Regel-basierende Verschlüsselung
Einer landläufigen Ansicht zufolge lässt sich eine hundertprozentige Sicherheit für Notebooks nur durch die Verschlüsselung der gesamten Festplatte erreichen. Das Problem: Ist die gesamte Festplatte auf dieselbe Weise verschlüsselt, sind für sämtliche Benutzer mit Kenntnis des Passworts auch alle Daten frei zugänglich. Das kann zu einer internen Sicherheitslücke führen. Man denke beispielsweise an den CFO eines Unternehmens, der sein Notebook für ein Upgrade dem zuständigen Support-Mitarbeiter übergibt. Dieser wiederum kennt als Administrator das Festplatten-Passwort und hat damit Zugriff auf alle Informationen auf diesem Rechner, einschließlich der hochvertraulichen Daten des Finanz-Managers. Es empfiehlt sich deshalb, eine Lösung zu wählen, mit der sich die System- und die Sicherheitsadministration trennen lassen. Der Security-Verantwortliche sollte dabei die Möglichkeit haben, Policies einzurichten, die die Verschlüsselung der Daten auf allen mobilen Endgeräten regeln. Diese Richtlinien können ganze Laufwerke schützen oder granular bestimmte Dateitypen für ausgewählte Benutzer oder Gruppen. So kann etwa für besonders kritische Umgebungen eine Policy aufgestellt werden, die lediglich dem Autor den Zugang zu seinen Daten ermöglicht. Auch sollte über Regeln gesteuert werden, ob bestimmte Nutzer externe Speichermedien verwenden dürfen oder nicht. Für die mobilen Geräte sollten alle PIM-, Anwendungs- und E-Mail-Datenbanken einschließlich der Anhänge oder Mediendateien verschlüsselt werden. Wenn der Nutzer sein Gerät einschaltet und sich authentifiziert, bleiben die Daten verschlüsselt. Erst wenn er eine bestimmte Datenbank oder Datei anfordert, findet eine Entschlüsselung "on-the-fly" statt, beim Abspeichern werden die Informationen sofort wieder verschlüsselt. Die Verschlüsselung erfasst dabei alle kritischen Dateien und Ordner, einschließlich der temporären Dateien aller Applikationen, der Paging-Dateien sowie der Zugangsdaten zum lokalen System und zum Netz.
Datenschutz: Transparent, aber verpflichtend
Grundlage der Maßnahmen zur Datensicherheit ist die Erkenntnis, dass sie "vernünftig und angemessen" sein müssen. Unternehmen dürfen es niemals den Nutzern überlassen, ihre Daten zu sichern - Anwender haben weder die Zeit noch das hierfür erforderliche Wissen. Das bedeutet zum einen, dass die relevanten Sicherheitsrichtlinien und kryptografischen Schlüssel automatisch an die mobilen Endgeräte verteilt werden und dort die entsprechende Authentifizierung und Verschlüsselung lokal, gesteuert durch den normalen Login-Prozess, durchgesetzt wird. Zum anderen muss ein Mechanismus für die automatische Auslieferung von Policy- und Software-Updates in Echtzeit vorhanden sein, um potenzielle Sicherheitslücken möglichst zeitnah und ohne Beeinträchtigung der Benutzer zu schließen. Die Verteilung dieser Updates ist ebenfalls über gesicherte Kommunikationskanäle vorzunehmen. Für Geräte, die selten oder nie mit einem PC synchronisieren, muss der Vorgang auch über eine Funkverbindung möglich sein, um ihnen die jeweils aktuellen Policies oder Updates zukommen zu lassen.