M 4.29 Einsatz eines Verschlüsselungsproduktes für tragbare PCs
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Um zu verhindern, daß aus einem trotz
aller Vorsichtsmaßnahmen gestohlenen tragbaren PC schutzbedürftige Daten
ausgelesen werden können, sollte ein Verschlüsselungsprogramm eingesetzt
werden. Mit Hilfe der marktgängigen Produkte ist es möglich, einzelne Dateien,
bestimmte Bereiche oder die ganze Festplatte so zu verschlüsseln, daß nur
derjenige, der über den geheimen Schlüssel verfügt, in der Lage ist, die Daten
zu lesen und zu gebrauchen.
Die Sicherheit der Verschlüsselung hängt dabei von drei verschiedenen
Punkten zentral ab:
- Der verwendete Verschlüsselungsalgorithmus muß so konstruiert sein, daß es
ohne Kenntnis des verwendeten Schlüssels nicht möglich ist, den Klartext aus
dem verschlüsselten Text zu rekonstruieren. Nicht möglich bedeutet dabei, daß
der erforderliche Aufwand zum Brechen des Algorithmus bzw. zum Entschlüsseln in
keinem Verhältnis steht zum dadurch erzielbaren Informationsgewinn.
- Der Schlüssel ist geeignet zu wählen. Nach Möglichkeit sollte ein Schlüssel
zufällig erzeugt werden. Wenn es möglich ist, einen Schlüssel wie ein Paßwort
zu wählen, sollten die diesbezüglichen Regeln aus M 2.11
Regelung des Paßwortgebrauchs beachtet werden.
- Der Verschlüsselungsalgorithmus (das Programm), der verschlüsselte Text und
die Schlüssel dürfen nicht zusammen auf einem Datenträger gespeichert werden.
Es bietet sich an, den Schlüssel einzeln aufzubewahren. Dies kann dadurch
geschehen, daß er auf einer Pappkarte in Form einer Scheckkarte aufgeschrieben
und anschließend wie eine Scheckkarte im Portemonnaie aufbewahrt wird. Werden
die Schlüssel auf Disketten gespeichert, so sollten die Disketten getrennt vom
tragbaren PC aufbewahrt werden (z. B. in der Brieftasche).
Eine Verschlüsselung kann online oder offline vorgenommen werden. Online
bedeutet, daß sämtliche Daten der Festplatte (bzw. einer Partition)
verschlüsselt werden, ohne daß der Benutzer dies aktiv veranlassen muß. Eine
Offline-Verschlüsselung wird explizit vom Benutzer initiiert. Er muß dann auch
entscheiden, welche Dateien verschlüsselt werden sollen.
Zur Auswahl und Nutzung von kryptographischen
Verfahren sollte auch Kapitel 3.7 Kryptokonzept beachtet werden.
Für den Bereich der öffentlichen Verwaltung kann das BSI für den Einsatz auf
stationären und tragbaren PCs ein Offline-Verschlüsselungsprogramm unter
gewissen Randbedingungen zur Verfügung stellen, das den
Sicherheitsanforderungen im Bereich des mittleren Schutzbedarfs genügt. Ein
Anforderungsvordruck befindet sich im Teil Hilfsmittel des vorliegenden
ITGrundschutzhandbuchs.
Ergänzende Kontrollfragen:
- Werden die Benutzer im Umgang mit dem Verschlüsselungsprogramm
geschult?
- Werden Daten und Schlüssel getrennt aufbewahrt?
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000
.