Channel Security

Der Schutz vor Datenverlust und eine Alternative zum eigenen Notebook werden in dieser Folge beschrieben.

In About Security #123 wurden Schutzmaßnahmen gegen Angreifer mit physischen Zugriff auf das Gerät vorgestellt: Schutz vor Diebstahl, vor unbefugtem Starten und vor unbefugtem Zugriff auf gespeicherte Daten. In About Security #124 wurde der Schutz vor entfernten Angreifern beschrieben: Schutz vor Belauschen und Manipulation der Kommunikation sowie vor Kompromittierung. Außerdem wurde die notwendige Synchronisierung von Notebook und lokalem Netz erwähnt, die dem Schutz vor veralteten Daten dient. Der letzte bei den Schutzmaßnahmen noch fehlende Punkt ist der

Schutz vor Datenverlust

Daten im lokalen Netz werden meist auf Servern gespeichert und von dort gesichert. Bei Notebooks im Außeneinsatz ist dieses Vorgehen nicht möglich, daher muss bei ihnen eine individuelle Datensicherung erfolgen. Dabei bieten sich zwei Verfahren an:

• Datensicherung auf dem Server im lokalen Netz
  Wird das Notebook regelmäßig mit dem lokalen Netz des Unternehmens verbunden, können die Daten auf dem Server des lokalen Netzes gesichert werden, wodurch sie automatisch in die normalen Backups aufgenommen werden. Dabei ist es unerheblich, ob der Anschluss direkt oder über eine VPN-Verbindung erfolgt, sofern eine für die zu sichernden Datenmengen ausreichende Bandbreite zur Verfügung steht. Um die Datenmenge zu reduzieren, kann ein inkrementelles oder differenzielles Backup durchgeführt und/oder eine Komprimierung der Daten vorgenommen werden.
• Datensicherung auf externen Datenträgern
  Ist eine Sicherung auf dem Server im lokalen Netz nicht möglich, müssen die Daten auf einem externen Datenträger, in der Regel CD-R oder USB-Sticks, gesichert werden. Da diese Datenträger ebenso wie das Notebook selbst abhanden kommen können, müssen die zu sichernden Daten verschlüsselt gespeichert werden. Die beschriebenen Datenträger müssen getrennt vom Notebook aufbewahrt werden, damit bei einem Diebstahl oder Verlust des Notebooks nicht auch das Backup verloren ist.
  Für die Verschlüsselung der Daten steht im Fall von USB-Sticks außer einer Softwarelösung auf dem Notebook auch die Nutzung von USB-Sticks mit integrierter Verschlüsselungsfunktion zur Verfügung. Diese gibt es sowohl mit Passwortschutz als auch mit integriertem Fingerabdrucksensor. Letztere entschlüsseln die gespeicherten Daten nur bei Erkennung des richtigen Finger(abdruck)s. Dabei gilt dasselbe wie bei den in About Security #123 beschriebenen Fingerabdrucksensoren für die Zugangskontrolle: Hat ein Angreifer einen passenden Fingerabdruck, kann er die meisten Sensoren damit täuschen.
  Im Gegensatz zum Notebook ist allerdings die Wahrscheinlichkeit, einen passenden Abdruck auf dem USB-Stick zu finden, deutlich geringer. Weiter verringert werden kann sie, indem für die Freigabe der Abdruck eines Fingers verwendet wird, der selten mit dem USB-Stick in Berührung kommt, z.B. bei Rechtshändern dem kleinen Finger der linken Hand. Gegen einen gezielten Angriff, bei dem der Angreifer es darauf anlegt, einen Fingerabdruck zu bekommen, nützt das aber nichts. Es ist nur ein Schutz vor unbefugten Zugriffen auf verlorengegangene USB-Sticks, nicht auf gezielt gestohlene.

Eine Alternative zum eigenen Notebook

Damit ist das Thema "Sicherheit von Notebooks" vorerst abgeschlossen. Seit einiger Zeit gibt es eine interessante Alternative zum eigenen Notebook, sofern man nur wenige Programme und Daten benötigt: U3-USB-Sticks.

Der erstmals im Januar 2005 vorgestellte U3-Standard wurde von einer Reihe von USB-Speicherherstellern entwickelt, um unter Windows 2000, XP und Vista dafür geeignete Programme, ohne vorherige Installation und ohne Daten auf dem lokalen Rechner zu hinterlassen, von einem USB-Stick zu starten. Ein spezielles Programm auf dem U3-USB-Stick, das U3-Launchpad, dient der Konfiguration des USB-Sticks, z.B. der Verwaltung der Anwendungen und dem Aktivieren eines Passwortschutzes.

Mit U3-USB-Sticks ist es möglich, auf einem beliebigen geeigneten Windows-PC die eigenen Programme (sofern für U3 geeignet) ohne vorherige Installation direkt zu starten. Wird der USB-Stick nach erledigter Arbeit wieder aus dem PC herausgezogen, bleiben keine eigenen Daten auf dem fremden PC zurück, da diese ausschließlich auf dem eigenen USB-Stick gespeichert werden. Dadurch ist es möglich, auf einem fremden Rechner, z.B. in einem Internet-Cafe, Dokumente per E-Mail über die eigene Thunderbird-Portable-Version zu empfangen bzw. zu versenden und mit der eigenen OpenOffice-Version zu bearbeiten, ohne auf dem fremden Rechner vertrauliche Daten zu hinterlassen. Dieser an sich sehr sinnvolle Ansatz hat leider zwei Haken: Zum einen könnte ein auf dem fremden Rechner laufendes Programm natürlich die darauf bearbeiteten Daten ausspionieren. Zum anderen sehen es Systemadministratoren inzwischen meist ungern, wenn fremde USB-Sticks an ihre Rechner angeschlossen werden, vom Start fremder Programme ganz zu schweigen.

Dies ist auch ein Thema der nächsten Folge, dann geht es um die Gefahren durch fremde Hardware.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Mobile Security - Notebooks und fremde Hardware"

• About Security #123: Mobile Security – Schutz für Notebooks
• About Security #124: Mobile Security – Schutz für Notebooks, Teil 2
• About Security #125: Mobile Security – Schutz für Notebooks, Teil 3
• About Security #126: Gefahren durch fremde Hardware