Schlüssel zur Datensicherheit oder Riegel vor der Datenverfügbarkeit?

Verschlüsselungen spielen eine wichtige Rolle. Auf Notebook-Festplatten oder auch auf USB-Sticks finden sich immer mehr Informationen, die durch ihre Mobilität schnell in unbefugte Hände geraten können. Verschlüsselungslösungen bieten da ein scheinbar einfaches Mittel, die Informationssicherheit im Unternehmen zu erhöhen. Doch wenn der berechtigte Anwender seinen digitalen Schlüssel verlegt, oder auf die Festplatte aus verschiedenen Gründen nicht zugegriffen werden kann, ist man schnell ausgeschlossen. Denn Science-Fiction-Methoden haben nur einen geringen Praxiswert. Forscher der Princeton University haben zum Beispiel jüngst demonstriert, wie RAM-Eintragungen zu Verschlüsselungen auf angeschalteten Rechnern oder Rechnern im Standby-Modus durch Kühlung des Arbeitsspeicherchips auf minus 50 Grad eingefroren und so innerhalb der nächsten Minuten ausgewertet werden können. Spätestens nach dem Abschalten des Rechners ist es aber auch damit vorbei.

Das Verlegen des digitalen Schlüssels ist schnell geschehen: Entweder man vergisst sein Passwort oder Mitarbeiter verlassen das Unternehmen und hinterlassen ihre Zugangsdaten nicht. Verschlüsselte wie unverschlüsselte Datenträger sind außerdem von denselben Risiken betroffen, die zu einem Datenverlust durch physikalische oder logische Beschädigung führen können. Wenn auf Festplatten nicht mehr zurückgegriffen werden kann und Passwörter nicht mehr vorhanden sind, wird es also dramatisch. Ohne den richtigen Schlüssel ist keine Datenrettung mehr möglich.

Rettungsgrundsätze

Neben dem privaten Benutzernamen und dem Passwort sind nämlich noch weitere codierte Verschlüsselungsalgorithmen notwendig, die im Regelfall auf der Festplatte abgelegt werden. Fehlt ein Glied der Kette, können Daten nicht mehr entschlüsselt und auch nicht gerettet werden. Unklar ist oft schon der Speicherort, wo sich die Informationen über Keys und Algorithmen befinden. Der Master Boot Record hilft hier nur selten. Verschlüsselungslösungen verwenden zum Teil ein komplettes MiniLinux im Frontend. Dieses zieht die Keys während der Verschlüsselung heran. Viele Keys und Prozeduren sind in den sogenannten Bad Block Areas der Festplatte gespeichert, auf die kein Anwender Zugriff hat. Diese Speicheradressen gehören generell zu den bestgehüteten Geheimnissen der Hersteller.

Und selbst wer die Orte kennt, kann aus dem Wissen keinen Nutzen ziehen. Denn schon unabhängig von den Keys verwandeln mathematische Prozeduren die komplette Festplatte in ein unlesbares Bitmuster. Auch professionelle Datenretter können dann nicht mehr erkennen, auf welchen Sektoren sich überhaupt Nutzdaten oder einfach nur bedeutungsloser Hexadezimalcode verbirgt.

Viele Verschlüsselungslösungen bieten jedoch die Möglichkeit, durch eine durchdachte Voreinstellung und die richtige Wahl der ausschlaggebenden Parameter schon im Vorfeld die Chancen für eine später eventuell notwendig werdende Datenrettung zu erhöhen. Mit diesen Parametern lässt sich zum ersten bestimmen, dass im Notfall ein berechtigter Anwender die Daten entschlüsseln kann. Zum zweiten legen sie fest, wie viele zusätzliche Sicherheitskopien der unbedingt notwendigen Schlüssel angelegt werden und wie sie auf sicherem Wege im Zweifelsfall an die Datenretter weitergegeben werden können.

Plan B

Die Datenrettung wird vor allem dann erleichtert, wenn schon im Vorfeld für den Notfall Zugangswege angelegt werden. So bringen manche Lösungen selbst Unterprogramme mit, welche die Festplatten wieder entschlüsseln können. Eine solche Applikation ist eine gute Rückversicherung, weil dann der berechtigte Administrator den Schlüssel noch „umdrehen“ und Daten wieder lesbar machen kann. Anwender sollten auf solche
Einstellungsmöglichkeiten achten. Die Lösungen bieten dazu unterschiedliche Möglichkeiten an.

Wichtig ist hier, dass Submodule zur Entschlüsselung schon im Boot-Prozess gestartet oder unabhängig vom eigentlichen Datenträger von einem Rettungsmedium oder einer anderen Workstation gestartet werden können. McAfees Endpoint Encryption zum Beispiel ermöglicht dies durch ein Low Level Disaster Recovery Tool, welches als BartPE Plugin einen schnellen Zugriff auf die verschlüsselten Clienten ermöglicht. Dabei darf aber nur ein bestimmter autorisierter Anwender Zugriff zum System haben, weil sonst jeder die Verschlüsselung aufheben könnte. Bei Endpoint Encryption kann daher das Disaster Recovery Tool nur bei gleichzeitigem Zugriff auf ein Maschinen-Objekt in der zentralen und selber auch verschlüsselten Management-Basis-Datenbank des Unternehmensnetzwerks generiert werden. Auch diese zentrale Datenbank mit den Konfigurationsdaten der einzelnen Systeme ist wiederum verschlüsselt.

Wichtig ist aber auch, Keys und Verschlüsselungsprozeduren an verschiedenen Stellen zu hinterlegen. Gute Lösungen legen dazu in verschiedenen Bereichen eine Sicherheitskopie der Keys und Verschlüsselungsalgorithmen an. Je mehr solche Speicherorte vorgesehen sind, umso besser die Aussichten der Datenrettung. Am besten befinden sich solche Kopien direkt auf dem betroffenen Medium in einem separaten Speicherbereich, auf einer Wiederherstellungsdiskette oder am sichersten an einer zentralen Stelle im Netzwerk. Eine zusätzliche Möglichkeit, Passwörter für diese Kopien zu generieren, erhöht die Sicherheit und verhindert deren Veruntreuung. Für jeden hinterlegten Schlüssel sollte es aber ein eigenes individuelles Passwort geben, welches im zugangsgeschützten Verwaltungsbereich auf einem Server gesichert ist.

Full-Encryption-Lösungen sind dabei sowohl in punkto Datensicherheit wie auch Datenverfügbarkeit im nötigen Ernstfall den Container-Lösungen überlegen. Letztere kennen in der Regel keinen Backup der Keys oder Prozeduren. Sie bieten auch keine Submodule zur Aufhebung der Verschlüsselung an. Full-Disk-Verschlüsselungen ermöglichen ihrerseits durch granulare Rechtevergabe, nur einzelne Datenbereiche im Notfall freizugeben.

Hemmschuhe

Letzten Endes wird eine Datenrettung einfacher und damit vor allem schneller, wenn wichtige Informationen unbürokratisch und zugleich sicher weitergegeben werden können. Die notwendigen Sicherheitsvorkehrungen beim Umgang mit den digitalen Schlüsseln können die Arbeit eines Datenretters durchaus aber auch behindern.

Unternehmensvorschriften, die im Normalfall absolut sinnvolle und notwendige Vorkehrungen sind, können sich dabei im Ernstfall auch als Hemmschuh erweisen. Manche Unternehmen schicken dann wirklich einen Mitarbeiter persönlich ins Datenrettungslabor, der auf einem USB-Stick die nötigen Recovery Keys dabei hat und selber eingibt. Hier gilt das Unternehmensvertrauen dann vorbildlicherweise seinen Mitarbeitern. In einem anderen Fall eines weltweit bekannten Traditionsunternehmens machte die Corporate Governance eine Datenrettung in manchen Fällen de facto unmöglich. Die Regelungen sahen vor, dass jeder User die Daten nur auf dem Server speichern sollte. Schlüssel wurden nicht gesichert, die Möglichkeit, Keys für den Administrator anzubieten, waren abgeschaltet. Hier bestand bei einem Notebook dann wirklich nur noch mehr die Chance, das Original-Notebook mit einer 1:1-Kopie der Platte noch zum Booten zu bringen. Bei einer stärker beschädigten Festplatte mit über die ganze Platte verteilten Schreib-/Lesefehlern ist das nicht mehr möglich. Diese Compliance musste dann auch später nachgebessert werden. Nicht weniger hemmend sind auch solche Regelungen, die eine Aufhebung der Verschlüsselung nur innerhalb des Netzwerks zulassen.

Unbürokratische, aber dennoch sichere Hilfe

Im Notfall und unter Zeitdruck kommt es aber oft darauf an, ob die Sicherheitskopien aller Schlüssel zum Zweck der Datenrettung extrahiert und übermittelt werden können oder andere Verfahren zuverlässig die Aufhebung der Verschlüsselung durch autorisierte Personen ermöglichen. Dazu gehören zum Beispiel Daily Codes, die zeitlich begrenzt für die Dauer der Datenrettungsarbeiten den Schlüssel aufheben und danach wieder verfallen. Ebenso wichtig sind auch Challenge & Response-Verfahren.

Wenn die Authentifizierung noch funktioniert und der Zugriff auf die Schlüssel noch möglich ist, dann können die Daten sicher und unbürokratisch gerettet werden, ohne dass die Verschlüsselung überhaupt aufgehoben wird. Die Datenretter starten dann einfach die entsprechenden DLL-Module. On the fly werden Datenträger entschlüsselt, so dass die Experten im Klartext die Struktur lesen und wieder herstellen können. Hier lassen sich sogar Daten remote über eine geschützte Internet-Verbindung retten. Dann muss der wiederherzustellende Datenträger an eine boot-fähige Maschine gehängt werden und dort der Schlüssel sowie der Zugriff für diese Festplatte freigegeben sein. Das ist aber nur bei logischen Fehlern möglich, nicht bei physikalischen Beschädigungen des Datenträgers. In diesem Fall ist eine Einsendung des Datenträgers in das Datenrettungslabor nicht zu vermeiden.

Balanceakt

Wer verschlüsselte Daten auch im Ernstfall gerettet haben will, muss immer einen Mittelweg zwischen den Möglichkeiten zur Datenrettung und zur Verriegelung der Informationen finden. Denn ohne Schlüssel ist keine Rettung mehr möglich. Ein sorgsamer Umgang mit Schlüsseln steht also auf der Tagesordnung. Wer keinerlei Sicherheitskopien der Keys und Passwörter anlegt, kann sich schnell aussperren. Ein Passwort ist schnell vergessen. Ein anderes Extrem ist ein sorgloses Anlegen von umfangreichen digitalen Schlüsselkästen ohne Dokumentation, welcher Schlüssel zu welchem Schloss passt, wie es auch vorkommen soll.

Wer schon im Vorfeld die oben beschriebenen Parameter in seine Überlegungen mit einbezieht, kann aber die Widersprüche Informationssicherheit und Datenverfügbarkeit gut vereinbaren. Denn es gibt genug Möglichkeiten, Schlüsselkopien dank überlegter Rechtevergabe zu sichern und ihren Missbrauch zu unterbinden. Seriöse Datenretter verpflichten sich ihrerseits ohnehin ihrem Auftraggeber gegenüber dazu, Informationen nicht weiterzugeben und lassen sich bescheinigen, dass der Auftraggeber der berechtigte Besitzer der Daten ist.

Peter Böhret, Managing Director, Kroll Ontrack GmbH