Wie Endgeräteverschlüsselung funktioniert

Wh

ite PaPer

: W

ie eND

Ger

ÄteVer

SCh

LÜSSeLU

NG

fU

Nk

tioN

iert

Wie endgeräteverschlüsselung funktioniertWer diese Publikation lesen sollte

Sicherheits- und it-administratoren

Wie Endgeräteverschlüsselung funktioniert

Inhalt

Einführung in die Endgeräteverschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Was Endgeräteverschlüsselung ist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Wie es funktioniert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Endpoint Encryption: Hinter den Kulissen: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Leben mit Verschlüsselung: Business as Usual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Endpoint Encryption: Wiederherstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1


Einführung in die Endgeräteverschlüsselung

Wenn Sie einen Computer oder ein entfernbares USB-Laufwerk benutzen, kann es gut sein, dass sich sensible Daten auf diesen Geräten

befinden. ob es sich um einen heimcomputer mit den familiären finanzen, einen arbeitscomputer mit sensiblen Unternehmensinformationen

oder einen USB-Stick mit regierungsgeheimnissen handelt – Sie müssen sicherstellen, dass kein unbefugter Zugriff auf diese Daten stattfindet,

wenn das Gerät verloren geht oder gestohlen wird.

endgeräteverschlüsselung, auch als festplattenverschlüsselung bekannt, schützt diese Daten, indem sie sie für unbefugte Nutzer unlesbar

macht. Diese abhandlung beschreibt die Unterschiede zwischen endgeräte- und Dateienverschlüsselung, die genaue funktionsweise von

endgeräteverschlüsselung sowie Mechanismen zur Wiederherstellung.

Was Endgeräteverschlüsselung ist

Endgeräteverschlüsselung versus Dateienverschlüsselung

Wenn es um Datenverschlüsselung geht, gibt es verschiedene Strategien.

endgeräteverschlüsselung schützt eine festplatte im fall von Diebstahl oder versehentlichem Verlust, indem es die gesamte festplatte

verschlüsselt – einschließlich Swap-Dateien, Systemdateien und Dateien im ruhezustand. Wenn eine verschlüsselte festplatte verloren

geht, gestohlen oder in einen anderen Computer eingebaut wird, bleibt deren Verschlüsselungszustand unverändert, sodass nur ein

berechtigter Nutzer auf die inhalte zugreifen kann.

endgeräteverschlüsselung kann ihre Daten jedoch nicht schützen, wenn Sie sich während des Systemstarts eingeloggt haben und ihren

Computer unbeaufsichtigt lassen. in diesem fall ist ihr System entsperrt, und unbefugte Nutzer können darauf genauso zugreifen wie

berechtigte Nutzer. hier kommt die Dateienverschlüsselung ins Spiel.

So wie ein alarmsystem ein ganzes haus schützt und ein Safe zusätzliche Sicherheit bietet, schützt endgeräteverschlüsselung das gesamte

System, und Dateienverschlüsselung bietet eine zusätzliche Sicherheitsschicht.

Dateienverschlüsselung verschlüsselt spezielle Dateien, sodass die inhalte dieser Dateien auch nach erfolgreicher anmeldung eines

Nutzers bei einem Betriebssystem verschlüsselt bleiben. eine anwendung wie Symantec™ file Share encryption kann einzelne Dateien

und ordner schützen, indem sie den den Benutzer zur eingabe einer Passphrase auffordert, um ihm den Zugriff darauf zu erlauben.

Dateienverschlüsselung erfordert eine aktion des Nutzers, während die Laufwerksverschlüsselung automatisch alle Daten verschlüsselt, die

Sie oder das Betriebssystem erstellen. Dateienverschlüsselung kann auch mit einem Verschlüsselungsrichtlinien-Server gekoppelt werden.

Das ermöglicht es it-administratoren, Verschlüsselungsregeln für eine ganze organisation zu erstellen und bekanntzugeben, einschließlich

des automatischen Verschlüsselns von Dateien aus verschiedenen anwendungen und/oder ordnern.

Wie es funktioniert

Während des hochfahrens eines Betriebssystems wird eine Boot-Sequenz ausgeführt. Das Bootsysten ist die allererste reihe von

arbeitsschritten, die der Computer ausführt, wenn er eingeschaltet wird. Der Boot-Lader (oder Bootstrap-Lader) ist ein kurzes

Computerprogramm, welches das hauptbetriebssystem für den Computer lädt. Der Boot-Lader sucht zuerst einen Boot record oder eine

Partitionstabelle, die den logischen “Null”-Bereich (oder Startpunkt) des Laufwerks darstellt.

endgeräteverschlüsselung modifiziert den Nullpunkt-Bereich des Laufwerks. ein Computer, der mit Symantec™ endpoint encryption

geschützt ist, präsentiert dem Nutzer eine modifizierte “Pre-Boot”-Umgebung (abb. 1).

Dieser modifizierte Pre-Boot-Bildschirm fordert den Nutzer auf, seine Zugangsberechtigung in form einer Passphrase nachzuweisen

(üblicherweise ein längeres Passwort, das oft einem Satz ähnelt). an diesem Punkt kann der Computer weitere Berechtigungsnachweise

verlangen, wie etwa eine Smartcard, ein token oder eine andere Zwei-faktoren-Legitimation.

2


Nachdem der Nutzer gültige Berechtigungsnachweise eingegeben hat, fährt das Betriebssystem wie gewohnt mit dem Laden fort, und der

Nutzer kann auf den Computer zugreifen.

endgeräteverschlüsselungs-Software bietet außerdem die Möglichkeit, entfernbare Speichermedien wie USB-Laufwerke zu verschlüsseln.

Wenn Sie ein USB-Laufwerk an ein Computersystem anschließen, verlangt es eine Passphrase, und nach erfolgreicher Legitimation können

Sie das USB-Laufwerk benutzen.

Endgeräteverschlüsselung: Hinter den Kulissen

Grundlagen des Dateisystems

Während des Boot-Vorgangs initialisiert das System die Dateisysteme des Computers.

Wenn ein Nutzer den Zugriff auf eine Datei erbittet (z.B. indem er eine Datei erstellt, öffnet oder löscht), wird diese anfrage an den input/

output-(i/o)-Manager des Betriebssystems gesendet, der sie an den Dateisystem-Manager weiterleitet. Der Dateisystem-Manager verarbeitet

Dateien blockweise.

Leben mit Verschlüsselung: Business as Usual

Die meiste endgeräteverschlüsselungs-Software arbeitet in Verbindung mit der Dateisystem-architektur. Sie filtert i/o-Vorgänge für ein oder

mehr Dateissysteme oder Dateissystem-Mengen.

Wenn ein Laufwerk erstmalig mit endgeräteverschlüsselung verschlüsselt wird, konvertiert es unververschlüsselte Laufwerksblöcke der

reihe nach in verschlüsselte. endgeräteverschlüsselung erlaubt es den Nutzern, während dieses initialen Verschlüsselungsvorgangs wie

gewohnt mit der arbeit fortzufahren, indem sie den anteil der CPU-rechenleistung, die dem initialen Verschlüsselungsvorgang zugeteilt ist,

modifiziert.

Passphrase und / oder Token/ Smart Card

das Laufwerk wird verschlüsselt, Datenblock für Datenblock

Verschlüsselung von Laufwerks-Datenblöcken

3


Wenn ein Nutzer auf eine Datei zugreift, entschlüsselt endgeräteverschlüsselung die gespeicherten Daten, bevor sie auf dem Bildschitm

dargestellt werden werden. Wenn der Nutzer irgendwelche Änderungen an der Datei durchführt, werden die Daten im Speicher verschlüsselt

und dann auf den jeweiligen Laufwerksblock zurückgeschrieben, genauso wie das ohne Verschlüsselung ablaufen würde. Verschlüsselte

Dateien stehen niemals auf dem Laufwerk zur Verfügung.

Der Vorgang des Verschlüsselns / entschlüsselns läuft mit einer solchen Geschwindigkeit ab, dass er für den Nutzer vollkommen

codeunabhängig erscheint.

Endgeräteverschlüsselung: Wiederherstellung

Endgeräteverschlüsselung: Wiederherstellung

Der häufigste anlass zur Datenwiederherstellung ist eine verlorene oder vergessene Passphrase. Deshalb muss endgeräteverschlüsselungs-

Software eine Wiederherstellungs-funktion enthalten. Bei Symantec endpoint encryption gibt es verschiedene Möglichkeiten, im fall einer

vergessenen Passphrase auf ein verschlüsseltes System zuzugreifen, unter anderem die lokale Wiederherstellung, ein Wiederherstellungs-

token und einen administratorenschlüssel.

Die lokale Selbstwiederherstellung ermöglicht es Nutzern, während der Boot-Zeit vordefinierte und anpassbare fragen zu beantworten, um

Zugang zu einem verschlüsselten System zu erhalten und die Boot-Passphrase zurückzusetzen, ohne jemals die it-abteilung zu bemühen.

Die Whole Disk recovery token (WDrt) ist ein einmaliges, temporäres, geräte- und nutzerbezogenes Wiederherstellungs-Set

alphanumerischer Zeichen, um eine Passphrase zturückzusetzen.

Der administratorenschlüssel, der im Besitz der administration ist, wird auf einer manipulationssicheren Smartcard oder einem token

gespeichert.

ein anderer anlass zur Datenwiederherstellung, auch wenn er selten ist, kann in Datenverstümmelung aufgrund eines hardware-absturzes

oder anderer faktoren wie Datenviren bestehen. Die Verstümmelung eines Master Boot record auf einem Boot-Laufwerk oder einer

entsprechenden Laufwerkspartition, die durch Laufwerksverschlüsselung geschützt ist, kann ein System am hochfahren hindern. Um solche

fehler zu vermeiden, ist es das Beste, eine Wiederherstellungs-CD zu erstellen und dann ein Laufwerks-Backup durchzuführen, bevor das

Laufwerk mit endgeräteverschlüsselung gesichert wird..


Über Symantec

Symantec schützt die informationen der Welt

und ist globaler Marktführer bei Sicherheits-,

Backup- und Verfügbarkeitslösungen. Unsere

innovativen Produkte und Services schützen

Menschen und informationen in jedem Umfeld –

vom kleinsten Mobilgerät über unternehmenseigene

rechenzentren bis zu cloudbasierten Systemen.

Unsere branchenführende kompetenz beim Schutz

von Daten, identitäten und interaktionen gibt unseren

kunden Vertrauen in eine vernetzte Welt. Weitere

informationen finden Sie unter www.symantec.com

oder go.symantec.com/socialmedia.

Unsere Geschäftsstellen und

kontaktnummern in den

jeweiligen Ländern finden Sie

auf unserer Website.

Symantec World headquarters

350 ellis St.

Mountain View, Ca 94043 USa

+1 (650) 527 8000

1 (800) 721 3934

Copyright © 2012 Symantec Corporation. alle rechte vorbehalten. Symantec, das Symantec-Logo und das häkchen-Logo sind Marken oder eingetragene Marken der Symantec Corporation oder ihrer verbundenen Unternehmen in den USa und anderen Ländern. andere Bezeichnungen können Marken anderer rechteinhaber sein. 8/2014 21275920-2Ge

Wie Endgeräteverschlüsselung funktioniert

Software

Transcript of Wie Endgeräteverschlüsselung funktioniert