Der Notebook - das Sicherheitsrisiko Nr.1

Der Wert der Geräte ist dabei sekundär, es geht um Verkaufsdaten oder allgemein um firmenkritische Informationen, die unverschlüsselt am Notebook liegen. Achtung: Von einer CD mit eigenem Betriebssystem gestartet, kann JEDE Platte im Notebook auf einfachste Weise gelesen werden!

Notebooks, die zur Reparatur geschickt, an Mitarbeiter weitergegeben oder entsorgt werden, haben meistens noch interessante Daten gespeichert, vielleicht sogar im "Papierkorb-Ordner". Für professionelle "Datenklauer" ist auch ein gelöschtes File nicht weg. Hier hilft nur ein "Schredder-Programm", das Daten normgemäß (zum Beispiel nach DoD 5220.25M) entfernt. Ein einfaches Programm für diesen Zweck wäre "TuneUp".

Der einzige Weg zum Schutz sensibler Daten ist die Kryptisierung (Verschlüsselung):

• einzelner Dateien, wie eine Liste von Zugriffscodes oder Verkaufslisten,
• mehrer Dateien in einem "virtuellen Laufwerk",
• gesamte Laufwerke.

Für die Kryptisierung einzelner Dateien gibt es eine Reihe von Programmen, wie zum Beispiel "PasswordSafe".

Bei "virtuellen Laufwerken" wird eine spezielle Datei erstellt ("Krypto-Disk"), die für den Benutzer wie ein eigenes Laufwerk aussieht und bei Bedarf mittels einer Passwort-Phrase aktiviert wird. TrueCrypt ist ein einfaches OpenSource-Produkt, das für diesen Zweck gut geeignet ist.

Bei der Verschlüsselung von gesamten Laufwerken ist darauf zu achten, wie stark die Kryptisierung in den Startvorgang des Notebook eingebunden ist. Eine optimale - und damit hoch sichere Lösung - verwendet eine "PreBootAuthentication", d.h. die User-Identifikation, die eine berechtigte Benutzung des Notebook erlaubt, wird bereits VOR starten des Betriebsystems abgefragt. Alle Daten am Notebook sind kryptisiert und werden nur temporär bei Gebrauch entschlüsselt. Auch ein plötzlicher Stromausfall oder Defekt des Notebook ermöglicht kein Erkennen sinnvoller Daten auf der Festplatte.

In der nächsten Ausgabe werde ich das Thema behandeln: "Ist eine Security-Policy notwendig?"

Dr. Manfred Wöhrl, Manfred.Woehrl@rics.at, ist seit mehr als 25 Jahren im Bereich der EDV mit den Spezialgebieten Computervernetzung und Security (CCSE - Checkpoint Certified Security Engineer) tätig. Er ist Lehrbeauftragter an der Wirtschaftsuniversität Wien, Vortragender der Donau-Universität in Krems und Geschäftsführer der R.I.C.S. EDV-GmbH (Research Institute for Computer Science, http://www.rics.at), spezialisiert auf Securitychecks und Security-Consulting. Dr. Wöhrl ist Vortragender und Betreuer bei einer Reihe von Seminaren und Tagungen und gerichtlich beeideter und zertifizierter Sachverständiger.

Sollten Sie Fragen zum professionellen Schutz eines Notebooks oder anderen Security-Problemen haben, senden Sie eine kurze E- Mail an die MONITOR-Redaktion, troger@monitor.co.at , wir leiten Ihre E-Mail gerne an Hr. Dr. Wöhrl weiter.