FDE-Grundlagen: Festplattenverschlüsselung im Unternehmen

Mit Festplattenverschlüsselung lassen sich ruhende Daten (Data at Rest) auf Geräten schützen. Dadurch wird das Risiko von Datenlecks minimiert.

Die Festplattenverschlüsselung (Full Disk Encryption, FDE) ist eine bestimmte Art der Speicherverschlüsselung, um alle nicht verwendeten Informationen, sogenannte Data at Rest oder ruhende Daten, auf der Festplatte eines Desktop-Rechners oder Laptops zu verschlüsseln

Dazu zählen nicht nur Endbenutzerdaten, wie Dateien und Anwendungseinstellungen, sondern auch ausführbare Dateien, die etwa zu Anwendungen oder zum Betriebssystem gehören. Alle Organisationen beliebiger Größe, die sensible ruhende Daten schützen müssen – was heuzutage so gut wie jeden betrifft –, können durch den Einsatz von FDE-Technologien profitieren.

Wenn ein Gerät mit sensiblen Informationen verloren geht oder gestohlen wird, besteht das größte Risiko im Zusammenhang mit ruhenden Daten darin, dass Unbefugte diese Daten auslesen können. Auf diese Weise erbeutete finanzielle Informationen, Kundendaten, Arztberichte und weitere vertrauliche Daten können zu erheblichen Datenlecks und Kosten führen. Die Nutzung von FDE-Technologien vermindert dieses Risiko, solange das fragliche Gerät bei seinem Verlust noch nicht gebootet hat.

Wenn jemand ein FDE-geschütztes Gerät verwenden will, muss er es zuerst starten und dann – während des Bootvorgangs des Betriebssystems – zur Authentifizierung gültige Anmeldeinformationen (zum Beispiel ein Passwort) angeben. (Die Anmeldeinformationen können remote gespeichert werden, etwa als Teil einer Active-Directory-Implementierung, oder lokal.) Nur nach erfolgreicher Authentifizierung werden die verschlüsselten Daten auf der Festplatte des Gerätes entschlüsselt, so dass der Bootvorgang fortgesetzt werden kann und auf das Betriebssystem des Rechners zugreifen darf.

Außerdem schützt FDE ruhende Daten, beispielsweise die Informationen, die auf einem Geräte gespeichert sind, wenn es sich in einem „ausgeschalteten“ Zustand befindet, oder wenn ein Laptop im Energiespar- oder Ruhemodus ist. FDE kann keine Daten sichern, während sie verwendet werden. 

Zu diesem Zweck existieren andere Lösungen der Speicherverschlüsselung. Zu diesen Lösungen gehören die virtuelle Datenträgerverschlüsselung, die innerhalb eines virtuellen Containers gespeicherte Daten schützt, außerdem die Volumeverschlüsselung, die Daten innerhalb eines einzelnen logischen Volumes schützt, sowie die Dateiverschlüsselung, die einzelne Datendateien schützt.

Organisationen, die sowohl ruhende als auch verwendete Daten schützen müssen, nutzen FDE häufig zusammen mit einer oder mehreren dieser anderen Speicherverschlüsselungsarten.

Software- und Hardware-basierte FDE

Die meisten FDE-Lösungen sind Software-basiert und in vielen gängigen Betriebssystemen integriert, zum Beispiel BitLocker für Windows und FileVault für Mac OS X. Zudem gibt es eine Vielzahl an Add-ons von Drittanbietern aus dem kommerziellen oder Open-Source-Lager. Insgesamt unterstützen diese Tools so gut wie jedes Betriebssystem auf dem Markt.

Allerdings, und das gilt für jedes Software-basierte Sicherheitsprodukt, können böswillige User oder Angreifer FDE deaktivieren und einen Denial-of-Service-Zustand verursachen oder einen nicht autorisierten Zugang zu sensiblen Informationen ermöglichen.

Inzwischen arbeiten einige FDE-Lösungen Hardware-basiert und sind in Festplatten-Controller eingebaut. Diese Form von FDE bietet ähnliche Funktionen wie Software-basierte FDE: Beim Booten eines Gerätes verlangt der Controller, dass die Anwender sich erfolgreich authentifizieren, bevor der Startvorgang fortgesetzt werden kann.

Da die FDE-Funktionen in der Festplatte integriert sind, lassen sie sich jedoch nicht deaktivieren oder entfernen. Aus der gleichen Überlegung heraus kann man eine Festplatte nicht nachträglich mit FDE als Hardwareprodukt aufrüsten.

Lokale und zentralisierte FDE-Verwaltung

Bei FDE-Technologien gibt es zwei Verwaltungsmöglichkeiten: lokal und zentralisiert. Bei der lokalen Verwaltung ist entweder der Nutzer oder der Administrator des Laptops oder Desktop-Computers verantwortlich für die manuelle Verwaltung der FDE-Software (sofern vorhanden), der FDE-Konfiguration und sonstiger Elemente des FDE-Tools, etwa der Authentifikatoren.

Mehr zum Thema Verschlüsselung:

Ende-zu-Ende-Verschlüsselung: Drei empfehlenswerte Lösungen.

Die wichtigsten Verschlüsselungs-Funktionen in Microsoft SQL Server 2014.

Data Security und Cloud Computing: Kontrollen für die Daten-Verschlüsselung.

Laufwerksverschlüsselung: Das ist neu in BitLocker mit Windows 8/8.1.

Bei der zentralisierten Verwaltung kann ein einziger Administrator gleichzeitig die FDE-Funktionen vieler Rechner verwalten und überwachen. Aus Skalierungsgründen eignet sich die zentralisierte Verwaltung für die meisten Organisationen sicherlich besser. Administratoren müssen allerdings in der Regel Hardware-basierte FDE-Lösungen lokal verwalten. Deshalb ist die Nutzung von Hardware-basierter FDE bislang nicht weit verbreitet.

Die FDE-Verwaltung dreht sich hauptsächlich um die Verwaltung von Kryptografieschlüsseln. Organisationen müssen den privaten oder geheimen Schlüssel an einem sicheren Ort speichern, wo er vor unbefugten Anwendern oder Malware geschützt ist. Ferner muss gewährleistet sein, dass nur autorisierte Benutzer, die sich erfolgreich authentifiziert haben, auf diesen Schlüssel zugreifen dürfen.

Die Sicherheit dieses Authentifikators, zum Beispiel eines Passworts, ist von höchster Wichtigkeit, und viele Organisationen verlangen zu dessen Schutz die Nutzung von Multifaktor-Authentifizierung (MFA) - etwa von einem Passwort und einem Code aus einem kryptografischen Token.

Kosten der FDE-Bereitstellung

Software-basierte FDE-Lösungen lassen sich im Allgemeinen kostenlos nutzen, wenn sie in ein Betriebssystem integriert sind, während FDE-Lösungen von Drittanbietern üblicherweise Ausgaben pro Gerät verursachen.

Die größten Kosten entstehen durch die Verwaltung und Wartung von FDE: Einspielen von Software-Updates, Verwalten von Authentifikatoren, Überwachen von Konfigurationseinstellungen, Beheben von Problemen sowie – am wichtigsten – Entsperren des Zugriffs auf verschlüsselte Laptops und Desktop-Rechner, wenn Nutzer ihre Passwörter vergessen haben. In diesem Szenario lässt sich das Gerät erst dann wieder verwenden, wenn der kryptografische Schlüssel durch einen autorisierten Administrator wiederhergestellt wurde.

FDE auf einem vorhandenen Gerät zu aktivieren, kann ebenfalls Kosten verursachen, da der betreffende Laptop oder Desktop-PC eventuell nicht zur Verfügung steht, solange dessen Festplatte verschlüsselt wird. Zum Glück erlauben die meisten FDE-Produkte, dass diese Verschlüsselung im Hintergrund ausgeführt wird.

In den Anfangstagen von FDE gab es Bedenken, dass der Einsatz dieser Technologien das Arbeiten erheblich verlangsamen würde, insbesondere was die Startzeiten eines Gerätes betrifft. In der Praxis sind diese Verzögerungen aber im Allgemeinen minimal und dementsprechend ist die Störung für die Anwender bei standardmäßiger FDE-Nutzung zu vernachlässige.

Zusammenfassung

Da FDE eine starke Authentifizierung voraussetzt, bevor ein Gerät booten kann, ist diese Technologie ein probates Mittel gegen Datenlecks bei Verlust oder Diebstahl von Geräten. Obwohl einige FDE-Lösungen Lizenzkosten pro Gerät nach sich ziehen (während andere bereits im Betriebssystem integriert sind), verursachen Wartung und Verwaltung von FDE die größten Kosten. Bei einer umfangreicheren Bereitstellung muss zudem ein FDE-Rollout zentral verwaltet werden, um Konfigurationen zu sperren und Verschlüsselungsschlüssel vor nicht autorisiertem Zugriff zu schützen.

FDE ist eine nützliche Technologie für so gut wie jede Organisation, da sie ruhende Daten auf Desktop-Computern und Laptops absichert. Doch sie alleine reicht nicht aus, um alle Daten vor dem gesamten heutigen Bedrohungspotenzial zu schützen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im März 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Betriebssystemsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close