Datensicherheit beim Notebook-Einsatz

Mobile Anwendungen erleichtern die Arbeit des medizinischen Personals, tragen zu Kostensenkungen bei und nutzen den Patienten, z.B. durch verkürzte Krankenhausaufenthalte oder eine verbesserte Versorgung im häuslichen Umfeld. Die Einsatzmöglichkeiten mobiler EDV-Arbeitsplätze sind durch die Hardware-Entwicklungen sowohl im Bereich der Computer wie auch der funkgestützten Datenübertragung in den letzten Jahren derart gestiegen, dass mobile Arbeitsplatzrechner („Notebooks“ oder „Laptops“) heute gegenüber dem Standard-Computer zudem vielfältige Vorteile bieten:

  • unmittelbare Erfassung der anfallenden Daten, d.h. keine zeitliche Verzögerung
  • Zugriff auf die benötigten Daten von jedem Ort
  • und natürlich mobile Präsentation, z.B. in der Lehre oder zur Vorstellung von Forschungsdaten auf Kongressen.

Der Vorteil des mobilen Einsatzes erhöht natürlich auch die Diebstahl-Gefahr des mobilen Gerätes. Wenn die reinen Kosten für die Neuanschaffung eines gestohlenen Notebooks auch von einer Versicherung übernommen werden, so muss im Vorfeld schon der Zugriff auf eventuell auf dem Notebook gespeicherte Patientendaten verhindert werden. Hierzu bieten sich kryptografische Methoden an.

Verschlüsseln von einzelnen Partitionen

Die Festplatte wird in verschiedene Partitionen aufgeteilt, d.h. eine unverschlüsselte Partition für den Betriebssystem- und Programmbereich, eine verschlüsselte Partition für den Datenbereich. Die Verschlüsselung wird von verschiedenen Programmen gewährleistet und kann für den Benutzer völlig transparent sein: Nach der Eingabe von Benutzername und Passwort erfolgt nach der Systemanmeldung die Entschlüsselung der Partition (das „mounten“) und anschließend steht der Datenbereich wie gewohnt zur Verfügung.
Drei Programme, die dies bewerkstelligen, werden im Folgenden miteinander verglichen.

CrossCrypt1) TrueCrypt2) PGP Disk3)
BetriebssystemSuSE Linux,
MS Windows
Linux (Debian, RedHat SuSE),MS WindowsMS Windows
Mac OS X
kryptograph. AlgorithmenAES, TwofishAES, Blowfish, Twofish, CAST5, Serpent, Triple DESAES
Bitlänge128, 192, 256 (AES),
160 (Twofish)
256256
AuthentifikationPasswortPasswort,
einzelne Dateien,
Ordner im Dateisystem
Passwort,
Aladdin eToken
Quelltext verfügbarJaJaJa
Preis 0€ 0€ ~ 200 €

TrueCrypt und PGP Disk benutzen Salt und zufällige Initialisierungsvektoren zur Erhöhung der Sicherheit und sind daher nicht so anfällig für Rainbow-Table-Attacken wie CrossCrypt. PGP bietet zudem Administratoren an, über ein selbsterzeugtes „Master-Passwort“ die Partitionen auch wieder zu entschlüsseln, wenn der Anwender seinen privaten Schlüssel verloren hat. Dies kann gerade für Kliniken ein Argument sein, die kommerzielle Lösung PGP gegenüber TrueCrypt zu bevorzugen.

Pre-Boot Authentisierung (PBA)

Diverse Programme bieten unter den Betriebssystemen von Microsoft standardmäßig dem Benutzer an, die Daten im Bereich „Eigene Dateien“ zu speichern, der in der Regel auf der Partition des Betriebssystems liegt. Das Verschieben der Bereiche ist nicht völlig trivial, da einige der Dateien ggf. für den Bootprozess benötigt werden. Daher muss der Anwender immer daran denken, wo er seine Daten abzuspeichern hat und ggf. den Speicherort selbstständig ändern. Hierdurch ist die Möglichkeit des Abspeicherns von Patientendaten im ungeschützten Bereich gegeben. Um sich hiervor zu schützen, ist es wünschenswert die gesamte Festplatte inklusive des Boot-Sektors zu verschlüsseln. Dies bieten Programme an, die den sogenannten Pre-Boot Authentisierung („Pre Boot Authentification“, PBA).
Bei der Pre-Boot Authentisierung erfolgt eine Verschlüsselung der gesamten Festplatte(n) inklusive des Bootsektors. D.h. nach einem Notebook-Diebstahl sind einerseits die Daten geschützt und zusätzlich wird verhindert, dass der Dieb widerrechtlich die vorhandene Software nutzt.
Die Dauer für die Ver- bzw. Entschlüsselung einer 80 GB Festplatte mit einem Standard-Notebook (Intel Pentium M 1.7 GHz und 512 MB RAM) dauert bei verschiedenen Programmen unterschiedlich lange:

  • CompuSec benötigt 6 Stunden,
  • DriveCrypt beansprucht ebenfalls ca. 6 Stunden,
  • SafeGuard Easy erfordert 5 Stunden

an Rechenzeit. Eine Übersicht über die Unterschiede der Software bietet die folgende Tabelle:

CompuSec4) DriveCrypt Plus Pack5) SafeGuard Easy6)
BetriebssystemMS Windows, Linux (SuSE, Red HatMS WindowsMS Windows
DateisystemAT-12, FAT-16, FAT-32, HPFS, NTFS, NTFS5, EXT 2, EXT3FAT-16, FAT-32, NTFS, NTFS5FAT-12, FAT-16, FAT-32, HPFS, NTFS, NTFS5
Speichermedien
  • Festplatten
    (IDE, SCSI, serial ATA)
  • Wechselmedien
    (Zip, Jazz, CD-ROM, DVD-Rom)
  • Diskettenlaufwerk
  • USB Speichersticks
  • Festplatten
    (IDE, SCSI, serial ATA)
  • Wechselmedien
    (Zip, Jazz, CD-ROM, DVD-Rom)
  • Diskettenlaufwerk
  • USB Speichersticks
  • Festplatten
    (IDE, SCSI, serial ATA)
  • Wechselmedien
    (Zip, Jazz, CD-ROM, DVD-Rom)
  • Diskettenlaufwerk
  • USB Speichersticks
Hibernation ModusJaJaJa
Single-Sign-On zum BetriebssystemJaJaJa
spürbarer Performance-VerlustNeinNeinNein
Unterstützte Anzahl von Festplattem8 Festplatten pro PC, maximal 8 Partitionen pro Festplatte4 Festplatten pro PC, maximal 8 Partitionen pro Festplatte
kryptograph. AlgorithmenAESAESAES
Schlüssellänge128256256
AuthentifikationBenutzername / Passwort
Aladdin eToken
Benutzername / Passwort
Aladdin eToken
Rainbow USB-Token
Benutzername / Passwort
Aladdin eToken
Verisign USB Token
RSA SecurID 800-Token
Fingerabdruckscanner
TPM Chip
WiederherstellungPasswortzurücksetzung über DateiRecovery DiskRecovery Disk,
Booten von Medien nach Anmeldung
Quellcode offenNeinNeinNein
ZertifizierungkeinekeineCommon Criteria EAL3,
FIPS 140-2,
VS-NfD
Kosten 0€ ~ 60 € ~ 180 €

Die grundlegende Funktionalität ist bei allen drei Programmen gleich. Nach dem Anschalten des Rechners erscheint ein Anmeldebildschirm, der zur Aufforderung von Benutzer-Identifikationsdaten und Passwort auffordert.
Anschließend bieten alle Programme ein Single-Sign-On zum Microsoft Windows-Betriebssystem an, d.h., eine weitere Anmeldung muss dort nicht mehr erfolgen. TrueCrypt bietet ebenfalls eine PBA, jedoch kein Single-Sign-On zum Betriebssystem.
SafeGuard Easy bietet die Möglichkeit mehrerer Clients von einer administrativen Arbeitsstation zu verwalten, d.h. eine zentrale Installation und die zentrale Konfiguration aller sicherheitsrelevanten Einstellungen wie beispielsweise der Passwortlänge der Gültigkeitsdauer des Passwortes zu ermöglichen. Für Behörden ist sicherlich von Bedeutung, dass SafeGuard Easy entsprechend dem deutschen Geheimhaltungsgrad „VS - Nur für den Dienstgebrauch“ (VS-NfD) zertifiziert wurde.
Sollte das Passwort vergessen worden sein, bieten alle Programme die Möglichkeit des Zurücksetzens des Passwortes. DriveCrypt und SafeGuard Easy ermöglichen die Erstellung einer Recovery-Disk, mittels derer das Passwort ebenfalls zurückgesetzt werden kann. Beide Produkte speichern die Informationen hierbei verschlüsselt ab. Bei SafeGuard Easy kann zusätzlich durch Fern-Administration die zentrale Benutzer-Betreuung ein neues Passwort setzen, welches der Benutzer nach der ersten Anmeldung ändern muss. CompuSec speichert die für die Zurücksetzung des Passwortes notwendigen Informationen in der Datei „SecurityInfo.dat“; leider wird hierbei die Benutzer-Identifikation und das Master-Passwort im Klartext gespeichert und kann somit mit jedem Editor ausgelesen werden. Daher sollte die sichere Aufbewahrung dieser Datei gewährleistet sein.

Recovery

Sollte jedoch einmal das Windows-Betriebssystem nicht mehr starten, bietet keines der drei Programme die Möglichkeit des Bootens einer Rettungs-CD/DVD wie z.B. den Erd-Commander oder der Windows-Installations-CD. Bedingt durch die Verschlüsselung erkennt das vom Rettungs-Medium gebootete Betriebssystem die verschlüsselte Festplatte bzw. Partition nicht. Lediglich SafeGuard Easy bietet die Möglichkeit, nach dem Login von einer Notfall-Diskette zu booten. Jedoch verfügen heute nur noch die wenigsten Notebooks über ein Diskettenlaufwerk.
Daher sollte für den Notfall jederzeit eine aktuelle Imagedatei der Festplatte, die im RAW-Modus erstellt wurde, verfügbar sein, die mit einer Boot-CD zurückgespielt werden kann. (Nahezu jedes Cloning-Tool bietet diese Option.) Die Erstellung dieser Image-Datei ist jedoch mit einem entsprechendem zeitlichen Aufwand verbunden: da die gesamte Festplatte verschlüsselt ist, muss im Gegensatz zur „normalen“ Image-Erstellung die gesamte Festplatte gesichert werden. Dies heißt, für die Erstellung einer Image-Datei für das in dieser Arbeit eingesetzte Beispiel-Notebook wird neben ausreichendem Speicherplatz für die Image-Datei (gleiche Größe wie die Festplatte, d.h. 80 GB) eine Zeitspanne von mehr als einem Tag benötigt (siehe Abbildung 5), in welcher das Notebook für die normale Arbeit nicht zur Verfügung steht. Derselbe zeitliche Aufwand ist dann natürlich auch für die Wiederherstellung des Systems erforderlich.
Als Alternative bietet sich die Entschlüsselung der Festplatte an, damit anschließend die Wiederherstellung des Betriebssystems versucht werden kann.

Fazit

Sensible Daten werden immer häufiger und in immer größeren Mengen auf Notebooks gespeichert. Der Schutz dieser Daten stellt hierbei neue Herausforderungen an die IT:

  • Notebooks befinden sich nicht nur hinter einer Firewall, sondern auch davor.
  • Der Zugriff auf die kliniks-interne Netzstruktur über ein Notebook von außen über öffentliche Netze ist eine unternehmerisch notwendige Anforderung, die Möglichkeiten zur Umgehung einer Firewall schafft.
  • Notebooks werden überall und jederzeit genutzt, wodurch das Diebstahlrisiko sich erhöht.

Der Schutz von Patientendaten ist für das Unternehmen „Krankenhaus“ einerseits eine vom Gesetzgeber vorgegebene Verpflichtung. §9 des Bundesdatenschutzgesetzes verlangt, die „technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten“. Die Anlage zu §9 schreibt unter anderem vor:

  • zu verhindern, dass Datenverarbeitungssysteme (in diesem Fall das Notebook) von Unbefugten genutzt werden kann,
  • zu gewährleisten, dass personenbezogene Daten während ihres Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können

Natürlich liegt es auch im ureigensten Interesse einer Klinik, dass Patientendaten nicht durch Unbefugte veröffentlicht werden, denn dies könnte den unvorteilhaften Eindruck der Unzuverlässigkeit der Klinik erwecken.
Der Schutz von evtl. auf dem Notebook gespeicherten Forschungsdaten vor unbefugtem Zugriff ist natürlich auch eine Anforderung, die mit den hier vorgestellten Lösungen erfüllt werden kann.
Die preisgünstigen Lösungen, d.h. Truecrypt zur Verschlüsselung einzelner Partitionen sowie CompSec zur Pre-Boot Authentisierung, sind für den Schutz mobiler Datenträger wie Notebooks völlig ausreichend. Allerdings müssen gegenüber den kommerziellen Lösungen Einschränkungen in Kauf genommen werden, die dem vermehrten Einsatz in einer Klinik ggf. entgegenstehen können:

  • keine zentrale Verwaltung, daher vermehrter Aufwand in der EDV-Administration

und

  • bei einem verlorenen Passwort besteht ggf. keine Möglichkeit der Datenrettung.

Hier bieten kommerzielle Werkzeuge mehr Komfort bei gleicher Sicherheit. Für den Anwender bedeutet der Einsatz der Verschlüsselungswerkzeuge keinerlei Nachteile. Durch das Single-Sign-On zum Betriebssystem muss er sich wie schon zuvor nur einmalig dem Computer gegenüber identifizieren und es sind keine Performance-Einbußen bei der Nutzung gängiger Anwendungen, wie z.B. Office-Programme, zu spüren.


Zurück zur Themenübersicht

1) CrossCrypt Open Source AES and TwoFish Linux compatible on the fly encryption for Windows XP and Windows 2000. [Online, zitiert 2007-04-10] Verfügbar unter http://www.scherrer.cc/crypt/
2) TrueCrypt Foundation (2007) TrueCrypt - Free Open-Source On-The-Fly Disk Encryption Software for Windows Vista/XP/2000 and Linux. [Online, zitiert 2007-04-10] Verfügbar unter http://www.truecrypt.org/
3) PGP Corporation (2007) PGP Desktop Storage. [Online, zitiert 2007-04-10] Verfügbar unter http://www.pgp.com/de/products/packages/desktop_storage/index.html
4) CE-Infosys GmbH (2007) FREE CompuSec. [Online, zitiert 2007-04-10] Verfügbar unter http://www.ce-infosys.com/deutsch/downloads/free_compusec/index.html
5) SecurStar GmbH (2007)DriveCrypt Plus Pack. [Online, zitiert 2007-04-10] Verfügbar unter http://www.securstar.com/products_drivecryptpp.php
6) Utimaco Safeware AG (2006)SafeGuard Easy. [Online, zitiert 2007-04-10] Verfügbar unter http://www.utimaco.de/C12570CF0030C00A/CurrentBaseLink/W26K9K5M068OBELDE

Navigation
QR-Code
QR-Code Datensicherheit beim Notebook-Einsatz (erstellt für aktuelle Seite)