Notebook-Sicherheit verlangt Aufwand

17.10.2006
Autor(en): Annette Wiedemann

Antivirensoftware und Windows-Passworte genügen nicht mehr, um die Daten auf den tragbaren Computern zu schützen.

Unterwegs zum nächsten Meeting noch schnell die Präsentation überarbeiten oder die Zahlen kontrollieren - welcher Geschäftsreisende nutzt nicht die Zeit, die er im Zug, im Flugzeug oder in Wartehallen verbringt, um "Papierkram" oder die E-Mail-Korrespondenz zu erledigen? Büroarbeit eben - nur nicht hinter den Türen des Büros.

Vertrauliche Unternehmensdaten können viel schneller in fremde Hände geraten, als den meisten Notebook-Nutzern bewusst ist. Was passiert, wenn das mobile Arbeitsgerät gestohlen wird? Wie können Daten gesichert werden für den Fall, dass die Festplatte beschädigt wird? Oder wie lässt sich verhindern, dass der Sitznachbar mitliest?

Um ein Notebook und die darauf befindlichen Daten möglichst umfassend zu schützen, reicht es nicht, die neueste Antivirensoftware aufzuspielen und ein komplexes Passwort für die Windows-Anmeldung zu ersinnen. Erst mit einem ganzheitlichen Ansatz, der Software, Hardware, Unternehmensnetz und den Benutzer einbezieht, können sich Anwender wirklich absichern. Die zu schützenden Daten sind entweder auf der lokalen Festplatte gespeichert oder werden über das Unternehmensnetz abgerufen. Um das Notebook zu sichern, muss der Nutzer dreierlei tun: den Zugriff auf das System kontrollieren, die lokale Festplatte sichern und das Notebook schützen.

Die Zugriffskontrolle ist die gebräuchlichste und für den Anwender einfachste Art, ein Notebook und die darauf befindlichen Daten abzudichten. Dazu zählt die Windows-Passwortabfrage ebenso wie der biometrische Fingerabdruck-Scanner oder ein USB-Token. Der Benutzer kann sein Arbeitsgerät aber noch weitaus gezielter schützen.

Eingebaute Sicherheit

Die Sicherheitslösungen, die für Notebook-Clients am weitesten verbreitet sind, konzentrieren sich auf das Betriebssystem. Wer darüber hinausgehen und möglichst viele Sicherheitsbereiche abdecken möchte, um das Netz und die Daten zu schützen, setzt deshalb auf eingebaute Sicherheitslösungen, die viele Hersteller "ab Werk" liefern.

{mospagebreak}

Die so genannten Embedded-Security-Konzepte funktionieren auf Hardware- und auf Firmware-Ebene. Sie sind unabhängig vom Betriebssystem und lassen sich entsprechend schwerer umgehen. Wichtige Elemente sind die Nutzerauthentifizierung vor dem Start des Betriebssystems und die Festplattensicherung über ein Passwort.

Kein Zutritt ohne Schlüssel

Nutzerauthentifizierung auf Betriebssystem-Ebene kann mit einer entsprechenden - oft frei zugänglichen - Software umgangen werden. Schutz davor bietet die Authentifizierung vor dem Start des Betriebssystems, die ein Passwort sofort nach dem Anschalten des Notebooks abfragt. Der Anwender kann zwischen drei Optionen wählen:

Das Passwort zur so genannten Pre-boot-Authentifizierung ist eine einfache und effektive Möglichkeit, den Zugang zu kontrollieren. Es wird vom Nutzer abgefragt, sobald er das Gerät anschaltet. Erst nach der korrekten Eingabe startet das System. Die Einstellung im Bios kann der Besitzer selbst vornehmen. Nachteil dieser Lösung: Sie eignet sich nur für einen einzigen Benutzer, da nur ein Passwort angelegt werden kann.

Mit der Smartcard-Authentifizierung erreicht man die nächste Stufe der Sicherheit. Das Passwort für den Systemstart befindet sich nicht auf dem Notebook, sondern auf einer Smartcard, die mit einer persönlichen Identifikationsnummer gesichert ist. Dabei handelt es sich um ein Multifaktor-Konzept: Zusätzlich zur PIN benötigt der Anwender eine Karte, die er bei sich tragen muss. Erst wenn die richtige Geheimzahl eingegeben wird, wird das verschlüsselte Passwort an das Bios übermittelt. Das verstärkt den Schutz nochmals kräftig. Diese Lösung hat den Vorteil, dass sie für mehrere Nutzer konfiguriert werden kann.

Ein Höchstmaß an Sicherheit und Flexibilität bietet ein Embedded-Security-Chip. Das Passwort wird mit Hilfe dieses Sicherheitschips verschlüsselt - die zusätzlichen Sicherungsmechanismen können kaum umgangen werden. Diese Lösung kontrolliert aber nicht nur den Systemstart. Mit dem Chip lassen sich auch der Zugriff auf einzelne Applikationen kontrollieren, Daten verschlüsseln und der Virenschutz verbessern.

Festplatten sicher ausmustern

Alte Festplatten durch schnellere oder größere zu ersetzen ist eine gängige Methode, die Notebook-Leistung zu steigern. Ist die alte Festplatte noch brauchbar, beschränkt sich die Datensicherung oft auf das Löschen der Daten und die Neuformatierung. Allerdings hat auch der altbekannte Befehl "Format C:" nicht den beabsichtigten Effekt. Vertrauliche Daten können mit einfachen Mitteln wiederhergestellt werden - eine große Sicherheitslücke entsteht. Nur das mehrmalige Überschreiben der Daten stellt sicher, dass sie nicht mehr lesbar sind. Hilfe bekommen Anwender dabei von verschiedenen kommerziellen oder frei erhältlichen Tools. Gute Notebook-Hersteller liefern solche Programme mit.

{mospagebreak}

Schlupfloch Festplatte

Wenn ein Notebook, das in fremde Hände gefallen ist, nicht gestartet werden kann, wird möglicherweise versucht, die Festplatte auszubauen. Sie soll dann in ein anderes, nicht gesichertes System als sekundäre Festplatte wieder eingebaut werden. Auf diese Weise lassen sich nahezu alle gespeicherten Daten lesen. Deshalb ist die Sicherung der Festplatte (DriveLock) für Notebook-Besitzer ebenso wichtig wie die Pre-Boot-Authentifizierung. Dazu wird eine Lösung benötigt, die das Starten der Festplatte über ein Passwort kontrolliert, das vor dem Systemstart eingegeben wird. Die Festplatte startet dann nur, wenn das Passwort mit dem Bios verknüpft ist. Befindet sie sich in einem anderen Notebook oder Desktop, läuft sie nicht an, denn bildlich gesprochen fehlt ihr die zweite Hälfte des Passworts, das sich im Bios des Original-Notebooks befindet.

Wiedersehen macht Freude

Nahezu unmöglich wird der unbefugte Zugriff auf die Festplatte, wenn die Verknüpfung um einen TPM-Sicherheitschip erweitert wird. Mit diesem wird ein Passwort generiert, das in der Folge die Festplatte entsperrt. Der Nutzer muss auch in diesem Fall nur ein Passwort eingeben.

Die Festplatte ist nicht nur der Gefahr von Datendiebstahl ausgesetzt. Wichtige Daten können verloren gehen, wenn sie beschädigt wird. Unterwegs sind Stöße gegen das Gerät oft nicht zu vermeiden - beispielsweise auf dem Laufband während des Sicherheitschecks am Flughafen. Das kann die Festplatte schädigen und zum Crash führen. Abhilfe schaffen hier eine spezielle Montage und Lagerung der Festplatte und ein Bewegungssensor.

Dennoch ist Datenverlust durch den Ausfall einer Festplatte nie ganz auszuschließen. Daher sollten Notebook-Besitzer eine geeignete Lösung zur Datensicherung und -wiederherstellung implementieren. Es gibt eine Vielzahl von Lösungen am Markt, unter anderem auch umfassende Software, mit der die Daten nicht nur lokal, auf externen Medien oder auf einem Netzwerklaufwerk zu speichern sind, sondern sich auf Knopfdruck auch wiederherstellen. Diese Software erstellt zudem Boot-fähige Recovery-CDs oder -DVDs - besonders wichtig für den Notebook-Einsatz unterwegs. Mit der CD oder DVD ist ein Festplattenfehler schnell behoben, ohne dass dafür der Zugang zum Unternehmensnetz nötig wäre.

Die Peripherie rückt ins Zentrum

Laufwerke und Steckplätze werden von den Anwendern meistens nicht als mögliche Gefahrenquellen für das Notebook erkannt. Sie lassen oftmals außer Acht, dass ein System auch über einen USB-Stick oder aus dem Netz heraus gestartet werden kann - ganz ohne Passwort. Über eine Bios-Einstellung kann die Hürde für Angreifer erhöht werden: einfach den Systemstart vom optischen Laufwerk, dem Diskettenlaufwerk oder dem Netzwerk deaktivieren. Zudem kann der Anwender die verschiedenen Boot-Möglichkeiten priorisieren.

{mospagebreak}

Wer viel unterwegs ist, benötigt nur wenige Steckplätze, ein oder zwei USB-Anschlüsse genügen meist. Daher ist es sicherer, die ungenutzten Ports zu sperren - hier reicht ebenfalls eine einfache Bios-Einstellung. Der mindestens eine USB-Anschluss, der in der Regel offen sein muss, ist allerdings immer noch ein Unsicherheitsfaktor. Mit einer speziellen Lösung, die in einigen Notebooks zum Einsatz kommt, lässt er sich ausschalten: Über das Bios wird die Nutzungsart des USB-Ports geregelt. So ist beispielsweise das Arbeiten mit einer externen Maus möglich, für ein externes USB-Speichermedium ist der Port jedoch gesperrt.

Der Neugier entkommen

Nun ist das Notebook über eine ausgefeilte Nutzerauthentifizierung geschützt, die Festplatte kann niemand ohne Passwort lesen, und beschädigte Daten können wiederhergestellt werden. Der Besitzer hat ein sicheres Gefühl - bis er mit dem offenen Notebook im Zug sitzt und sich beobachtet fühlt. Neugierigen Blicken zu entkommen ist nicht so einfach. Immerhin kann man unerwünschten Mitlesern die Sicht erschweren: Spezielle Sichtschutzfilter, die vor den Bildschirm montiert werden, verringern den Einblickwinkel. Nur wer direkt vor dem Notebook sitzt, hat freie Sicht.

Notebook-Besitzer haben also viele Möglichkeiten, ihre Daten zu sichern. Allerdings ist ein Notebook im professionellen Umfeld auch immer Teil eines Unternehmensnetzes - das ebenfalls entscheidend zur Schließung von Sicherheitslücken beitragen kann. Die Verschlüsselung von Datenübertragungen jeglicher Art, die Netzüberwachung oder die zentrale Datenspeicherung und -wiederherstellung sind wichtige Elemente jeder umfassenden Sicherheitsstrategie. Hier wird auch festgelegt, welche Sicherheitsstufen für die unterschiedlichen Teile der IT-Umgebung gelten und mit welchem Aufwand sie für Administrator und Nutzer verbunden sind. Denn letztendlich entscheidet der Benutzer. Erst, wenn jeder Mitarbeiter die Sicherheitsfunktionen auch nutzt, ist die Sicherheit von Netzwerk und Clients gewährleistet.

---