Die Informationen zur PC-Grundsicherung sind in drei Kategorien eingeteilt. Die Basissicherung kann jeder Computerbenutzer ohne besondere Vorkenntnisse selber an seinem Gerät vornehmen. Der Großteil der Hinweise beinhalten Einstellungen, die einmalig am PC vorgenommen werden müssen.
Ebenso sind alle Computernutzer dazu angehalten, die Regeln zur organisatorischen Sicherung zu befolgen, die sich vor allem auf den Umgang mit dem Gerät beziehen. Arbeitsplätze, an denen sensible Daten verarbeitet werden, sollten eine erweitere Sicherung erfahren.
Zur erweiterten Sicherung von PCs gehören:
Daten lassen sich vor der Einsichtnahme durch unberechtigte Dritte schützen, indem sie verschlüsselt auf Datenträgern (z.B. Festplatten oder USB-Sticks) abgelegt werden. Informationen, die mit einem nach dem Stand der Technik sicheren Verschlüsselungsverfahren gesichert sind, können nicht in falsche Hände geraten, z.B. wenn ein System entwendet wird oder bei einem Hardwaredefekt die Festplatte getauscht werden muss. (Auch defekte Datenträger sind mit Spezialtechniken noch lesbar.)
Es gibt vielfältige Verschlüsselungsverfahren, mit denen Inhalte einzelner Dateien oder Verzeichnisse, aber auch ganzer Datenträger gesichert werden können. Eine kurze Übersicht dazu, mit zahlreichen Empfehlungen, ist beim BSI für Bürger zu finden.
Aber: Die Daten sind in der Regel nur bei ausgeschaltetem Gerät geschützt. Wird bei Systemstart das Passwort (oder Zertifikat, biometrische Merkmal …) zur Entschlüsselung eingegeben, so sind die Daten im laufenden System wie unverschlüsselte Daten verfügbar.
Im Folgenden werden einige Möglichkeiten zur Verschlüsselung kurz vorgestellt.
Dateien oder Ordner verschlüsseln:
In den gängigen Office-Produkten kann man Dateien meist verschlüsselt abspeichern. Diese Variante ist jedoch nicht sehr sicher, da mittlerweile Programme angeboten werden, die diese einfache Verschlüsselung aufheben können. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Nutzern, für die Verschlüsselung von Dateien und E-Mailanhängen das Programm Gpg4win zu nutzen. Weitere Informationen über Gpg4win erhalten Sie auf den Internetseiten des BSI.
Die meisten Versionen des Windows Betriebssystems (außer Home-Edition) bieten mit dem Encrypted File System (EFS) die Möglichkeit, Dateien und Verzeichnisse auf NTFS-Laufwerken zu verschlüsseln. Dies lässt sich durch Rechtsklick auf die Datei oder den Ordner und Aufruf des Kontextmenüs Eigenschaften → Erweitert → "Inhalte verschlüsseln" erreichen. Das Verschlüsseln erfolgt mit einem von Windows automatisch erzeugten und im Zertifikatsspeicher des Benutzers abgelegten Zertifikats. Dies sollte man auf jeden Fall sichern, siehe BSI für Bürger.
Die Entschlüsselung erfolgt bei Zugriff auf die Daten transparent (automatisch), daher ist der Schutz der EFS-Verschlüselung so stark wie das Passwort des Benutzerkontos: Ein Dritter, der sich unbefugt unter dem Benutzerkonto anmelden kann, hat Zugriff auf die Daten.
Achtung: Kopiert man eine EFS verschlüsselte Datei oder verschlüsselten Ordner auf ein FAT-Laufwerk, so geht die Verschlüsselung auf dem Ziellaufwerk verloren.
Technisch Interessierte finden eine ausführliche Beschreibung des EFS beim BSI oder im MS Technet.
Auch durch Datenkompressionsprogramme, wie zum Beispiel die Open-Source-Anwendung 7-Zip , lässt sich eine Verschlüsselung durch Setzen eines Passwortes erzwingen. Ohne Wissen des Passwortes kann nicht mehr auf die komprimierten Daten zugegriffen werden. Diese Methode ist jedoch nur sinnvoll für kleine Datenmengen, da die De- und Komprimierung sonst zuviel Zeit in Anspruch nehmen.
Festplattenbereiche, Partitionen oder das Gesamtsystem verschlüsseln:
Gerade bei mobilen Geräten ist es sinnvoll, das gesamte System (Daten und Betriebssystem) zu verschlüsseln. Auf dem Markt sind viele kommerzielle Produkte zu diesem Zweck verfügbar, z.B. Sophos Safeguard.
Die meisten Windows Betriebssysteme bieten mit dem MS Bitlocker Drive Encryption eine bereits integrierte Lösung an. In der Standardvariante nutzt MS Bitlocker eine Hardwareerweiterung, die in vielen Notebooks zu finden ist, das Trusted Platform Module (TPM). Eine Kurzanleitung zur Standardkonfiguration findet man wieder bei BSI für Bürger.
Der MS Bitlocker kann aber auch ohne TPM genutzt werden. Eine Anleitung findet man hier.
Bei jeglicher Art von Verschlüsselung muss sichergestellt werden, dass kein Passwort oder Sicherheitsschlüssel/Zertifikat verloren geht. Das ist meist gleichbedeutend damit, das Passwort unter gesicherten Bedingungen (z.B. im verschlossenen Umschlag im Tresor) zusätzlich aufzubewahren.
Microsoft stellt Windows-Nutzern kostenlos den "Baseline Security Analyzer" zur Verfügung. Das Tool untersucht das Windows-System auf Sicherheitslücken. Die Bedienung ist selbsterklärend. Das Protokoll listet detailliert die Gegenstände der Überprüfung, Ergebnisdetails und Vorgehensweisen zur Behebung auf. Auf der Technet Site von Microsoft finden Sie den Baseline Security Analyzer.
Falls Sie mit den Maßnahmen zur Sicherung Ihres PCs nicht alleine zurecht kommen, hilft Ihnen das Servicecenter von IT.SERVICES gerne weiter. Auf den Seiten von IT.SERVICES finden Sie weitere Informationen.
Bildquellen: iStockPhoto.com