Apr

06

Data at Rest - Auch ruhende Daten s/wollen geschützt werden


In den letzten Jahren waren Themen wie SSL Verschlüsselung für Webseiten und Ende-zu-Ende Verschlüsselung für Messenger Anwendungen in den Medien. Doch nicht nur der Transport digitaler Inhalte sondern auch der Speicherort auf Endgeräten, also „Data at Rest“, sollte verschlüsselt sein. Dazu schauen wir uns die hauptsächlich eingesetzten Desktop und Mobile Betriebssysteme an und listen im Detail die Informationen der verschiedenen Hersteller auf.

Wir weisen darauf hin, dass diese Techniken keinen 100% Schutz Ihrer Daten bedeutet, da es bekannte sowie unbekannte Sicherheitslücken gibt.

Zunächst einmal die Frage: Was ist eine Verschlüsselung?
Im Standard legt jedes System und jede Anwendung Daten im Klartext ab. Solange man ein geeignetes Ansichtsprogramm verwendet, welches die abgespeicherten Daten interpretieren kann, können diese sofort ausgelesen werden. Eine Verschlüsselung verwürfelt diese Daten so, dass man nur mit einem passenden Schlüssel und der dazu passenden Technik die Daten auslesen kann. Somit erstellt die Verschlüsselung der Daten einen sogenannten Container.
Verschlüsselungen unterscheiden sich zum Beispiel in der Länge des verwendeten Schlüssel und den Algorithmen, welche zum Ver- und Entschlüsseln verwendet werden.

Auf Betriebssystemebene gibt es dabei zwei unterschiedliche Ansätze
  • Volume-based
    Auch "Disk Encryption" genannt. Als Basis für einen Verschlüsselungscontainer wird das gesamte Volumen oder auch das gesamte Laufwerk genutzt.
  • File-based
    Jede Datei wird mit einem eigenen Schlüssel einzeln verschlüsselt. Die dabei verwendeten Schlüssel haben entweder einen Hauptschlüssel als Basis oder werden per "Salts" verändert.

Einige Betriebssystemanbieter bieten eine optionale Verschlüsselung von internen und externen Speichermedien an, bei manchen Systemen ist die Verschlüsselung schon ab dem ersten Start standardmäßig aktiviert. Gemeinsam haben sie alle, dass man diese per zentraler Richtlinie auch durchsetzen kann, ohne das ein Endanwender dies beeinflussen kann.
Nun zu den einzelnen Betriebssystemen, welche meist eingesetzt werden:

Windows 10 - BitLocker
  • Volume-based, Verschlüsselung per AES128 oder AES265.
  • Das gesamte Laufwerk wird verschlüsselt.
  • Optional.
  • Erstellt eine zweite Partition. Von dieser aus wird das Betriebssystem auf Integrität geprüft und die Authentifizierung vor dem Start ausgeführt.
  • Als Authentifizierung kann eine interne dedizierte Hardware genutzt werden: TPM (Trusted Platform Module). Darüber hinaus wird auch eine PIN, ein Passwort oder externe Speichermedien unterstützt.

MacOS - FileVault 2
  • Volume-based, Verschlüsselung per XTS-AES128.
  • Es wird ein variables verschlüsseltes Volumen/Partition erstellt.
  • Optional.
  • Geräte mit Apple T2 Security Chip nutzen diesen zur Ver- und Entschlüsselung.
  • Neben der Hardwareprüfung wird zur Entschlüsselung auch eine Nutzerauthentifizierung abgefragt.

Android
  • File-based. Verschlüsselung per XTS-AES256 oder Adiantum.
  • Ab Android 7, seit Android 10 standardmäßig aktiviert. Ab Android 11 Scoped Storage Pflicht.
  • Es wird zwischen Device Encryption (DE) und Credential Encryption (CE) unterschieden.
  • DE ist sofort nach Gerätestart verfügbar, vor Eingabe einer Nutzerauthentifizierung. Das Secret liegt in der Hardware.
    CE ist nach der Authentifizierung des Nutzers, zum Beispiel PIN Eingabe, verfügbar.
  • Schlüsselerstellung und -speicherung in einer TEE (Trusted Execution Environment), welche auch per Hardware (Strong Box) realisiert werden kann.

iOS
  • File-based. Verschlüsselung per XTS-AES128.
  • Standardmäßig aktiviert.
  • Schlüssel werden in der Hardware erstellt und verwaltet.
  • Nutzerdaten haben eine eigene Partition, welche verschlüsselt wird.
  • Verschlüsselte Daten werden in Klassen eingeteilt. Anhand der Klassen werden die Zugriffsrechte definiert.

Darüber hinaus werden geschäftliche Daten nochmals verschlüsselt und von eventuellen privaten Daten in BYOD oder COPE Szenarien getrennt. Aufgelistet werden hier nur die nativen Möglichkeiten, UEM Hersteller bieten aber auch eigene Container Anwendungen an, welche in sich geschlossen sind und eine eigene Verschlüsselung einsetzen.

  • Windows 10: Microsoft WIP
    Per Windows Information Protection, ehemals Unternehmensdatenschutz, können zentral über Richtlinien Schutzmaßnahmen wie zum Beispiel Zugriffsmanagement ergriffen werden. Dazu ist Microsoft Intunes, System Center Konfigurations-Manager oder ein unterstütztes UEM System notwendig.
    Ist kombinierbar mit Azure Rights Management.
  • Android Enterprise
    Da Android ein Multi-User-System ist, haben der private/persönliche und der berufliche Perimeter einen eigenen Nutzer.
  • iOS
    Das System unterscheidet nach der Herkunft der Daten da es keine volle Multi-User-Umgebung anbietet. Werden die Daten von einem zentralen MDM Profil auf das Gerät gebracht, werden sie auf Systemebene von den privaten/persönlichen getrennt.
    Nur bei einer User Enrollment Aktivierung wird eine zweite AppleID, welche über den Apple Business Manager verwaltet wird, eingerichtet.
  • MacOS
    Das Betriebssystem behandelt die Daten ähnlich wie iOS. Beide Systeme haben aber gemeinsam, dass es nur einen KeyStore auf dem Gerät gibt. Daher ergibt ein Container wie BlackBerry Dynamics hier durchaus Sinn.

Weitere Informationen zu einzelnen Aktivierungsszenarien finden Sie im Blogbeitrag: BYOD, COBO, COPE - Wie bitte?!
Aufgrund der Vielfalt der Systeme und möglichen Einsatzszenarien sind einige Punkte zu beachten.


Ein kleine Checkliste:

  • Wird eine Verschlüsselung auf Basis des Volumen oder jeder einzelnen Datei angeboten?
  • Welche Faktoren werden zu Entschlüsselung angeboten?
  • Wird eine dedizierte Hardware zur Schlüsselerstellung und -aufbewahrung unterstützt?
  • Wenn ja, ist solch eine Hardware in den verwendeten Geräten verbaut oder kann man diese nachrüsten?
  • Ist eine Verschlüsselung standardmäßig aktiviert?

Ben Witt

Senior Consultant Mobility Solutions - PR