Verschlüsselung

Durch den Einsatz geeigneter Verschlüsselungsverfahren für die vorgehaltenen Daten kann das Schutzniveau weiter erhöht werden.

,,Wenn jedoch auf Arbeitsplatzrechnern oder Servern vertrauliche oder besonders schutzwürdige Daten lokal gespeichert werden, so sind diese durch Verschlüsselung mit einem kryptographischen Verfahren anerkannter Leistungsfähigkeit gegen die Verletzung der Vertraulichkeit oder Integrität zu sichern. ... Bei der Ablage verschlüsselter Dokumente ist außerdem sicherzustellen, dass bei Verhinderung des Dokumenten- bzw. Schlüsselinhabers andere autorisierte Personen Zugriff auf den Inhalt dieser Dokumente erlangen können.``³⁰¹

Mit Hilfe verschlüsselter Dateisysteme kann selbst bei physikalischem Diebstahl des Datenträgers noch von Datenschutz gesprochen werden: Die verschlüsselten Daten sind wertlos, solange das Passwort nicht bekannt wird. Verschlüsselungssoftware sollte unbedingt beim Einsatz von Notebooks Verwendung finden.³⁰²

Sämtliche Verwaltungsdaten werden zentral auf dem Verwaltungsserver innerhalb eines verschlüsselten Dateisystems vorgehalten. Es handelt sich um ein crypted-loop-device, das mit einem Passwort gesichert ist. Das zugehörige Passwort ist nirgendwo gespeichert, weder im Klartext noch verschlüsselt, sondern wird als Schlüssel verwendet. Leider muss zur Verwendung der Kernel angepasst und neu kompiliert werden. Bei der verwendeten Linux-Version des CRYPTED-FILE-SYSTEMS (CFS) besteht noch die Auswahl zwischen verschiedenen Kryptoverfahren. Die Installation wird im Anhang B beschrieben.

Beim Einhängen des CFS in das Dateisystem des Servers wird der Schlüssel abgefragt und kommentarlos das CFS damit entschlüsselt -- unabhängig davon, ob der Schlüssel der richtige oder ein falscher war. Wurde der richtige Schlüssel angegeben, kann auf die Daten vollkommen transparent zugegriffen werden; war der Schlüssel falsch, so gibt es nur ,,Datenmüll`` zu sehen. Anders als bei vielen anderen Systemen sind auch nicht nur die Dateien verschlüsselt und die Datenstruktur zu erkennen, vielmehr ist das gesamte Dateisystem verschlüsselt.

Ein Angreifer kann den Schlüssel nur durch brute-force-Attacken finden, sofern das Kryptosystem nicht schwach ist und zusätzliche Informationen preisgibt.³⁰³

Das CFS sieht, wenn es nicht eingehängt ist, wie eine normale, große Binärdatei aus und erweckt bei Verwendung eines unscheinbaren Namens keinen Verdacht.

Die Handhabung kann dann ganz flexibel erfolgen. Es ist denkbar, morgens bei der ersten Benutzung nach dem Schlüssel zu fragen und das CFS einzuhängen. Nachmittags, wenn kein Zugriff auf die Daten mehr erforderlich ist, kann das CFS automatisiert wieder auszugehangen und damit für Nutzer ohne Schlüssel unbrauchbar gemacht werden. Alternativ ist ein automatisches Aushängen eine gewisse Zeit nach dem letzten Zugriff möglich.

Es gibt neben Geschwindigkeitseinbußen durch den Verschlüsselungsvorgang zwei Hauptnachteile, die aber m.E. durch die transparente Verschlüsselung wettgemacht werden und kurz andiskutiert werden sollen:

• Ein Passwortwechsel ist schwierig:
  Da das Passwort als Schlüssel verwendet wird, ist der gesamte Datenbestand mit genau diesem Schlüssel verschlüsselt und muss vollständig mit diesem ,,alten`` Schlüssel entschlüsselt und mit dem ,,neuen`` Schlüssel neu verschlüsselt werden. Dazu ist temporär der doppelte Plattenplatz nötig, der normalerweise gebraucht wird, da die Daten während des Umschreibens doppelt vorliegen. Dies lässt sich aber -- ausreichend Plattenplatz vorausgesetzt -- automatisieren. Während des Schlüsselwechsels können die Daten nicht genutzt werden. Anschließend entsteht das Problem, dass dieser neue Schlüssel sicher propagiert werden muss, da es nur einen Schlüssel für das gesamte gesicherte Dateisystem gibt. Dies stellt das zweite Hauptproblem dar:
• Es gibt nur ein Passwort:
  Jeder, der unabhängig von anderen die Daten nutzen können soll, muss das CFS entschlüsseln können. Die gemeinsame Nutzung eines Passwortes hat immer Nachteile, so ist insbesondere die eindeutige Zuordnung von Aktionen zu Personen gefährdet. In concreto würde im schlimmsten Fall nur das Entschlüsseln selbst nicht nachvollziehbar sein, jede weitere Aktion dann schon.³⁰⁴Vollständig umgehen lässt sich dies ohne weiteres nur durch die Abspeicherung des Schlüssels auf der Platte, womit allerdings bei Diebstahl der Hardware der Schutz nur noch sehr eingeschränkt wirken kann.³⁰⁵

  

Abbildung: Einsatz des verschlüsselten Dateisystems am Verwaltungsserver