Der Arbeitsplatz der Zukunft und mobiles Arbeiten entwickeln sich für Unternehmen zu einer Kernthematik am Arbeitsmarkt. Neue Technologien sichern die Produktivität teils weltweit verteilter Teams. Die unkomplizierte, standortunabhängige Verfügbarkeit von Daten und deren Sicherheit spielt hier eine entscheidende Rolle. Dank mobiler Speicherlösungen haben Mitarbeiter heute praktisch jederzeit Zugriff auf benötigte Informationen. Doch die mobile Datennutzung birgt unterschätzte Risiken.

„Die umfassende Schulung und regelmäßige Sensibilisierung von Mitarbeitern für den verantwortungsvollen Umgang mit Daten ist unumgänglich“, sagt Maximilian Hartung, Datenschutzbeauftragter bei der Datenschutz Agentur. Allerdings eliminiere ein Unternehmen damit nur einen Bruchteil der Risiken, könne man doch menschliches Versagen, Fahrlässigkeit, Diebstähle oder auch böswillige Absichten nie ausschließen, „Unternehmen sollten deshalb sicherstellen, dass beim Speichern und Transport ihrer Daten für ausreichend Sicherheit gesorgt ist“, so Hartung weiter. „Das gilt nicht nur für personenbezogene Informationen hinsichtlich der DSGVO (Datenschutz-Grundverordnung, d.Red.), sondern für alle sensiblen Unternehmensdaten. In den Händen von Mitbewerbern können Firmenwissen, Vertriebsinformationen, Geschäftsberichte oder Ähnliches verheerende Schäden anrichten.“
Eine der größten Gefahren droht bei der Nutzung von Daten außerhalb des Unternehmens. Mit standortunabhängigen Arbeitsweisen verlassen Daten die Unternehmensgrenzen, innerhalb derer in der Regel die IT-Abteilung entsprechend weitreichende Maßnahmen zum Datenschutz getroffen hat. Besonders wichtig ist es deshalb, sicherzustellen, dass Finder oder Diebe von Mobilgeräten nicht einfach auf die Informationen zugreifen können, die sich darauf befinden. Die DSGVO empfiehlt beispielsweise Verschlüsselungstechnik sogar an mehreren Stellen. Unternehmen müssen also für Standardisierung Sorge tragen. Das erfordert eine Endpoint-Security- oder Management-Software.

SEDs gibt es in den unterschiedlichsten Formfaktoren. Bild: Kingston Technology

Laufwerksverschlüsselung

In der Vergangenheit war eine Laufwerks-Vollverschlüsselung mit erheblichen Leistungseinbußen verbunden. Doch mit der Einführung selbstverschlüsselnder Laufwerke (Self-Encrypting Device, SED) ließ sich dieses Problem speziell beim SSD-Einsatz beheben – und mehr noch: Da die Schlüssel nun direkt auf dem Gerät gespeichert sind, sich also die Verschlüsselungsfunktion direkt auf der Hardware befindet, bieten SEDs einen durchgängigen, optimalen Datenschutz. Viele Modelle sind zudem kompatibel mit der Sicherheits-Management-Lösung TCG Opal 2.0 (TGC: Trusted Computing Group).
Softwarebasierte Verschlüsselungstechnik nutzt die Computerressourcen gleichzeitig mit anderen Programmen. Damit ist diese Lösung stets nur so sicher wie der eigene Computer. Zwar kann diese Methode teils deutlich Kosten einsparen, doch sie schützt nicht immer gegen Angriffe wie Brute-Force-Attacken (Durchprobieren aller oder zumindest vieler Passwort-Möglichkeiten). Außerdem sind Software-Updates unerlässlich.
Hardwarebasierte Verschlüsselung hingegen nutzt einen eigenen Prozessor, der direkt auf dem Laufwerk angebracht ist. Das entlastet nicht nur das Host-System: Lösungen dieser Art bieten zudem effizienten Schutz vor Malware und häufigen Angriffen wie Brute-Force- oder Cold-Boot-Attacken (Seitenkanalangriff auf Informationen, die im RAM geladen sind: Ein Angreifer mit physischem Zugang zum Zielrechner liest Inhalte des Arbeitsspeichers aus, nachdem das System abgeschaltet oder in den Standby-Modus versetzt wurde).
Eine sichere Methode zur umfassenden Verschlüsselung ist eine Lösung, die auf AES (Advanced Encryption Standard) basiert. Der zugrunde liegende Algorithmus bietet eine symmetrische Blockverschlüsselung für Geräte. AES gibt es mit Schlüssellängen 128, 192 und 256 Bit. Das Verfahren wird oft für die Verschlüsselung sensibler Daten wie etwa staatlicher Dokumente genutzt. Der Vorteil: Aufgrund der hohen Anzahl möglicher Schlüssel und den sich daraus ergebenden Kombinationsmöglichkeiten ist es zum aktuellen Stand mathematisch noch nicht möglich, die Komplexität des Algorithmus zu überwinden. Folglich gibt es noch keine praktisch relevanten Angriffstechniken für AES. Eine größere Schlüssellänge bedeutet gleichzeitig auch eine höhere Anzahl an Schlüsseln. Bei AES-256-Verschlüsselung, also einer Schlüssellänge von 256 Bit, würde die Anzahl an möglichen Kombinationen eine Quadrillion übersteigen.

TCG Opal

Während AES eine umfassende Verschlüsselung gewährleistet, ist damit die praktikable Anwendbarkeit für Unternehmen und Nutzer nicht automatisch gegeben. Ein anwenderfreundliches Framework ist allerdings ein zentraler Faktor für die Integration von Verschlüsselungstechnik in den Arbeitsalltag. Ein solches bietet die Trusted Computing Group an. Dabei handelt es sich um eine Organisation, bestehend aus verschiedenen Arbeitsgruppen von Mitgliedern, die mit internationalen offenen Standards und Spezifikationen ein sicheres Computing ermöglicht. Opal ist eine Lösung zur Erstellung und Verwaltung von SEDs. Geräte, die Opal-kompatibel sind, gewährleisten eine auf der Firmware-Ebene integrierte, sichere Verschlüsselung, bei der die Auswirkungen auf die Leistung minimiert sind: Speziell dafür entwickelte ASICs (Application-Specific Integrated Circuits) übernehmen alle rechenintensiven Prozesse.
Beim Einsatz von TCG-Opal-kompatiblen Laufwerken erhält das Unternehmen Zugriff auf ein verwaltbares Framework, das nicht nur ausgereiften Schutz für die Daten und damit signifikant mehr Sicherheit bietet. Die Kodierungsschlüssel sind direkt auf dem Laufwerk erstellt und lassen sich daher nicht entfernen. Das senkt gleichzeitig die Betriebskosten, da komplexe IT-Infrastruktur für die Verwaltung entfällt. Das Framework basiert auf einer Client/Server-Architektur.
Durch die Einbindung von Opal in Tools unabhängiger Softwareanbieter lässt sich eine zentrale Verwaltung schaffen. Zu den Grundfunktionen zählt die Möglichkeit für Administratoren, mit dem Revert-Utility-/CryptoErase-Programm Boot-Laufwerke aus der Ferne wie auch vor Ort zu löschen oder komplett auf Werkseinstellungen zurückzusetzen. Ein weiterer Vorteil von Opal: Nur autorisierte Computer können auf das Netzwerk zugreifen und der Laufwerksschutz ist zwingend. Während also die IT-Verantwortlichen die Systeme mittels Active-Directory-Integration oder auf anderem Wege verwalten und die Mitarbeiter ohne relevante Beschränkungen arbeiten können, sind Zugriffe von außen beschränkt.

Fazit: Vorteile durch SEDs mit Opal

SED-Laufwerke kommen in zahlreichen Organisationen zum Einsatz, in Behörden ebenso wie in der Gesundheits-, Finanz- und Bildungsbranche, intern und zunehmend auch mobil. Hardwarebasierte Verschlüsselungstechnik wie SEDs minimieren nicht nur das Risiko von Datenverlusten enorm. Im Vergleich zu softwarebasierten Lösungen verringern sie die Betriebskosten und verschlanken die IT-Infrastruktur. Modifikationen am Betriebssystem oder an Apps sind nicht erforderlich. Die Kombination einer umfassenden Verschlüsselungsmethode wie AES auf einer leistungsstarken SED mit einem Framework wie TCG Opal stellt eine effiziente Lösung zur Implementierung von Sicherheitsstandards im Unternehmen dar.
Fest steht: Auch im Cloud-Zeitalter ist Laufwerksverschlüsselung nach wie vor ein Thema. Zwar ist die Cloud sicherer geworden, dennoch sind einige Aspekte nicht zu vernachlässigen: Unternehmen müssen beispielsweise sicherstellen, wo genau ihre Daten gespeichert sind. Selbst bei angemieteten Servern ist nicht sofort ersichtlich, ob die Speicherung im Inland, im EU-Ausland oder in anderen Staatsgebieten wie den USA stattfindet – die Rechtslage kann aber entscheidend sein. Voraussetzung für den Datenzugriff ist zudem eine permanente Verbindung. Hinzu kommt immer neue und teils komplizierte Sicherheitstechnik wie etwa die Zwei-Faktor-Authentifizierung. Selbst wenn man in der Cloud alle nötigen Sicherheitsvorkehrungen getroffen hat, ist es beinahe unausweichlich, dass Mitarbeiter Daten und Dokumente zum Teil dezentral auf der Festplatte abspeichern. Doch dann sind die Daten nicht mehr durch die Security-Mechanismen der Cloud geschützt. Daher ist eine umfassende Verschlüsselung des lokalen Speichers oder des Laptops unerlässlich. SEDs bieten hier eine unternehmens- und anwenderfreundliche Lösung.

Christian Marhöfer ist Regional Director DACH bei Kingston Technology, www.kingston.com.