1 Medium: Magnus.de Datum: 23.07.2008 Pis/Monat

Medium:
Datum:
Pis/Monat:
Magnus.de
23.07.2008
5,313 Mio
1
Datenspionage verhindern
Geheimniskrämer
Fast jeder hat auf seinem PC Dateien, die nicht jeder einsehen sollte. Wie Sie vertrauliche
Dokumente mit kostenlosen Tools vor fremden Augen schützen, lesen Sie auf den
folgenden Seiten.
Ob Ihr PC nun in einem Büro oder zu Hause steht: Sie können kaum verhindern, dass
jemand anderes sich Zugang dazu verschafft. Sofern Sie Ihre Daten nicht schützen, kann
jeder, der Zugriff auf Ihren PC hat, Office-Dokumente, E-Mails, Fotos, Videos oder auch
Zugangsdaten einsehen, löschen oder gar manipulieren. Noch stärker gefährdet als
Desktop-PCs ist ein Notebook, das unterwegs gestohlen werden kann oder das Sie
irgendwo unbewacht liegen lassen. Je nachdem, welche Daten auf dem PC gespeichert
sind, kann das peinlich für den Besitzer oder sogar bedrohlich für sein Unternehmen
werden.
Wirkungsvollen Schutz vor neugierigen Augen bietet die Verschlüsselung der Daten. Dazu
nutzen Sie entweder die Bordmittel von Windows XP oder Vista oder kostenlose Tools.
Sowohl die Windows-eigene Verschlüsselung als auch die durch fremde Tools arbeitet
transparent und in Echtzeit (on the fly): Das bedeutet, dass Sie nicht bei jedem Öffnen,
Speichern und Schließen einer verschlüsselten Datei zur Eingabe des Kennworts
aufgefordert werden, was auf Dauer sehr lästig ist. Lediglich beim Windows-Start müssen
Sie sich mit dem für Ihr Benutzerkonto festgelegten Kennwort ausweisen. Das heißt
allerdings auch, dass die verschlüsselten Dateien nicht geschützt sind, solange der PC
während Ihrer Abwesenheit weiterläuft – dazu müssen Sie zusätzlich den Zugriff auf den
PC mit einem kennwortgeschützten Bildschirmschoner sperren.
Beachten Sie bitte, dass die im Folgenden besprochenen Schutzmaßnahmen wirkungslos
sind gegen Schnüffel-Software wie etwa Keylogger oder Backdoors: Während Sie an den
Dokumenten arbeiten, liegen sie unverschlüsselt im Arbeitsspeicher und in den
temporären Dateien, die Anwendungsprogramme möglicherweise auf der Festplatte
zwischenspeichern (sofern die Temp-Dateien nicht in einem verschlüsselten Ordner
abgelegt sind). Dort kann Software die Daten einfach auslesen. Und ein Keylogger greift
einfach das Kennwort ab.
Mit Bordmitteln
Windows XP und Vista bringen mit dem Encrypting File System (EFS) die Möglichkeit mit,
Dateien und Ordner transparent verschlüsseln zu lassen. Allerdings steht EFS nur bei den
Profiversionen der beiden Betriebssysteme zur Verfügung, also bei Windows XP Pro und
bei Vista Enterprise und Ultimate. Besitzer anderer Windows-Versionen müssen auf das
kostenlose Verschlüsselungs-Tool Truecrypt zurückgreifen, das EFS allerdings ohnehin in
mehreren Bereichen überlegen ist (dazu gleich mehr).
Die Verschlüsselung per EFS in XP und Vista erfordert, dass die Daten auf einer mit dem
Dateisystem NTFS formatierten Festplatte abgelegt sind – das ist der Standard bei beiden
Betriebssystemen. Dafür ist die Vorgehensweise beim Ver- und Entschlüsseln
konkurrenzlos einfach: Klicken Sie den Ordner beziehungsweise die Datei, die Sie
verschlüsseln wollen, im Explorer mit der rechten Maustaste an und rufen den Befehl
Eigenschaften auf. Dann klicken Sie auf Erweitert und aktivieren die Option Inhalt
verschlüsseln, um Daten zu schützen.
Achten Sie darauf, dass die Option Inhalt für schnelle Dateisuche indizieren ausgeschaltet
bleibt, damit die Inhalte der verschlüsselten Dateien nicht über den Index der
Suchfunktion einsehbar sind. Klicken Sie dann zweimal auf OK. Falls es sich um einen
Ordner handelt, fragt der Explorer nun nach, ob nur der Ordner oder auch alle
2
untergeordneten Ordner und Dateien verschlüsselt werden sollen – treffen Sie die
gewünschte Auswahl, und schließen Sie den Dialog.
Falls Sie die Verschlüsselung wieder aufheben wollen, deaktivieren Sie sie einfach über
den Eigenschaften-Dialog für die Datei oder den Ordner.
Im Explorer wird der Name einer verschlüsselten Datei bzw. eines Ordners grün
dargestellt. Falls Sie das verhindern wollen, schalten Sie die Option Verschlüsselte oder
komprimierte NTFS-Dateien in anderer Farbe anzeigen ab: Diese Option finden Sie,
wenn Sie im Explorer den Befehl Extras/Ordneroptionen aufrufen und das Register
Ansicht öffnen.
Bei der Verschlüsselung mit EFS sind drei Dinge zu beachten
• Temporäre Dateien, die bei der Bearbeitung eines verschlüsselten Dokuments
entstehen, werden nur dann ebenfalls verschlüsselt, wenn sie in einem Ordner
liegen, für den Sie die EFS-Verschlüsselung aktiviert haben. Das bedeutet, dass Sie
einen Ordner für temporäre Dateien anlegen sollten, der automatisch verschlüsselt
wird; außerdem sollten Sie bei Anwendungen wie Microsoft Word, die temporäre
Dateien im gleichen Ordner wie das bearbeitete Dokument anlegen, nicht
einzelne Dokumente, sondern immer den gesamten Ordner verschlüsseln, in dem
diese sich befinden.
• Mit EFS verschlüsselte Daten werden automatisch entschlüsselt, wenn Sie diese auf
einen Datenträger kopieren oder verschieben, der nicht mit NTFS formatiert ist,
also zum Beispiel einen USB-Stick. Zum Absichern von Dokumenten auf einem
USB-Stick nutzen Sie besser das unten besprochene Truecrypt
• Windows XP und Vista nutzen zur Verschlüsselung den als sicher geltenden
Algorithmus AES. Der zum Chiffrieren der Daten verwendete digitale Schlüssel
wird auf der Festplatte abgelegt. Er wird zwar verschlüsselt gespeichert, ist aber
dennoch für jemand, der sich zum Beispiel Ihr Notebook unter den Nagel reißt,
grundsätzlich zugänglich. Und der könnte den Schlüssel mit einem CrackProgramm knacken – entsprechende Tools kursieren im Internet oder sind
kommerziell zum Beispiel bei der Firma Elcomsoft erhältlich
([ext:http://www.elcomsoft.com][/ext]).
Kennwörter verschlüsseln
Wenn Sie Ihre Notizen vor neugierigen Augen verbergen wollen, können Sie sie natürlich
in einer Textdatei in Notepad oder Ihrem Textprogramm in einem verschlüsselten Ordner
bzw. einem Truecrypt-Container speichern. Bequemer und sicherer geht es aber mit
Steganos Locknote, einem cleveren, kleinen Verschlüsselungsprogramm. Das Tool eignet
sich auch gut als Tresor für Passwörter.
Locknote ist kostenlos und stammt von der auf Sicherheits-Software spezialisierten Firma
Steganos (http://locknote.steganos.com). Anders als bei ihren kommerziellen Produkten
hat die Firma den Quellcode zu Locknote offengelegt und das Tool unter die GPL gestellt.
Das Programm müssen Sie nicht installieren, gestartet wird es durch einen Doppelklick
auf die Exe-Datei. Es erscheint dann ein Fenster, in das Sie Notizen, Kennwörter oder
andere vertrauliche Informationen eintippen oder per Drag & Drop aus einem anderen
Programm ins Fenster befördern. Dann rufen Sie den Befehl Datei/Passwort ändern auf
und geben ein Kennwort ein – Locknote verschlüsselt die Daten mit dem sicheren AESAlgorithmus mit 256-Bit-Schlüssel und speichert sie als Locknote.exe.
Wenn Sie mehrere Notizarchive anlegen oder einen unauffälligen Namen wählen wollen,
nutzen Sie den Befehl Datei/Speichern unter. Sie erhalten dann ebenfalls eine Exe-Datei,
die neben den eingegebenen Daten allen Code enthält, der zum Dechiffrieren notwendig
3
ist, sobald das Kennwort eingegeben wurde. Auf diese Weise können Sie Locknote und
die damit gesicherten Kennwörter auch auf einem USB-Stick überall hin mitnehmen.
Denken Sie daran: Solange das Locknote-Fenster offen ist, kann jeder auf die Daten
zugreifen, der sich Zugang zu Ihrem PC verschafft. Erst wenn Sie das Fenster schließen,
sind die Daten sicher geschützt, da zum Öffnen der Datei das Kennwort erforderlich ist.
Bessere Alternative:
Truecrypt Für alle, die Microsofts EFS nicht nutzen können oder wollen, stellt das OpenSource-Programm Truecrypt eine kostenlose und auch leistungsfähigere Alternative dar.
Truecrypt verschlüsselt nicht nur auf NTFS-Laufwerken, sondern auch auf Datenträgern,
die mit FAT oder FAT32 formatiert sind, also auch auf USB-Sticks. Außerdem ist die
Software auch für Linux und Mac OS X erhältlich. Gerade für eine sensible Anwendung
wie die Verschlüsselung wichtig: Der Quellcode von Truecrypt liegt offen und wurde von
Kryptographie-experten auf Sicherheitslücken und Hintertüren geprüft. Crack-Tools wie
für EFS sind bislang nicht bekannt.
Seit Version 5 beherrscht Truecrypt auch die Verschlüsselung der Boot-Partition von
Windows. Dadurch kann ein Angreifer den geschützten PC nur dann hochfahren, wenn
er das Benutzerkennwort hat. Das Hochfahren des PCs beispielsweise mit einer Linux-CD
ist zwar trotzdem möglich, die Daten auf der Windows-Partition sind aber sicher.
Wenn Sie nur einzelne Ordner oder Dateien verschlüsseln, speichert Truecrypt diese in
einer so genannten Containerdatei und zeigt die Dateien im Windows-Explorer wie
normale Dateien an. Der Container erscheint als ein eigenes Laufwerk im Explorer – so
als hätten Sie auf der Festplatte ein zusätzliches Laufwerk eingerichtet. Falls Sie ganz
sicher gehen wollen, dass die Dateien nicht von jemand Fremden gefunden werden,
richten Sie dafür einen versteckten Container ein.
Container verschlüsseln
Holen Sie die neueste Programmversion sowie das deutsche Language Pack von
http://www.truecrypt.org, und installieren Sie die Software. Achten Sie dabei darauf, dass
die Option Create System Restore point eingeschaltet ist, so dass Sie im Notfall die
Installation mit der Windows-Systemwiederherstellung rückgängig machen können.
Dekomprimieren Sie dann das Sprachpaket, und kopieren Sie die Datei Language.de.xml
in das Programmverzeichnis. Und so verschlüsseln Sie Dateien und Ordner und speichern
sie in einem Truecrypt-Container: Starten Sie das Programm, und wählen Sie unter LW
den Laufwerksbuchstaben aus, unter dem der Truecrypt-Container zu finden sein soll – in
Truecrypt wird das Laufwerk als Volume bezeichnet. Nehmen Sie dazu einen freien
Buchstaben, nicht den, unter dem sich beispielsweise ein USB-Stick befindet – sonst
gehen die auf diesem Datenträger vorhandenen Dateien verloren. Klicken Sie dann auf
Volume erstellen, entscheiden Sie sich für die Option Create a file container und klicken
Sie auf Weiter. Die Software ist bislang nicht komplett eingedeutscht, daher die
englischen Optionsnamen. Dann geben Sie an, ob Sie einen normalen oder einen
versteckten (hidden) Container anlegen wollen.
Im nächsten Schritt wählen Sie den Datenträger, auf dem Sie den Truecrypt-Container
speichern wollen, und geben einen Dateinamen ein. Der Container wird dann unter
diesem Namen auf der lokalen Festplatte, im Netzwerk oder auch auf einem USB-Stick
gespeichert. Diese Datei können Sie nachträglich umbenennen, verschieben, kopieren
oder auch löschen. Geben Sie aber nicht den Namen einer vorhandenen Datei an, da
diese sonst durch den Container unwiederbringlich überschrieben wird.
4
Jetzt haben Sie die Wahl, welcher Verschlüsselungsalgorithmus und welches Verfahren
zum Einsatz kommen sollen. Die aufwändigeren Verfahren wie die Kombination aus AES,
Twofish und Serpent versprechen höhere Sicherheit, weil sie den Arbeitsaufwand für
einen Angreifer, der die Verschlüsselung zu knacken versucht, deutlich erhöhen. Aber
wenn Sie nicht gerade Firmengeheimnisse schützen müssen, die mehrere Millionen Euro
wert sind, reicht AES vollkommen aus, zumal die Ver- und Entschlüsselung hier um den
Faktor 4 bis 5 schneller ist als bei den aufwändigeren Verfahren. Wie schnell die
verschiedenen Algorithmen und Verfahren auf Ihrem System arbeiten, ermitteln Sie über
den Button Benchmark.
Entscheiden Sie sich also am einfachsten für AES und den voreingestellten HashAlgorithmus. Dann geben Sie an, wie viele Kilo- bzw. Megabyte für den Container auf
dem Laufwerk reserviert werden sollen.
Sicheres Kennwort
Geben Sie zweimal das Kennwort ein, mit dem der Zugriff auf den Truecrypt-Container
geschützt werden soll. Beachten Sie dabei die Hinweise zur Kennwortstärke im Dialog.
Als zusätzliche Maßnahme können Sie eine beliebige Datei oder mehrere als
Schlüsseldatei definieren und als weitere Schlüssel heranziehen lassen. Der Zugriff auf
den Container ist nur dann möglich, wenn diese Schlüsseldateien vorhanden sind. Am
besten geeignet sind dazu komprimierte Dateien, also Zip-, Jpeg- oder MP3-Dateien.
Schlüsseldateien erschweren Brute-Force-Angriffe und helfen gegen Keylogger – ein
Keylogger kann zwar Ihr Kennwort mitlesen, aber nicht nachvollziehen, welche Dateien
Sie als Schlüsseldateien verwenden.
Noch ein Hinweis zum Kennwort: Wenn Sie das für die Verschlüsselung verwendete
Kennwort vergessen, gibt es keine Möglichkeit mehr, an Ihre Daten heranzukommen.
Statt es zu notieren, können Sie es auch wie auf Seite 95 besprochen mit dem
kostenlosen Tool Locknote sicher speichern.
Bevor Sie nun auf Formatieren klicken, um den Container anlegen zu lassen, bewegen Sie
die Maus einige Zeit durch den Dialog, um die Erzeugung eines Zufallswertes zu
beeinflussen. Dieser Zufallswert wird dann von Truecrypt für die Schlüssel herangezogen,
die zur Chiffrierung der Daten genutzt werden. Klicken Sie im Anschluss auf Beenden
(oder auf Weiter, falls Sie einen weiteren Container einrichten wollen).
Klicken Sie nun in Truecrypt auf Datei, und wählen Sie die gerade angelegte
Containerdatei aus. Achten Sie darauf, dass im Feld Volume die Option Verlauf nicht
speichern eingeschaltet ist. Dann klicken Sie auf Einbinden. Nun geben Sie das für den
Container festgelegte Kennwort ein; falls der Container zusätzlich durch Schlüsseldateien
geschützt ist, wählen Sie diese aus. Damit Sie während der Arbeit nicht ständig das
Kennwort eintippen müssen, wenn Sie verschlüsselte Dateien öffnen wollen, aktivieren
Sie die Option Kennwort und Schlüsseldatei im Cache halten aktivieren. Dann müssen
Sie aber dafür sorgen, dass in Ihrer Abwesenheit niemand an Ihren laufenden PC kommt
– am einfachsten richten Sie dafür einen kennwortgeschützten Bildschirmschoner ein.
Nun wird der Container im Windows-Explorer als Laufwerk angezeigt. Sie können jetzt
Dateien auf dieses Laufwerk verschieben, Dateien in Ihren Anwendungen auf diesem
Laufwerk speichern oder dort öffnen.
Nach einem Neustart des PCs müssen Sie erst Truecrypt aufrufen und das Volume wieder
einbinden, damit Sie im Explorer auf den Container zugreifen können. Wenn Sie
während der Arbeit am PC die Dateien in einem bestimmten Container nicht verwenden
wollen, trennen Sie den Container (rechter Mausklick, Befehl Trennen).
5
Verschlüsselte E-Mail-Anhänge
Wenn Sie vertrauliche Dokumente per E-Mail versenden, hilft die Verschlüsselung per
EFS nicht. Truecrypt-Container dagegen können Sie per Mail verschicken, müssen dann
allerdings dem Empfänger das Kennwort mitteilen (und eventuell verwendete
Schlüsseldateien mitgeben) – und ihn bitten, Truecrypt zu installieren und die Bedienung
zu lernen. Eine noch höhere Hürde stellt die Installation und Nutzung eines MailVerschlüsselungsprogramms wie PGP oder GnuPG dar.
Wenn Sie mit Kollegen oder Bekannten gelegentlich einmal verschlüsselte Dateien
austauschen wollen, gibt es zwei unkomplizierte Wege: Sie nutzen die
Verschlüsselungsfunktion von Word, Excel oder auch Winzip. Oder Sie setzen das im
Folgenden besprochene kostenlose Tool Axcrypt ein, mit dem Sie Dokumente so
verschlüsseln, dass der Empfänger zum Entschlüsseln das Tool nicht benötigt. Auch wenn
die Microsoft-Office-Produkte, Winzip und andere Komprimierprogramme die
Verschlüsselung von Dokumenten beherrschen, raten wir davon ab: Es gibt inzwischen
kostenlose und kommerzielle Crack-Tools, die die Verschlüsselung zum Beispiel von
Word oder Winzip knacken. Dazu ist zwar ein hoher Rechenaufwand notwendig, und
sichere Kennwörter können es einem Angreifer schwerer machen – aber das Knacken der
Verschlüsselung ist prinzipiell möglich. Deshalb greifen Sie für Dateianhänge besser auf
die Open-Source-Software Axcrypt zurück (http://www.axantum.com/axcrypt).
Bei der Installation entsteht der Menüpunkt AxCrypt im Kontextmenü des WindowsExplorer. Zum Verschlüsseln einer Datei klicken Sie sie mit der rechten Maustaste an und
öffnen das AxCrypt-Untermenü. Hier wählen Sie den Befehl Kopie als .EXE verschlüsseln.
Damit erzeugen Sie eine Datei, die sich selbst entschlüsselt, wenn der Empfänger das von
Ihnen verwendete Kennwort eingibt.
Nach dem Aufruf des Verschlüsselungsbefehls tragen Sie das Kennwort ein, mit dem die
Datei geschützt werden soll. Wie in Truecrypt können Sie zusätzlich eine Schlüsseldatei
definieren. Damit der Empfänger die Datei entschlüsseln kann, müssen Sie ihm das in
Axcrypt verwendete Kennwort mitteilen. Das tun Sie natürlich nicht in der gleichen EMail, in der sich die Datei befindet, sondern am besten per Telefon. Oder Sie geben dem
Empfänger bei einem persönlichen Treffen eine Schlüsseldatei, dann können Sie das
Kennwort auch direkt in die E-Mail schreiben.
Die Option Als Standard-Passwort benutzen und speichern ist nur dann sinnvoll, wenn
Sie verschlüsselte Dokumente grundsätzlich nur mit einigen wenigen Personen
austauschen und immer das gleiche Kennwort verwenden wollen.
Verschlüsselung lässt sich im PC-Alltag ohne große Komforteinbußen nutzen. Machen Sie
es Spionen und neugierigen Kollegen und Familienmitgliedern nicht unnötig leicht.
Boot-Laufwerk verschlüsseln mit Truecrypt
Vor allem für Notebooks, auf denen Sie sensible Daten transportieren, empfiehlt es sich,
nicht nur die Daten zu verschlüsseln, sondern auch das Boot-Laufwerk. Damit machen
Sie es einem Notebook-Dieb praktisch unmöglich, an die Daten heranzukommen. Zum
Absichern des Boot-Laufwerks brauchen Sie Truecrypt ab Version 5.1 – erst seit dieser
Version funktioniert das Ver- und Entschlüsseln auch dann zuverlässig, wenn Sie das
Notebook in den Energiesparschlaf versetzen.Starten Sie Truecrypt, und rufen Sie den
Befehl System/Encrypt System Partition/Drive auf. Wählen Sie dann Encrypt the Windows
system partition. Bestätigen Sie, dass Sie die Systempartition verschlüsseln wollen. Dann
geben Sie an, ob es sich um ein Single-Boot- oder ein Multiboot-System handelt.
Die weiteren Schritte entsprechen weitgehend dem Vorgehen beim Verschlüsseln von
Dateien und Ordnern. Wichtig ist allerdings die Wahl des richtigen
6
Verschlüsselungsalgorithmus: Gerade bei der Systempartition kann der falsche
Algorithmus das System spürbar ausbremsen. Prüfen Sie über die Schaltfläche
Benchmark, welcher Algorithmus bei Ihrem Notebook die besten Werte liefert, und
wählen Sie diesen dann nach dem Schließen des Benchmark-Dialogs aus.
Im Unterschied zur „normalen“ Verschlüsselung wird beim Verschlüsseln der BootPartition eine ISO-Datei erzeugt, mit deren Hilfe Sie eine Rettungs-CD brennen können.
Truecrypt fährt erst dann fort, wenn die CD gebrannt und mit Truecrypt verifiziert ist.
Danach wählen Sie den Wipe-Modus aus. Der bestimmt, wie oft eine Datei mit
Zufallsdaten überschrieben werden soll, sobald sie verschlüsselt wurde. Nehmen Sie hier
nicht None (fastest), sondern lassen Sie die Dateien ruhig mehrere Male überschreiben, so
dass sie nicht wiederhergestellt werden können. Truecrypt führt dann einen kurzen Test
durch, bevor es mit der Verschlüsselung beginnt. Dazu muss das Notebook neu gestartet
werden – erst wenn Sie das vorher festgelegte Kennwort eintippen, fährt Windows hoch.
Im Anschluss wird die Boot-Partition verschlüsselt, was durchaus ein bis zwei Stunden
dauern kann. Falls Ihre Daten auf einer anderen Partition als dem Boot-Laufwerk
gespeichert sind, verschlüsseln Sie diese im Anschluss auch noch. So verhindern Sie, dass
ein Dieb, der die Platte ausbaut, um den Boot-Schutz zu umgehen,an die Daten
herankommt.
http://software.magnus.de/sicherheit/artikel/datenspionage-verhindern.html
7