Notebook-Anwender speichern Kundendaten, Geschäftsberichte, Umsatzzahlen, Konstruktionspläne oder andere vertrauliche Daten auf der lokalen Festplatte. Doch was passiert, wenn der tragbare PC durch Verlust oder Diebstahl in die falschen Hände gelangt? Sind für diesen Fall keine Vorkehrungen getroffen, lassen sich auf mobilen Rechnern abgelegte Informationen leicht auslesen.

Die sicherste Möglichkeit ist, sensible Dateien beziehungs-weise die Ordner, in denen sie sich befinden, oder noch besser die Festplatte zu verschlüs-seln. Auf diese Weise sind die Daten geschützt, egal wo der Nutzer sie abspeichert. Dieses Verfahren schützt selbst dann, wenn jemand die Harddisk in einem anderen PC verwendet oder versucht, sich über einen Diskeditor Zugang zu gehei-men Informationen zu verschaffen. Bei seinen Versuchen wird er lediglich auf Datenmüll stoßen.

Schlüssel separat aufbewahren

Lesen lassen sich die Daten nur über einen Schlüssel. Da die Sicherheit dann von diesem Zugangsschlüssel abhängt, sollte er so lang sein, dass Hacker ihn nicht durch einfaches Ausprobieren knacken können. Ungeeignet sind dabei Systeme, die den Datenschlüssel selbst auf der Festplatte speichern - tatsächlich gibt es Produkte auf dem Markt, die so arbeiten. Weitaus sicherer sind Lösungen, die E-Tokens zum Speichern des Schlüssels nutzen. Es handelt sich dabei um kleine Aufsteckmodule für die USB-Schnittstelle, in denen eine Verschlüsselungshardware integriert ist. Der Benutzer muss das Token über einen Freigabecode freischalten, um so Zugriff auf den Rechner beziehungsweise die verschlüsselten Daten zu erhalten.

In einem Projekt des Bezirkskrankenhauses Augsburg wurden verschiedene Verschlüsselungsprodukte getestet. Ziel war es dabei, geeignete Sicherheitslösungen für 30 Notebooks von Medizinern zu finden, um sensible Diagnose- beziehungsweise Patientendaten vor fremdem Zugriff abzuschirmen. Die Rechner sind mit Windows XP Professional ausgestattet.

Systeme, die keine ganzen Partitionen verschlüsseln, reichen nicht aus. Der Grund: Anwender speichern ihre Daten oft irgendwohin, und meist ist dann gerade dieser Ordner nicht geschützt. Zudem gibt es Programme, die ihre Daten in genau festgelegten Verzeichnissen und Laufwerken erwarten, die sich dann jedoch nicht verschlüsseln lassen. Und da die mit den Schutzsystemen zu versehenden Notebooks bereits bei den Anwendern in Gebrauch sind, kam eine Neuinstallation der gesamten Software nicht in Frage. Selbstverständlich durften Applikationen nicht durch die Verschlüsselungsprogramme beeinträchtigt werden.

Tokens erhöhen die Sicherheit

Produkte, die nur mit einem Kennwort und nicht mit einem Token arbeiten, wurden als nicht sicher genug eingestuft. Das Projektteam gab daher E-Token-basierenden Verschlüsselungsprogrammen den Vorzug, da sie sowohl Wissen (der Freischaltcode des Token) als auch Besitz (das E-Token des jeweiligen Notebook-Nutzers) voraussetzen. Schlussendlich sollten die Rechner auch bei kurzfristiger Abwesenheit des Anwenders vor unbefugtem Zugriff gesperrt werden, und zwar durch das Abziehen des Tokens.

In die engere Wahl kamen daher die Produkte "Safeboot" von Control Break International und "Compusec" des Herstellers CE-Infosys. Die Entscheidung fiel schließlich auf Safeboot, weil es eine Verschlüsselung auf Partitionsebene erlaubt, E-Tokens unterstützt sowie mehrere Benutzer pro Notebook gestattet.

Durch die Verschlüsselung auf Partitionsebene laufen Benutzer nicht Gefahr, Daten versehentlich in ungeschützten Bereichen abzulegen. Die Verschlüsselung erfolgt bei Safeboot im laufenden Betrieb im Hintergrund. Eine Neuinstallation ist nicht notwendig.

Administratorzugriff möglich

Zugang erhält nur, wer über das E-Token verfügt. Ohne dieses Modul sind die Daten auf der Festplatte nicht lesbar. Das E-Token-Konzept gestattet es zudem, dass mehrere Benutzer auf ein mit Safeboot abgesichertes Notebook zugreifen können. So ist der Administrator in der Lage, sich zu Wartungszwecken oder zur Installation von Software mit seinem Token Zugang zu verschaffen. Er benutzt hierbei das Administratorkonto, während die Notebook-Anwender mit weniger Rechten versehene Benutzerkonten verwenden. Wenn der Anwender sich vom Notebook entfernt, zieht er das E-Token ab, womit der Rechner automatisch gesperrt ist.

Über ein Server-basierendes Verwaltungsprogramm legt der Systemadministrator zentrale Sicherheitsrichtlinien fest, erzeugt neue E-Tokens und stellt Verschlüsselungsoptionen ein. Das Notebook übernimmt diese Einstellungen nach dem Boot-Vorgang. Diese Systemkonsole läuft im Krankenhaus unter Windows 2000, während die Safeboot-Datenbank auf einem System mit Windows Server 2003 installiert ist.

Und was passiert, wenn der Anwender das E-Token verliert oder das Token-Passwort ver-gessen hat? In diesem Fall ruft er den Systemverwalter an und schaltet gemeinsam mit ihm das Notebook frei. Safeboot verfügt über einen Notfallmechnismus, mit dem auch ein Zugriff ohne Token möglich ist. Dazu erzeugt das auf dem Notebook installierte Programm eine lange Zeichenkette, die der Benutzer dem Systemverwalter durchgibt. Der IT-Spezialist tippt an der Systemkonsole diese Zeichenkette ein und kann dann prüfen, ob der Benutzer am Telefon tatsächlich der ist, für den er sich ausgibt. Dazu kann er eine Reihe von Fragen stellen und die Antworten des Benutzers mit den gespeicherten Angaben abgleichen.

Identifikation über den Server

Bei korrekter Identifizierung erzeugt Safeboot aus den eingegebenen Zeichen und den Daten auf dem Server vier Blöcke von Zeichenketten, die der Benutzer der Reihe nach eingeben muss. Jetzt ist das Notebook freigeschaltet, bis es sich wieder mit dem Server abgleicht. Dieser Vorgang vollzieht sich bei jeder Anmeldung des Notebooks im Netzwerk. Über eine TCP/IP-Verbindung nimmt der Safeboot-Client Kontakt zum Server auf und lädt die aktuellen Parameter für dieses Notebook. So wird das neue E-Token wieder aktiviert und muss dann benutzt werden.

Diese Freischaltung kann man sogar auf der eigenen Internet-Seite vornehmen lassen. Dann muss der Administrator nicht einmal selbst mit dem Benutzer sprechen. Allerdings sollten die Fragen und Antworten in diesem Fall sehr sorgfältig gewählt werden.

Safeboot eignet sich auch dazu, Daten auf den Flash-Karten von persönlichen digitalen Assistenten (PDAs) zu schützen. Diese Funktion spielte zwar bei der Produktauswahl keine Rolle, könnte aber künftig von Interesse sein.

Single-Sign-on für Windows

Safeboot realisiert ein Single-Sign-on unter Windows. Der Administrator vergibt bei der Erstkonfiguration eines Notebooks ein einfaches Kennwort. Der Benutzer tippt diesen Code ein, und das Notebook bootet. Nach erfolgter Anmeldung am Betriebssystem wird das benutzereigene Windows-Kennwort auf dem E-Token gespeichert. Nach dem Boot-Vorgang übermittelt Safeboot die gespeicherten Login-Daten an die Windows-Anmeldung, so dass der Benutzer lediglich das E-Token freischalten muss, um auf seine Arbeitsoberfläche zu gelangen.

Mit Safeboot kann der Verwalter darüber hinaus einstellen, welche Applikationen der jeweilige Benutzer auf dem Notebook starten darf. Auf diese Weise lassen sich das Diskettenlaufwerk sowie Schnittstellen deaktivieren. Da diese Funktionen im Bezirkskrankenhaus Augsburg jedoch bereits durch Anmeldeskripte mit dem Tool "Scriptlogic" des gleichnamigen Herstellers zur Verfügung gestellt werden, spielte dieser Mechanismus keine Rolle.

Nur für den Einzelplatz

Compusec wäre das Krankenhaus zwar deutlich billiger gekommen (immerhin kosten 30 Lizenzen für Safeboot etwa 4500 Euro, wobei sich die Gesamtkosten inklusive Tokens auf 6500 Euro beliefen), erfüllt aber nicht alle Anforderungen des Projektteams. So erlaubt das Produkt beispielsweise keinen Administratorenzugang, da es als Einzelplatzvariante konzipiert wurde.

Der Administrator kann ferner keine E-Tokens selbst erstellen. Mit jeder Lizenz erhält der Käufer von Compusec eine Anzahl an Tokens. Der Hersteller rät, für jedes Notebook ein solches Zugangsmodul in Reserve zu halten, damit bei einem Verlust möglichst sofort Ersatz geleistet werden kann. Dieses Konzept erschien dem Projektteam als unpraktisch, da für 30 Notebooks 30 Ersatz-Tokens bereitstehen müssten, was bei einem Preis von etwa 65 Euro für ein "E-Token 16K" des Herstellers Aladdin schon eine Investition darstellt.

Gegen Compusec sprach auch, dass der Anwender selbst sowohl die Software deinstallieren als auch die Datenverschlüsselung deaktivieren kann. Dies sollte jedoch allein dem Systemverwalter vorbehalten sein.

Einige Hersteller haben kostenpflichtige Workshops angeboten, auf denen man ihr Produkt genau kennenlernen kann. Eventuell wären dabei weitere Vor- und Nachteile der Lösungen zutage getreten. Doch wenn Software so kompliziert ist, dass der Kunde einen eigenen Workshop braucht, ist es auch schwer, Support zu leisten. Systemad-ministratoren können sich nicht jeden Tag mit verschlüsselten Notebooks beschäftigen. Typischerweise richten sie die Verschlüsselungssoftware nur einmal ein.

Eignungstest bestanden

Die Praxis zeigt, dass sich Safeboot gut verwalten lässt. Der Administrator erstellt eine Datenbank, in der die Benutzer und die Notebooks aufgeführt sind. Hier legt er fest, welche Benutzer sich an welchem Notebook anmelden dürfen. Rechner und Benutzer lassen sich in Gruppen zusammenfassen, so dass Richtlinien gruppenweise oder pro Gerät vergeben werden können. Konfigurieren kann der Verwalter unter anderem:

- ob den Nutzern ein Single-Sign-on zur Verfügung stehen soll;

- ob das Notebook den Zugriff sperrt sobald der Anwender das E-Token entfernt, sowie welche Partitionen Safeboot verschlüsseln soll.

Auch das Erzeugen neuer E-Tokens erweist sich als praktikabel und lässt sich jederzeit beliebig oft wiederholen. Die Benutzerverwaltung vereinfacht sich, da es Safeboot ermöglicht, die Benutzer mit einer NT-Domäne oder einem Active Directory (gegen Aufpreis) abzugleichen.

Ist die Server-Konsole installiert, kann der Systemverantwortliche aus den konfigurierten Grunddaten eine ausführbare Datei erzeugen lassen, die auf den einzelnen Notebooks installiert wird und dort die erforderlichen Konfigurationsschritte vornimmt. Zudem ist noch ein Treiber für die Anbindung des E-Token aufzuspielen und die erzeugte Installationsroutine von Safeboot zu starten. Diese Exe-Datei installiert alles, was benötigt wird, auf dem Notebook und holt sich für dieses Gerät per Netzwerk die Konfiguration.

Safeboot legt einen neuen Master Boot Record (MBR) auf der Festplatte an, der ein Mini-Betriebssystem startet. Dieses Basisprogramm fragt nach User-Name und Kennwort, vergleicht die Angaben mit dem E-Token und bootet erst dann Windows. Den Anmeldenamen übergibt Safeboot an Windows. Klappt das Login am Microsoft-Betriebssystem, übernimmt Safeboot das Windows-Kennwort als Boot-Kennwort des Mini-Betriebssystems. Somit muss der Benutzer nur beim ersten Mal das vom Administrator vergebene Codewort eingeben. Danach nutzt er sein Windows-Kennwort.

Nach dem Booten des Notebooks werden die aktuellen Konfigurationsparameter vom Server abgefragt und übernommen. Danach läuft die Verschlüsselung der Festplatten an, sie erfolgt jedoch während des laufenden Betriebs im Hintergrund. Wie die Praxis gezeigt hat, ist es ratsam, wenn der Administrator die Verschlüsselung anstößt und den Rechner erst nach Beendigung des Vorgangs an den Benutzer zurückgibt. Für eine 40-GB-Festplatte benötigte ein Notebook durchschnittlich vier Stunden.

Grundsätzlich arbeitet die Verschlüsselung im laufenden Betrieb ohne Schwierigkeiten. Andere Produkte formatierten die Datenpartition mit der Verschlüsselung neu.

Wichtig ist, dass die gesamte Verschlüsselung für den Benutzer ohne Zusatzaufwand erfolgt. Er muss in der Bedienung nicht umlernen und auch nicht darauf achten, sensible Daten nur in bestimmten Speicherorten abzulegen. Auch die Möglichkeit, das gesamte System durch einen Administrator telefonisch abschalten zu können, falls der Nutzer sein E-Token verliert, war der Akzeptanz zuträglich.

Der Verschlüsselungsmechanismus beeinträchtigt die Performance der Rechner nur unwesentlich. Lediglich bei älteren Modellen mit weniger leistungsstarken Prozessoren macht sich der zusätzliche Arbeitsaufwand für CPU und Festplatte bemerkbar. Bei einem Computer mit mindestens einem Prozessor vom Typ Celeron (400 Megahertz) und 128 MB Speicher war keine merkliche Verlangsamung des Betriebs feststellbar.

Auf Fallstricke achten

Im Laufe der Tests und des Betriebs von Safeboot gab es jedoch auch Schwierigkeiten: In einem Fall aktivierte ein Systemverwalter das Programm, noch bevor die Treiber für das E-Token installiert waren. Dadurch geriet der Boot-Vorgang des Rechners ins Stocken. Hier machte sich der Mechanismus bezahlt, der es erlaubt, Safeboot im Dialog mit dem Administrator auch ohne E-Token zu booten, falls der Nutzer den Zugangsschlüssel verlegt hat. Nach dem Hochfahren ließ sich der Treiber installieren, und die Verschlüsselungslösung arbeitete einwandfrei.

Ein älteres Notebook konnte den USB-Port nicht vor dem Booten des Betriebssystems erkennen. Control Break hat hier angeboten, einen speziellen Treiber zu programmieren. Allerdings sollte das Notebook sowieso ausgemustert werden.

Probleme bereitete ferner die Funktion "Reset Token". Sie ist erforderlich, um ein bereits verwendetes E-Token einem anderen Benutzer zur Verfügung zu stellen. Doch das dafür vorgesehene Reset-Feature versagte den Dienst. Erst nachdem der betreffende Schlüssel mit einem Zusatzprogramm auf der mitgelieferten CD formatiert wurde, ließ er sich für einen anderen Notebook-Anwender einrichten. Damit Notebook und E-Token nicht gleichzeitig verloren gehen beziehungsweise gestohlen werden können, tragen die Nutzer das Token am Schlüsselbund. (fn)