Datei-Verschlüsselung für Verzeichnisse und Dateiserver, USB und Cloud

Checkliste für die perfekte File and Folder Verschlüsselung

Seit einigen Jahren beschäftige ich mich mit Verschlüsselungslösungen für Dateien und Verzeichnissen. In der IT-Security Branche werden solche Lösungen File & Folder Encryption genannt. Eine File & Folder Verschlüsselung arbeitet ähnlich wie eine Ransomware, indem Dateien auf lokalen oder Netzwerkablageorten transparent verschlüsselt werden. Im Gegensatz zu Ransomware werden die Daten dem Benutzer aber nach erfolgreicher Benutzeridentifizierung auch transparent entschlüsselt. 😉

Die wichtigen Merkmale einer Dateiverschlüsselung möchte in ich diesem Beitrag zusammenfassen und werten.

1. Transparent für alle Anwendungen

Die Verschlüsselungslösung soll alle Dateitypen und alle gängigen Anwendungen unterstützen. Dabei ist es wichtig, dass Benutzer transparent mit Verschlüsselung und Entschlüsselung versorgt werden und die Anwendungen im normalen Betrieb nicht gestört werden.

2. Starke Benutzeridentifizierungsoptionen

Wenn sich Unternehmen eine Verzeichnisverschlüsselungslösung leistet, dann soll die Lösung auch erweiterte Benutzeridentifizierung unterstützen, die über ein zusätzliches Passwort hinausgeht. Warum? Ein Passwort kann ausgespäht werden z.B. über eine Keylogger, oder Kamera. Jeder Passwortschutz kann aber auch per Brute-Force-Attacke angegriffen werden. Daher ist der Einsatz von Token, Smartcards oder Einmalpasswort-Technologie bei sehr vertraulichen Daten zu empfehlen.

3. Integrierte Datenklassifizierung

Eine Folder-Verschlüsselung soll den Benutzer und den IT-Administrator unterstützen, die zu verschlüsselnden Daten zu klassifizieren und automatisch die Verschlüsselung anzustoßen. Lösungen bei denen der Benutzer seine Daten während dem Speichern oder nach dem Speichern manuell verschlüsseln muss halte ich für nicht praktikabel. Die Benutzer nehmen nur kurz nach der Einführung der Lösung solche Fleißaufgaben auf sich.

Empfehlenswert sind Lösungen die Regeln für hierarchische Verzeichnisbäume erlauben, aber auch Regeln für gewisse Dateitypen abbilden. Ansätze die den Dateiinhalt erkennen und dann die Dateien für gewisse Benutzer oder Schlüsseln verschlüsseln können ebenfalls Vorteile bringen, in meiner Erfahrung habe ich aber gesehen, dass eine automatische Inhaltsklassifizierung zu weniger als 80% richtig funktioniert.

Sobald mehr als 5-10 Benutzer eine Folder-Verschlüsselung nutzen sollen, ist ein zentrales Management der Unternehmensweiten Encryption-Policies erforderlich.

4. Verzicht auf Container oder Blobs

Bei der Verschlüsselung von Daten ist es natürlich ein leichtes, Container ähnlich einer virtuellen Disk oder einem .ZIP-Container zu erstellen und Daten dort abzulegen. TrueCrypt bzw. VeraCrypt macht dies seit langem mit der integrierten Containerverschlüsselung, die nach Benutzeridentifizierung als Laufwerksbuchstaben gemountet werden.

Nachteile

  • Container sind nicht Multiuserfähig, sondern können schreibend nur von einem Benutzer geleichzeitig geöffnet werden.
  • Container sind große Datenobjekte die Probleme beim Backup, bei der Cloud-Synchronisierung und bei der Offline-Synchronisierung haben
  • Nicht alle Anwendungen können in Containern installiert werden, bzw. können ihre Daten dort mit allen Dateioperationen schreiben, z.B. File-Locking

Deutlich besser funktionieren Lösungen die Daten im normalen Dateisystem des Clients bzw. des File-Servers verschlüsseln und im Besten Fall auch die Dateinamen unverändert lassen, damit Backup & Co. die Daten auch mitberücksichtigen.

5. Windows, Mac und Linux

Bei der Auswahl einer File & Folder Encryption ist es für Benutzer und Unternehmen wichtig, ob alle eingesetzten Clients unterstützt werden. Die meisten Lösungen sind natürlich für Windows verfügbar, aber sind die Daten am Netzwerk-Share mal verschlüsselt, können auch zugreifende Mac-Clients und Linux-Systeme diese nur öffnen, wenn es auch einen Entschlüsselungsclient für diese Plattformen gibt. Meine Erfahrung der Vergangenheit zeigt aber, dass die meisten Unternehmen heute mit einer Verschlüsselungslösung für Windows Netzwerke auskommen.

6. Zentrales Management?

Für sehr kleine Verschlüsselungsaufgaben mit wenigen Clients kann man auf ein zentrales Management verzichten. Jedoch unterstützt ein zentrales Management nicht nur bei wachsender Client-Anzahl, sondern auch sollten sich mal Regeln ändern oder weitere Verzeichnisse auch verschlüsselt werden. Wer möchte schon neue Regeln auf allen installierten PCs manuell nachkonfigurieren müssen?

7. Sicherheit für lokale Verzeichnisse, USB, Dateiserver, Cloud und Backup

Eine Verschlüsselungslösung muss die Daten an allen gängigen Dateiablageorten schützen. So ist empfehlenswert, dass Daten die lokal auf der SSD/Harddisk und USB-Speichern verschlüsselt wurden beim Kopieren auf den Fileserver oder bei der Synchronisation in die Cloud weiterhin verschlüsselt bleiben. Auch Backup auf Disk, Tape oder in die Cloud sollen mit verschlüsselten Dateien weiterhin problemlos funktionieren und dies ermöglicht ggfls. auch neue Möglichkeiten, da auch vertrauliche Daten einfach per Cloud-Backup gesichert werden können.

Eine Prüfung, was mit den Daten passiert, wenn man verschlüsselte Daten verschiebt, empfehle ich bereits in der Testphase.

8. Verschlüsselung für Benutzer und Gruppen

Sofern eine Einzeluser-Lösung gesucht wird, genügt es wenn ein einziger Schlüssel für die Verschlüsselung genutzt wird. Alle Daten werden mit diesem ggfls. auch symmetrischen Schlüssel verschlüsselt und stehen nur dem Benutzer zur Verfügung der auch den Schlüssel besitzt.

Im Multiuser-Betrieb funktioniert das Konzept nicht, da es dann Daten gibt die für einzelne Benutzer verschlüsselt sind und andere Daten die für definierte Benutzer-Gruppen geschützt werden. Hier empfiehlt sich die zentrale Erstellung von Gruppenschlüsseln, die beispielsweise Daten am File-Server schützen. Ähnlich einer Matrix wird dann den Benutzern die Gruppenschlüssel zugewiesen.

Von der Verschlüsselung von Daten am Fileserver mit einzelnen Benutzerschlüsseln halte ich persönlich gar nichts. Mitarbeiter, die wichtige Daten zentral mit ihrem Benutzerschlüssel verschlüsseln, schließen alle anderen Benutzer aus. Das kann in Vertretungsfällen oder bei Verlust des Benutzerschlüssels fatale Folgen haben. Der Verlust von Schlüsselmaterial bringt mich gleich zu meinem nächsten Punkt:

9. Eine funktionierende Recovery Methode

Eine der häufigsten Gründe warum Verschlüsselung nicht eingesetzt wird ist, weil wir Menschen Angst haben uns selbst auszusperren. Das kann tatsächlich ganz schnell passieren, beispielsweise wenn die Verschlüsselung nicht sehr häufig genutzt wird und Benutzerprofile neu aufgesetzt werden, oder PCs/Notebooks kaputtgehen und so auch die Schlüssel und Verschlüsselungsprofile verloren gehen.

Daher ist der Einsatz eines Recovery-Schlüssels sehr empfehlenswert. Es erklärt sich von selbst, dass der Recovery-Schlüssel sofort bei der Installation der Lösung erstellt werden muss, damit alle Daten ab der ersten Benutzung auch mit diesem Recovery-Schlüssel mit verschlüsselt werden. Einzelplatzlösungen verzichten gerne auf eine solche Notfallsmethode. Dann muss der Schlüssel mehrfach selbst weggespeichert sowie das Benutzerpasswort aufgeschrieben und sehr sicher verwahrt werden.

Resümee

Eine Dateiverschlüsselung hilft sensitive, vertrauliche oder persönliche Daten sicher zu verwahren, egal wo diese liegen. Die Devise “wird schon keiner sehen” wenn man Daten verliert oder in die Cloud schiebt ist meiner Meinung nach grob fahrlässig und nicht mehr zu vertreten.

Ich freue mich auf Deine Erfahrung mit Verschlüsselungs-Lösungen, gerne auch über Produkt-Beispiele und Markterfahrung beim Einsatz.
Schreibe nun ein Kommentar!

4 Gedanken zu „Checkliste für die perfekte File and Folder Verschlüsselung“

  1. Hallo Andraes,

    wie immer ein guter und solider Artikel den du mir und den anderen Lesern deines Blogs hier anbietest.

    Am Anfang muss ich leider einen kleinen Fehler entdecken… Ransomeware würde schon den Benutzer an die Daten lassen nach einer Authentisierung nur leider hat halt keiner den Schlüssel bzw. das Passwort 😉

    Einige Punkte auf die ich gerne eingehen würde sind folgende:

    Klassifizierung:
    Gerade Lösungen die nur eine Art der Verschlüsselung bieten und keine weiteren Funktionen wie persistente Verschlüsselung nutzen (SafeGuard LanCrypt oder fideAS file enterprise zB) werden mit klassifizierung Probleme bekommen. In diesem Fall wird es nur eine On-Off Methode geben um den Schutz zu definieren. Noch immer besser als nix aber dennoch nicht optimal. Interessant ist hier zB eine Lösung wie Microsoft RMS die in Kombination mit Secure Island oder TITUS es ermöglichen Daten automatisch oder semi-automatisch zu klassifizieren und so ein durchgehendes Schutzniveau zu erreichen.

    Container oder Blobs können an sich schon gut funktieren, haben idR aber tatsächlich den Nachteil, dass die meisten nur einmal gemountet werden können. Das größe Problem ist aber an dieser Stelle, dass ich die Daten bzw. den Container kopieren und dann beliebig oft angreifen kann. Eine Gefahr die ich bei einer einzlenen Datei weniger habe gerade wenn ein neuer DEK Schlüssel pro Datei verwendet wird.

    Auch der Punkt zentrales Management ist im wesentlichen korrekt wiedergegeben von dir. Meine Ergänzung wäre allerdigs für den professionellen und größeren Einsatz darauf zu achten, dass es API Schnittstellen oder ein Automatisierungsfunktion in der Software gibt, die eine einfache Integration in zB ein IDM ermöglicht oder aber eine Scriptbasierte administration – etwas, dass im Large Enterprise Umfeld sicher wichtig ist.

    Ansonsten kann ich dir wie bereits geschrieben nur zustimmen mit dem was du schreibst und jeden ermutigen, eine F&F Lösung bei sich zu implementieren um die Daetnsicherheit zu erhöhen.

    Gruß
    Daniel

    1. Hallo Daniel,

      Danke für Deine wertvollen Ergänzungen. Ich sehe deutlich, dass Du mit einen Erfahrungen im Großkundenbereich tätig bist, da Themen wie Microsoft RMS mit zusätzlicher Klassifizierungssoftware als auch Identiy Management (IDM) Automatisierung und integrierbare API Schnittstellen nur von ganz großen Unternehmen betrieben werden. Meine Empfehlungen spreche ich gerne auch für kleiner Kunden und dem wichtigen Mittelstand aus, der gute Lösungen zum günstigen Preis mit möglichst wenig Komplexität sucht, damit die Administratoren die Lösung auch zuverlässig verwalten können.

      Freuen würde ich mich natürlich wenn die Enterprise-Verschlüsselungsfunktionen der großen Lösungen auch für kleiner Kunden verfügbar gemacht werden, ohne die Komplexität der Lösungen zu steigern. Wünschen kann man sich das ja…

      Sicher Grüße!

      Andreas

  2. Hallo Andreas,

    toller Artikel, In einem Unternehmen X wird gerade Lan Crypt genutzt. Das soll jetzt auf Citrix virtualisierten Windows 10, Linux, Mac Rechnern laufen. Was hälst Du davon? Testcases? Was ist zu beachten? Ebenso soll Veracrypt “nebenher” laufen. Es sollen USB Token genutzt werden(im Moment noch Smartcards). Ich schätze sehr Deine Meinung und würde mich auf eine Antwort freuen. Vielleicht hast Du auch Quellen dazu im Internet die ich nicht gefunden habe.

    1. Hallo Thomas,

      Lan Crypt und Citrix hat ja eine lange Geschichte, da mir Kunden über viele Jahre Probleme in dieser Kombi gemeldet haben. Vom Prinzip her war SGLC ja ein Pionier im Bereich File&Folder Encryption, jedoch hat das Produkt an Wertigkeit verloren und ein nicht unerheblicher Teil der Kunden haben das Produkt in den letzten Jahren abgelöst.

      Neu ist mir auch, dass SGLC einen Mac oder Linux Client hat, ich dachte das gab es nur bei dem kleinen Bruder der Sophos F&FE. Ich freue mich aber über einen Link zum Nachlesen.

      Jetzt wo SGLC verkauf worden ist, denke ich auch nicht, dass der neue Lizenzhalter viel Engegement in neue Features und neue Betriebssystemunterstützungen hat, sondern den Bestandkunden nur mehr Wartung anbieten wird.

      Nach einem kurzen Check der letzten Release Notes der SafeGuard LAN Crypt 3.95.3 angesehen und bei der Citrix Unterstützung wird nur bis Citrix XenApp 7.18 auf Windows Server 2016 angeführt, nicht jedoch die neuen Virtual Apps und Windows Server 2018 angeführt. Dieser Gap wird sicherlich über die Zeit noch größer werden.

      Als Authentisierung einen PKI-Crypto-Token (ich denke das meinst Du mit dem USB-Token, ich hoffe nicht einen USB-Stick mit einem .p12 File) zu nutzen und damit gleichzeitig einen Veracrypt Container zu nutzen finde ich für die SGCL Authentisierung gut, für die Veracrypt Authentisierung aber weniger gut. Typischerweise sind Authentisierungsschlüssel auf einem Crypto-Token oder einer Smartcard nicht wiederherstellbar. Die Veracrypt Lösung hat aber keinen verwalteten Recovery-Key. Bedeutet das, dass bei einem Token Verlust der Veracrypt Container nie wieder aufgesperrt werden kann?
      Speziell in Bezug auf Veracrypt sehe ich deutliche Vorteile beim BitLocker, oder auch BitLocker To Go, wenn man das beispielsweise mit einem BitLocker Management kombiniert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert