Express oder die Favoriten-Liste des Internet Explorers.
Damit die Sicherung ihren Sinn erfüllt, muss sich die Kopie der Daten auf einem anderen Speichermedium – am besten auf einem anderen Gerät – befinden als die Originaldaten. Verfügt Ihr Notebook über einen DVD-Brenner, ist die Sache einfach: Brennen Sie regelmäßig eine DVD mit dem zu sichernden Verzeichnis. Wenn Sie die Backups in chronologischer Reihenfolge zusätzlich an einem sicheren Ort aufbewahren, ist das Risiko eines schweren Datenverlusts zumindest gemindert. Bei einem Notebook ohne Brenner, können Sie die Dateien auf Ihren Desktop-PC übertragen und dort brennen.
Strategie für die regelmäßige Archivierung
Am wirksamsten ist das Sichern von Notebook-Daten natürlich, wenn diese Sicherung regelmäßig und automatisiert durchgeführt wird. Sichern Sie auf externe Medien wie CDs oder DVDs, ist die Sache mit der Automatisierung schwierig, denn Sie müssen sich immer wieder um Leermedien kümmert.
Befindet sich das zu sichernde Notebook allerdings in einem Netzwerk, können Sie einfach die automatische Sicherung auf eine Netzfreigabe durchführen lassen. Den Zielordner für das Backup sichern Sie dann gelegentlich per Brenner oder in größeren Firmennetzwerken automatisch auf ein Bandlaufwerk. Auf diese Weise sind die aktuellen Daten der letzten Sicherung immer per Netzwerk verfügbar und bei größeren Problemen auch auf Wechselmedien. Da letztere nur unregelmäßig erstellt werden, sind Sie dann zwar nicht ganz auf dem neuesten Stand, aber im Vergleich zu einem Totalverlust bietet die Sicherung immer noch einen großen Vorteil.
Verfügen Sie beim mobilen Arbeiten unterwegs weder über ein Netzwerk noch über einen Brenner, bleibt nichts anderes übrig, als die Daten auf USB-Sticks oder Disketten zu sichern. Das verursacht erheblichen Aufwand, denn meist sind mehr Daten zu sichern, als auf einer Diskette Platz finden.
Sowohl für diese Sicherung auf Disketten als auch für die Sicherung in ein Netzwerklaufwerk gibt es bei Windows XP aber ein beigepacktes Backup-Programm. Das starten Sie im Startmenü unter „Zubehör, Systemprogramme“ mit dem Befehl „Sicherung“. Die Handhabung des Tools ist dank eines Assistenten selbsterklärend. Unter Windows XP Home müssen Sie das Backup-Tool eventuell noch nachträglich einrichten.
Notebook-Daten für Dritte sperren
Beim Sichern von Daten vor einem Zugriff durch Dritte stellt sich in der Regel die Frage: Wie stark muss das Schutzschild sein, beziehungsweise wie schützenswert sind die Daten überhaupt? Geht es Ihnen beispielsweise nur darum, einfach ein paar private Daten vor den neugierigen Blicken des Kollegen zu schützen – oder aber wünschen Sie eine vollständige Verschlüsselung aller Daten, die auch hartnäckigen Knackversuchen widerstehen kann?
Der Schutz der Daten beginnt mit dem Schutz des Rechners. Und dieser fängt bereits mit einem Bios-Passwort an: Bei praktisch allen Notebooks kann man im Bios-Setup ein Passwort einrichten. Dieser Schutzmechanismus ist allerdings nicht sonderlich sicher, denn Bios-Passwörter lassen sich auf verschiedene Arten umgehen: Im einfachsten Fall reicht ein Reset des Bios, in komplizierteren Fällen nehmen Datenspione einen Bios-Cracker zu Hilfe.
Dennoch: Ist bei einem Notebook ein Bios-Passwort vergeben und ist das Gerät ausgeschaltet, so können Sie den Rechner wenigstens einmal für ein paar Minuten außer Acht lassen. Schnüffler können das Notebook dann nicht einfach starten und Ihre Dokumente einsehen oder Daten unbemerkt verändern.
So schützen Sie einzelne Dateien
Auch an anderen Stellen können Sie mit Passwörtern einen dünnen ersten Schutzwall schaffen. Das gilt zum Beispiel für das Windows-Anmeldepasswort, Kennwörter für Ihre Mailkonten und Passwörter für ZIP-Dateien. Windows XP erlaubt es bei der Installation, auf ein Kennwort zu verzichten, so dass das Betriebssystem ohne Passwortabfrage hochfährt – eine eklatante Sicherheitslücke. Damit Unbefugte keinen Zugang zu Ihrem Notebook haben, aktivieren Sie das Anmeldepasswort von Windows XP. Gehen Sie allerdings davon aus, dass ein Passwort niemals eine absolute Sicherheit schaffen kann: Sowohl ein Windows-Passwort als auch Codes für ZIP-Dateien können mit Spezial-Software und genug Rechenzeit entschlüsselt werden. Trotzdem gilt auch hier, dass ein Passwort zumindest einen Schutz für eine gewisse Zeit schafft. Dabei ist das Passwort umso sicherer, je komplexer es ist.
Windows-Passwörter sollten beispielsweise mindestens aus acht Zeichen bestehen, sowohl Ziffern als auch Sonderzeichen und Buchstaben enthalten und Groß- und Kleinschreibung mischen. Außerdem sollte ein gutes Passwort nicht in einem Wörterbuch zu finden oder über Ihr persönliches Umfeld zu erraten sein. Passwörter, die sich aus dem Namen und dem Geburtstag des Partners oder der Kinder zusammensetzen, sind keine gute Wahl. Wenn Sie sich an diese einfachen Grundregeln halten, machen Sie es den Passwort-Crack-Programmen schwerer und damit einen PC-Einbruch unwahrscheinlicher.
Gepackte Dateien mit einem Passwortschutz versehen
Um beliebige Dateien ohne Zusatz-Tools zu schützen, können Sie unter Windows XP die eingebaute Unterstützung für ZIP-Dateien verwenden. Dabei speichern Sie Ihre Daten in einem herkömmlichen ZIP-Ordner. Im Dateimenü dieser Ordner können Sie dann ein Passwort für die darin enthaltenen Dateien vergeben.
Möchten Sie nun später auf eine derart geschützte Datei zugegriffen, so müssen Sie erst das Passwort dazu eingeben. Auf diese Weise kommt ein Dritter ohne Kennwort an die Daten nicht ohne Weiteres heran. Er kann allerdings die ganze ZIP-Datei kopieren und sie an einem anderen Ort in aller Ruhe mit geeigneten Passwort-Recovery-Tools – einer Art elektronischem Nachschlüssel – knacken.
Auch das Mailpasswort für Ihren POP3- oder IMAP-Server sollten Sie wenn möglich komplex gestalten. Bedenken Sie aber: Egal wie kompliziert dieses Passwort aufgebaut ist, es wird im Netzwerk in der Regel im Klartext, also unverschlüsselt, übertragen. Das bedeutet, dass jede Person mit Zugang zum Netzwerk auch Ihr Passwort über einen Netzwerk-Sniffer mitlesen kann. Mit anderen Worten: Ein solches Passwort ist nur dann sicher, wenn Dritte keinen Zugang zu dem Netzwerk haben, über das Sie das POP3- oder IMAP-Passwort verwenden. Besonders unzureichend geschützte Wireless LANs bieten jedoch gute Mitlauschmöglichkeiten. Beim Mailkonto gibt jedoch eine einfache Lösung: Sie brauchen einen Mailserver, der auch SSL unterstützt, denn nur dann kann das Passwort auch verschlüsselt übertragen werden. Infos dazu, ob Ihr Postfach-Provider SSL unterstützt, finden Sie auf den jeweiligen Support-Seiten im Internet.
Daten auf der Festplatte verstecken
Eine weitere Möglichkeit, vertrauliche Daten zu schützen, besteht darin, die betreffenden Dateien einfach auf der Festplatte zu verstecken. Dieses Vorgehen bietet zwar keinen nachhaltigen Schutz, mit dem Sie einem professionellen Datendieb Einhalt gewähren könnten, aber als Schutz vor neugierigen Kollegen oder Familienmitgliedern reicht diese Möglichkeit aus.
Beim Verstecken gibt es eine einfache und eine etwas trickreichere Methode. Die einfache besteht darin, schlicht und ergreifend einen möglichst uninteressanten Dateinamen zu verwenden und der Datei außerdem eine falsche Dateiendung zu geben. Aus der Datei Jahresbericht.XLS wird also dann Temp.001. Der Effekt ist, dass Dritte zum einen nicht direkt auf den ersten Blick sehen können, wo die interessante Information ist.
Zum anderen kann ein Schnüffler die betreffende Datei nicht mehr mit einem Doppelklick im passenden Programm betrachten. Schon ist ein wenig Zeit vor neugierigen Augen gewonnen. Auch eine Suche nach allen potenziell interessanten Dokumenten auf der Festplatte, also beispielsweise nach Dokumenten mit der Erweiterung .DOC und .XLS, führt so ins Leere.
Dokumente trickreich im Strom verbergen
Bei Windows XP – wie auch bei Windows NT 4 und 2000 – haben Sie noch eine weitere Möglichkeit: Sie verwenden die alternativen Dateikanäle, die von diesen Betriebssystemen unterstützt werden, wenn Sie auf Ihrer Festplatte NTFS als Dateisystem verwenden.
Auf Laufwerken mit NTFS-Formatierung kann jede Datei mehrere so genannte Datenströme enthalten. Im Normalfall enthält eine Datei immer nur einen Datenstrom, und nur dieser Datenstrom wird von Anwendungsprogrammen und Tools wie dem Windows-Explorer oder der XP-Eingabeaufforderung berücksichtigt. Enthält eine Datei also zwei dieser Datenströme, so wird im Windows-Explorer nur die Größe des einen Stroms angezeigt. Mit anderen Worten: Sie können zum Beispiel eine Textdatei anlegen, deren Standard-Datenstrom einen unwichtigen kurzen Text enthält, während die wichtigen Daten in einem weiteren Datenstrom verborgen sind. Die Größe dieser Infos taucht auch im Windows-Explorer nicht auf. Enthält die Datei im ersten Strom den Text „Test“, dann wird der Windows-Explorer als Größe nur 4 Byte anzeigen. Auch dann, wenn der zweite Strom deutlich länger ist.
Klicken Sie die Datei doppelt an, so wird Notepad gestartet – und der Editor zeigt den Text „Test“ an. Die restlichen Daten sind verborgen. Bleibt die Frage, wie man solche alternativen Ströme anlegt und damit arbeitet: Geben Sie einfach nach dem Dateinamen einen Doppelpunkt und den Namen des alternativen Stroms an. Um das auszuprobieren, legen Sie zunächst einmal eine Datei mit dem Namen Test.TXT an und geben per Notepad den Text „Test“ ein. Dann beenden Sie Notepad wieder und rufen das Programm erneut auf. Diesmal aber mit dem Kommando
notepad Test.TXT:Geheim
Notepad bemängelt dann, dass die Datei „Test.TXT:Geheim“ nicht vorhanden ist. Quittieren Sie diese Meldung mit „Ja“, geben Sie Ihre geheimen Daten ein und speichern die Datei. Wenn Sie die Datei dann im Windows-Explorer anzeigen lassen, werden Sie feststellen, dass diese nur eine Größe von 4 Byte aufweist. Beim Doppelklick auf die Datei erhalten Sie nur den Text „Test“. Um die geheimen Daten anzusehen oder zu bearbeiten, verwenden Sie einfach wieder das Kommando
notepad Test.TXT:Geheim
Rechtevergabe: Dateien besitzen und verschlüsseln
Wenn Sie NTFS als Dateisystem verwenden, können Sie Ihre Dateien auch noch schützen: NTFS bietet die Möglichkeit, Dateien mit Rechten auszustatten und zu verschlüsseln. So haben Sie zum Beispiel die Möglichkeit, jedermann das Recht zu nehmen, die Datei zu lesen, sie zu verändern oder sonst wie zu beeinflussen. Über die Rechtevergabe können Sie Ihre Dateien vor Dritten tatsächlich wirksam schützen – es sei denn, der Dritte hat einen Administrator-Zugang auf Ihrem System.
Sie vergeben diese Rechte einfach über den „Eigenschaften“-Dialog einer Datei. Das Fenster verfügt bei NTFS-Partitionen über eine Registerkarte mit der Bezeichnung „Sicherheit“, auf der Sie anderen Benutzern Rechte für Ihre Datei einräumen oder eben entziehen.
Vergeben Sie keine Rechte, dann kann auch niemand außer Ihnen auf die Datei zugreifen. Von Haus aus setzt XP die Rechte allerdings so, dass andere Nutzer durchaus darauf zugreifen können. Um eine Datei zu schützen, müssen Sie diese Rechte also erst einmal entfernen.
Dateischutz mit NTFS
Neben der Vergabe von Zugriffsrechten erlaubt Windows XP auch das Verschlüsseln von Dateien und Ordnern mit EFS (Encrypted File System). Die Verschlüsselung erfolgt dabei transparent: Hat ein Benutzer eine Datei verschlüsselt, muss der Benutzer die Datei nicht erst entschlüsseln, um sie nutzen zu können. Die Entschlüsselung erfolgt im Hintergrund, sobald der berechtigte Benutzer darauf zugreift.
Anwender mit einem anderen Benutzerkonto können auf die derart verschlüsselten Daten nicht zugreifen. Will ein anderer Benutzer unter Windows XP die Datei öffnen, so erhält er lediglich die Meldung, dass der Zugriff darauf nicht zulässig ist. Verschafft sich der Datenspion auf anderem Wege Zugriff auf die Datei, zum Beispiel indem er die Festplatte aus dem Notebook ausbaut und an einen anderen Rechner anschließt oder die Daten mit Low-Level-Tools direkt von der Festplatte liest, so erhält er nur den verschlüsselten Datenbrei und keine nutzbaren Klartextdaten. Der Schutz bleibt also auch dann erhalten, wenn Angreifer physischen Zugang zur Festplatte mit den verschlüsselten Daten erhalten.
Verschlüsselungsmethoden mit NTFS
Mit EFS können Sie entweder einzelne Dateien oder aber ganze Ordnerstrukturen verschlüsseln. Wenn Sie Verzeichnisse chiffrieren, werden alle darin befindlichen Dateien und auch alle anderen Unterordner verschlüsselt. In der Praxis sollten Sie die Verschlüsselung kompletter Ordner der Verschlüsselung einzelner Dateien vorziehen. Das hat verschiedene Gründe: Wenn Sie einen kompletten Ordner verschlüsseln, dann werden auch Dateien, die Sie nachträglich in dieses Verzeichnis kopieren oder darin speichern, automatisch verschlüsselt. Kopieren Sie eine Datei aus einem verschlüsselten Ordner an einen anderen Ort, bleibt die Datei verschlüsselt. Zumindest dann, wenn Sie die Datei auf ein NTFS-Laufwerk kopieren.
Wenn Sie hingegen nur eine einzelne Datei verschlüsseln, dann ist das Ganze fehlerträchtiger. Grund hierfür ist unter anderem, wie bestimmte Programme mit den von Ihnen eingegebenen Daten umgehen. Bei manchen Anwendungsprogrammen verhält es sich so, dass der Befehl „Sichern“ eine bestimmte Sequenz von Aktionen auslöst. Das Programm sichert das Dokument zunächst unter einem temporären Namen. Gelingt das, so wird die neue Datei über die alte kopiert. Ist auch das gelungen, so wird die temporäre Datei gelöscht. Nun war die temporäre Datei allerdings nicht verschlüsselt – und das bedeutet, dass auch das Endresultat nicht länger verschlüsselt ist. Bei komplett verschlüsselten Ordnern kann diese Sicherheitslücke nicht auftreten.
Ein weiteres Problem birgt die Entsicherungsautomatik von Windows XP: Beim Kopieren von verschlüsselten Daten auf ein FAT-Laufwerk – zum Beispiel auf eine Diskette oder einen mit FAT16/32 formatierten USB-Stick – geht die Verschlüsselung automatisch verloren, denn nur das NTFS-Dateisystem unterstützt die EFS. Immerhin stellt Windows XP sicher, dass nur derjenige Benutzer die eine Datei kopieren kann, der auch Zugang zu den verschlüsselten Daten hat: Ein Hacker kann also nicht einfach verschlüsselte Daten auf ein Laufwerk mit FAT-Formatierung kopieren, um Zugriff auf die Daten zu erlangen.
Berechtigungen individuell aktivieren
Sie aktivieren die EFS-Verschlüsselung im Dialog zum Speichern einer Datei – etwa in Word unter „Datei, Speichern unter, Extras, Eigenschaften“ oder im „Eigenschaften“-Fenster einer Datei oder oder eines Verzeichnisses. Es öffnet sich ein Fenster, in dem Sie rechts unten auf den Button mit der Beschriftung „Erweitert“ klicken. Damit rufen Sie die erweiterten Attribute auf. Dieser Dialog bietet eine Option, um die Verschlüsselung zu aktivieren („Inhalt verschlüsseln, um Dateien zu schützen“). Das Fenster ist jedoch ein wenig missverständlich gestaltet. Es erweckt den Eindruck, dass Sie Dateien sowohl verschlüsseln als auch komprimieren können. Das geht aber nicht: Das NTFS-Dateisystem unterstützt immer nur eine dieser beiden Optionen auf einmal.
Nachdem Sie die Verschlüsselung eingeschaltet haben, wird die Datei oder der Ordner samt seinem Inhalt verschlüsselt. Um die Chiffrierung zu überprüfen, können Sie verschlüsselte Dateien und Ordner in einer alternativen Farbe darstellen lassen. Das geht im Windows-Explorer mit dem Befehl „Extras, Ordneroptionen“. Auf der Registerkarte „Ansicht“ finden Sie unter der Überschrift „Erweiterte Einstellungen“ eine Liste mit Optionen. Die gesuchte Option trägt die Bezeichnung „Verschlüsselte oder komprimierte NTFS-Dateien in anderer Farbe darstellen“. Aktivieren Sie sie, und bestätigen Sie die Änderung mit einem Klick auf „OK“.
Achtung: Wenn Sie als Mitglied der Gruppe „Administratoren“ arbeiten und ein vergessenes Kennwort im Benutzermanager ändern oder löschen, gehen die unter diesem Konto verschlüsselten Daten unwiederbringlich verloren.
Achtung bei EFS: Backup des Schlüssels anfertigen
Das Risiko von Datenverlust durch Passwortänderungen minimieren Sie, wenn Sie eine Sicherungskopie des EFS-Schlüssels an einem sicheren Ort aufbewahren. Melden Sie sich dazu mit dem Benutzernamen an, dessen Schlüssel Sie sichern wollen. Gehen Sie auf „Start, Ausführen“, geben Sie „certmgr.msc“ (ohne Anführungszeichen) ein, und klicken Sie auf „OK“. Unter „Eigene Zertifikate, Zertifikate“ zeigt Win XP Ihren Schlüssel an. Klicken Sie in der rechten Fensterhälfte mit der rechten Maustaste auf den Benutzernamen, und wählen Sie „Alle Tasks, Exportieren“. Der Exportassistent führt Sie durch den Vorgang und erstellt eine Sicherungsdatei mit der Erweiterung .PFX.
Kommt ein Benutzer nicht mehr an verschlüsselte Dateien heran, importieren Sie den Schlüssel mit einem Doppelklick auf die PFX-Datei wieder. Ein Assistent unterstützt Sie dabei. Mit einem Registry-Eingriff lässt sich der Einsatz von EFS unterbinden. Dazu fügen Sie unter
"Hkey_Local_Machine\Software\Policies\Microsoft\Windows NT\CurrentVersionfs"
einen DWORD-Schlüssel mit namens „EFSConfiguration“ und dem Wert „1“ hinzu.
Dieser Artikel stammt von der Computerwoche Schwesterpublikation pc-welt.de