Keine Sonderrolle für USB-Sticks

Martin Odenthal

Nicht ohne USB-Stick, Notebook und Smartphone: Was den Anwendern unterwegs ein komfortables Arbeiten ermöglicht, bereitet Datenschutzbeauftragten in den Unternehmen schlaflose Nächte. Tritt der Ernstfall ein und ein Gerät wird gestohlen, können sie nur hoffen, dass nichts passiert. Denn für Hacker bildet ein mit Bordmitteln geschütztes Gerät kein ernsthaftes Hindernis; mit den passenden Tools lassen sich Benutzernamen, Passwörter und die Zugangscodes für das Firmen-LAN in kürzester Zeit auslesen.

Datensicherheit auch jenseits der Unternehmensgrenzen

Die Lehre aus dem Szenario: Bordmittel sind bei der IT-Sicherheit für mobile Endgeräte und Datenträger nicht genug. Der hier vorhandene Passwortschutz ist unzureichend. Notwendig ist eine vollständige Integration in unternehmensweite Sicherheitsmaßnahmen.

Mitarbeiter des Unternehmens dürfen dann nur solche Geräte und Datenträger nutzen, die vollständig verschlüsselt sind. Zu den fundamentalen Sicherheitsanforderungen eines Unternehmens gehören neben der Verwendung hinreichend sicherer Passwörter auch die Verschlüsselungsmethode, eine Beschreibung der Installationsprozeduren sowie die Vergabe von Administrationsrechten. Damit ist das Fundament einer zentralen Verwaltung gelegt.

Stichwort Benutzerdatenbank: Hilfreich ist in der Windows-Welt an der Stelle eine Verbindung zu Microsofts Active Directory Service. Hier sind bereits die Zugriffsrechte von Benutzern im Unternehmen geregelt, auf die sich dann auch eine Authentisierungs- und Verschlüsselungssoftware stützen kann.

Erst beim Rollout gelangt die Verschlüsselungssoftware auf die Endgeräte. Zum Einsatz kommt bei Desktopsystemen und Notebooks eine vollständige Sektor-für-Sektor-Verschlüsselung der gesamten Festplatte. Die komplette Verschlüsselung empfiehlt sich im Übrigen auch bei mobilen Datenträgern wie USB-Sticks. Ein österreichischer Experte für individuelle mobile Lösungen ist mobil data in Wien.

Gerade weil sie nicht manipulierbar ist, lässt sich die Pre-Boot-Authentisierung ideal als Single-Sign-on einsetzen. Die einmalige Eingabe eines Passworts ist dann ausreichend, um sich umfassend zu authentisieren. Dahinter steckt die Idee, die gesamte Verwaltung der Benutzerauthentifizierung und die Single-Sign-On-Konfiguration zentral durchzuführen. Das erlaubt dem Administrator, alle benutzerrelevanten Logins konzentriert an einem Ort zu konfigurieren und zu steuern.

Hilfe im Notfall: Falsche Eingabe beim Passwort

Solange die Benutzer ihr korrektes Passwort verwenden, ist alles kein Problem. Was aber passiert, wenn sich ein Anwender unterwegs an seinem Notebook oder dem USB-Stick mehrmals vertippt oder sein Passwort vergessen hat? Gibt es wie bei der Pointsec-Lösung kein zentrales Verzeichnis mit allen Passwörtern, hilft in solch einem Fall eine Challenge-Response-Prozedur zwischen dem Anwender und dem Administrator weiter. Zunächst einmal muss sich dabei der Benutzer gegenüber dem Helpdesk "ausweisen". Anschließend generiert der Anwender eine Zeichenkette (Challenge). Der Administrator, der nur die Benutzer-Accounts, nicht aber die Passwörter verwaltet, antwortet mit dem passenden Gegenstück (Response). Dabei ermittelt die zentral vorhandene Administrationssoftware die Antwort auf Basis der Challenge.

Das Challenge-Response-Verfahren widerspricht nicht dem Ansatz der zentralen Konfiguration und Administration einer Authentisierungs- und Verschlüsselungs-Lösung. Es folgt vielmehr dem Motto "so viel Konzentration wie möglich". Das entscheidende Merkmal: Jede Response ist nur für einen Zugriff gültig. Das Verfahren ist damit sicherer als die Übermittlung verschlüsselt übertragener Passwörter aus einem zentralen Passwortverzeichnis. Im Kern ergänzt und verstärkt das Challenge-Response-Verfahren den Ansatz "Konzentration der Kräfte", bei dem alle stationären und mobilen Systeme und Datenträger in ein einheitliches und zentral administriertes Sicherheitskonzept integriert sind.

Martin Odenthal ist Technical Consultant bei Pointsec in Düsseldorf - www.pointsec.de