Postkarten waren einmal ein probates Mittel, Nachrichten zu versenden - dabei störte es in den damaligen Zeiten kaum jemanden, dass wenigstens der Postbote den Inhalt dieses "Datenträgers" in Klarschrift mitlesen konnte. Was den Geheimhaltungsgrad angeht, so entsprechen die E-Mail-Nachrichten in der heutigen Zeit durchaus den früheren Postkarten. Hier kann jeder den Text einfach mitlesen, wenn er nur ein wenig Mühe und Sachverstand aufweist.
Was liegt also näher, als die Daten, die per E-Mail übertragen werden sollen, einfach zu verschlüsseln? Und wenn man gerade dabei ist, dann sollten doch bitte alle Daten auf der Festplatte und auf allen anderen Übertragungswegen ebenso wie bei Zugriffen über den Web-Browser, über eine VPN-Verbindung oder bei der Fernwartung nur noch verschlüsselt vorliegen.
Da die "universelle" Verschlüsselung, die mit einem Knopfdruck die gesamte IT sicher verschlüsselt, leider noch nicht existiert, haben wir in diesem Ratgeber einige beispielhafte Verschlüsselungsmethoden für die verschiedenen Einsatzzwecke und entsprechende Programme zusammengestellt.
Der Anfang: einzelne Dateien verschlüsseln
Wer ein halbwegs aktuelles Windows-System besitzt, der besitzt auch direkten Zugriff auf eine Verschlüsselung für Dateien und Ordner: Seit Windows 2000 steht für Datenträger, die mit NTFS (New Technology Filesystem - das Standard-Dateisystem der modernen Windows-Systeme) formatiert wurden, auch eine Dateiverschlüsselung zur Verfügung. Dieses Feature wird von Microsoft als EFS (Encrypting File System) bezeichnet. Die Bezeichnung ist allerdings ein wenig irreführend, da es sich nicht um ein Dateisystem handelt, sondern um ein Betriebssystem-Feature, das einzelne Dateien oder Ordner verschlüsseln kann.
Foto: Bär/Schlede
Sie ist einfach einzusetzen und direkt ins Betriebssystem integriert: Ein Rechtsklick auf eine Datei oder einen Ordner, dann die Eigenschaften auswählen und dort bei den Attributen auf "Erweitert" klicken. Nach anschließender Auswahl von "Inhalt verschlüsseln, um Datei zu schützen" ist die Datei gesichert. Sie befindet sich nun verschlüsselt auf der Festplatte, während der Vorgang für den Anwender völlig transparent bleibt. Hat er bei den Ordneroptionen die entsprechende Einstellung gewählt, so wird er eine verschlüsselte Datei oder einen verschlüsselten Ordner nur an der anderen Farbe erkennen - beim Zugriff merkt er keinen Unterschied. Aber wovor schützt diese Verschlüsselung? Sie schützt vor dem Zugriff eines anderen Anwenders, der ebenfalls auf diesem Rechner arbeitet oder vielleicht über das Netz auf ein solches Verzeichnis zugreift. Auch ein Administrator hat keinen Zugriff auf diese Dateien.
Die Dateien sind immer noch sichtbar, die Methode funktioniert ausschließlich auf einem NTFS-Dateisystem und ist damit nur schlecht auf USB-Sticks oder Windows-Systemen einzusetzen, auf denen zumeist ein FAT-Dateisystem zum Einsatz kommt. Zudem ist es mit ihrer Hilfe nicht möglich, ganze Partitionen zu verschlüsseln.
Ganze Partitionen und Systeme verschlüsseln
Foto: Bär/Schlede
Gerade was das Verschlüsseln von Partitionen angeht, hat Microsoft unter Windows Vista und noch einmal verbessert unter Windows 7 mit Bitlocker nun aber eine Möglichkeit eingebaut, auch ganze Partitionen einschließlich der Systempartition zu verschlüsseln. Mit der seit Windows 7 vorhandenen "Bitlocker To Go"-Verschlüsselung können auch USB-Sticks und mobile Festplatten auf diese Weise verschlüsselt werden.
Was können Anwender mit dieser Software verschlüsseln? Bitlocker verschlüsselt immer ganze Laufwerke beziehungsweise Festplattenpartitionen komplett. Auf diese Weise kann auch die Systempartition eines Windows-Systems vollständig verschlüsselt und damit gesichert werden. Ohne ein entsprechendes Passwort oder wahlweise eine Smartcard ist dann kein Zugriff auf dieses System mehr möglich. Ein besonderer Vorteil dieser Lösung: Auch sie arbeitet vollkommen transparent - hat der Anwender erst einmal sein Passwort eingegeben, so stellt sich ihm das System beziehungsweise die verschlüsselte Festplatte wie jedes andere Windows-System dar.
Der größte Nachteile liegt wohl darin, dass Microsoft sie ausschließlich den "großen" Windows-Systemen spendiert hat: Nur die Vista- und Windows-7-Versionen Ultimate und Enterprise stellen standardmäßig dieses Feature zur Verfügung. Die anderen Windows-7-Systeme können entsprechend verschlüsselte Medien aber lesen, und auch für Windows XP stellt Microsoft eine entsprechende Anwendung für den lesenden Zugriff zur Verfügung.
Verschlüsselung mit TrueCrypt
Was können Anwender tun, die keine Vista- oder Windows-7-Versionen im Einsatz haben? Sie können auf die bekannte Software TrueCrypt zurückgreifen. Ähnlich wie das zuvor geschilderte Bitlocker-Feature ist auch diese Software in der Lage, ganze Festplatten, mobile Laufwerke und Partitionen zu verschlüsseln, und auch beliebige Verzeichnisse, Dateien und Festplattenbereiche in sogenannten Containern können auf diese Weise verschlüsselt abgespeichert werden. Auf die Container greift der Anwender dann genauso zu wie auf ein Laufwerk. Er kann diese sogar gezielt verstecken - TrueCrypt stellt dabei unter anderem auch die Möglichkeit eines komplett versteckten Betriebssystems zur Verfügung.
Foto: Bär/Schlede
Konnten bei den ersten Versionen der Software, die eine Verschlüsselung des Betriebssystems anboten, noch Stabilitätsprobleme auftreten, so sind Anwendung und Einsatz dieser Lösung mittlerweile sehr sicher. Aber die Vielfalt an Möglichkeiten und die hohe Komplexität fordern ihren Preis: TrueCrypt ist bei allen Hilfen und Erläuterungen, die zur Verfügung stehen, immer noch keine Anwendung, deren Einsatz man jedem Nutzer nahelegen kann. Gerade die Verschlüsselung eines kompletten Betriebssystems erfordert doch ein gewisses Fachwissen, um sich nicht sehr schnell komplett selbst von seinem System auszuschließen.
Freeware hilft, Verzeichnisse zu verschlüsseln und zu verstecken
Foto: Bär/Schlede
Wie bereits geschildert, bietet Windows leider keine Möglichkeit, ausgewählte Verzeichnisse so zu verschlüsseln und auch zu "verstecken", dass ein anderer Nutzer sie nicht mehr sieht und auch nicht mehr auf sie zugreifen kann. Dabei sollten eine solche Funktion im Idealfall mittels eines Klicks erreichbar sein und das betreffende Verzeichnis erst nach Eingabe eines Passwortes wieder zur Verfügung stehen. Eine freie Software mit dem Namen DirCryptHide stellt genau diese Funktionalität zur Verfügung. Sie bietet die Möglichkeit, beliebige Verzeichnisse beziehungsweise ganze Laufwerke mitsamt den Unterordnern "verschwinden" zu lassen. Die Lösung setzt dabei auf dem bereits vorgestellten Freeware-Verschlüsselungs-Tool TrueCrypt auf.
Es verschiebt eine beliebige Anzahl von Ordnern mit allen Unterordnern, die sich auch auf verschiedenen Laufwerken befinden können, in eine verschlüsselte Container-Datei (mit TrueCrypt erstellt). Dieser Vorgang ist natürlich auch wieder umkehrbar. Beim Verschieben kopiert die Software zunächst die Daten, prüft sie auf Fehler und löscht dann den Originalordner. Um diese Ordner dann später wieder im Dateisystem sichtbar zu machen, verwendet das Programm automatisch generierte Junctions (Abzweigungspunkte, auch als "File System Reparse Points" bezeichnet).
Mit der aktuellen Version 1.58 der Software kann ein Anwender den Prozess des Ein- und Ausblendens der versteckten Ordner auch mithilfe eines USB-Sticks automatisieren: Dazu wird innerhalb der Anwendung ein USB-Stick mit dem Passwort und dem Speicherort der Containerdatei beschrieben. Diese Informationen werden dabei verschlüsselt abgespeichert und gelten nur für diesen einen USB-Stick. Danach können die verstecken Ordner durch das Ein-/Ausstecken des USB-Sticks automatisch ein- beziehungsweise auch wieder ausgeblendet werden.
Lösungen fürs Firmennetz: VPN oder gleich Direct Access
Foto: Bär/Schlede
Doch was tun die Profis, um beispielsweise eine sichere Verbindung zwischen den Netzwerken von Firmenstandorten zu gewährleisten? Hier sind VPNs (Virtual Private Network) die gängige Methode. Typischerweise werden sie als Appliance in der DMZ (Demilitarized Zone) verwendet und erlauben eine verschlüsselte und somit gesicherte Verknüpfung zwischen den Netzwerken. Allerdings besitzen beinahe alle diese Systeme eine Einschränkung: Nur wenn bei sämtlichen Verbindungen wirklich die Geräte eines Herstellers zum Einsatz kommen, ist eine sichere und verschlüsselte Übertragung wirklich gewährleistet.
Vor diesem Hintergrund ist besonders eine Neuerung unter Microsoft Windows sehr spannend: Direct Access. Durch diese Technik ist der Zugriff auf ein Windows-System "aus der Ferne" auch ohne zusätzliches VPN im Zusammenspiel von Windows 7 und Windows Server 2008 möglich. Microsofts Ansatz basiert auf dem noch recht jungen Protokoll IPv6 sowie dem Sicherheitsprotokoll IPSec.
Microsoft wollte vor allen Dingen die vielen Detailprobleme beim Aufbau einer VPN-Umgebung umgehen. So können dann die Anwender im Idealfall direkt auf die Dateifreigaben, Webseiten und Anwendungen im Unternehmensnetz zugreifen, ohne dass sie dazu eine spezielle Verbindung mittels eines virtuellen privaten Netzwerks herstellen oder eine spezielle Hard- oder Software einsetzen müssen.
Sobald das Client-System eines Nutzers, das diese Technik verwendet, mit dem Internet verbunden ist, baut es automatisch im Hintergrund eine bidirektionale Verbindung zum Netzwerk in der Firma auf. Dies geschieht dabei noch vor der eigentlichen Anmeldung des Anwenders am System, also direkt nach dem Windows-Start. Dabei funktioniert eine derartige Verbindung auch dann, wenn NAT zum Einsatz kommt und, was der Normalfall sein dürfte, eine Firewall das Firmennetzwerk vor Zugriffen von außen schützt.
Zunächst einmal kann sie nur funktionieren, wenn neben Windows-7-Clients auch die entsprechenden Windows Server 2008 im Firmennetzwerk zum Einsatz kommen. Ebenso gehört der Einsatz von IPv6 (nicht auf der kompletten Strecke) zu den Voraussetzungen, von dieser Technik zu profitieren.
Die sichere Nachricht: E-Mail-Verschlüsselung
Die E-Mail hat allen anderen Kommunikationsformen den Rang abgelaufen. Versand und Empfang sind einfach, und die Infrastruktur ist äußerst stabil. Gleichzeitig ist die Standard-E-Mail eine im Grundsatz unsichere Kommunikationsform. Es gibt mit S/MIME und PGP zwei weit verbreitete und etablierte Verschlüsselungsformen.
Foto: Bär/Schlede
Neben diesen beiden Klassikern, die mit mehr oder weniger Aufwand problemlos durch jeden Anwender in jede E-Mail-Client-Applikation integriert werden können, gibt es spezielle Lösungen, die sich für den Unternehmenseinsatz anbieten. Eine dieser Speziallösungen ist beispielsweise Scribbos. Diese als "Business-Communication" bezeichnete Lösung erlaubt es, beliebige Arten von Nachrichten und Dateianhängen ohne Größenbeschränkung schnell und mit der Verschlüsselung AES 256 (Advanced Encryption Standard) gesichert zu übermitteln. Die Lösung ist als SaaS, On-Premise oder mobile Applikation implementiert.
Der Webservice von Scribbos steht jedem Interessenten für eine 14-tägige Testphase unter der Adresse http://www.scribbos.com zur Verfügung. Nach einer Anmeldung zeigt sich die Software wie jeder andere Webmailer, auch wenn die typische Schaltfläche "Verfassen" hier "Scribb" heißt. Ein besonderer Vorteil der Lösung: Selbst wenn der Empfänger keinen Scribbos-Account besitzt, ist die verschlüsselte Übermittlung möglich. Empfänger erhalten eine E-Mail mit dem Hinweis, dass für sie eine gesicherte Nachricht im Scribbos-System lagert. Meldet sich dieser Empfänger an, so kann er ohne Kosten auf die Nachricht zugreifen und über Scribbos mit dem ursprünglichen Absender im verschlüsselten Kontakt bleiben, ohne dafür selbst einen kostenpflichtigen Scribbos-Account besitzen zu müssen.
Ein weiterer Vorteil des Systems: Pro Nachricht darf der Benutzer 20 Anhänge mit jeweils 2 GByte Umfang einfügen. Die maximale Größe einer Nachricht entspricht somit 40 GByte.
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.