IT Security – Geheimnisse richtig verschlüsseln
Ein Brunnen für mehr Sicherheit
Informationen in den Brunnen gefallen?
IT Security – Geheimnisse richtig verschlüsseln
Im mittelalterlichen Japan gab es eine Redensart, die besagte, dass man zur Wahrung eines Geheimnisses dieses “um Mitternacht in einen Brunnen flüstern” sollte, damit man dem Druck, es anderen zu erzählen, widersteht.
Auch bei der Informationssicherheit geht es teilweise um die Wahrung von Geheimnissen, damit ein angemessener Grad von Vertraulichkeit für die Daten, die in einem Unternehmen gesammelt, gespeichert oder verwendet werden, gewährleistet wird.
Dabei kommt man wieder auf den alten Witz, dass die einzige Möglichkeit, einen Computer komplett abzusichern, darin besteht, ihn von jeglichen Nutzern fernzuhalten. Natürlich sollte er auch ausgeschaltet sein und begraben – und das möglichst an einem willkürlich gewählten Ort, den man sofort wieder vergisst.
Richtige und verfügbare Geheimnisse
IT Security – Geheimnisse richtig verschlüsseln
Klar würde das funktionieren. Die Informationen würden vertraulich bleiben, aber bei der echten Informationssicherheit geht es eben um etwas mehr, etwa die Integrität aufrecht zu erhalten – die Richtigkeit der Geheimnisse – sowie die Verfügbarkeit, damit diese Geheimnisse für diejenigen zugänglich sind, deren Arbeit darauf basiert, dass sie diese Geheimnisse benutzen. Vertraulichkeit, Integrität und Verfügbarkeit machen die drei Beine des “Dreirads” Informationssicherheit aus.
Das heißt, man kann den Computer nicht einfach abschalten und begraben; zeitweise muss er eingeschaltet und benutzbar sein. Auch müssen diejenigen, die dafür autorisiert sind, die Informationen auf rechtmäßige Art und Weise ändern können.
Dies kann mit geeigneten Mechanismen für die Zugangskontrolle geschehen, durch die die Nutzer identifiziert und authentifiziert werden. Auch sollten die Zugriffsgenehmigungen auf ein Minimum beschränkt werden, damit die gespeicherten Daten sachgerecht behandelt werden. Dabei gibt es aber ein Problem: Welche Maßnahmen schützen die Informationen, wenn der Computer abgeschaltet ist?
Lernen aus der Forensik
IT Security – Geheimnisse richtig verschlüsseln
Bei der Computer-Forensik greifen wir auf das digitale Beweismaterial zu, indem wir vermeiden, dass das Betriebssystem selbst aktiv wird. Die Daten werden vom Festplattenlaufwerk als ein Bitstrom mittels eines alternativen Betriebssystems kopiert, nachdem der Computer gebootet wurde.
Damit die Daten vor solcherart Zugriff geschützt werden können, ist eine Verschlüsselung erforderlich, die aus irgendeiner Form von CD-, Datenträger- oder File-Level-Anwendung bestehen kann. Ich selbst bevorzuge die PGPdisk, aber es gibt viele gleichartige Produkte, die im Allgemeinen ähnliche Mechanismen aufweisen. Ich benutze sie auf Laptops und sogar auf Wechseldatenträgern, wie das Pika Festplattenlaufwerk und meine Sammlung von Thumbdrives. Damit bleiben die Daten auf den Laufwerken vertraulich, auch wenn diese selbst entweder verloren gehen oder gestohlen werden.
Es gibt aber ein Problem, wenn ich auf den Inhalt der Laufwerke von einem anderen Computer aus zugreifen möchte. Soll ich meine Passwortinformation in den Laptop einer anderen Person eingeben, ohne einen Schimmer vom Zustand des Systems zu haben – selbst wenn ich nicht die gleiche “Passphrase” für die verschiedenen Geräte verwende? Nein.
Ich brauche also ein kleines USB-Gerät, in das ich diese Speichereinheiten einstöpseln kann und das eine Smartcard und einen Pin akzeptiert, um den Zugriff zu gestatten. Auch sollte es über einige eingebaute Einrichtungen für die Zugangskontrolle verfügen, damit das Lesen und Ändern von Informationen auf den Thumbdrives eingeschränkt wird.
Ich bin mir sicher, dass andere Leute darüber ebenfalls schon nachgedacht haben und auch, dass mir irgendjemand sagen kann, wo es so was zu kaufen gibt. Falls aber nicht, könnte wohl bitte jemand so nett sein und mir ein solches Gerät bauen – und zwar so, dass ich meine Geheimnisse nicht um Mitternacht neben einem Brunnen begraben muss!