Kein Unfug durch Unbefugte
Festplattenverschlüsselung – Wichtige Informationen auf mobilen Geräten lassen sich nur mit einer Festplattenverschlüsselung wirkungsvoll schützen. Network Computing testete derartige Suites, um herauszufinden, was die gegenwärtigen Angebote leisten.
Um festzustellen, welche Verschlüsselungsprodukte für den unternehmensweiten Einsatz taugen, hat Network Computing sechs Hersteller eingeladen, ihre Suites für Desktops und Laptops für einen Test zur Verfügung zu stellen. PGP, Safeboot und Safenet schickten ihre Produkte. Entrust und Voltage Security lehnten ab, weil sie tatsächlich die Produkte von Pointsec Mobile Technologies respektive Safeboot verkaufen. Pointsec antwortete nicht auf die Einladung. Es gibt mehr Hersteller relevanter Produkte als die sechs genannten. Ein zweiter Teil dieses Tests wird über deren Angebote informieren.
Die drei in diesem Teil getesteten Produkte verschlüsselten erfolgreich die Daten auf den Testsystemen, aber Safeboots Device-Encryption stach heraus. Deren Managementkonsole ist intuitiv und einfach zu benutzen. Ein Benutzer-Recovery verläuft geradlinig, und die Web-Recovery ist ein netter Bonus, den Helpdesk-Mitarbeiter sicher schätzen werden: Die Benutzer melden sich bei der Selbstbedienungs-Web-Recovery-Applikation an und richten eigene Challenge-/Response-Fragen ein. Falls sie sich später einmal selbst ausschließen sollten, rufen sie den Helpdesk an. Ein Helpdesk-Mitarbeiter meldet sich dann bei der Applikation an, greift auf die Challenge/Response zu und gibt einen Schlüssel zum einmaligen Gebrauch heraus.
PGPs Whole-Disk-Encryption punktete beim Auditing und Protokollieren hoch und war das preiswerteste Produkt im Test. Aber PGP muss noch zulegen bei der Einbindung von Festplattenverschlüsselungs-Optionen in ihre Universal-Server-Managementschnittstelle.
Für den Unternehmenseinsatz ist Safenet-Protectdrive 7.2 weniger zu empfehlen. Es fehlt nicht nur an Management- und Integrationsfeatures, das Produkt modifizierte auch das Active-Directory-Schema der Testinstallation – unentschuldbar in einer Produktionsinstallation.
Hinter den Chiffres
Die Tests drehten sich um fünf Fragen, die IT-Manager und Desktop-Administratoren beschäftigen, wenn sie sich Gedanken über die organisationsweite Einführung einer Festplattenverschlüsselung machen.
1. Startet die Verschlüsselung vor oder nach dem Betriebssystem-Booten?
Eine Boot-Sequenz sieht normalerweise so aus: einschalten, Initialisierung des Prozessors. Das Bios scant den Speicher, prüft die Hardware (Grafikkarten, Festplatten und anderes) und sucht dann einen Master-Boot-Record zum Laden. Alle getesteten Produkte ändern den letzten Schritt: Sobald das Bios nach dem Master-Boot-Record sucht, übernimmt das Verschlüsselungsprodukt die Steuerung, indem es seinen eigenen Boot-Loader lädt. Das Produkt fragt dann nach einem Benutzernamen und oder einem Passwort, einer Pin oder Passphrase. Die Produkte von Safeboot und Safenet fragen nach Benutzernamen und Passwort, PGP nach einer Passphrase.
Die Produkte starten den Festplattenverschlüsselungs-Schutz vor dem Booten des Betriebssystems. Dieser Prozess erlaubt nur authentifizierten Benutzern, das Betriebssystem zu laden. Dies bedeutet auch, dass authentifizierte Benutzer forensische Utilities ausführen können.
2. Unterstützt die Verschlüsselung den Hibernations-/Schlafmodus?
Beschäftigte Benutzer fahren ihre Laptops am Ende des Arbeitstages nur selten herunter – sie belassen ihre Systeme im Hibernations- oder Schlafmodus, um später dort fortzufahren, wo sie aufgehört haben. Aus der Sicherheitsperspektive ist dies ein Grund zur Beunruhigung: Falls das Festplattenverschlüsselungsprodukt nicht den Speicher verschlüsselt, sowie er auf die Platte geschrieben wird, könnte jemand, der das Laufwerk mountet, die aus dem Speicher geschriebenen Daten lesen. Glücklicherweise verschlüsseln alle drei Produkte auf die Platte geschriebene Daten kontinuierlich.
3. Wie setzen die Benutzer ihre Passwörter oder Pins zurück?
Wie viel Zeit benötigt der Helpdesk, um vergessene Passwörter oder Pins zurückzusetzen? Falls ein Unternehmen so sehr auf die Sicherheit achtet, dass es eine Festplattenverschlüsselung implementiert, dann arbeitet es sicher auch mit mächtigen Passwortrichtlinien, die die Benutzer dazu zwingen, ihre Passwörter regelmäßig zu ändern. Das bedeutet eine größere Anzahl von Resets.
Safeboot-Device-Encryption und Safenet-Protectdrive nutzen ein Challenge/Response-System, um Schlüssel zu generieren, die die Benutzer dem Helpdesk übergeben, wenn sie einmal ein Passwort vergessen. Der Helpdesk kann damit eine einmaligen Schlüssel erzeugen, um das Laufwerk zu booten. Der Benutzer muss anschließend sein Passwort ändern. Alle drei Produkte unterstützten Active-Directory, Safenet allerdings nur schwach.
Safeboot-Device-Encryption erlaubt es, einen Web-Helpdesk zu erzeugen. Das ist eine Web-Applikation, bei der sich Helpdesk-Mitarbeiter anmelden können, um Benutzerpasswörter zurückzusetzen. Device-Encryption besitzt auch ein nützliches Web-Recovry-Feature. Safenet unterstützt weder einen Web-Helpdesk noch ein Web-Self-Recovery. PGPs Ansatz ist anders. Die Benutzer können ihre Passphrases leicht ändern, aber sie müssen sich dazu bei ihren Konten anmelden und PGP-Desktop-Software nutzen. Falls im PGP-Universal-Server die Key-Recovery eingeschaltet ist, kann der Helpdesk das Passwort eines Benutzers wiederherstellen.
4. Wie setzt ein Administrator ein Passwort oder eine Pin zurück?
Um verschiedene Aufgaben durchzuführen, beispielsweise Patching, ist regelmäßig ein Administratorzugriff auf Endbenutzer-Maschinen notwendig. Es ist also eine gute Entscheidung, auch Administratoren regelmäßig ihre Passwörter ändern zu lassen.
Hier glänzt Safeboot. Innerhalb der Managementschnittstelle lassen sich Benutzern oder Gruppen spezifische Admin-Rechte zuweisen. Die Änderung eines Passwortes oder einer Pin funktioniert dann genauso wie bei einem normalen Benutzer. Bei PGP melden sich die Administratoren beim PGP-Universal-Server an, um ihre Passwörter zu ändern. Safenet kennt keine Passwörter für Administratoren. Der Benutzer, der Safenet installiert, ist Administrator dieser Maschine, Punkt.
5. Wie setzt ein Administrator das Master-Passwort oder die Master-Pin zurück?
Wird ein Benutzer entlassen und weigert sich daraufhin, der IT-Abteilung seine Anmeldeinformationen für die Entschlüsselung zu geben, dann könnten Informationen verloren sein – es sei denn, es gibt einen Master-Schlüssel, der die Entschlüsselung jeder Platte des Unternehmens erlaubt.
Safeboot-Device-Encryption besitzt weder Master-Passwort, noch nutzt es einen gemeinsamen Schlüssel, um Laufwerke zu verschlüsseln. Damit erledigt sich die Frage nach einem sicheren Speicherort für einen Master-Schlüssel. Auch PGPs Produkt kennt keinen Master-Schlüssel. Safenet-Protectdrive nutzt eine Methode, die bedenklich ist. Je nachdem, wie das Produkt installiert wird, wird zur Verschlüsselung aller Platten derselbe Schlüssel oder für jede Installationsinstanz ein neuer Schlüssel benutzt. Beide Optionen sind nicht akzeptabel. Ob nun ein Schlüssel oder 15000 Schlüssel geschützt sind – geht der Schlüssel verloren, sind die Daten ebenfalls perdu.
Fühl‘ die Kraft, Luke
Management ist die Mutter aller Anforderungen. Administratoren wollen Benutzer ausschließen, Benutzern spezifische Rechte zuweisen, Benutzergruppen erzeugen, Updates erzwingen, LDAP- oder Active-Directory-Infrastrukturen integrieren und Berechtigungen für die Nutzung von Passwörtern, Passwortlängen, Passwortstärken, Wiederholungsversuche, Lockout-Zeiten und Benutzerrecovery einstellen. Oh, und eine leicht zu bedienende Benutzungsoberfläche wollen sie natürlich auch.
Safeboot lag hier wieder an der Spitze des Felds. Der Safeboot-Administrator unterteilt Managementaufgaben nach Benutzer, Gruppe und Maschine. Jede Kategorie besitzt mehrere Optionen, beispielsweise das Einstellen von Passwortrestriktionen und Erstellen von Zugriffssteuerungslisten. Mit einem Mausklick lassen sich Benutzer ausschließen.
Safeboot bietet mehrere Wege, Passwörter zurückzusetzen, zum Beispiel über die Safeboot-Managementschnittstelle oder die Web-Helpdesk-Applikation. Gefällig ist auch das handliche Diagnose- und Reparaturwerkzeug des Produkts, Safetech.
Das Produkt enthält LDAP- und Active-Directory-Konnektoren. Im Test wurde Active-Directory genutzt, um die Safeboot-Infrastruktur zu bevölkern. Sind Änderungen sofort zu implementieren, lässt sich eine Synchronisationsrichtlinie verwenden. Die Sache hat aber einen Haken: Die Synchronisation funktioniert nur, wenn der jeweilige Benutzer online ist und die Managementschnittstelle mit dem Gerät kommunizieren kann. Tatsächlich bietet keins der Produkte Netzwerkzugriff auf die Bootebene.
Die Management-Infrastruktur von Safenet-Device-Encrytion lässt zu wünschen übrig. Das Produkt bietet einen Management-Server, der sich in Active-Directory integriert. Allerdings modifiziert er das Active-Directory-Schema. Damit kommt das Produkt von vornherein nur für wenige Organisationen in Frage. Außerdem gibt es keinen Weg, einen Benutzer auszuschließen. Die Serverkomponente bietet insgesamt nur eingeschränkte Funktionalität. Der Administrator kann lediglich für parallele und serielle Schnittstellen Zugriff gewähren oder verweigern.
Safenet sagte, dass zum Veröffentlichungszeitpunkt dieses Artikels eine aktualisierte Version von Protectdrive verfügbar sein werde, die dem Management-Teil der Serverkomponente Funktionalität hinzufügt. Immerhin bietet das Produkt einige DOS-Utilities, die ein nicht boot-fähiges oder beschädigtes System wiederherstellen können.
Das Benutzermanagement in PGP-Whole-Disk-Encyption enttäuschte ebenfalls. Die Managementschnittstelle bietet nur dürftige Optionen für die Festplatten-Verschlüsselungs-Funktionalität. Es gibt beispielsweise keine Zugriffssteuerungslisten, um einzuschränken, worauf Benutzer zugreifen oder was sie tun dürfen. Der PGP-Universal-Server wurde eindeutig für PGPs andere Produkte entworfen – die Festplattenverschlüsselung scheint einfach nur angebolzt worden zu sein, ohne dass wirklich daran gedacht wurde, was eine Einführung benötigt. Die Java-Web-Schnittstelle ist geschmeidig, aber man verliert sich zu schnell darin.
Auf dem Audit-Pfad
Audit- und Ereignisprotokolle sind wichtig, um einen Audit-Trail anzulegen und zu bestimmen, wann Benutzer ihre Passwörter ändern, ob es fehlgeschlagene Anmeldeversuche gab, oder ob es auf einem verschlüsselten Laufwerk einen Fehler gibt. Unter forensischen Gesichtspunkten sind Protokolle notwendig, um fragwürdigen Aktivitäten auf der Spur zu bleiben.
Wieder steht Safeboot an der Spitze des Testfelds. Das Produkt führt ein Protokoll für alle Benutzer, Gruppen und Maschinen, außerdem für alle Synchronisationen. Die Audit-Logs enthalten eine riesige Menge an Informationen: Angemeldete Benutzer, fehlgeschlagene Anmeldeversuche, Prüfungen auf Konfigurations-Updates und Zeitpunkte von Passwortwiederherstellungen. Safeboot erlaubt es zu definieren, wer Protokolldateien sehen, exportieren und löschen darf. Leider exportiert das Produkt nicht zu einem Syslog-Server.
PGP bietet eine Protokollierung über die Web-Schnittstelle. Aktivitäten und Statistiken zeigt das Produkt auch grafisch an. Beeindruckend war die Suchfunktion von PGP. PGP sendet Logdateien zu einem externen Syslog-Server.
Safenet bietet einen Pop-up-Dialog, der erscheint, wenn sich ein Benutzer anmeldet. Der Dialog listet die Anzahl fehlgeschlagener Anmeldeversuche, aber es gibt kein Zentrum für die Protokollierung. Dass keine robuste Protokollierung implementiert ist, wird viele Organisationen Abstand von diesem Produkt nehmen lassen.
SafeBoot-Device-Encryption
Safeboot schickte ihre Client- und Server-Management-Software, die eine Active-Directory-Konnektor enthielt. Ohne große Vorbereitung legte Safeboot gleich los. Die Installation des Clients und der administrativen Komponenten war eine Kleinigkeit: Point and Click. Safeboot unterstützt viele Verzeichnisdienste, darunter LDAP, Active-Directory und Novell-NDS. Der Active-Directory-Konnektor war einfach einzurichten, und schnell waren alle gewünschten Benutzer den Safeboot-Benutzergruppen hinzugefügt.
Das Web-Helpdesk befreit die Organisation davon, eine separate Helpdesk-Lösung für die Unterstützung der Festplattenverschlüsselung suchen zu müssen. Die Managementschnittstelle ist robust, aber trotzdem einfach zu nutzen. Passwortrestriktionen, Passwortlängen und Lockout-Zeiten lassen sich leicht einstellen. Passworteinschränkungs-Parameter sind besonders feinkörnig: Administratoren können die Anzahl der für ein Passwort erforderlichen alphabetischen und alphanumerischen Zeichen sowie Sonderzeichen genau vorgeben. Passwortinhalts-Einschränkungen sind ebenfalls möglich. So lassen sich Benutzernamen, einfache Wörter und Sequenzen als Passwörter vermeiden.
Jeder Benutzer kann »Admin-Rechte« haben. Diese sind jedoch nicht das, was man sich normalerweise darunter vorstellt. Es handelt sich um Rechteebenen, die aus spezifischen Aktionen bestehen, angefangen bei administrativen Funktionen bis zu keinerlei Rechten. Rechte lassen sich für komplette Gruppen oder individuell pro Benutzer einstellen. Sie umfassen Rechte zum Hinzufügen von Benutzern, Gruppen und Maschinen, zur Durchführung von Wiederherstellungen, zum Betrachten und Exportieren von Logdateien und zum Löschen von Benutzern.
Safeboot erlaubt der IT-Abteilung, jede individuelle Maschine zu verwalten. Einer Maschine lassen sich individuelle Benutzer oder ganze Benutzergruppen zuordnen, falls die Organisation gemeinsame Laptops nutzt.
Änderungen bis hinunter zum Benutzer zu erzwingen ist eine einfache Point-and-Click-Angelegenheit. Die Managementschnittstelle erlaubt dem Administrator, für jeden Endbenutzer ein Offline- und ein Online-Installations-Set zu erzeugen. Audit-Logs zu betrachten ist so simpel wie ein Mausklick. Die Benutzungsschnittstelle von Safeboot ist sauber und einfach zu benutzen. Wer Point-and-Click beherrscht, beherrscht die Managementschnittstelle.
Das Produkt hat auch einige Nachteile: Bei der Safeboot-Datenbank handelt es sich um eine flache Dateidatenbank. Wie gut wird sie skalieren? Safeboot kann Logdateien auch nicht an einen externen Server, beispielsweise einen Syslog-Server, übertragen. Trotz dieser Haken gewann das Produkt diesen Vergleichstest eindeutig.
PGP-Whole-Disk-Encryption mit PGP-Universal-Server
PGP stellte einen Client und ihren Universal-Management-Server zur Verfügung. Die Installation des Servers war recht langweilig. Die Managementschnittstelle sieht schön aus, ist aber gewöhnungsbedürftig – schnell verliert man sich darin. Enthalten sind sehr viele Optionen für andere PGP-Produkte, beispielsweise Disk- und Schlüssel-Management für PGPs E-Mail-Security-Angebote. Leider scheint die Festplattenverschlüsselung wenig mehr als ein nachträglicher Einfall gewesen zu sein. Die Optionen in der Managementschnittstelle sind nicht sehr umfangreich: Erlauben des Zugriffs für einen Benutzer, um die Ver- oder Entschlüsselung zu starten, Remote-Wiederherstellung des Laufwerks durch den Administrator, automatische Verschlüsselung des Boot-Volumes während der Installation und Anforderung des Aladdin-E-Tokens. Nur noch wenige andere Optionen sind vorhanden.
PGP unterstützt LDAP und Active-Directory; es war das einzige Produkt im Test, das seine Managementplattform auf Linux stützt. Benutzer in den PGP-Universal-Server zu übernehmen kann nervig sein, falls PGP lediglich für die Festplattenverschlüsselung genutzt wird. Eine Stärke von PGP ist dessen Nutzung von Passphrases. Müssen Benutzer ihre Passwörter häufig ändern, dann verändern sie üblicherweise nur ein Zeichen oder fügen vielleicht eine Ziffer an. Mit Passphrases kann man einen einzigen, langen Satz haben, den ein Benutzer nur einmal pro Jahr ändert. Vorgeben lassen sich eine Mindestlänge und ein Prozentsatz, um die Qualität der Passphrase zu gewährleisten. PGP sollte zu diesem Zeitpunkt neue Versionen des Universal-Servers und Whole-Disk-Encryption-Clients auf dem Markt haben, mit denen einige der Probleme mit der Managementschnittstelle behoben sein sollen.
SafeNet ProtectDrive 7.2.5
Safenets Produkt erledigt seine Hauptaufgabe, das Laufwerk zu verschlüsseln, gut. Management und Integration sind aber weniger gelungen. Die Tatsache, dass der Safenet-Server-Teil das Active-Directory-Schema der Testinstallation modifizierte, kombiniert mit dem Fehlen eines zentralen Managements, schließt eine Empfehlung des Produkts für die unternehmensweite Einführung aus.
Das fortgeschrittene Konfigurationsprogramm erlaubt dem Administrator, Anmeldenachrichten, Authentifizierungsmethoden, Berechtigungen für serielle und parallele Schnittstellen und Lock-out-Perioden einzustellen. Auch Safenet wird in Kürze eine neue Version auf den Markt bringen. Der Hersteller sagt, er habe eine Menge der Probleme behoben und der Managementseite Optionen hinzugefügt.
dj@networkcomputing.de
