Festplattenverschlüsselung - wann macht das Sinn?

FestplatteEs gibt eine Reihe Argumente, wann sich das Verschlüsseln von Partitionen lohnt. Aus aktuellem Anlaß (das Kopieren von Laptopdaten ohne Verdachtsmoment bei der Paßkontrolle) versuche ich im Folgenden, einige Argumente zu sammeln.

Effekte der Verschlüsselung
Verschlüsselung bietet zwei Vorteile: Zum einen ist offensichtlich, daß die Daten nur noch mit Hilfe des Schlüssels lesbar sind. Zum anderen benutzen nahezu alle Verfahren zur Partitionsverschlüsselung Integritäts-Checks; deshalb ist ein unbemerktes Verändern der Daten ohne Kenntnis des Schlüssels nahezu unmöglich.
Auf der anderen Seite bedeutet die Verschlüsselung zusätzlichen Aufwand an Rechenzeit - die Verschlüsselung senkt die Performance bzw. erhöht bei Laptops den Stromverbrauch. Der Einsatz von Verschlüsselung bedeutet das Einziehen einer weiteren Softwareschicht zwischen Dateisystem und Plattenzugriff - Software kann fehler beinhalten, und ein Fehler an dieser Stelle ist wohl als besonders kritisch zu bewerten.

Bei welchen Daten lohnt sich Verschlüsselung?
Der offensichtlichste Einsatzzweck ist die Verschlüsselung einer Datenpartition. Sensible Daten wie Firmengeheimnisse werden so geschützt. Aber auch auf den ersten Blick weniger sensible Daten können für bestimmte Institutionen sehr interessant sein: Beispielsweise erlaubt der Mailfolder und das Adreßbuch einen tiefen Einblick in Gewohnheiten und soziale Strukturen des Besitzers.
Wird auf einem System mit sensiblen Daten gearbeitet, sollte auch die Swap-Partition verschlüsselt werden; ansonsten kann es passieren, daß sensible Daten bei Speicherknappheit aus dem RAM verdrängt werden und im Klartext auf der Swap-Partition landen.
Die letzte Kategorie ist die Systempartition (incl. Konfigurationsverzeichnisse). Hier liegen zwar keine individuellen Benutzerdaten, an sensiblen Informationen kann aber hier z.B. Schlüsselmaterial für VPN-Tunnel gespeichert sein. Interessant ist hier die Integritätseigenschaft der Verschlüsselung: Es ist auf diese Weise nicht möglich, eine Hintertür in das System einzuschleusen, die z.B. Paßwörter, etc. loggt.
Die Verschlüsselung der Systempartition erfordert allerdings zusätzlichen Aufwand, um den Bootvorgang zu ermöglichen: Zum Booten muß mindestens der Bootloader und der Kernel mit den Dateisystemtreibern (incl. Verschlüsselung) unverschlüsselt vorhanden sein. Um sicherzustellen, daß hier keine Veränderung vorgenommen werden kann, müssen diese Teile von einem Read-Only-Medium (z.B. Boot-CD) oder einem USB-Stick stammen.

Verschlüsselung bei Laptops
Wie der oben erwähnte Bericht deutlich macht, ist zumindest die Verschlüsselung der Datenpartition auch bei Privatpersonen dringend anzuraten. Geschäftsleute, die sich über Industriespionage Gedanken machen müssen, sollten den Aufwand der kompletten Verschlüsselung in Betracht ziehen - auch wenn dies einige Unbequemlichkeiten bedeutet (Booten vom USB-Stick, kein Suspend-to-Disk - jedenfalls meistens, siehe Kommentare unten).

Verschlüsselung bei Servern/Workstations
Das Verschlüsseln von Daten auf Servern oder Workstations kann durchaus Sinn machen! Meist reicht hier die Verschlüsselung der Datenpartition aus, jedoch sollte dies fallabhängig entschieden werden. Die folgenden beiden Szenarien zeigen, wann Verschlüsselung Vorteile bietet:

Festplatten-Garantiefall: Kommt es bei einer defekten Festplatte zu einem Garantieaustausch, muß üblicherweise das defekte Gerät zum Hersteller gesandt werden. In vielen Fällen steckt der Defekt jedoch nur in der Plattenlogik, nicht aber an der sensiblen Mechanik (Köpfe, Scheiben). In einem solchen Fall ist die Platte nach dem Austausch der Controller-Platine vollständig lesbar!
Selbst wenn der Austausch aufgrund einiger defekter Sektoren erfolgte und man die verbleibenden Daten per Software löschen konnte, bleibt das Restrisiko, daß diese Daten in einem entsprechenden Recovery-Labor (wie z.B. Kroll-Ontrack o.ä.) wiederhergestellt werden. Letzteres ist zwar teuer, aber wenn die Daten wertvoll genug sind...
Das "schwache Glied" muß hier nicht notwendigerweise beim Plattenhersteller oder Händler liegen: Platten, die einfach zu reparieren sind (z.B. Austausch des Controllers), werden (angeblich nach einem vollständigen Formatieren) von den Herstellern mit einem "refurbished"-Aufkleber versehen und für den Garantieaustausch verwendet: Die eigene defekte Platte wandert so in die Hände eines anderen Kunden mit Garantieaustausch.

Gebrauchtverkauf von Geräten: Auch hier gilt das Argument des Recovery-Labors; so könnten beispielsweise Konkurrenten einer Firma gebrauchte Hardware kaufen und anschließend versuchen, die Daten zu restaurieren.
Formatieren einer Platte überschreibt meist nur die Verzeichnisstruktur, und selbst wenn eine Platte komplett überschrieben wurde, ist es Speziallabors häufig möglich, Teile der Daten zu rekonstruieren.

Mißtrauen gegenüber einem Server Hoster: Es wurde ein Root-Server angemietet, jedoch besteht die Sorge, daß ein neugieriger Mitarbeiter des Hosters einen Blick auf die Festplatte wirft. Da man keinen direkten Zugriff auf die Hardware hat, ist hier keine vollständige Sicherheit möglich (auch eine serielle Konsole zum Eingeben eines Paßworts für das Root-Filesystem ist durch den Hoster abhörbar); jedoch sorgt eine verschlüsselte Datenpartition für eine erhebliche erste Hürde. Obendrein gelten dieselben Argumente wie beim Festplatten-Garantiefall.

Geeignete Software
Unter linuxoiden Systemen bietet die Kombination von dm-crypt und LUKS eine recht komfortable Möglichkeit, Partitionen zu verschlüsseln. Anleitungen für die verschiedensten Distributionen findet man problemlos im Netz (die Anleitung bei Gentoo hat mir besonders gut gefallen). Sowohl unter Windows als auch Linux funktioniert die Open-Source-Software Truecrypt. Die (ebenfalls freie) Software FreeOTFE habe ich selber noch nicht getestet; sie verspricht, unter Windows Zugriff auf dm-crypt-verschlüsselte Partitionen zu ermöglichen, und dies sogar ohne vorherige Installation der Software - ideal für das "mobile Büro" auf einem USB-Stick.

Fazit
Der Performanceverlust durch Verschlüsselung ist in Anbetracht der Risiken (und der Leistungsstärke aktueller CPUs) sicher zu verschmerzen. Insbesondere im Server- und Workstation-Bereich wird die Thematik allzu häufig vernachlässigt; die Schlagzeilen, daß von gebrauchten Geräten sensible Daten von Ämtern rekonstruiert wurden, dürften allenfalls die Spitze des Eisbergs sein.