Mobile Security

Neun Tipps für das sichere Notebook

30.09.2010 von Martin Bayer
Mobilrechner stellen hohe Anforderungen in Sachen Security. Um böse Überraschungen zu vermeiden, sollten die IT-Verantwortlichen ein paar Punkte beachten.

Immer mehr Unternehmen ersetzen ihre Desktop-Systeme durch Notebooks. Doch damit kommen auf die IT-Verantwortlichen neue Herausforderungen zu. Während ein Desktop gut geschützt hinter der Firmen-Firewall seinen Dienst tun kann, ist ein Notebook im harten Außeneinsatz vielfältigen Gefahren ausgesetzt: Diebe und Industriespione lauern auf Gerät und Daten, Schädlinge wie Viren und Würmen finden in fremden Netzen einfacher ihren Weg auf den Rechner.

IT-Verantwortliche sollten daher besonderes Augenmerk auf die Sicherheit der mobilen Firmenrechner legen, auch wenn Sicherheitsmaßnahmen zunächst einmal keinen direkten Gewinn versprechen. Wer einmal sensible Firmendaten wie Preis- oder Kundenlisten verliert, wird schnell eines Besseren belehrt. Die daraus resultierenden Schäden können die notwendigen Investitionen bei weitem übertreffen. Experten wie beispielsweise die Sicherheitsspezialisten von Sophos raten Firmen daher, auf folgende Punkte zu achten.

Zehn pfiffige Passwort-Tools
Alle meine Passworte
Alle meine Passworte katalogisiert und verwaltet Passwörter aller Art, wobei Sie die sensiblen Dateien mit unterschiedlichen Methoden verschlüsseln können.
Any Password
Any Password verwaltet Ihre Passwörter. Ob für Ebay, Internet-Zugang, Banking, Chat oder andere Tools – das englischsprachige Tool archiviert sie alle. Beim Speichern jeder Passwort-Liste legen Sie ein individuelles Passwort zum Aufrufen der Liste fest.<br>So können auch mehrere Anwender auf demselben PC ihre Daten aufbewahren. Außerdem generiert das Tool auf Wunsch per Zufallsgenerator Passwörter. Hier lässt sich die Zeichenzahl angeben und ob zwischen Groß- und Kleinschreibung unterschieden werden soll.
Keepass
Mit dem KeePass Passwort-Safe speichern Sie alle Ihre Passwörter, Zugangsdaten und TAN-Listen in einer verschlüsselten Datenbank, sodass Sie sich nur noch ein Passwort merken müssen.
KeePass Portable
Das Open-Source-Tool Keepass generiert und speichert sichere Passwörter in einer Datenbank. Die Passwörter lassen sich in Gruppen zusammenfassen. Auch TANs können verwaltet werden. Die Datenbank wird mit dem Advanced Encryption Standard (AES) und dem Twofish Algorithmus verschlüsselt. In Zukunft müssen Sie sich dann nur noch an ein Passwort - als Zugang für diese Datenbank - erinnern.
Password Hasher (Firefox-Addon)
Password Hasher bildet aus dem Namen der Website und einem von Ihnen gewählten Schlüsselwort das eigentliche Passwort und überträgt es an das Formularfeld.
Passwortverwalter Dot Net
Das kostenlose Programm speichert alle Bankdaten, Passwörter oder die Zugangsdaten für Internet-Zugänge in einer Datenbank, die mit 256 Bit starken AES Verschlüsselung und einem Passwort abgesichert wird. Ebenso verwaltet das Tool Ihre TAN- und iTAN-Listen. Die Daten können übersichtlich sortiert werden, sodass der Zugriff auf einzelne Daten sehr schnell vonstatten geht. Abgleichen können Sie die Daten per FTP und auf Wunsch können Sie die Daten als HTML-Datei exportieren.
Secure Password Generator
Die meisten Passwörter braucht man im Internet. Darum ist ein Passwortgenerator direkt im Browser sinnvoll. Empfehlenswert ist die englischsprachige Erweiterung Secure Password Generator.
Steganos Passwort-Manager
Der Passwort-Manager von Steganos ist Ihr digitaler Schlüsselbund. Er übernimmt die Erstellung, Verwaltung und den Schutz aller Passwörter, die Sie Zuhause oder unterwegs benötigen.

1. Security-Richtlinien definieren

Statt blind in Technik zu investieren, sollten Firmen als Erstes ein unternehmensweites Sicherheitskonzept definieren, das neben der internen IT-Infrastruktur auch die mobilen Rechner einschließt. Dabei gilt es folgende Fragen zu überlegen: Wie häufig und wo werden die Rechner außerhalb der Firmengrenzen eingesetzt? Wie groß sind die daraus resultierenden Gefahren und wie stark müssen deshalb die Sicherheitsmaßnahmen sein? Wie sensibel und kritisch sind die Daten, die auf den Notebooks transportiert werden? Soll das Security-Management lokal auf den Clients oder zentral über eine Management-Konsole erfolgen?

Tipp: Das beste Security-Konzept nützt nichts, wenn Sie nicht prüfen, ob es eingehalten wird, beziehungsweise darauf achten, ob es noch aktuell ist. Stellen Sie deshalb regelmäßig Ihre Security-Regeln auf den Prüfstand und kontrollieren Sie, ob die Policies noch zutreffen und Ihren Anforderungen genügen.

2. Mitarbeiter sensibilisieren

Die Technik ist nur eine Seite der Sicherheitsmedaille. Darüber hinaus müssen die Verantwortlichen in den Unternehmen daran arbeiten, die eigenen Mitarbeiter für das Thema Security stärker zu sensibilisieren. Viele Nutzer sind sich der Gefahren nicht bewusst, die von ungeschützten Daten auf Mobilrechnern ausgehen. Auch über die Höhe der möglichen Schäden durch einen Datenverlust machen sich die wenigsten Mitarbeiter Gedanken. Die Kosten des verlorenen beziehungsweise gestohlenen Rechners decken in aller Regel nur einen Bruchteil des Gesamtschadens ab.

Experten empfehlen Firmen daher, die eigenen Mitarbeiter kontinuierlich über das Thema aufzuklären. Schulungen und Tipps für den sicheren Umgang mit mobilen Endgeräten und Speichermedien dürften in keinem Unternehmen fehlen.

3. Trau, schau, wem auf der Reise

Auch wenn es beim Check-in auf dem Flugplatz schnell gehen muss, sollten Sie Ihr Notebook nie aus den Augen verlieren. Bitten Sie niemanden, auf den Mobilrechner aufzupassen, selbst wenn der Mitreisende vertrauenswürdig wirkt. Auch im Hotel gilt es, einige Vorsichtsmaßnahmen zu beachten. So gehört der Rechner in den Safe, sobald Sie nicht im Zimmer sind. Schließlich würden Sie dem Servicepersonal Ihre Brieftasche auch nicht auf dem Nachtkästchen präsentieren.

Sollte der Rechner trotz aller Vorsicht abhandenkommen, informieren Sie so schnell wie möglich Polizei und Arbeitgeber: Geht es darum, das gestohlene Gerät wiederzubeschaffen beziehungsweise vertrauliche Daten zu schützen, zählt jede Minute.

Tipp: Transportieren Sie Ihren Mobilrechner in einer Tasche, die nicht sofort als Notebook-Tasche ins Auge fällt. Es muss nicht gleich eine Pizzaschachtel sein, eine einfache Aktentasche reicht oft schon zur Tarnung.

4. Sichere Passwörter verwenden

Um den Zugriff auf die Mobilrechner abzusichern, gilt es als erste Maßnahme, sichere Passwörter einzurichten. Nach wie vor passieren Kardinalfehler wie auf Klebezetteln notierte Passwörter an der Unterseite der Rechner beziehungsweise zu schwache Passwörter - beispielsweise der Name von Ehegattin, Kind oder Hund. Experten empfehlen einen Mix aus Ziffern, Buchstaben - groß und klein geschrieben - sowie Sonderzeichen.

Außerdem sollte das Passwort mindestens acht Zeichen lang sein. Unternehmen sollten diese Regeln für die eigenen Mitarbeiter verbindlich und transparent machen. Zum Teil lassen sich die Richtlinien auch technisch erzwingen, indem die Systeme zu einfache Passwörter nicht akzeptieren. Um die Sicherheit weiter zu erhöhen, sollten Passwörter in regelmäßigen Abständen erneuert werden.

Tipp: Zugegebenermaßen sind sichere Passwörter schwer zu merken. Dabei helfen Eselsbrücken - zum Beispiel der letzte Urlaub im Juli 2009 in Thailand, der 50 Dollar pro Tag gekostet hat: Thai0709$50.

5. Passwort vor dem Booten abfragen

Um den Zugriff auf den Rechner wirklich effizient abzusichern, sollte bereits vor dem Booten ein Passwort abgefragt werden. Damit lässt sich verhindern, dass Unbefugte bis an die Tore des Betriebssystems gelangen. Von dort aus sind sensible Informationen nicht mehr weit.

6. Schutz über das Passwort hinaus

Wer unternehmenskritische Informationen auf seinem Notebook mit sich herumträgt, sollte sich nicht allein auf Passwörter verlassen. Mittlerweile gibt es eine Reihe weiterer Techniken, mit deren Hilfe sich der Zugang zum Rechner zusätzlich absichern lässt. Dazu zählen beispielsweise hardwarebasierende Schlüssel wie Smartcards oder Tokens, die im Zusammenspiel mit Passwörtern den Security-Level deutlich erhöhen.

Außerdem integrieren Notebook-Hersteller zunehmend Instrumente in ihren Rechnern, die den Zugriff auf das System beziehungsweise bestimmte Daten durch biometrische Mittel schützen. Dazu zählen beispielsweise Fingerabdruck-Scanner sowie Gesichtserkennung per im Rechner integrierte Webcam.

7. Ruhemodus absichern

Bleibt das Notebook beispielsweise auf Messen oder anderen Veranstaltungen den einen oder anderen Moment unbeaufsichtigt, ist es für Datendiebe ein Leichtes, sensible Informationen abzugreifen. Aus diesem Grund empfiehlt es sich, den Wechsel vom Screensaver- beziehungsweise Ruhemodus durch eine erneute Abfrage des Passworts abzusichern. Damit lässt sich verhindern, dass sich Unbefugte in Pausen schnell Zugriff auf Ihren Mobilrechner verschaffen.

8. Schnittstellen absichern

USB-Sticks und externe Festplatten werden per Plug-and-Play automatisch vom Betriebssystem erkannt und bieten Datendieben damit das perfekte Werkzeug, um Informationen vom Notebook abzuziehen. Administratoren sollten die firmeneigenen Mobilrechner daher so konfigurieren, dass die USB-Schnittstellen entweder deaktiviert sind oder die Rechner nur vom Unternehmen autorisierte Wechselspeicher erkennen. Diese Beschränkung hat einen weiteren Vorteil: Mit vielen verschiedenen Wechselspeichern, die der User an den USB-Port anschließt, steigt auch die Gefahr, dass Schädlinge wie Viren oder Trojaner auf den Rechner übertragen werden.

Diese Gefahr lässt sich einschränken, wenn nur spezielle Datenträger zugelassen sind. Um sensible Firmendaten noch besser zu schützen, können Administratoren zusätzlich den Lese- und Schreibzugriff auf bestimmte Applikationen beziehungsweise Verzeichnisse reglementieren. Damit lässt sich der Datenexport kontrollieren und verhindern, dass Unbefugte Daten aus zuvor definierten Verzeichnissen auf der Festplatte herausholen.

9. Daten verschlüsseln

Um sensible Firmeninformationen auf dem Notebook wirksam zu schützen, müssen sämtliche Daten verschlüsselt werden. Das gilt auch für externe Datenträger wie USB-Sticks oder Wechselfestplatten, die an den Mobilrechner angeschlossen werden. Effektiv sind Techniken, die eine dateibasierende Verschlüsselung bieten, aber Daten auch sektorbasierend verschlüsseln können. Damit lassen sich auch Boot-Dateien, temporäre Files und Verzeichnisinformationen wie die Windows-Registry chiffrieren. Unternehmen sollten standardisierte öffentliche Algorithmen verwenden.

Der Advanced Encryption Standard (AES) verschlüsselt mit einer Schlüssellänge von 128 beziehungsweise 256 Bit. International agierende Firmen sollten darüber hinaus darauf achten, dass die eingesetzte Verschlüsselungslösung landesspezifische kryptografische Vorgaben erfüllt und verschiedene standardisierte Verschlüsselungsalgorithmen unterstützt wie beispielsweise den in den USA weit verbreiteten 3DES-Standard.

Tipp: Um die Daten auf den Notebooks wirksam zu schützen, muss die Verschlüsselung automatisch funktionieren. Die Administratoren dürfen die Entscheidung, wann welche Informationen verschlüsselt werden, nicht dem User überlassen. Zu oft passiert es, dass Anwender Sicherheitsmaßnahmen schlichtweg vergessen beziehungsweise nicht über das notwendige technische Know-how verfügen. Die Folge: Sensible Firmeninformationen liegen möglicherweise ungeschützt auf dem Notebook.

Diese Regel sollten die Sicherheitsverantwortlichen grundsätzlich bei allen Sicherheitsmaßnahmen wie beispielsweise einem Backup beherzigen. Security muss auf dem Notebook weitgehend automatisch funktionieren. Der User darf sie nicht beabsichtigt oder versehentlich außer Kraft setzen können. Umgekehrt dürfen die Security-Tools den Nutzerkomfort und die Produktivität nicht einschränken. Sonst sinkt die Akzeptanz seitens der User. Das ist der schmale Grat, auf dem die Sicherheitsadministratoren die richtige Balance finden müssen.