Festplattenverschlüsselung - wann macht das Sinn?

FestplatteEs gibt eine Reihe Ar­gu­men­te, wann sich das Ver­schlüs­seln von Par­ti­tio­nen lohnt. Aus ak­tu­el­lem Anlaß (das Ko­pie­ren von Lap­top­daten ohne Ver­dachts­mo­ment bei der Pa­ß­kon­trol­le) ver­su­che ich im Fol­gen­den, ei­ni­ge Ar­gu­men­te zu sam­meln.

Ef­fek­te der Ver­schlüs­se­lung
Ver­schlüs­se­lung bie­tet zwei Vor­tei­le: Zum einen ist of­fen­sicht­lich, daß die Daten nur noch mit Hilfe des Schlüs­sels les­bar sind. Zum an­de­ren be­nut­zen na­he­zu alle Ver­fah­ren zur Par­ti­ti­ons­ver­schlüs­se­lung In­te­gri­täts-Checks; des­halb ist ein un­be­merk­tes Ver­än­dern der Daten ohne Kennt­nis des Schlüs­sels na­he­zu un­mög­lich.
Auf der an­de­ren Seite be­deu­tet die Ver­schlüs­se­lung zu­sätz­li­chen Auf­wand an Re­chen­zeit - die Ver­schlüs­se­lung senkt die Per­for­mance bzw. er­höht bei Lap­tops den Strom­ver­brauch. Der Ein­satz von Ver­schlüs­se­lung be­deu­tet das Ein­zie­hen einer wei­te­ren Soft­ware­schicht zwi­schen Da­tei­sys­tem und Plat­ten­zu­griff - Soft­ware kann feh­ler be­inhal­ten, und ein Feh­ler an die­ser Stel­le ist wohl als be­son­ders kri­tisch zu be­wer­ten.

Bei wel­chen Daten lohnt sich Ver­schlüs­se­lung?
Der of­fen­sicht­lichs­te Ein­satz­zweck ist die Ver­schlüs­se­lung einer Da­ten­par­ti­ti­on. Sen­si­ble Daten wie Fir­men­ge­heim­nis­se wer­den so ge­schützt. Aber auch auf den ers­ten Blick we­ni­ger sen­si­ble Daten kön­nen für be­stimm­te In­sti­tu­tio­nen sehr in­ter­es­sant sein: Bei­spiels­wei­se er­laubt der Mail­fol­der und das Adreß­buch einen tie­fen Ein­blick in Ge­wohn­hei­ten und so­zia­le Struk­tu­ren des Be­sit­zers.
Wird auf einem Sys­tem mit sen­si­blen Daten ge­ar­bei­tet, soll­te auch die Swap-Par­ti­ti­on ver­schlüs­selt wer­den; an­sons­ten kann es pas­sie­ren, daß sen­si­ble Daten bei Spei­cher­knapp­heit aus dem RAM ver­drängt wer­den und im Klar­text auf der Swap-Par­ti­ti­on lan­den.
Die letz­te Ka­te­go­rie ist die Sys­tem­par­ti­ti­on (incl. Kon­fi­gu­ra­ti­ons­ver­zeich­nis­se). Hier lie­gen zwar keine in­di­vi­du­el­len Be­nut­zer­da­ten, an sen­si­blen In­for­ma­tio­nen kann aber hier z.B. Schlüs­sel­ma­te­ri­al für VPN-Tun­nel ge­spei­chert sein. In­ter­es­sant ist hier die In­te­gri­täts­ei­gen­schaft der Ver­schlüs­se­lung: Es ist auf diese Weise nicht mög­lich, eine Hin­ter­tür in das Sys­tem ein­zu­schleu­sen, die z.B. Paß­wör­ter, etc. loggt.
Die Ver­schlüs­se­lung der Sys­tem­par­ti­ti­on er­for­dert al­ler­dings zu­sätz­li­chen Auf­wand, um den Boot­vor­gang zu er­mög­li­chen: Zum Boo­ten muß min­des­tens der Boot­loa­der und der Ker­nel mit den Da­tei­sys­tem­trei­bern (incl. Ver­schlüs­se­lung) un­ver­schlüs­selt vor­han­den sein. Um si­cher­zu­stel­len, daß hier keine Ver­än­de­rung vor­ge­nom­men wer­den kann, müs­sen diese Teile von einem Re­ad-On­ly-Me­di­um (z.B. Boot-CD) oder einem USB-Stick stam­men.

Ver­schlüs­se­lung bei Lap­tops
Wie der oben er­wähn­te Be­richt deut­lich macht, ist zu­min­dest die Ver­schlüs­se­lung der Da­ten­par­ti­ti­on auch bei Pri­vat­per­so­nen drin­gend an­zu­ra­ten. Ge­schäfts­leu­te, die sich über In­dus­trie­spio­na­ge Ge­dan­ken ma­chen müs­sen, soll­ten den Auf­wand der kom­plet­ten Ver­schlüs­se­lung in Be­tracht zie­hen - auch wenn dies ei­ni­ge Un­be­quem­lich­kei­ten be­deu­tet (Boo­ten vom USB-Stick, kein Sus­pend-to-Disk - je­den­falls meis­tens, siehe Kom­men­ta­re unten).

Ver­schlüs­se­lung bei Ser­vern/Work­sta­tions
Das Ver­schlüs­seln von Daten auf Ser­vern oder Work­sta­tions kann durch­aus Sinn ma­chen! Meist reicht hier die Ver­schlüs­se­lung der Da­ten­par­ti­ti­on aus, je­doch soll­te dies fall­ab­hän­gig ent­schie­den wer­den. Die fol­gen­den bei­den Sze­na­ri­en zei­gen, wann Ver­schlüs­se­lung Vor­tei­le bie­tet:

Fest­plat­ten-Ga­ran­tie­fall: Kommt es bei einer de­fek­ten Fest­plat­te zu einem Ga­ran­tie­aus­tausch, muß üb­li­cher­wei­se das de­fek­te Gerät zum Her­stel­ler ge­sandt wer­den. In vie­len Fäl­len steckt der De­fekt je­doch nur in der Plat­ten­lo­gik, nicht aber an der sen­si­blen Me­cha­nik (Köpfe, Schei­ben). In einem sol­chen Fall ist die Plat­te nach dem Aus­tausch der Con­trol­ler-Pla­ti­ne voll­stän­dig les­bar!
Selbst wenn der Aus­tausch auf­grund ei­ni­ger de­fek­ter Sek­to­ren er­folg­te und man die ver­blei­ben­den Daten per Soft­ware lö­schen konn­te, bleibt das Rest­ri­si­ko, daß diese Daten in einem ent­spre­chen­den Re­co­very-La­bor (wie z.B. Kroll-On­track o.ä.) wie­der­her­ge­stellt wer­den. Letz­te­res ist zwar teuer, aber wenn die Daten wert­voll genug sind...
Das "schwa­che Glied" muß hier nicht not­wen­di­ger­wei­se beim Plat­ten­her­stel­ler oder Händ­ler lie­gen: Plat­ten, die ein­fach zu re­pa­rie­ren sind (z.B. Aus­tausch des Con­trol­lers), wer­den (an­geb­lich nach einem voll­stän­di­gen For­ma­tie­ren) von den Her­stel­lern mit einem "re­fur­bis­hed"-Auf­kle­ber ver­se­hen und für den Ga­ran­tie­aus­tausch ver­wen­det: Die ei­ge­ne de­fek­te Plat­te wan­dert so in die Hände eines an­de­ren Kun­den mit Ga­ran­tie­aus­tausch.

Ge­braucht­ver­kauf von Ge­rä­ten: Auch hier gilt das Ar­gu­ment des Re­co­very-La­bors; so könn­ten bei­spiels­wei­se Kon­kur­ren­ten einer Firma ge­brauch­te Hard­ware kau­fen und an­schlie­ßend ver­su­chen, die Daten zu re­stau­rie­ren.
For­ma­tie­ren einer Plat­te über­schreibt meist nur die Ver­zeich­nis­struk­tur, und selbst wenn eine Plat­te kom­plett über­schrie­ben wurde, ist es Spe­zi­al­la­bors häu­fig mög­lich, Teile der Daten zu re­kon­stru­ie­ren.

Mi­ß­trau­en ge­gen­über einem Ser­ver Hos­ter: Es wurde ein Root-Ser­ver an­ge­mie­tet, je­doch be­steht die Sorge, daß ein neu­gie­ri­ger Mit­ar­bei­ter des Hos­ters einen Blick auf die Fest­plat­te wirft. Da man kei­nen di­rek­ten Zu­griff auf die Hard­ware hat, ist hier keine voll­stän­di­ge Si­cher­heit mög­lich (auch eine se­ri­el­le Kon­so­le zum Ein­ge­ben eines Paß­worts für das Root-File­sys­tem ist durch den Hos­ter ab­hör­bar); je­doch sorgt eine ver­schlüs­sel­te Da­ten­par­ti­ti­on für eine er­heb­li­che erste Hürde. Oben­drein gel­ten die­sel­ben Ar­gu­men­te wie beim Fest­plat­ten-Ga­ran­tie­fall.

Ge­eig­ne­te Soft­ware
Unter li­nu­xo­iden Sys­te­men bie­tet die Kom­bi­na­ti­on von dm-crypt und LUKS eine recht kom­for­ta­ble Mög­lich­keit, Par­ti­tio­nen zu ver­schlüs­seln. An­lei­tun­gen für die ver­schie­dens­ten Dis­tri­bu­tio­nen fin­det man pro­blem­los im Netz (die An­lei­tung bei Gen­too hat mir be­son­ders gut ge­fal­len). So­wohl unter Win­dows als auch Linux funk­tio­niert die Open-Sour­ce-Soft­ware Tru­e­crypt. Die (eben­falls freie) Soft­ware FreeOT­FE habe ich sel­ber noch nicht ge­tes­tet; sie ver­spricht, unter Win­dows Zu­griff auf dm-crypt-ver­schlüs­sel­te Par­ti­tio­nen zu er­mög­li­chen, und dies sogar ohne vor­he­ri­ge In­stal­la­ti­on der Soft­ware - ideal für das "mo­bi­le Büro" auf einem USB-Stick.

Fazit
Der Per­for­man­ce­ver­lust durch Ver­schlüs­se­lung ist in An­be­tracht der Ri­si­ken (und der Leis­tungs­stär­ke ak­tu­el­ler CPUs) si­cher zu ver­schmer­zen. Ins­be­son­de­re im Ser­ver- und Work­sta­tion-Be­reich wird die The­ma­tik allzu häu­fig ver­nach­läs­sigt; die Schlag­zei­len, daß von ge­brauch­ten Ge­rä­ten sen­si­ble Daten von Äm­tern re­kon­stru­iert wur­den, dürf­ten al­len­falls die Spit­ze des Eis­bergs sein.