Verschlüsselung mit TrueCrypt
Foto: Bär/Schlede
Was können Anwender tun, die keine Vista- oder Windows-7-Versionen im Einsatz haben? Sie können auf die bekannte Software "TrueCrypt" zurückgreifen. Die Möglichkeiten dieser frei erhältlichen Lösung sind so vielfältig, dass wir sie hier nur kurz anreißen können. Was kann diese Software? Ähnlich wie das zuvor geschilderte Bitlocker-Feature ist auch diese Software dazu in der Lage, ganze Festplatten, mobile Laufwerke und Partitionen zu verschlüsseln. Aber auch beliebige Verzeichnisse, Dateien und Festplattenbereiche in sogenannten Containern können auf diese Weise verschlüsselt abgespeichert werden. Auf die Container greift der Anwender dann genau wie auf ein Laufwerk zu. Er kann diese sogar gezielt verstecken - TrueCrypt stellt dabei unter anderem auch die Möglichkeit eines komplett "versteckten Betriebssystems" zur Verfügung.
Welche Nachteile bestehen beim Einsatz von TrueCrypt?
Konnten bei den ersten Versionen der Software, die eine Verschlüsselung des Betriebssystems anboten, noch Stabilitätsprobleme auftreten, so sind Anwendung und Einsatz dieser Lösung mittlerweile sehr sicher. Aber die Vielfalt an Möglichkeiten und die hohe Komplexität fordern ihren Preis: TrueCrypt ist bei allen Hilfen und Erläuterungen, die zur Verfügung stehen, immer noch keine Anwendung, deren Einsatz man jedem Nutzer nahelegen kann. Gerade die Verschlüsselung eines kompletten Betriebssystems erfordert doch etwas Fachwissen, um sich nicht sehr schnell komplett selbst von seinem System auszuschließen.
Freeware hilft, Verzeichnisse zu verschlüsseln und verstecken
Foto: Bär/Schlede
Wie bereits geschildert bietet Windows leider keine Möglichkeit, ausgewählte Verzeichnisse so zu verschlüsseln und auch zu "verstecken", dass ein anderer Nutzer sie nicht mehr sieht und auch nicht mehr auf sie zugreifen kann. Dabei sollte eine solche Funktion im Idealfall mittels eines Klicks erreichbar sein und das betreffende Verzeichnis erst nach Eingabe eines Passwortes wieder zur Verfügung stehen. Eine freie Software mit dem Namen "DirCryptHide" stellt genau diese Funktionalität zur Verfügung. Sie bietet die Möglichkeit, beliebige Verzeichnisse beziehungsweise ganze Laufwerke mitsamt den Unterordnern "verschwinden" zu lassen. Die Lösung setzt dabei auf das bereits vorgestellte Freeware-Verschlüsselungs-Tool TrueCrypt auf.
Wie arbeitet dieses Programm?
Es verschiebt eine beliebige Anzahl von Ordnern mit allen Unterordnern, die sich auch auf verschiedenen Laufwerken befinden können, in eine hochverschlüsselte Container-Datei (mit TrueCrypt erstellt). Dieser Vorgang ist natürlich auch wieder umkehrbar. Beim Verschieben kopiert die Software zunächst die Daten, prüft auf Fehler und löscht dann den Originalordner. Um diese dann später wieder im Dateisystem sichtbar zu machen, verwendet das Programm automatisch generierte Junctions (Abzweigungspunkte, auch als "File System Reparse Points" bezeichnet).
Welche weiteren Vorteile bietet der Einsatz?
Mit der aktuellen Version 1.55 der Software kann ein Anwender den Prozess des Ein- und Ausblendens der versteckten Ordner auch mit Hilfe eines USB-Sticks automatisieren: Dazu wird innerhalb der Anwendung ein USB-Stick mit dem Passwort und dem Speicherort der Containerdatei beschrieben. Diese Informationen werden dabei verschlüsselt abgespeichert und gelten nur für diesen einen USB-Stick. Danach können die verstecken Ordner durch das Ein-/Ausstecken des USB-Sticks automatisch ein- beziehungsweise auch wieder ausgeblendet werden.
Lösungen fürs Firmennetz: VPN oder gleich Direct Access
Foto: Bär/Schlede
Doch was tun die Profis, um beispielsweise eine sichere Verbindung zwischen den Netzwerken von Firmenstandorten zu gewährleisten? Hier sind VPNs (Virtual Private Network) die gängige Methode. Typischerweise werden sie als Appliance in der DMZ (Demilitarized Zone) verwendet und erlauben eine verschlüsselte und somit gesicherte Verknüpfung zwischen den Netzwerken. Allerdings besitzen beinahe alle diese Systeme eine Einschränkung: Nur wenn bei allen Verbindungen wirklich die Geräte eines Herstellers zum Einsatz kommen, ist sichere und verschlüsselte Übertragung wirklich gewährleistet.
Welche Alternativen bieten sich dem Systembetreuer?
Vor diesem Hintergrund ist besonders eine Neuerung unter Microsoft Windows sehr spannend: "Direct Access". Durch diese Technik ist der Zugriff auf ein Windows-System "aus der Ferne" auch ohne zusätzliches VPN im Zusammenspiel von Windows 7 und Windows Server 2008 möglich. Microsofts Ansatz basiert auf dem noch recht jungen Protokoll IPv6 sowie dem Sicherheitsprotokoll IPSec.
Welche Vorteile kann diese Technik bieten?
Microsoft wollte vor allen Dingen die vielen Detailprobleme beim Aufbau einer VPN-Umgebung umgehen. So können dann die Anwender im Idealfall direkt auf die Dateifreigaben, Webseiten und Anwendungen im Unternehmensnetz zugreifen, ohne dass sie dazu eine spezielle Verbindung mittels eines virtuellen privaten Netzwerks herstellen oder eine spezielle Hard- oder Software einsetzen müssen.
Sobald das Client-System eines Nutzers, das diese Technik verwendet, mit dem Internet verbunden ist, baut es automatisch im Hintergrund eine bidirektionale Verbindung zum Netzwerk in der Firma auf. Dies geschieht dabei noch vor der eigentlichen Anmeldung des Anwenders am System, also direkt nach dem Windows-Start. Dabei funktioniert eine derartige Verbindung auch dann, wenn NAT zum Einsatz kommt und, was der Normalfall sein dürfte, eine Firewall das Firmennetzwerk vor Zugriffen von außen schützt.
Welche Nachteile hat der Einsatz dieser Technik?
Zunächst einmal kann sie nur funktionieren, wenn neben Windows-7-Clients auch die entsprechenden Windows Server 2008 im Firmennetzwerk zum Einsatz kommen. Auch der Einsatz von IPv6 (nicht auf der kompletten Strecke) gehört zu den Voraussetzungen, um von dieser Technik zu profitieren.
Die sichere Nachricht: E-Mail-Verschlüsselung
Die E-Mail hat allen anderen Kommunikationsformen den Rang abgelaufen. Versand und Empfang sind einfach und die Infrastruktur äußerst stabil. Gleichzeitig ist die Standard-E-Mail eine im Grundsatz unsichere Kommunikationsform. Es gibt mit S/MIME und PGP zwei weit verbreitete und etablierte Verschlüsselungsformen die in einem gesonderten Beitrag genauer betrachtet werden.
Gibt es noch andere Lösungen?
Foto: Bär/Schlede
Neben diesen beiden Klassikern, die mit mehr oder weniger Aufwand problemlos durch jeden Anwender in jede E-Mail-Client-Applikation integriert werden können, gibt es spezielle Lösungen, die sich für den Unternehmenseinsatz anbieten. Eine dieser Speziallösungen ist beispielsweise Scribbos. Diese als "Business-Communication" bezeichnete Lösung erlaubt es, beliebige Arten von Nachrichten und Datei-Anhängen ohne Größenbeschränkung schnell und mit der Verschlüsselung AES 256 (Advanced Encryption Standard) gesichert zu übermitteln. Die Lösung ist als SaaS, On-Premise oder mobile Applikation implementiert.
Was kann diese Lösung bieten?
Der Webservice von Scribbos steht jedem Interessenten für eine 14-tägige Testphase unter der Adresse http://www.scribbos.com zur Verfügung. Nach einer Anmeldung zeigt sich die Software wie jeder andere Webmailer, auch wenn die typische Schaltfläche "Verfassen" hier "Scribb" heißt. Ein besonderer Vorteil der Lösung: Selbst wenn der Empfänger keinen Scribbos-Account besitzt, ist die verschlüsselte Übermittlung möglich. Empfänger erhalten eine E-Mail mit dem Hinweis, dass für sie eine gesicherte Nachricht im Scribbos-System lagert. Meldet sich dieser Empfänger an, so kann er ohne Kosten auf die Nachricht zugreifen und über Scribbos mit dem ursprünglichen Absender im verschlüsselten Kontakt bleiben, ohne dafür selbst einen kostenpflichtigen Scribbos-Account zu besitzen.
Ein weiterer Vorteil des Systems: Pro Nachricht darf der Benutzer beliebig viele Anhänge anfügen, sofern die Summe nicht 2 GByte überschreitet. Die maximale Größe einer Nachricht entspricht somit 40 GByte. (wh)
- Datenübertragung im Netz – ein Überblick
Im Blickpunkt der NSA-Enthüllungen des Informanten Edward Snowden stehen Angriffe auf verschiedene technische Verfahren, die eigentlich dazu gedacht sind, Daten in einem sicheren und nicht abhörbaren Tunnel durch das offene Netz zu bewegen. Wir geben einen Überblick. - HTTPS (Hypertext Transfer Protocol Secure)
Dieses Kommunikationsprotokoll wird eingesetzt, um im Web Daten sicher zu übertragen, etwa beim Online-Banking, in Internet-Shops oder bei Web-Mail-Diensten. In der Zeile der Webadresse steht dann am Anfang die Zeichenfolge https:// und es erscheint ein kleines Vorhängeschloss-Symbol. <br>Es gibt verschiedene Stufen der HTTPS-Verschlüsselung. So gilt das HTTPS-Verfahren mit dem Namen Perfect Forward Secrecy (PFS) weiterhin als abhörsicher. Es wird aber noch nicht überall verwendet. Von den Web-Mail-Diensten setzten nach einem Test der Fachzeitschrift "c't" die Dienste Gmail, Posteo, Web.de und GMX eine entsprechende Verschlüsselung ein. Arcor, Hotmail, 1&1, Strato und T-Online boten keine PFS-Verschlüsselung. - VPN (Virtual Private Network)
Mit einem VPN können Internet-Nutzer eine Datentunnel zu einem Server aufbauen und damit Teil eines geschlossenen Netzwerks werden. So setzen viele Geschäftsleute einen VPN-Tunnel ein, um von unterwegs aus in einem offenen Netzwerk sicher mit ihrer Firma zu kommunizieren. - Verschlüsselter Chat
Chat-Systeme wie AIM oder ICQ von AOL verschlüsseln die Kommunikation, so dass nicht jedermann mitlesen kann. Allerdings steht AOL im Verdacht, mit dem Prism-Programm der NSA zu kooperieren, so dass der Geheimdienst Zugriff auf die Chat-Protokolle haben könnte. Es gibt aber auch offene Chat-Protokolle wie XMPP, der die Möglichkeit bietet, die Chats wirksam zu verschlüsseln. Außerdem gibt es Browser-Erweiterungen wie BlockPRISM, die Facebooks-Chats mit dem sicheren Verschlüsselungsverfahren PGP absichern. - Voice over IP (VoIP)
Mit dem Dienst Skype ist das Telefonieren über das Internet populär geworden. Damit die dabei im Netz übertragenen Datenpakete nicht von jedem mitgehört werden können, werden sie verschlüsselt übertragen. Aus den Papieren von Edward Snowden geht hervor, dass die NSA versucht hat, Zugriff auf die Sprachdaten zu bekommen, noch bevor sie verschlüsselt werden. - SSH (Secure Shell)
Für Anwender eines Rechners, der mit einer Variante des Betriebssystems Unix läuft, besteht die Möglichkeit, via SSH von außen eine verschlüsselte Netzwerkverbindung mit dem Gerät aufzubauen. Dabei kann man aus der Ferne den Rechner so bedienen als würde man direkt davor sitzen. Die moderne Version von SSH verwendet das als stark eingestufte Verschlüsselungsverfahren AES, das auch nach den jüngsten Enthüllungen als sicher gilt.