RUB » Stabsstellen » Stabsstelle für Informationssicherheit

PC-Grundsicherung - erweiterte Sicherung

Auf Nummer Sicher - Teil III

Die Informationen zur PC-Grundsicherung sind in drei Kategorien eingeteilt. Die Basissicherung kann jeder Computerbenutzer ohne besondere Vorkenntnisse selber an seinem Gerät vornehmen. Der Großteil der Hinweise beinhalten Einstellungen, die einmalig am PC vorgenommen werden müssen.
Ebenso sind alle Computernutzer dazu angehalten, die Regeln zur organisatorischen Sicherung zu befolgen, die sich vor allem auf den Umgang mit dem Gerät beziehen. Arbeitsplätze, an denen sensible Daten verarbeitet werden, sollten eine erweitere Sicherung erfahren.

Zur erweiterten Sicherung von PCs gehören:


Datei-, Ordner- und Festplattenverschlüsselung

Daten lassen sich vor der Einsichtnahme durch unberechtigte Dritte schützen, indem sie verschlüsselt auf Datenträgern (z.B. Festplatten oder USB-Sticks) abgelegt werden. Informationen, die mit einem nach dem Stand der Technik sicheren Verschlüsselungsverfahren gesichert sind, können nicht in falsche Hände geraten, z.B. wenn ein System entwendet wird oder bei einem Hardwaredefekt die Festplatte getauscht werden muss. (Auch defekte Datenträger sind mit Spezialtechniken noch lesbar.)
Es gibt vielfältige Verschlüsselungsverfahren, mit denen Inhalte einzelner Dateien oder Verzeichnisse, aber auch ganzer Datenträger gesichert werden können. Eine kurze Übersicht dazu, mit zahlreichen Empfehlungen, ist beim BSI für Bürgerexterner Link zu finden.
Aber: Die Daten sind in der Regel nur bei ausgeschaltetem Gerät geschützt. Wird bei Systemstart das Passwort (oder Zertifikat, biometrische Merkmal …) zur Entschlüsselung eingegeben, so sind die Daten im laufenden System wie unverschlüsselte Daten verfügbar.

Im Folgenden werden einige Möglichkeiten zur Verschlüsselung kurz vorgestellt.

Dateien oder Ordner verschlüsseln:
In den gängigen Office-Produkten kann man Dateien meist verschlüsselt abspeichern. Diese Variante ist jedoch nicht sehr sicher, da mittlerweile Programme angeboten werden, die diese einfache Verschlüsselung aufheben können. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Nutzern, für die Verschlüsselung von Dateien und E-Mailanhängen das Programm Gpg4win zu nutzen. Weitere Informationen über Gpg4winexterner Link erhalten Sie auf den Internetseiten des BSI.

Die meisten Versionen des Windows Betriebssystems (außer Home-Edition) bieten mit dem Encrypted File System (EFS) die Möglichkeit, Dateien und Verzeichnisse auf NTFS-Laufwerken zu verschlüsseln. Dies lässt sich durch Rechtsklick auf die Datei oder den Ordner und Aufruf des Kontextmenüs Eigenschaften-> Erweitert -> „Inhalte verschlüsseln“ erreichen. Das Verschlüsseln erfolgt mit einem von Windows automatisch erzeugten und im Zertifikatsspeicher des Benutzers abgelegten Zertifikats. Dies sollte man auf jeden Fall sichern, siehe BSI für Bürgerexterner Link.
Die Entschlüsselung erfolgt bei Zugriff auf die Daten transparent (automatisch), daher ist der Schutz der EFS-Verschlüselung so stark wie das Passwort des Benutzerkontos: Ein Dritter, der sich unbefugt unter dem Benutzerkonto anmelden kann, hat Zugriff auf die Daten.
Achtung: Kopiert man eine EFS verschlüsselte Datei oder verschlüsselten Ordner auf ein FAT-Laufwerk, so geht die Verschlüsselung auf dem Ziellaufwerk verloren.
Technisch Interessierte finden eine ausführliche Beschreibung des EFS beim BSIexterner Link oder im MS Technetexterner Link.

Auch durch Datenkompressionsprogramme, wie zum Beispiel die Open-Source-Anwendung 7-Zip , lässt sich eine Verschlüsselung durch Setzen eines Passwortes erzwingen. Ohne Wissen des Passwortes kann nicht mehr auf die komprimierten Daten zugegriffen werden. Diese Methode ist jedoch nur sinnvoll für kleine Datenmengen, da die De- und Komprimierung sonst zuviel Zeit in Anspruch nehmen.

Festplattenbereiche, Partitionen oder das Gesamtsystem verschlüsseln:
Gerade bei mobilen Geräten ist es sinnvoll, das gesamte System (Daten und Betriebssystem) zu verschlüsseln. Auf dem Markt sind viele kommerzielle Produkte zu diesem Zweck verfügbar, z.B. Sophos Safeguard.

Die meisten Windows Betriebssysteme bieten mit dem MS Bitlocker Drive Encryption eine bereits integrierte Lösung an. In der Standardvariante nutzt MS Bitlocker eine Hardwareerweiterung, die in vielen Notebooks zu finden ist, das Trusted Platform Module (TPM). Eine Kurzanleitung zur Standardkonfiguration findet man wieder bei BSI für Bürgerexterner Link.
Der MS Bitlocker kann aber auch ohne TPM genutzt werden. Eine Anleitung findet man hierexterner Link.

Bei jeglicher Art von Verschlüsselung muss sichergestellt werden, dass kein Passwort oder Sicherheitsschlüssel/Zertifikat verloren geht. Das ist meist gleichbedeutend damit, das Passwort unter gesicherten Bedingungen (z.B. im verschlossenen Umschlag im Tresor) zusätzlich aufzubewahren.

nach oben

Überprüfung auf Sicherheitslücken

Microsoft stellt Windows-Nutzern kostenlos den "Baseline Security Analyzer" zur Verfügung. Das Tool untersucht das Windows-System auf Sicherheitslücken. Die Bedienung ist selbsterklärend. Das Protokoll listet detailliert die Gegenstände der Überprüfung, Ergebnisdetails und Vorgehensweisen zur Behebung auf.
Auf der Technet Site von Microsoft finden Sie den Baseline Security Analyzer externer Link.

nach oben

IT-Sicherheits-Scans für Server und Subnetze

Um größtmögliche Netz- und Datensicherheit im Intranet der Ruhr-Universität zu erreichen, müssen die angeschlossenen Endgeräte und Server regelmäßig mit den aktuellen Sicherheitskorrekturen versorgt und die darauf installierten Dienste gegen mögliche Schwachstellen abgesichert werden. Leider reicht es häufig nicht hin, die aktuellen Betriebssystem-Updates einzuspielen. Immer wieder treten Schwachstellen in Applikationen auf, für die es keine Sicherheitskorrekturen gibt, oder es treten unbeabsichtigt Konfigurationsfehler auf.
Die Stabsstelle Informationssicherheit bietet die Überprüfung von Windows-, Linux- oder Unix-Servern auf bekannte Sicherheitslücken und Schwachstellen an. Als Ergebnis eines solchen Scans wird ein Protokoll erzeugt, das potentielle Schwachstellen des Servers auflistet und Empfehlungen für die erforderlichen Maßnahmen gibt.
Die Überprüfungen werden mit dem bekannten Netzwerk- und Sicherheitsscanner Nessus in der erweiterten professionellen Version durchgeführt. Dies garantiert den Zugriff auf die aktuellsten Sicherheitstests.

Was wird überprüft
Ein Standard-Scan beinhaltet Tests auf bekannte Sicherheitslücken in den Diensten, die auf dem Server laufen. Ein erweiterter Scan beinhaltet zusätzlich einen Test auf Betriebssystemschwachstellen.

Wer kann einen Sicherheitsscan veranlassen
Die Beauftragung eines Sicherheitsscans erfolgt ausschließlich durch Netzbetreuer, die dem Network Operation Center (NOC) als Ansprechpartner für ein IP-Subnetz der Ruhr-Universität Bochum benannt worden sind. Die IP-Nummer des zu testenden Servers muss zu dem IP-Subnetz der Ruhr-Universität gehören, für das der Netzbetreuer zuständig ist. Das Ergebnis des Scans erhält der Netzbetreuer in Form einer HTML-Datei bzw. als Papierausdruck.
Bei Interesse können sich Netzbetreuer per Email oder telefonisch an die Stabsstelle Informationssicherheit wenden.

Brigitte Wojcieszynski
Tel.: 0234 / 32-23409
Sekretariat: 0234 / 32-24888
Mail: itsb@rub.de

nach oben

Sie benötigen Hilfestellung?

Falls Sie mit den Maßnahmen zur Sicherung Ihres PCs nicht alleine zurecht kommen, hilft Ihnen das Servicecenter von IT.SERVICES gerne weiter. Auf den Seiten von IT.SERVICES finden Sie weitere Informationen.

PC-Grundsicherung