Notebooks mit eingebauter Sicherheit

18.06.2009
Von 
Martin Bayer ist Chefredakteur von COMPUTERWOCHE, CIO und CSO. Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP.
Hersteller arbeiten verstärkt an Techniken, um ihre mobilen Rechner sicherer zu machen. Das größte Risiko sitzt jedoch vor dem Rechner.

Viele Notebook-Hersteller integrieren schon von Haus aus Security-Techniken, die die Anwender ruhiger schlafen lassen sollen. Wenn Ihnen die Sicherheit rund um Ihr Notebook am Herzen liegt, sollten Sie deshalb beim Kauf auf folgende Aspekte achten.

1) Biometrische Verfahren

Viele Hersteller statten ihre Notebooks mit integrierten Fingerabdruckscannern aus. Diese nutzen die biometrisch einzigartigen Merkmale des Fingerabdrucks, um den Zugang zum Rechner beziehungsweise bestimmten Anwendungen oder Daten zu kontrollieren. Dabei wird zunächst der Abdruck der berechtigten Person erfasst und gespeichert. Für die Erkennung werden verschiedene Verfahren eingesetzt: Man unterscheidet grundsätzlich optisch und kapazitiv arbeitende Systeme. Optische Verfahren nehmen mit einer integrierten Digitalkamera im Scanner ein Bild des Abdrucks auf. Kapazitive Verfahren registrieren ein elektrisches Ladungsbild des Fingerabdrucks. Experten raten indes, sich nicht allein auf den Fingerabdruck zu verlassen. Es ist in der Vergangenheit immer wieder gelungen, die Systeme mit mehr oder weniger großem Aufwand zu überlisten. Deshalb sollten die Scanner zusätzlich mit weiteren Sicherheitsabfragen wie beispielsweise einem Passwort kombiniert werden.

Manche Anbieter gehen mittlerweile dazu über, per Webcam, die heute in fast jedem Notebook eingebaut ist, eine zusätzliche biometrische Sicherung einzurichten. Das funktioniert via Gesichtserkennung: Dabei nimmt die Webcam ein Foto des berechtigten Nutzers auf. Eine Software analysiert die charakteristischen Merkmale und deren Maßverhältnisse und speichert diese ab. Beim Einloggen vergleicht das Sicherheitssystem diese Daten mit dem per Webcam aufgenommenen Bild.

2) Sichere Authentifizierung

Die Nutzerauthentifizierung bildet das erste Bollwerk gegen ungebetene Eindringliche auf dem Notebook. Entscheidend ist jedoch, an welcher Stelle die Sperre ansetzt. Das Windows-Passwort auf Betriebssystem-Ebene bietet zwar einen gewissen Schutz, lässt sich aber von findigen Hackern aushebeln. Wirksamer sichert den Mobilrechner ein Systempasswort ab, das vor dem Booten des Betriebssystems abgefragt wird. Diesen Schutzmechanismus können Anwender im Bios ihres Notebooks einrichten. Erst nach der korrekten Eingabe startet das System. Zusätzliche Sicherheit bietet ein Security-Chip, den viele Hersteller in Form einer Trusted Platform Module (TPM) in ihre Geräte integrieren. Er kann beispielsweise Passwörter und Daten verschlüsseln sowie den Zugriff auf bestimmte Anwendungen kontrollieren.

Passwortsicherheit lässt sich zudem mit Hilfe einer Smartcard erhöhen. Manche Hersteller integrieren bereits entsprechende Reader in ihre Notebooks. Im Rahmen dieses mehrstufigen Sicherheitskonzepts ist das Passwort verschlüsselt auf der Karte gespeichert. Erst nach Eingabe eines Codes wird es an das Bios des Rechners übermittelt. Ein Tipp: Wer sein Notebook mit einer Security-Abfrage via Smartcard absichern möchte, wobei das Gerät aber keinen Karten-Reader mitbringt, kann die Funktion relativ einfach nachrüsten. Verschiedene Hersteller bieten Smartcard-Reader für den PCMCIA-Slot im Notebook an. Da diese ganz im Gehäuse verschwinden, entfällt auch das lästige An- und Abstöpseln eines Zusatzgeräts. Die Preise liegen bei etwa 40 bis 50 Euro.

3) Datentresor Festplatte

Experten gehen davon aus, dass in Deutschland rund 70 Prozent aller Unternehmensinformationen auch auf Mobilrechnern liegen. Umso wichtiger wird neben der Zugangskontrolle auch der Schutz der Festplatte. Die Sicherung kann beispielsweise mit dem Systempasswort verknüpft werden. Dabei startet der Festspeicher nur, wenn das richtige Passwort eingegeben wird. Dieser Mechanismus schützt die Daten auch dann, wenn Diebe die Hard Disk in einen anderen Rechner einbauen und so versuchen, an die Daten zu kommen. Ist der Zugang zum Speicher mit dem Bios-Passwort verknüpft, funktioniert die Platte nur im ursprünglichen System.

Über das Festplattenpasswort hinaus schützt eine Verschlüsselung die dort abgelegten Daten zusätzlich. Neben verschiedenen Software-Tools gehen die Notebook-Hersteller verstärkt dazu über, hardwarebasierende Mechanismen in ihren Geräten zu integrieren. Gegenüber einer Softwarelösung hat dies den Vorteil, dass die Verschlüsselung die System-Performance nicht verringert. Der Krypto-Chip, der entweder im Notebook oder in der Festplatte selbst eingebaut ist, ver- und entschlüsselt automatisch sämtliche Daten, die auf die Platte geschrieben beziehungsweise von dort gelesen werden.

Selbst wenn das Notebook gestohlen wird, müssen die sensiblen Daten nicht zwangsläufig in die Hände der Diebe fallen. Verschiedene Anbieter offerieren Dienste, mit deren Hilfe sich sensible Informationen im Nachhinein löschen lassen. Die Selbstzerstörung der Daten kann beispielsweise nach einer mehrmaligen falschen Nutzerauthentifizierung oder ferngesteuert über einen Server ausgelöst werden, sobald sich der Langfinger mit dem gestohlenen Notebook ins Internet einklinkt.

4) Diebstahlsicherung

Damit es erst gar nicht zum Diebstahl kommt, versehen manche Hersteller ihre Notebooks mit Diebstahlsicherungen. Das funktioniert beispielsweise mit Hilfe einer Alarmanlage, die an eingebaute Sensoren gekoppelt ist. Diese überwachen und registrieren Neigungswinkel, Erschütterungen und andere Bewegungen des Mobilrechners. Nach voreingestellten Regeln schlägt das System Alarm, sollte sich ein Dieb an dem Notebook zu schaffen machen.

Gelingt es jemandem, sich trotz aller Vorsichtsmaßnahmen das Notebook unter den Nagel zu reißen, muss der Rechner trotzdem nicht verloren sein. Viele Anbieter bauen in ihre Geräte Sicherheitsprodukte ein, die dabei helfen sollen, abhandengekommene Mobilrechner wiederzufinden. Dabei setzen die Hersteller in erster Linie auf die "Computrace"-Technik des kanadischen Herstellers Absolute Software. Ein auf dem Notebook installierter Softwareagent sammelt regelmäßig System- und Standortinformationen wie lokale IP-Adressen beziehungsweise Routing-IP-Adressen und übermittelt diese an ein Kontrollzentrum. Wird der Mobilrechner als gestohlen gemeldet, sollen diese Informationen dabei helfen, das Gerät aufzuspüren. Dazu können auch in den Rechnern integrierte GPS- und WLAN-Module beitragen. Das geht sogar so weit, dass sich die Eigentümer den Standort ihres Rechners auf Google-Maps anzeigen lassen können. Ist der Rechner lokalisiert, lassen sich die Polizeibehörden einschalten. Neben den Funktionen für die Lokalisierung können Anwender via Computrace aus der Ferne auch sensible Daten auf dem Rechner löschen. All diese Mechanismen funktionieren allerdings nur, wenn sich der Dieb ins Internet einklinkt.

Die Technik ist nach Angaben der Hersteller sicher und wehrt sich hartnäckig gegen Manipulationsversuche. Der Agent ist demnach weitgehend unsichtbar und lässt sich nicht ohne weiteres von der Festplatte entfernen. Die Software läuft als nicht klassifizierbarer Dienst und taucht auch nicht in Programmmenüs oder Verzeichnisstrukturen auf. Selbst eine Formatierung und Neuinstallation des Betriebssystems sollen ihm nichts anhaben können, da ein im Bios des Rechners integriertes Modul dafür sorgt, dass der Agent immer wieder neu aufgespielt wird. Da dieses Modul in einem Bios-Bereich installiert ist, der nicht überschrieben werden kann, lässt sich dieser Mechanismus auch nicht durch einen Bios-Flash ausschalten. Lediglich ein kompletter Austausch des Bios-Chips würde Computrace aushebeln.

Die größte Gefahr ist der Anwender

Trotz aller Verbesserungen in Sachen Security, in einem sind sich alle Notebook-Hersteller einig: Die beste Technik hilft wenig, wenn die Nutzer nicht mitspielen.

  • "Der Mensch ist die wichtigste Komponente", sagt Thorsten Stremlau, Security Consultant von Lenovo. Es fehle häufig an der Sensibilität. Beispielsweise ließen viele Anwender ihren Mobilrechner ungeschützt im Hotelzimmer liegen. Das Risiko sei vielen gar nicht bewusst.

  • Jedes Security-Konzept ist auf die Mitarbeit des Users angewiesen, bestätigt Marcus Reuber, Solution Consultant bei Dell. Dabei gelte es jedoch, die richtige Balance zu wahren. Ein hohes Sicherheitsniveau gehe oft auf Kosten der Benutzerfreundlichkeit. Die Unternehmen müssten deshalb ihre User verstärkt für das Thema Sicherheit sensibilisieren.

  • Dabei sollten die Firmen darauf achten, ihre Notebook-Nutzer nicht zu verärgern, indem sie beispielsweise die private Nutzung verbieten, ergänzt Ulrich Jäger, Produkt-Manager von Toshiba. Vielmehr genüge es schon, eine eigene Partition für den Privatgebrauch einzurichten, um die Sicherheitsanforderungen zu wahren.

  • Momentan leide das Thema allerdings, berichtet Jürgen Landsperger, Sicherheitsexperte bei Fujitsu. Gerade kleine und mittelständische Firmen machten sich wenig Gedanken um die Security und seien nicht bereit, dafür Geld auszugeben.