Donnerstag, 18. Oktober 2018
Twitter Facebook Mister Wong Delicious stumbleupon digg Yahoo

Neueste Technologie für Administratoren

Systembetreuer im Windows-Umfeld brauchen Know-how über die neuesten Entwicklungen. Einsatzbeispiele und Tipps aus der Praxis führen zu mehr Effizienz im täglichen Betrieb. Wir bieten Skript-basierte Lösungen von Windows IT Pro exklusiv im deutschsprachigen Raum für unsere Abonnenten.

Personenbezogene Daten verschlüsseln

Dieses Notebook sollte schnellstmöglich verschlüsselt werden, mit Bitlocker bietet sich eine kostengünstige Alternative zu teuren Drittanbieterprogrammen an.

In naher Zukunft müssen die Unternehmen bei Datenverlust richtig „tief in die Tasche greifen“. Denn bis zu vier Prozent des Jahresgesamtumsatzes können als Strafe verhängt werden, wenn die Firmen personenbezogene daten nicht sauber verarbeiten, und es aufgrund von Sicherheitslücken zu einem ungewollten Datenverlust (Hacker, Spionage, Erpressung) kommen sollte. Aber auch kleinere Firmen, bei denen vier Prozent Umsatz nicht nach viel klingt können kräftig zur Kasse gebeten werden, denn bei den „nicht-umsatzgezogenen“ Sanktionen sieht die EU-DSGVO bis zu 20 Millionen Euro an Strafe vor.

Aber nicht nur das Finanzielle kann dabei zum Problem werden, die Verantwortlichen haften auch persönlich. Somit müssten die Verantwortlichen bei gravierenden Verstößen durchaus auch mit Gefängnisstrafen rechnen. Um nun nicht in die „Bredouille“ zu kommen, sollten die IT-Verantwortlichen vor allem auf eine zuverlässige Verschlüsselung setzen. Dies gilt es vor allem bei Mobilgeräten zu beachten. Denn Smartphones, Tablets und Notebooks können aus Versehen von den Mitarbeitern verloren gehen, etwa wenn das Gerät im Flugzeug, Zug oder Taxi „liegenbleibt“. Befinden sich in so einem Fall unverschlüsselte Arbeitsdaten des Mitarbeiters auf dem Gerät, ist laut DSGVO der „Datenverlust“ bereits eingetreten, muss entsprechend gemeldet werden, und es kommt zu Sanktionen.

Wurden die Dateien allerdings mit einer ausreichenden Verschlüsselung vor dem Zugriff unberechtigter geschützt, „zählt“ dies nicht als Datenverlust. Dabei sollten sich die Systembetreuer die Frage stellen, welche Verschlüsselungstechnologie von den Aufsichtsbehörden als ausreichend erachtet wird. Diese Frage ist nicht leicht zu beantworten. In der Gesetzesvorlage spielt dabei der Begriff „Stand der Technik“ eine wesentliche Rolle.

Stand der Technik

Diese Definition wird nicht nur bei der einzusetzenden Verschlüsselung verwendet, sondern auch bei den jeweiligen Hard- und Softwarekomponenten. Beispielsweise den Desktop-Systemen, Endpoint-Protection-Software oder beim Dokumentenmanagement. Doch dieser Begriff „Stand der Technik“ kann auf unterschiedliche Weise interpretiert werden, dabei ist auch der jeweilige Kontext zu beachten. Während beim selbstständigen „Schreinermeister Eder“ (mit einem Angestellten) ein älteres Desktop-System mit Windows XP, Word 2003 und einem angeschlossenen S/W-Laserdrucker durchaus „Stand der Technik“ sein könnte, wird dies beim multinationalen Cloud-Provider sicherlich nicht „durchgehen“.

Analog dazu müssen sich die Verantwortlichen Gedanken machen, was denn für ihr Unternehmen als ausreichend erachtet wird. Am besten wird es sein, nochmals eine „Schippe“ draufzulegen, Sprich lieber das aktuellste Betriebssystem auf modernerer Hardware einzusetzen, und dabei auf ein mehrstufiges Schutz- und Backupsystem zu vertrauen. Auch beim Thema „Verschlüsselung“ greift diese Analogie. Bei Windows-Mobilgeräten sollten die Systembetreuer beispielsweise mindestens eine Laufwerksverschlüsselung einsetzen. Bei den meisten Windows-Clients (beispielsweise Windows 8.1 Pro oder Windows 10 Pro), die sich im Unternehmenseinsatz befinden, ist mit „Bitlocker“ solch ein System vorhanden. Auf diese Weise lassen sich die Daten leicht und effizient absichern. Allerdings lässt sich Bitlocker auch umgehen. Kommen Dritte an das Windows-Benutzerkennwort, lassen sich die Daten schnell auslesen. Bestimmte Startmedien (Konboot beispielsweise) erlauben es auch, das Windows-Passwort beim Starten zu umgehen. Daher muss die Boot-Reihenfolge „festgelegt“ werden, und der Zugriff auf BIOS/EFI/UEFI ebenfalls mit einem starken Kennwort geschützt werden.

Der Malware-Schutz sollte nicht vernachlässigt werden.

Aber auch bestimmte Viren und Spy-Programme können leicht Zugriff auf die Daten erhalten, etwa wenn sich der Benutzer ganz „normal“ anmeldet, und unbemerkt Schadsoftware im Hintergrund ausgeführt wird. Denn diese Malware erhält im laufenden betrieb leicht Schreib- und Lesezugriff auf die Massenspeichermedien, ob diese nun mit Bitlocker geschützt sind oder nicht.

Somit kann es durchaus sinnvoll sein, eine weitere Verschlüsselung (für die Arbeitsdaten) einzusetzen. Dabei sind unterschiedliche Softwarelösungen verfügbar, die einen bestimmten Speicherbereich (etwa einen festgelegten Ordner) als „Tresor“ verwenden, und der Anwender nur Dateien hineingeben oder herausnehmen kann, wenn er sich zusätzlich bei der Software (etwa mit einem weiteren Zugangspasswort) authentifiziert.

Aber auch dieses Verfahren kann gegebenenfalls umgangen werden, etwa durch die bereits angesprochene Malware. Öffnet der Nutzer den „Datentresor“, würde Schadsoftware ja ebenfalls Zugriff auf die Dateien erlangen können. Daher schützt eine weitere verschlüsselungs-Lösung eher vor dem „geknackten Windows-Kennwort“, und bietet ansonsten keine höhere Sicherheit. Zudem sind die Daten immer nur so gut geschützt, wie die Stärkste, eingesetzte Verschlüsselung. Somit macht aus es aus Krypto-analytischer Denkweise (theoretisch) keinen Sinn, Daten mehrfach zu verschlüsseln.

Sicherheitsbarrieren

Möchten die Administratoren für noch mehr Sicherheit sorgen, müssen unterschiedliche Sicherheitsbarrieren geschaffen werden, damit auch Malware keinen Zugriff auf die Dateien erlangen kann. Das könnten die Systembetreuer ebenfalls mit Bordmitteln (etwa bei Windows 10 mit Controlled Folder Access), oder einer entsprechenden Whitelisting-Software erreichen. Denn auf diese Weise lässt sich (mit sehr hoher Wahrscheinlichkeit) Malware von den Systemen fernhalten. Einen hundertprozentigen Schutz kann allerdings kein System bieten, somit müssen beim Thema Sicherheit immer Abstriche gemacht werden. Haben die IT-Verantwortlichen allerdings ein entsprechendes Verschlüsselungstool eingesetzt, und entsprechend implementiert (BIOS-Passwort und Bitlocker mit starken Kennwörtern) dürften die Daten im Sinne der EU-DSGVO als „sicher“ gelten, selbst wenn ein Mobilgerät verloren geht.

Florian Huttenloher

Diesen Artikel bewerten
  
 4.38 (8 Bewertungen)
Kommentare
Anmelden
Anmelden