Da man mit einem Notebook auch mobil arbeiten will, bleibt es nicht aus, dass auf diesem Gerät auch unternehmenskritische Daten gespeichert sind. Geraten diese Informationen in falsche Hände, kann das verheerende Folgen haben: sei es ein Passwort für den Zugriff auf netzinterne Ressourcen oder ein Dokument, das wichtiges geistiges Eigentum enthält und für den Mitbewerb ein gefundenes Fressen wäre. Aber auch der ganz normale Datenverlust kann einiges an Geld kosten, denn es geht unter Umständen die Arbeit mehrerer Tage verloren.
Notebooks sind im Vergleich zu einem Desktop-Computer besonders gefährdet. Sie sind nun einmal leicht zu transportieren, also auch für einen Dieb leicht zu entwenden. Im schlimmsten Fall sogar vom Schreibtisch in der eigenen Firma. Zudem ist das Notebook eben nicht immer mit dem Netzwerk und damit dem Server verbunden, so dass auch wichtige Dateien nicht auf dem - hoffentlich mit RAID und Backup ausgestatteten - Server gespeichert werden können.
Bevor man sich Gedanken um den Schutz der eigenen Daten macht, muss man sich vergegenwärtigen, welche Arten des Verlustes beziehungsweise welche Schäden durch einen Verlust eintreten können. Hier kann man eigentlich grob zwei Arten von Daten klassifizieren.
Klassifizierung von Daten
Auf der einen Seite gibt es Daten, bei deren Wegfall hauptsächlich ein Verlust in Form der eigenen Arbeit auftritt. Hat man beispielsweise länger an einem bestimmten Dokument gearbeitet und wird dieses Dokument versehentlich gelöscht, so ist die investierte Zeit verloren.
Auf der anderen Seite gibt es Daten, deren Verlust kein direktes Problem darstellt. Kommen solche Daten aber in die falschen Hände, so stellt das ein finanzielles oder auch ein sicherheitstechnisches Problem dar. Zu dieser Sorte Daten zählen zum Beispiel Passwörter für E-Mail-Accounts oder Internet-Verbindungen. Benutzt ein Dritter die eigene Pay-Verbindung, entstehen Kosten, für die man aufkommen muss, und hat ein Dritter Zugang zum persönlichen Mail-Konto, ist keinerlei private Kommunikation mehr gewährleistet.
Dann gibt es natürlich auch Mischformen: Dazu zählt zum Beispiel die firmeninterne Produktpräsentation, auf der auch Preisverläufe der kommenden Monate zu sehen sind. Der Verlust lässt einen zum Zeitpunkt der Präsentation im Regen stehen, der Zugriff auf die Daten durch Dritte macht unter Umständen den kompletten Marketing-Plan zunichte.
Schutz vor unterschiedlichen Gefahren
Man muss sich also vor dem irrtümlichen oder durch äußere Einflüsse hervorgerufenen Datenverlust und dem Diebstahl der Daten schützen. Beides ist nicht ganz einfach. Besonders dann nicht, wenn sich die zu schützenden Daten auf einem Laptop oder einem anderen mobilen Gerät wie etwa einem Pocket-PC befinden.
Das Problem bei solchen Geräten ist, dass sie leicht gestohlen werden können. Befindet sich das Gerät aber erst einmal in den Händen Dritter, ist im Großen und Ganzen alles zu spät - denn dann können diese mit genug Zeit eigentlich jeden Schutzmechanismus knacken. Allerdings: Wer Laptops stiehlt, tut das meist eher, um sie zu verkaufen und nicht, um an die darauf befindlichen Daten zu gelangen.
Sind unter diesen jedoch auch welche enthalten, mit denen sich zusätzliches Geld verdienen lässt - zum Beispiel der genannte Internet-Zugang - wird der Langfinger wohl nicht davor zurückschrecken, sie auch zu nutzen. Sind diese Daten allerdings geschützt, wird der Dieb nur in seltenen Fällen die Kompetenz und die Geduld aufweisen, die erforderlich sind, um den Schutzmechanismus zu überwinden. Er wird eher den Laptop frisch formatiert an den Mann bringen. Dann ist das Gerät zwar weg, doch es entstehen wenigstens keine Probleme durch Informationen in den falschen Händen.
Ebenso ist die Datensicherung bei Laptops eine etwas heikle Sache: Befindet sich die Sicherheitskopie einer wichtigen Datei auf der Festplatte des Notebooks, so ist bei einem Festplatten-Crash oder einem Diebstahl auch die Sicherung verloren, also wertlos. Man muss den Laptop also mit einem anderen Rechner verbinden, um dort seine Sicherungen abzulegen. Wer über einen Laptop mit eingebautem CD-Brenner verfügt, kann auch einfach Sicherungs-CDs brennen. Diese lagert man aber besser nicht in der Laptop-Tasche.
Das Einfache zuerst: Die Backups
Mit einem Backup - einer Sicherheitskopie - stellen Sie sicher, dass Daten auch bei einem Festplattendefekt oder nach versehentlichem Löschen nicht endgültig verloren sind. Da die Sicherung kompletter Festplatten nicht immer sinnvoll oder möglich ist, sollten Sie die Daten auf der Platte so organisieren, dass diese leicht zu sichern sind. Am einfachsten gehen Sie dabei den von Microsoft vorgesehenen Weg und legen die eigenen Dateien im persönlichen Ordner ("Eigene Dateien") oder Unterordnern davon ab. Um alle eigenen Daten zu sichern, brauchen Sie im Prinzip nur diesen Ordner mit allem, was darin enthalten ist, zu kopieren. Dann brauchen Sie sich keine Gedanken über weitere auf der Festplatte verteilte Daten zu machen.
Sollen zudem auch alle Einstellungen von Programmen, Einträge im Windows-Adressbuch und ähnliche Informationen gesichert werden, kopieren Sie den eigenen Ordner aus "Dokumente und Einstellungen", denn die zum Betriebssystem gehörenden Programme legen dort ihre Daten ab. Dazu gehören zum Beispiel auch die Adressdaten von Outlook Express oder die Favoriten-Liste des Internet Explorer.
Damit die Sicherung ihren Sinn erfüllt, muss sich die Kopie der Daten auf einem anderen Medium - am besten auf einem anderen Gerät - befinden als die Originaldaten.
Verfügen Sie über einen CD-Brenner, so ist die Sache einfach: Brennen Sie regelmäßig eine CD mit dem zu sichernden Verzeichnis. Wenn Sie diese dann noch an einem sicheren Ort aufbewahren, ist genug Sicherheit gewährleistet. Ist im Notebook kein CD-Brenner vorhanden, so bleibt Ihnen nichts anderes übrig, als Backups auf anderem Wege durchzuführen.
Regelmäßig sichern
Am wirksamsten ist das Sichern der Daten natürlich, wenn diese Sicherung regelmäßig und automatisiert durchgeführt wird. Sichern Sie auf externe Medien wie CD-Rohlinge oder Floppy, ist die Sache mit der Automatisierung schwierig: Windows verfügt leider nicht über einen Assistenten, der sich um das Einlegen neuer Leermedien kümmert.
Befindet sich der zu sichernde Rechner allerdings in einem Netzwerk, können Sie einfach die automatische Sicherung auf eine andere Freigabe im Netzwerk durchführen lassen. Den Zielordner dieser Sicherung sichert man dann unregelmäßig per CD-Brenner oder in größeren Netzen automatisch auf Tape. Auf diese Weise sind die aktuellen Daten der letzten Sicherung immer per Netzwerk verfügbar und bei größeren Problemen auch gebrannte CDs oder Bänder. Diese sind - da sie nur unregelmäßig erstellt werden - dann zwar nicht ganz auf dem neuesten Stand, aber im Vergleich zu einem Totalverlust immer noch ein Vorteil.
Verfügen Sie weder über ein Netzwerk noch über einen lokalen CD-Brenner, bleibt nichts anderes übrig, als die Daten auf Disketten zu sichern. Das verursacht erheblichen Aufwand, denn meist sind deutlich mehr Daten zu sichern, als auf einer Diskette Platz finden. Irgendwie muss also verwaltet werden, auf welcher Diskette welche Datei zu finden ist.
Sowohl für diese Sicherung auf Disketten als auch für die Sicherung in ein Netzwerklaufwerk gibt es bei Windows (XP) aber ein beigepacktes Backup-Programm. Das starten Sie einfach über das Startmenü im Untermenü "Zubehör -> Systemprogramme" mit dem Befehl "Sicherung". Der Rest ist dank des Wizards selbsterklärend.
Daten vor Dritten schützen
Beim Schutz von Daten vor dem Zugriff durch Dritte ist die zentrale Frage: Wie stark muss der Schutz sein beziehungsweise wie schützenswert sind die Daten?
Es gibt die Möglichkeit, dass man einfach nur ein paar private Daten vor einem Blick des Kollegen schützen möchte - oder aber man möchte eine wirklich sichere Verschlüsselung von Daten, die auch hartnäckigen Knackversuchen widerstehen kann.
Der Schutz der Daten beginnt dabei mit dem Schutz des Rechners. Und dieser fängt bereits mit einem BIOS-Passwort an: Bei praktisch allen Computern kann man im BIOS-Setup ein solches Passwort vergeben. Derartige Schutzmechanismen sind allerdings nicht sonderlich sicher, denn BIOS-Passwörter kann man auf verschiedenste Arten loswerden: Im einfachsten Fall reicht ein Reset des BIOS, in komplizierteren Fällen muss man unter Umständen einen BIOS-Cracker zu Hilfe nehmen. Solche Programme finden Sie zum Beispiel unter einer der folgenden URLs http://www.11a.nu/ oder http://natan.zejn.si/rempass.html.
Dennoch: Hat ein Rechner ein BIOS-Passwort und ist er ausgeschaltet, so kann man das System ruhig einmal für ein paar Minuten außer Acht lassen. Der mögliche Einbrecher kann den Rechner dann nicht einfach booten, und das ist genug Schutz für ein paar Minuten.
Schutz für einzelne Dateien
Auch an anderen Stellen kann man mit Passwörtern einen dünnen ersten Schutzwall schaffen. Das gilt zum Beispiel für das Windows-Passwort, Passwörter für E-Mail-Konten und Passwörter für ZIP-Dateien.
Für alle der genannten Fälle sollten Sie aber davon ausgehen, dass auch ein vergebenes Passwort keine absolute Sicherheit schafft: Sowohl ein Windows-Passwort als auch Passwörter für ZIP-Dateien können mit Software und genug Zeit entschlüsselt werden. Trotzdem gilt auch hier, dass ein Passwort zumindest einen Schutz für eine gewisse Zeit schafft. Dabei ist das Passwort umso sicherer, je komplexer es ist.
Windows-Passwörter sollten beispielsweise mindestens aus acht Zeichen bestehen, sowohl Ziffern als auch Sonderzeichen und Buchstaben verwenden und Groß- und Kleinschreibung mischen. Außerdem sollte ein solches Passwort nicht in einem Wörterbuch zu finden sein oder über Ihr persönliches Umfeld zu erraten sein. Passwörter, die sich aus dem Namen und dem Geburtstag der Freundin zusammensetzen, sind zu meiden. Wenn Sie sich an diese Regeln halten, machen Sie es den Passwort-Crack-Programmen schwerer und damit den Einbruch unwahrscheinlicher.
ZIP-Files mit Passwortschutz
Um Datendateien zu schützen, können Sie unter Windows XP die eingebaute Unterstützung für ZIP-Dateien verwenden. Dabei speichern Sie Ihre Daten in einem so genannten ZIP-Ordner. Im Dateimenü dieser Ordner können Sie dann ein Passwort für die darin enthaltenen Dateien vergeben.
Will man nun später eine derart geschützte Datei verwenden, so muss erst das Passwort eingegeben werden: Auf diese Weise kann ein Dritter auf diese Daten nicht so ohne Weiteres zugreifen. Er kann natürlich die ganze .ZIP-Datei kopieren und sie an einem anderen Ort in aller Ruhe knacken.
Auch das E-Mail-Passwort für Ihren POP-Server sollten Sie komplex gestalten. Dabei sollten Sie aber eines wissen: Egal wie kompliziert dieses Passwort aufgebaut ist, es wird im Netzwerk immer im Klartext übertragen. Das bedeutet, dass jede Person mit Zugang zu diesem Netzwerk auch Ihr Passwort über einen Netzwerk-Sniffer mitlesen kann. Mit anderen Worten: Ein solches Passwort ist nur dann sicher, wenn die Person, vor der Sie das Passwort geheim halten wollen, keinen Zugang zu dem Netzwerk hat, über das Sie das POP-Passwort verwenden.
Hier gibt es nur eine Lösung: Sie brauchen einen POP-Server, der auch SSL unterstützt, denn nur dann kann das Passwort auch verschlüsselt übertragen werden. Wenn Ihr Mail-Server kein SSL unterstützt, sollten Sie damit beginnen, Ihren Administrator zu nerven, bis sich dieser unsichere Umstand ändert.
Daten verstecken
Eine weitere Möglichkeit zum Schutz von Daten besteht darin, diese einfach zu verstecken. Auch das ist natürlich kein Weg, dem professionellen Datendieb Einhalt zu gewähren, aber als Schutz vor bösen Kollegen sollte diese Möglichkeit ausreichen.
Beim Verstecken gibt es eine einfache und eine etwas geschicktere Methode. Die einfache besteht darin, schlicht und ergreifend einen "uninteressanten" Dateinamen zu verwenden und der Datei außerdem eine falsche Dateiendung zu geben. Aus der Datei "jahresbericht.xls" wird also dann "temp.001". Der Effekt ist, dass der Kollege zum einen nicht direkt auf den ersten Blick sehen kann, wo die interessante Information ist.
Zum anderen kann er nicht auf die Datei doppelklicken, um Sie im passenden Programm zu betrachten. Schon ist ein wenig Zeit vor neugierigen Augen gewonnen. Auch eine Suche nach allen potenziell interessanten Dokumenten auf dem Rechner, also beispielsweise allen mit der Endung .doc und .xls, führt ins Leere.
Versteckt im Strom
Bei Windows NT, 2000, 2003 und XP haben Sie noch eine weitere Möglichkeit: Sie verwenden die alternativen Dateikanäle, die von diesen Betriebssystemen unterstützt werden, wenn Sie auf Ihrer Festplatte NTFS als Dateisystem verwenden.
Bei diesem Dateisystem kann jede Datei mehrere so genannte Datenströme enthalten. Im Normalfall enthält eine Datei immer nur einen Datenstrom und nur dieser Datenstrom wird von Programmen, wie zum Beispiel dem Windows Explorer oder der Eingabeaufforderung, berücksichtigt. Enthält eine Datei also zwei dieser Datenströme, so wird im Explorer nur die Größe des einen Stroms angezeigt. Mit anderen Worten: Sie können zum Beispiel eine Textdatei anlegen, deren Default-Datenstrom einen unwichtigen kurzen Text enthält, während die wichtigen Daten in einem weiteren Datenstrom verborgen sind. Die Größe dieser Informationen taucht auch im Explorer nicht auf. Enthält die Datei im ersten Strom den Text "Test", dann wird der Explorer als Größe nur 4 Byte anzeigen. Auch dann, wenn der zweite Strom deutlich länger ist.
Klickt man die Datei an, so wird Notepad gestartet - und zeigt den Text "Test" an. Die restlichen Daten sind verborgen. Bleibt die Frage, wie man solche alternativen Ströme anlegt und damit arbeitet: Geben Sie einfach nach dem Dateinamen einen Doppelpunkt und den Namen des alternativen Stroms an. Um das auszuprobieren, legen Sie zunächst einmal eine Datei mit dem Namen "test.txt" an und geben per Notepad den Text "Test" ein. Dann beenden Sie Notepad wieder und rufen das Programm erneut auf. Diesmal aber mit dem Kommando
notepad test.txt:Geheim
Notepad bemängelt dann, dass die Datei "test.txt:Geheim" nicht vorhanden ist. Quittieren Sie diese Meldung mit OK, geben Sie Ihre geheimen Daten ein und speichern die Datei. Wenn Sie die Datei dann im Explorer anzeigen lassen, werden Sie feststellen, dass diese nur eine Größe von 4 Byte aufweist. Beim Doppelklick auf die Datei erhalten Sie nur den Text "Test". Um die geheimen Daten anzusehen oder zu bearbeiten, verwenden Sie einfach wieder das Kommando
notepad test.txt:Geheim
Rechtevergabe: Dateien besitzen und verschlüsseln
Wenn Sie NTFS als Dateisystem verwenden, können Sie Ihre Dateien auch etwas wirksamer schützen: Dieses Dateisystem bietet nämlich die Möglichkeit, Dateien mit Rechten auszustatten oder zu verschlüsseln. So haben Sie zum Beispiel die Möglichkeit, jedermann das Recht zu nehmen, die Datei zu lesen, sie zu verändern oder sonst wie zu beeinflussen. Mit dieser Rechtevergabe können Sie Ihre Dateien vor Dritten tatsächlich wirksam schützen - es sei denn, der Dritte hat administrative Rechte auf Ihrem System.
Sie vergeben diese Rechte einfach über den Eigenschaften-Dialog einer Datei. Dieser Dialog hat beim NTFS-Dateisystem einen Reiter mit der Bezeichnung "Sicherheit", und auf diesem Reiter können Sie anderen Personen Rechte für Ihre Datei einräumen oder eben entziehen.
Vergeben Sie keine Rechte, dann kann auch niemand auf die Datei zugreifen. Von Haus aus werden die Rechte allerdings so vergeben, dass andere Personen durchaus darauf zugreifen können. Um eine Datei zu schützen, müssen Sie diese Rechte also erst einmal entfernen.
NTFS - Umfangreicher Schutz
Der einfachste Weg zu sicher verschlüsselten Dateien ist ebenfalls in den Bordmitteln des Betriebssystems zu finden. Windows 2000, Windows XP Professional und Windows 2003 Server verfügen dazu über geeignete Möglichkeiten.
Wenn Sie bei diesen Betriebssystemen das NTFS-Format für Ihre Laufwerke verwenden - und das sollten Sie aus vielerlei Gründen ohnehin tun - dann haben Sie mit NTFS eine Möglichkeit, die Daten zu verschlüsseln. Die Verschlüsselung erfolgt dabei völlig transparent: Hat ein Benutzer eine Datei verschlüsselt, muss dieser Benutzer die Datei nicht erst entschlüsseln, um sie nutzen zu können. Die Entschlüsselung erfolgt im Hintergrund, wenn der richtige angemeldete Benutzer darauf zugreift.
Benutzer mit anderen Accounts können aber auf die derart verschlüsselten Daten nicht zugreifen. Will ein anderer Benutzer unter Windows die Datei öffnen, so erhält er nur eine Meldung, dass der Zugriff auf diese Datei nicht zulässig ist. Verschafft sich der Einbrecher auf anderem Wege Zugriff auf die Datei, zum Beispiel indem er die Festplatte mit der Datei an einen anderen Computer anschließt oder die Daten mit Low-Level-Tools direkt von der Festplatte liest, so erhält er nur den verschlüsselten Datenbrei und keine nutzbaren Daten. Der Schutz bleibt also auch erhalten, wenn der Einbrecher physischen Zugang zur Festplatte mit den verschlüsselten Daten erhält.
Das ist zumindest in der Theorie so, denn in der Praxis gibt es mindestens zwei Hersteller, von denen Entschlüsselungs-Software auch für derart verschlüsselte Dateien zu haben ist. Trotzdem ist die NTFS-Verschlüsselung ein recht gelungener Schutz, besonders für Daten, die sich auf mobilen Geräten befinden.
Verschlüsselungsmethoden mit NTFS
Mit NTFS können Sie entweder einzelne Dateien oder aber ganze Ordner verschlüsseln. Wenn Sie Ordner verschlüsseln, werden alle darin befindlichen Dateien und auch alle anderen Unterordner verschlüsselt.
Dabei ist die Verschlüsselung kompletter Ordner der Verschlüsselung einzelner Dateien vorzuziehen. Das hat verschiedene Gründe. Wenn Sie einen kompletten Ordner verschlüsseln, dann werden auch Dateien, die Sie nachträglich in diesen Ordner kopieren, automatisch verschlüsselt. Kopieren Sie eine Datei aus einem verschlüsselten Ordner an einen anderen Ort, bleibt die Datei verschlüsselt. Zumindest dann, wenn Sie die Datei auf ein NTFS-Laufwerk kopieren.
Wenn Sie hingegen nur eine einzelne Datei verschlüsseln, dann ist die Sache ein wenig unsicherer. Der Grund dafür ist unter anderem darin zu suchen, wie bestimmte Programme mit den von Ihnen eingegebenen Daten umgehen. Bei vielen Programmen ist es so, dass der Befehl "sichern" eine bestimmte Sequenz von Aktionen auslöst. Das Programm sichert die Daten zunächst unter einem temporären Namen. Gelingt das, so wird die neue Datei über die alte kopiert. Ist auch das gelungen, so wird die temporäre Datei gelöscht. Nun war die temporäre Datei aber nicht verschlüsselt - und das bedeutet, dass auch das Endresultat nicht länger verschlüsselt ist. Bei komplett verschlüsselten Ordnern kann dieses Problem nicht auftreten.
Beim Kopieren von verschlüsselten Daten auf ein FAT-Laufwerk - zum Beispiel auf eine Diskette - geht die Verschlüsselung verloren, denn nur das NTFS-Dateisystem unterstützt die Verschlüsselung. Dabei ist es natürlich so, dass nur die Personen die Daten kopieren können, die auch Zugang zu den unverschlüsselten Daten haben: Ein Einbrecher kann also nicht einfach verschlüsselte Daten auf ein Laufwerk mit FAT kopieren, um Zugriff auf die Daten zu erlangen.
NTFS - Aktivieren per Mausklick
Sie aktivieren die Datei- oder Ordnerverschlüsselung einfach mit dem Dialog zum Einstellen der Datei- oder Ordnereigenschaften. Auf diesem Dialog finden Sie unter dem Reiter "Allgemein" rechts unten einen Button mit der Beschriftung "Erweitert". Mit diesem Button öffnen Sie den Dialog zur Einstellung der erweiterten Attribute.
Auf diesem Dialog finden Sie eine Option, um die Verschlüsselung zu aktivieren. Der Dialog ist aber ein wenig missverständlich gestaltet. Er erweckt den Eindruck, dass Sie Dateien sowohl verschlüsseln als auch komprimieren können. Das geht aber nicht: NTFS unterstützt immer nur eine dieser beiden Optionen auf einmal.
Nachdem Sie die Option eingeschaltet haben, wird der Ordner samt Inhalt verschlüsselt. Um das zu überprüfen, können Sie verschlüsselte Dateien und Ordner in einer alternativen Farbe darstellen lassen. Das geht mit dem Befehl "Extras" unter den Ordneroptionen.
Auf dem Reiter Ansicht des Dialoges der Ordneroptionen finden Sie eine Liste mit Optionen unter der Überschrift "Erweiterte Einstellungen". Die gesuchte Option trägt die Bezeichnung "Verschlüsselte oder komprimierte NTFS-Dateien in anderer Farbe darstellen".
Achtung bei WLANs: Firewall einschalten
Besondere Beachtung verdient die Sicherheit in WLANs. Diese kabellosen Netzwerke werden immer beliebter - und auf Grund der seit einem Jahr verfügbaren Centrino-Chipsätze sind praktisch alle neueren Laptops mit der dafür benötigten Hardware ausgestattet. Im Kern bedeutet das, dass Ihr Laptop bei aktivierter WLAN-Hardware von anderen Rechnern im gleichen WLAN - oder je nach Betriebsmodus sogar einfach nur von anderen Rechnern in der Nähe - kontaktiert werden kann, als würde er sich in einem normalen Netz befinden.
Im Unterschied zum ganz normalen Firmennetz sind aber die anderen Rechner im WLAN solche von völlig fremden Personen - es gilt also, Vorsicht walten zu lassen. Das ist einfacher getan, als man meinen möchte: Was man braucht, ist eine Firewall, die die WLAN-Netzwerkverbindung kontrolliert. Im einfachsten Fall kann man dazu die bei Windows XP eingebaute Firewall verwenden - hat man ein älteres Windows, tut es auch eine der diversen Personal Firewalls von anderen Anbietern. Wichtig ist auf jeden Fall, dass Kontaktaufnahmen per WLAN nicht angenommen werden, es sei denn, Sie befinden sich in einem freundlichen Umfeld und wollen mit voller Absicht auch eigene Daten im drahtlosen Netz weitergeben. (mha)