1 Medium: Magnus.de Datum: 23.07.2008 Pis/Monat
Transcription
1 Medium: Magnus.de Datum: 23.07.2008 Pis/Monat
Medium: Datum: Pis/Monat: Magnus.de 23.07.2008 5,313 Mio 1 Datenspionage verhindern Geheimniskrämer Fast jeder hat auf seinem PC Dateien, die nicht jeder einsehen sollte. Wie Sie vertrauliche Dokumente mit kostenlosen Tools vor fremden Augen schützen, lesen Sie auf den folgenden Seiten. Ob Ihr PC nun in einem Büro oder zu Hause steht: Sie können kaum verhindern, dass jemand anderes sich Zugang dazu verschafft. Sofern Sie Ihre Daten nicht schützen, kann jeder, der Zugriff auf Ihren PC hat, Office-Dokumente, E-Mails, Fotos, Videos oder auch Zugangsdaten einsehen, löschen oder gar manipulieren. Noch stärker gefährdet als Desktop-PCs ist ein Notebook, das unterwegs gestohlen werden kann oder das Sie irgendwo unbewacht liegen lassen. Je nachdem, welche Daten auf dem PC gespeichert sind, kann das peinlich für den Besitzer oder sogar bedrohlich für sein Unternehmen werden. Wirkungsvollen Schutz vor neugierigen Augen bietet die Verschlüsselung der Daten. Dazu nutzen Sie entweder die Bordmittel von Windows XP oder Vista oder kostenlose Tools. Sowohl die Windows-eigene Verschlüsselung als auch die durch fremde Tools arbeitet transparent und in Echtzeit (on the fly): Das bedeutet, dass Sie nicht bei jedem Öffnen, Speichern und Schließen einer verschlüsselten Datei zur Eingabe des Kennworts aufgefordert werden, was auf Dauer sehr lästig ist. Lediglich beim Windows-Start müssen Sie sich mit dem für Ihr Benutzerkonto festgelegten Kennwort ausweisen. Das heißt allerdings auch, dass die verschlüsselten Dateien nicht geschützt sind, solange der PC während Ihrer Abwesenheit weiterläuft – dazu müssen Sie zusätzlich den Zugriff auf den PC mit einem kennwortgeschützten Bildschirmschoner sperren. Beachten Sie bitte, dass die im Folgenden besprochenen Schutzmaßnahmen wirkungslos sind gegen Schnüffel-Software wie etwa Keylogger oder Backdoors: Während Sie an den Dokumenten arbeiten, liegen sie unverschlüsselt im Arbeitsspeicher und in den temporären Dateien, die Anwendungsprogramme möglicherweise auf der Festplatte zwischenspeichern (sofern die Temp-Dateien nicht in einem verschlüsselten Ordner abgelegt sind). Dort kann Software die Daten einfach auslesen. Und ein Keylogger greift einfach das Kennwort ab. Mit Bordmitteln Windows XP und Vista bringen mit dem Encrypting File System (EFS) die Möglichkeit mit, Dateien und Ordner transparent verschlüsseln zu lassen. Allerdings steht EFS nur bei den Profiversionen der beiden Betriebssysteme zur Verfügung, also bei Windows XP Pro und bei Vista Enterprise und Ultimate. Besitzer anderer Windows-Versionen müssen auf das kostenlose Verschlüsselungs-Tool Truecrypt zurückgreifen, das EFS allerdings ohnehin in mehreren Bereichen überlegen ist (dazu gleich mehr). Die Verschlüsselung per EFS in XP und Vista erfordert, dass die Daten auf einer mit dem Dateisystem NTFS formatierten Festplatte abgelegt sind – das ist der Standard bei beiden Betriebssystemen. Dafür ist die Vorgehensweise beim Ver- und Entschlüsseln konkurrenzlos einfach: Klicken Sie den Ordner beziehungsweise die Datei, die Sie verschlüsseln wollen, im Explorer mit der rechten Maustaste an und rufen den Befehl Eigenschaften auf. Dann klicken Sie auf Erweitert und aktivieren die Option Inhalt verschlüsseln, um Daten zu schützen. Achten Sie darauf, dass die Option Inhalt für schnelle Dateisuche indizieren ausgeschaltet bleibt, damit die Inhalte der verschlüsselten Dateien nicht über den Index der Suchfunktion einsehbar sind. Klicken Sie dann zweimal auf OK. Falls es sich um einen Ordner handelt, fragt der Explorer nun nach, ob nur der Ordner oder auch alle 2 untergeordneten Ordner und Dateien verschlüsselt werden sollen – treffen Sie die gewünschte Auswahl, und schließen Sie den Dialog. Falls Sie die Verschlüsselung wieder aufheben wollen, deaktivieren Sie sie einfach über den Eigenschaften-Dialog für die Datei oder den Ordner. Im Explorer wird der Name einer verschlüsselten Datei bzw. eines Ordners grün dargestellt. Falls Sie das verhindern wollen, schalten Sie die Option Verschlüsselte oder komprimierte NTFS-Dateien in anderer Farbe anzeigen ab: Diese Option finden Sie, wenn Sie im Explorer den Befehl Extras/Ordneroptionen aufrufen und das Register Ansicht öffnen. Bei der Verschlüsselung mit EFS sind drei Dinge zu beachten • Temporäre Dateien, die bei der Bearbeitung eines verschlüsselten Dokuments entstehen, werden nur dann ebenfalls verschlüsselt, wenn sie in einem Ordner liegen, für den Sie die EFS-Verschlüsselung aktiviert haben. Das bedeutet, dass Sie einen Ordner für temporäre Dateien anlegen sollten, der automatisch verschlüsselt wird; außerdem sollten Sie bei Anwendungen wie Microsoft Word, die temporäre Dateien im gleichen Ordner wie das bearbeitete Dokument anlegen, nicht einzelne Dokumente, sondern immer den gesamten Ordner verschlüsseln, in dem diese sich befinden. • Mit EFS verschlüsselte Daten werden automatisch entschlüsselt, wenn Sie diese auf einen Datenträger kopieren oder verschieben, der nicht mit NTFS formatiert ist, also zum Beispiel einen USB-Stick. Zum Absichern von Dokumenten auf einem USB-Stick nutzen Sie besser das unten besprochene Truecrypt • Windows XP und Vista nutzen zur Verschlüsselung den als sicher geltenden Algorithmus AES. Der zum Chiffrieren der Daten verwendete digitale Schlüssel wird auf der Festplatte abgelegt. Er wird zwar verschlüsselt gespeichert, ist aber dennoch für jemand, der sich zum Beispiel Ihr Notebook unter den Nagel reißt, grundsätzlich zugänglich. Und der könnte den Schlüssel mit einem CrackProgramm knacken – entsprechende Tools kursieren im Internet oder sind kommerziell zum Beispiel bei der Firma Elcomsoft erhältlich ([ext:http://www.elcomsoft.com][/ext]). Kennwörter verschlüsseln Wenn Sie Ihre Notizen vor neugierigen Augen verbergen wollen, können Sie sie natürlich in einer Textdatei in Notepad oder Ihrem Textprogramm in einem verschlüsselten Ordner bzw. einem Truecrypt-Container speichern. Bequemer und sicherer geht es aber mit Steganos Locknote, einem cleveren, kleinen Verschlüsselungsprogramm. Das Tool eignet sich auch gut als Tresor für Passwörter. Locknote ist kostenlos und stammt von der auf Sicherheits-Software spezialisierten Firma Steganos (http://locknote.steganos.com). Anders als bei ihren kommerziellen Produkten hat die Firma den Quellcode zu Locknote offengelegt und das Tool unter die GPL gestellt. Das Programm müssen Sie nicht installieren, gestartet wird es durch einen Doppelklick auf die Exe-Datei. Es erscheint dann ein Fenster, in das Sie Notizen, Kennwörter oder andere vertrauliche Informationen eintippen oder per Drag & Drop aus einem anderen Programm ins Fenster befördern. Dann rufen Sie den Befehl Datei/Passwort ändern auf und geben ein Kennwort ein – Locknote verschlüsselt die Daten mit dem sicheren AESAlgorithmus mit 256-Bit-Schlüssel und speichert sie als Locknote.exe. Wenn Sie mehrere Notizarchive anlegen oder einen unauffälligen Namen wählen wollen, nutzen Sie den Befehl Datei/Speichern unter. Sie erhalten dann ebenfalls eine Exe-Datei, die neben den eingegebenen Daten allen Code enthält, der zum Dechiffrieren notwendig 3 ist, sobald das Kennwort eingegeben wurde. Auf diese Weise können Sie Locknote und die damit gesicherten Kennwörter auch auf einem USB-Stick überall hin mitnehmen. Denken Sie daran: Solange das Locknote-Fenster offen ist, kann jeder auf die Daten zugreifen, der sich Zugang zu Ihrem PC verschafft. Erst wenn Sie das Fenster schließen, sind die Daten sicher geschützt, da zum Öffnen der Datei das Kennwort erforderlich ist. Bessere Alternative: Truecrypt Für alle, die Microsofts EFS nicht nutzen können oder wollen, stellt das OpenSource-Programm Truecrypt eine kostenlose und auch leistungsfähigere Alternative dar. Truecrypt verschlüsselt nicht nur auf NTFS-Laufwerken, sondern auch auf Datenträgern, die mit FAT oder FAT32 formatiert sind, also auch auf USB-Sticks. Außerdem ist die Software auch für Linux und Mac OS X erhältlich. Gerade für eine sensible Anwendung wie die Verschlüsselung wichtig: Der Quellcode von Truecrypt liegt offen und wurde von Kryptographie-experten auf Sicherheitslücken und Hintertüren geprüft. Crack-Tools wie für EFS sind bislang nicht bekannt. Seit Version 5 beherrscht Truecrypt auch die Verschlüsselung der Boot-Partition von Windows. Dadurch kann ein Angreifer den geschützten PC nur dann hochfahren, wenn er das Benutzerkennwort hat. Das Hochfahren des PCs beispielsweise mit einer Linux-CD ist zwar trotzdem möglich, die Daten auf der Windows-Partition sind aber sicher. Wenn Sie nur einzelne Ordner oder Dateien verschlüsseln, speichert Truecrypt diese in einer so genannten Containerdatei und zeigt die Dateien im Windows-Explorer wie normale Dateien an. Der Container erscheint als ein eigenes Laufwerk im Explorer – so als hätten Sie auf der Festplatte ein zusätzliches Laufwerk eingerichtet. Falls Sie ganz sicher gehen wollen, dass die Dateien nicht von jemand Fremden gefunden werden, richten Sie dafür einen versteckten Container ein. Container verschlüsseln Holen Sie die neueste Programmversion sowie das deutsche Language Pack von http://www.truecrypt.org, und installieren Sie die Software. Achten Sie dabei darauf, dass die Option Create System Restore point eingeschaltet ist, so dass Sie im Notfall die Installation mit der Windows-Systemwiederherstellung rückgängig machen können. Dekomprimieren Sie dann das Sprachpaket, und kopieren Sie die Datei Language.de.xml in das Programmverzeichnis. Und so verschlüsseln Sie Dateien und Ordner und speichern sie in einem Truecrypt-Container: Starten Sie das Programm, und wählen Sie unter LW den Laufwerksbuchstaben aus, unter dem der Truecrypt-Container zu finden sein soll – in Truecrypt wird das Laufwerk als Volume bezeichnet. Nehmen Sie dazu einen freien Buchstaben, nicht den, unter dem sich beispielsweise ein USB-Stick befindet – sonst gehen die auf diesem Datenträger vorhandenen Dateien verloren. Klicken Sie dann auf Volume erstellen, entscheiden Sie sich für die Option Create a file container und klicken Sie auf Weiter. Die Software ist bislang nicht komplett eingedeutscht, daher die englischen Optionsnamen. Dann geben Sie an, ob Sie einen normalen oder einen versteckten (hidden) Container anlegen wollen. Im nächsten Schritt wählen Sie den Datenträger, auf dem Sie den Truecrypt-Container speichern wollen, und geben einen Dateinamen ein. Der Container wird dann unter diesem Namen auf der lokalen Festplatte, im Netzwerk oder auch auf einem USB-Stick gespeichert. Diese Datei können Sie nachträglich umbenennen, verschieben, kopieren oder auch löschen. Geben Sie aber nicht den Namen einer vorhandenen Datei an, da diese sonst durch den Container unwiederbringlich überschrieben wird. 4 Jetzt haben Sie die Wahl, welcher Verschlüsselungsalgorithmus und welches Verfahren zum Einsatz kommen sollen. Die aufwändigeren Verfahren wie die Kombination aus AES, Twofish und Serpent versprechen höhere Sicherheit, weil sie den Arbeitsaufwand für einen Angreifer, der die Verschlüsselung zu knacken versucht, deutlich erhöhen. Aber wenn Sie nicht gerade Firmengeheimnisse schützen müssen, die mehrere Millionen Euro wert sind, reicht AES vollkommen aus, zumal die Ver- und Entschlüsselung hier um den Faktor 4 bis 5 schneller ist als bei den aufwändigeren Verfahren. Wie schnell die verschiedenen Algorithmen und Verfahren auf Ihrem System arbeiten, ermitteln Sie über den Button Benchmark. Entscheiden Sie sich also am einfachsten für AES und den voreingestellten HashAlgorithmus. Dann geben Sie an, wie viele Kilo- bzw. Megabyte für den Container auf dem Laufwerk reserviert werden sollen. Sicheres Kennwort Geben Sie zweimal das Kennwort ein, mit dem der Zugriff auf den Truecrypt-Container geschützt werden soll. Beachten Sie dabei die Hinweise zur Kennwortstärke im Dialog. Als zusätzliche Maßnahme können Sie eine beliebige Datei oder mehrere als Schlüsseldatei definieren und als weitere Schlüssel heranziehen lassen. Der Zugriff auf den Container ist nur dann möglich, wenn diese Schlüsseldateien vorhanden sind. Am besten geeignet sind dazu komprimierte Dateien, also Zip-, Jpeg- oder MP3-Dateien. Schlüsseldateien erschweren Brute-Force-Angriffe und helfen gegen Keylogger – ein Keylogger kann zwar Ihr Kennwort mitlesen, aber nicht nachvollziehen, welche Dateien Sie als Schlüsseldateien verwenden. Noch ein Hinweis zum Kennwort: Wenn Sie das für die Verschlüsselung verwendete Kennwort vergessen, gibt es keine Möglichkeit mehr, an Ihre Daten heranzukommen. Statt es zu notieren, können Sie es auch wie auf Seite 95 besprochen mit dem kostenlosen Tool Locknote sicher speichern. Bevor Sie nun auf Formatieren klicken, um den Container anlegen zu lassen, bewegen Sie die Maus einige Zeit durch den Dialog, um die Erzeugung eines Zufallswertes zu beeinflussen. Dieser Zufallswert wird dann von Truecrypt für die Schlüssel herangezogen, die zur Chiffrierung der Daten genutzt werden. Klicken Sie im Anschluss auf Beenden (oder auf Weiter, falls Sie einen weiteren Container einrichten wollen). Klicken Sie nun in Truecrypt auf Datei, und wählen Sie die gerade angelegte Containerdatei aus. Achten Sie darauf, dass im Feld Volume die Option Verlauf nicht speichern eingeschaltet ist. Dann klicken Sie auf Einbinden. Nun geben Sie das für den Container festgelegte Kennwort ein; falls der Container zusätzlich durch Schlüsseldateien geschützt ist, wählen Sie diese aus. Damit Sie während der Arbeit nicht ständig das Kennwort eintippen müssen, wenn Sie verschlüsselte Dateien öffnen wollen, aktivieren Sie die Option Kennwort und Schlüsseldatei im Cache halten aktivieren. Dann müssen Sie aber dafür sorgen, dass in Ihrer Abwesenheit niemand an Ihren laufenden PC kommt – am einfachsten richten Sie dafür einen kennwortgeschützten Bildschirmschoner ein. Nun wird der Container im Windows-Explorer als Laufwerk angezeigt. Sie können jetzt Dateien auf dieses Laufwerk verschieben, Dateien in Ihren Anwendungen auf diesem Laufwerk speichern oder dort öffnen. Nach einem Neustart des PCs müssen Sie erst Truecrypt aufrufen und das Volume wieder einbinden, damit Sie im Explorer auf den Container zugreifen können. Wenn Sie während der Arbeit am PC die Dateien in einem bestimmten Container nicht verwenden wollen, trennen Sie den Container (rechter Mausklick, Befehl Trennen). 5 Verschlüsselte E-Mail-Anhänge Wenn Sie vertrauliche Dokumente per E-Mail versenden, hilft die Verschlüsselung per EFS nicht. Truecrypt-Container dagegen können Sie per Mail verschicken, müssen dann allerdings dem Empfänger das Kennwort mitteilen (und eventuell verwendete Schlüsseldateien mitgeben) – und ihn bitten, Truecrypt zu installieren und die Bedienung zu lernen. Eine noch höhere Hürde stellt die Installation und Nutzung eines MailVerschlüsselungsprogramms wie PGP oder GnuPG dar. Wenn Sie mit Kollegen oder Bekannten gelegentlich einmal verschlüsselte Dateien austauschen wollen, gibt es zwei unkomplizierte Wege: Sie nutzen die Verschlüsselungsfunktion von Word, Excel oder auch Winzip. Oder Sie setzen das im Folgenden besprochene kostenlose Tool Axcrypt ein, mit dem Sie Dokumente so verschlüsseln, dass der Empfänger zum Entschlüsseln das Tool nicht benötigt. Auch wenn die Microsoft-Office-Produkte, Winzip und andere Komprimierprogramme die Verschlüsselung von Dokumenten beherrschen, raten wir davon ab: Es gibt inzwischen kostenlose und kommerzielle Crack-Tools, die die Verschlüsselung zum Beispiel von Word oder Winzip knacken. Dazu ist zwar ein hoher Rechenaufwand notwendig, und sichere Kennwörter können es einem Angreifer schwerer machen – aber das Knacken der Verschlüsselung ist prinzipiell möglich. Deshalb greifen Sie für Dateianhänge besser auf die Open-Source-Software Axcrypt zurück (http://www.axantum.com/axcrypt). Bei der Installation entsteht der Menüpunkt AxCrypt im Kontextmenü des WindowsExplorer. Zum Verschlüsseln einer Datei klicken Sie sie mit der rechten Maustaste an und öffnen das AxCrypt-Untermenü. Hier wählen Sie den Befehl Kopie als .EXE verschlüsseln. Damit erzeugen Sie eine Datei, die sich selbst entschlüsselt, wenn der Empfänger das von Ihnen verwendete Kennwort eingibt. Nach dem Aufruf des Verschlüsselungsbefehls tragen Sie das Kennwort ein, mit dem die Datei geschützt werden soll. Wie in Truecrypt können Sie zusätzlich eine Schlüsseldatei definieren. Damit der Empfänger die Datei entschlüsseln kann, müssen Sie ihm das in Axcrypt verwendete Kennwort mitteilen. Das tun Sie natürlich nicht in der gleichen EMail, in der sich die Datei befindet, sondern am besten per Telefon. Oder Sie geben dem Empfänger bei einem persönlichen Treffen eine Schlüsseldatei, dann können Sie das Kennwort auch direkt in die E-Mail schreiben. Die Option Als Standard-Passwort benutzen und speichern ist nur dann sinnvoll, wenn Sie verschlüsselte Dokumente grundsätzlich nur mit einigen wenigen Personen austauschen und immer das gleiche Kennwort verwenden wollen. Verschlüsselung lässt sich im PC-Alltag ohne große Komforteinbußen nutzen. Machen Sie es Spionen und neugierigen Kollegen und Familienmitgliedern nicht unnötig leicht. Boot-Laufwerk verschlüsseln mit Truecrypt Vor allem für Notebooks, auf denen Sie sensible Daten transportieren, empfiehlt es sich, nicht nur die Daten zu verschlüsseln, sondern auch das Boot-Laufwerk. Damit machen Sie es einem Notebook-Dieb praktisch unmöglich, an die Daten heranzukommen. Zum Absichern des Boot-Laufwerks brauchen Sie Truecrypt ab Version 5.1 – erst seit dieser Version funktioniert das Ver- und Entschlüsseln auch dann zuverlässig, wenn Sie das Notebook in den Energiesparschlaf versetzen.Starten Sie Truecrypt, und rufen Sie den Befehl System/Encrypt System Partition/Drive auf. Wählen Sie dann Encrypt the Windows system partition. Bestätigen Sie, dass Sie die Systempartition verschlüsseln wollen. Dann geben Sie an, ob es sich um ein Single-Boot- oder ein Multiboot-System handelt. Die weiteren Schritte entsprechen weitgehend dem Vorgehen beim Verschlüsseln von Dateien und Ordnern. Wichtig ist allerdings die Wahl des richtigen 6 Verschlüsselungsalgorithmus: Gerade bei der Systempartition kann der falsche Algorithmus das System spürbar ausbremsen. Prüfen Sie über die Schaltfläche Benchmark, welcher Algorithmus bei Ihrem Notebook die besten Werte liefert, und wählen Sie diesen dann nach dem Schließen des Benchmark-Dialogs aus. Im Unterschied zur „normalen“ Verschlüsselung wird beim Verschlüsseln der BootPartition eine ISO-Datei erzeugt, mit deren Hilfe Sie eine Rettungs-CD brennen können. Truecrypt fährt erst dann fort, wenn die CD gebrannt und mit Truecrypt verifiziert ist. Danach wählen Sie den Wipe-Modus aus. Der bestimmt, wie oft eine Datei mit Zufallsdaten überschrieben werden soll, sobald sie verschlüsselt wurde. Nehmen Sie hier nicht None (fastest), sondern lassen Sie die Dateien ruhig mehrere Male überschreiben, so dass sie nicht wiederhergestellt werden können. Truecrypt führt dann einen kurzen Test durch, bevor es mit der Verschlüsselung beginnt. Dazu muss das Notebook neu gestartet werden – erst wenn Sie das vorher festgelegte Kennwort eintippen, fährt Windows hoch. Im Anschluss wird die Boot-Partition verschlüsselt, was durchaus ein bis zwei Stunden dauern kann. Falls Ihre Daten auf einer anderen Partition als dem Boot-Laufwerk gespeichert sind, verschlüsseln Sie diese im Anschluss auch noch. So verhindern Sie, dass ein Dieb, der die Platte ausbaut, um den Boot-Schutz zu umgehen,an die Daten herankommt. http://software.magnus.de/sicherheit/artikel/datenspionage-verhindern.html 7