Cjdthityyj ctrhtnyj/.*

Wie einige vielleicht aus dem Titel geschlossen haben – geht es diesmal um Verschlüsselung!

Eigentlich um die neue Festplatten- und Datei-Verschlüsselung in unserer neuen Unternehmenslösung.

Lassen Sie mich zunächst aber eine Warnung aussprechen – es wird etwas technisch werden in diesem Artikel. Ich versuche, das möglichst gering und wenig langweilig zu halten. Wenn das Thema Verschlüsselung bei Ihnen aber nicht die geringste Lust aufkommen lässt, sollten Sie vielleicht erst gar nicht weiterlesen – und lieber etwas über die touristischen Schätze von Neuseeland erfahren :).

Alsooooo. Verschlüsselung:

Kaspersky Security for Business Encryption

Vielleicht fragen Sie sich, warum wir jetzt plötzlich auch mit Verschlüsselung arbeiten, wo es doch zahlreiche Firmen da draußen gibt, die schon Verschlüsselungslösungen anbieten – inklusive kostenloser Programme, kostenpflichtiger Programme und Shareware; kommerziell und als Open Source. Warum also? Braucht die Welt noch eine weitere Möglichkeit zur Verschlüsselung? Aber klar – wenn die Verschlüsselung damit auf einen ganz neuen Stand gebracht wird und die Lösung verschiedene, hochwertige Sicherheitsfunktionen auf einer einzigen Plattform kombiniert, wie es keine andere schafft. Aber ich greife schon vorweg…

Erst einmal zurück, etwas Kontext, etwas Hintergrund…

Ich habe schon über die zwei Hauptprobleme der IT-Sicherheit in Unternehmen geschrieben – (i) überhandnehmende Komplexität und Entwicklung von IT-Systemen, und (ii) der Umstand, dass die Budget-Taschen für den Aufbau, die Anpassung und die Wartung solcher IT-Systeme nicht endlos gefüllt sind. Diese Probleme gelten natürlich nicht nur für die IT-Sicherheit, sondern für die IT als Ganzes. Und wenn man etwas genauer hinsieht, merkt man, dass das weltweite Probleme sind.

Interessanterweise halten sich diese beiden Probleme an das Gesetz der Kommunizierenden Röhren: Der Versuch, ein Budgetproblem mit nicht-budgetären Mitteln zu lösen (etwa durch die Installation kostenloser Software) führt automatisch zu einer Erhöhung des Wasserstands in allen Röhren – oder anders gesagt, erhöht die Komplexität des Systems, was zum Dilemma führt, dass die Gesamtkosten des Systems trotzdem steigen.

Was kann man also tun?

Die Lösung: All-in-One. Schutz vor Schadprogrammen, Spam, Zero-Day-Attacken und anderen Internet-Bedrohungen;  Whitelisting, Default Deny, Applikationskontrolle, Mobile Device Management (MDM), Management des Web-Traffics und nicht zuletzt – Verschlüsselung; all diese wichtigen Teilbereiche der Sicherheit werden über eine einzige Systems-Management-Konsole kontrolliert; und das ohne die sonst üblichen Kompromisse zwischen Zuverlässigkeit und Funktionalität.

Die Verschlüsselung zieht sich durch das ganze System – im Grund untermauert sie es. Die Datenverschlüsselung ist nötig, um im Verlust- oder Diebstahlsfall von Firmengeräten – oder heutzutage auch von privaten Geräten mit darauf gespeicherten Firmendaten – den unerlaubten Zugriff auf die Daten zu verhindern. Laut einer interessanten Untersuchung von Intel, kostet jeder verlorene oder gestohlene Laptop eine Firma durchschnittlich etwa 50.000 US-Dollar; die Kosten des Geräts selbst betragen nur zwei Prozent dieser Summe; der Rest ergibt sich aus dem Schaden durch die verlorenen Daten (können Sie sich nun also vorstellen, wie viel Geld Sie durch die Verschlüsselung sparen können?!).

Die Verschlüsselung spielt aber noch weitere wichtige Rollen in der IT-Sicherheit als nur diese offensichtliche. Sie kämpft zum Beispiel auch an vorderster Front gegen Datenlecks. Sie stärkt auch vollwertige Programmkontrollen, hilft bei der Trennung von privaten und Firmendaten auf mobilen Geräten, und noch einiges mehr. Daher veränderte sich der Markt der Verschlüsselungslösungen auch von maßgeschneiderten hin zu multifunktionalen Lösungen. Und darin sind auch die neuen Verschlüsselungsfunktionen unserer Kaspersky Endpoint Security for Business enthalten.

So weit so gut. Jetzt zu den Details der Verschlüsselung, die nun in unseren Lösungen enthalten ist – und warum sie besser als andere ist…

Es ist natürlich so, dass jeder gerne andere Funktionen in einem Verschlüsselungssystem hätte, deshalb haben wir uns entschlossen, alle abzudecken. Wir bieten zwei Verschlüsselungsarten im Menü: FDE (Full Disk Encryption – Festplattenverschlüsselung) und FLE (File Level Encryption – Datei-Verschlüsselung), so dass alle Anforderungen erfüllt werden können. Oder Sie verwenden beide Arten und schützen mit FLE die Bürorechner, mit FDE die Laptops.

Wie der Name schon sagt, verschlüsselt FDE alles auf einem Datenträger, inklusive Authentifizierung vor dem Laden des Betriebssystems. Und hier haben wir noch eine weitere praktische Funktion hinzugefügt: Durch die Eingabe des persönlichen Passworts an dieser Stelle identifiziert sich der Nutzer auch gleich für das Betriebssystem (Applaus für das Single Sign-On).

Kaspersky Security for Business Encryption

FLE bietet dagegen die Verschlüsselung einzelner Dateien und Ordner.

Lassen Sie mich nun darstellen, weshalb unsere Lösung besser als andere ist – in drei Punkten:

  • Unsere Verschlüsslung kann individuell eingestellt werden, so dass sie nur bestimmte Dateitypen verschlüsselt (etwa .doc oder .xls), kann aber auch alle Arten von Dateien verschlüsseln, die von bestimmten Programmen erstellt werden – egal, wie die Dateierweiterung lautet und wo die Datei liegt. Davon abgesehen können Sie dank der Integration der verschiedenen Technologien auch Verschlüsselungsregeln für jedes Programm erstellen. Das funktioniert dank einem anderen wichtigen Teil unserer Lösung – der Programmkontrolle.

Kaspersky Security for Business Encryption

Kaspersky Security for Business Encryption

Ein anderes praktisches Beispiel für die Vorteile der integrierten Technologie: Daten können auf einem Computer zwar per FLE verschlüsselt werden, doch eine Lücke klafft immer noch – die Print-Screen-Funktion. Über unsere Lösung ist es möglich, Programme zu sperren, mit denen der Bildschirminhalt ausgedruckt werden kann, während der System-Administrator nur den magischen Prt-Scr-Key in der Registry ändern kann.

Kaspersky Security for Business Encryption

  • Unsere Verschlüsselung stellt sicher, dass Dateien verschlüsselt bleiben, auch wenn sie im Netzwerk auf andere Datenträger verschoben werden. Viele andere Lösungen schützen die Daten nur lokal, und sobald diese verschoben oder auf einen externen Datenträger kopiert werden, sind sie unverschlüsselt (das ist leider wirklich so).

Eine weitere interessante Funktion: Für die Nutzung verschlüsselter USB-Sticks gibt es den so gennannten Portable-Modus, der es autorisierten Anwendern erlaubt, Dateien sogar auf Computern zu öffnen, auf denen unsere Lösung nicht installiert ist. Dafür gibt es einen speziellen autonomen Dateimanager – so eine Art Mini-Browser. Um Dateien mit diesem Browser ansehen zu können, muss der Anwender sein Passwort eingeben; das übrigens nicht „12345“ oder ähnlich dumm sein darf, sondern mindestens dem Maß der vom Sysadmin festgelegten Firmen-Policy entsprechen muss.

Kaspersky Security for Business Encryption

Kaspersky Security for Business Encryption

  • Und es gibt auch die Möglichkeit, den Zugriff auf verschlüsselte Daten für bestimmte Programme zu limitieren. Etwa um zu verhindern, dass verschlüsselte Dateien über Skype verschickt werden, während die eigentlichen Funktionen von Skype nicht beeinträchtigt werden. Und falls jemand versucht, vertrauliche Dateien zu speichern oder über einen öffentlichen Cloud-Service wie Dropbox (von dem bekannt ist, dass er schon gehackt wurde) zu verschieben, werden sie automatisch in verschlüsselter Form gespeichert/verschoben.

Sowohl FDE als auch FLE arbeiten im Hintergrund, verschlüsseln und entschlüsseln die Daten On-the-fly und benötigen keinen Eingriff, keine Bestätigungen oder das Drücken einer Taste. In anderen Worten: Wird etwas auf die Festplatte geschrieben, schaltet sich unser Agent leise dazwischen, verschlüsselt die Daten und bringt sie an den richtigen Ort. Der verwendet Algorithmus ist der goldene Standard – 256 Bit AES, der gehackt werden kann – das kostet nur 1,5 Trillionen US-Dollar, benötigt vier Terawatt elektrischer Energie (mehr als der jährliche Verbrauch der USA) und klappt nur mit der gesamten Rechenpower, nunja, der ganzen Welt!

Natürlich gibt es manchmal auch Pannen – entweder von der Software, der Hardware oder durch menschliches Versagen. Doch auch dafür gibt es einen passenden Ausweg. Der Sysadmin hat dafür eine Disk mit einem speziellen Utility, das die Daten entschlüsseln kann. Hat ein Anwender nach den Sommerferien das Passwort vergessen, kommt die Challenge-Response-Authentifizierung ins Spiel. Und sollte dieses Vergessen absichtlich oder aus bösartigen Gründen erfolgt sein, kann auf die verschlüsselten Daten über den Admin-Account zugegriffen werden.

Kaspersky Security for Business Encryption

Diese drei Funktionen – und der ganze Rest – kommen nicht mit einem verwirrenden Mischmasch lokaler Agenten, Kontrollsysteme oder Policies. Alle Verschlüsselungsfunktionen (genau wie die anderen Schutzmodule) sind in einem Programm enthalten, werden von einer einzigen Konsole aus gesteuert und richten sich nach einer einzigen Security-Policy.

Kaspersky Security for Business Encryption

Und warum konnten wir so einen Verschlüsselungs-Coup landen, wenn das andere bisher nicht geschafft haben?

Das ist eigentlich ganz einfach: Wir kaufen nicht einfach andere Sicherheitsanbieter auf, um ganz bequem den Entwicklungsprozess zu umgehen. Nein, nein. Mit so einer Einstellung treten früher oder später immer Probleme auf, neben der Unverträglichkeit der zusammengeworfenen Firmen. Nein, wir haben alles selbst von Grund auf entwickelt. Dadurch sind wir die Ersten mit einem Verschlüsselungs-Security-Programm als Teil einer umfassenden, komplexen Sicherheitslösung, deren Implementierung, interne Integration in verschiedene Technologien, Flexibilität und Skalierbarkeit bereits etwas erwachsener sind, als andere. Oh ja!

Kurz noch zu unseren Zukunftsplänen:

Momentan funktioniert die Verschlüsselung nur auf Windows-Workstations. In den kommenden Versionen wird sie auch für Windows-Server sowie Linux- und Mac-Rechner zur Verfügung stehen. Wir werden auch die Unterstützung von Smart Cards und Tokens beim Laden des Betriebssystems einbauen, weitere Methoden zur Wiederherstellung des Zugriffs auf Daten (Sicherheitsfragen), die Aufrechterhaltung der Verschlüsselung beim Versand per E-Mail und noch viel mehr.

Weitere Informationen zur Verschlüsselung finden Sie in unserer Unternehmensborschüre oder auf dieser Seite.

* PS: Wer hat herausgefunden, was in der Überschrift dieses Beitrags steht?

Kommentare lesen 1
Kommentare 1 Hinterlassen Sie eine Nachricht.

    Wladimir Helmut

    Совершенно секретно/.*
    Top-Secret/*
    Streng geheim/*

Hinterlassen Sie eine Nachricht.