Kleine Fallauswahl

• USB-Stick // Geheime NATO-Daten in schwedischer Bibliothek gefunden [ Details ] [ Details ]
• Laptop // Britisches Militär verliert persönliche Daten von 600.000 Rekruten [ Details ]
• CD // Britische Behörde verliert Daten von 25 Millionen Kindergeldempfängern [ Details ]
• Festplatte // Amerikanisches Unternehmen verliert die Daten 3 Millionen britischer Fahrschüler [ Details ]
• CD // Hunderttausende Patientendaten des britischen Gesundheitssystem NHS verschollen [ Details ]
• Magnetband // Amerikanisches Kreditkartenunternehmen verliert Daten von 650.000 Kunden [ Details ]

Das selbsterzeugte Problem

Bedauerlich an dieser Vielzahl von Fällen ist nicht nur der Datenverlust. Auf Dauer schlimmer ist die fehlgeleitete Debatte darüber. Immer wieder fällt mir auf, wie selten die Berichterstattung erwähnt, was des Pudels Kern eigentlich ist.

Verloren geht vieles. Kugelschreiber, Aktenkoffer, Brillen, Brieftaschen und eben auch so mancher mobile Datenträger vom Laptop über den USB-Stick bis zum Smartphone. Sobald aber vertrauliche Daten oder der Zugangsweg zu denselbigen darauf gespeichert werden, verliert der durch den Verlust entstandene Schaden oft jede Proportion zum Wert des Gerätes (das britische Militär beklagte jedenfalls nicht den Verlust ihres schönen Laptops). Die moderne Massendatensammelwut und die enorme Speicherkapazität so mancher mobiler Datenträger verschärfen das Problem zusätzlich.

Der Kern des Pudels liegt denn nicht im Verlust, sondern in der Speicherform. Warum wurden die Daten anscheinend in keinem der genannten Fälle wirkungsvoll verschlüsselt? Jeder (und ich meine absolut jeder) Firmen- oder Behördenlaptop, der entweder für die Speicherung oder den Zugriff auf potentiell vertrauliche Daten genutzt wird, sollte komplett verschlüsselt sein. Es gibt genügend Werkzeuge, die mit hochwertiger Verschlüsselung und Pre-Boot-Authentication (der Benutzerauthentifizierung vor dem Laden des - oft anfälligen - Betriebssystems) aufwarten, von OpenSource-Software bis hin zu PCMCIA-Kryptokarten mit Verschlusssachenzulassung. Und wer ein paar Geräte mehr hat, der findet auch verschiedenste Softwarelösungen mit Rollout- und Managementwerkzeugen für Großumgebungen.

Durch Einsatz geeigneter Hard- oder Software zum Schutz von Laptops macht man selbst Geheimdiensten das Leben schwer - ganz zu schweigen vom "den Laptop verkauf ich an die Bildzeitung" Autoradiodieb von nebenan. Theoretisch sind auch solche Systeme angreifbar, doch der Aufwand und das notwendige Know-How steigen oftmals in astronomische Dimensionen.

Selbst Smartphones lassen sich schützen, die entsprechende Software ist verfügbar (zu den spezifischen Risiken dieser Gattung lasse ich mich zu einem späteren Zeitpunkt nochmal aus). Und was Magnetbänder, CDs, USB-Sticks & Co. angeht, so ist wohl eher die Flut verfügbarer Lösungen die Herausforderung.

Datenverlust - Pressemeldung 2.0

So könnte denn die Pressemeldung beim Verlust des nächsten Laptops grundsätzlich anders lauten: "völlig wertloser Datensalat und ein Stück gebrauchte Hardware verloren". Gefällt mir besser.

O.k., die Pressedichter der Unternehmen und Behörden können das sicher noch besser formulieren. Aber die Grundaussage bleibt dieselbe. Mit richtiger Verschlüsselung und bei Beachtung einiger einfacher Regeln ("schreiben sie ihr Kennwort bitte nicht auf den Laptop") ist der Diebstahl eines solchen Datenträgers eine Nebensache ohne weitere Konsequenz. Der Schaden wird auf den Verlust des gestohlenen Gegenstandes reduziert. Und die Peinlichkeit spontan zusammengereimter Sicherheitsverbesserungen ("ab jetzt verschicken wir die Daten nur noch elektronisch") bleibt uns allen erspart.

Hilfe naht - auch für die "Kleinen"

Eigentlich wollte ich ja schon seit geraumer Zeit über mein tiefes Bedauern losbloggen, dass die OpenSource-Gemeinde zwar ein (mehr oder weniger sinnvolles) Verschlüsselungstool nach den anderen herausbringt, aber das Thema Verschlüsselung von Systempartitionen inkl. Pre-Boot-Authentication so sträflich vernachlässigt.

Dem quelloffenen Himmel sei Dank hat mich die Realität überholt und mein angefangener Blogbeitrag ist wohlverdient im virtuellen Mülleimer gelandet. Gleichzeitig entstieg mir ein kleiner Freudenjauchzer, dass ausgerechnet mein Lieblings-Verschlüsselungswerkzeug TrueCrypt in seiner neusten Version in den Verschlüsselungsolymp aufstieg und nun all die schönen Dinge unterstützt, die man für einen möglichst sicheren Laptop so braucht: Verschlüsselung von Partitionen und ganzen Festplatten (inkl. Windows-Betriebssystem), Pre-Boot-Authentication, Verschlüsselung leerer Sektoren und noch so einiges mehr. TPM wird leider anscheinend noch nicht unterstützt, aber das kann ja noch kommen.

Also gleich mal das ebenso frei erhältliche, aber nicht quelloffene (und bei jedem Systemstart sozialschädlich losplärrende) Free CompuSec vom Bastel-Laptop geworfen und TrueCrypt installiert. Und da schau her, es funktioniert prima - wie man es von dieser Software gewöhnt ist.

Eine solche Lösung ist natürlich im Großeinsatz auf Konzernebene mit dem einen oder anderen Fragezeichen behaftet (es gibt momentan kein Rollout- und Managementwerkzeug), aber für Privatanwender und kleinere Firmen ist es klasse. Und für alle, die viel zu beschützen haben, sind ja die passenden Lösungen am Markt verfügbar.