Die Verschlüsselung von Informationen auf mobilen Datenträgern ist ein wesentlicher Bestandteil von Endpoint Security. Sie stellt sicher, dass vertrauliche Daten bei Verlust von externen Speichermedien nicht in die falschen Hände geraten. Dieser kryptografische Schutz alleine reicht jedoch nicht aus, weil Mitarbeiter auch bewusst Informationen aus der Firma schleusen könnten. Derartige Aktivitäten lassen sich nur durch eine zentrale Kontrolle von Peripheriegeräten unterbinden. Die cynapspro gmbH bietet in DevicePro ein solches Geräte-Management an, CryptionPro liefert die ergänzende Verschlüsselung.

Die meisten Unternehmen nutzen ein Device-Management, um ausgewählte Geräte unter bestimmten Bedingungen für Benutzer freizugeben, eine vollständige Blockade ist in der Regel nicht praktikabel. Wenn jedoch USB-Speichermedien und ähnliche Geräte auch nur eingeschränkt zugelassen sind, sollten die darauf gespeicherten Daten verschlüsselt werden. Voraussetzung für einen wirksamen Schutz ist jedoch ein über Richtlinien gesteuertes zentrales Management, das die Codierung der Daten automatisiert und nicht dem guten Willen des Benutzers überlässt. Für solche Anforderungen ist CryptionPro vorgesehen.

Verschlüsselung von Dateien, nicht von Laufwerken

Unter den Windows-Bordmitteln lässt sich das von CryptionPro verwendete Verfahren am besten mit dem Encrypting File System (EFS) vergleichen, weil es im Unterschied zu Bitlocker nicht auf Laufwerks-, sondern auf Dateiebene verschlüsselt. CryptionPro unterstützt alle Windows-Versionen bis zurück zu 2000, in dieser alten Ausführung allerdings nur mit dem Algorithmus Triple DES, während sonst AES-256 zum Einsatz kommt.

Die Konfiguration von CryptionPro erfolgt in der Konsole, die der Administration aller cynapspro-Tools dient. Sie ist optisch Outlook nachempfunden und enthält für die Konfiguration der Verschlüsselung einen eigenen Button in der Navigationsleiste. Eine wesentliche Grundeinstellung besteht in der Auswahl von Methoden, die verfügbar sein sollen. Die Software bietet hier die allgemeine, individuelle und Gruppen-Verschlüsselung. Hinzu kommt noch die Option, das unverschlüsselte Speichern von Dateien zu erlauben.

Decodierung durch die Firma, Gruppen oder Individuen

Allgemeine Verschlüsselung bedeutet, dass jeder Mitarbeiter einer Firma alle Dateien entschlüsseln kann, vorausgesetzt auf seinem Rechner läuft der cynapspro-Agent. Bei der Gruppenverschlüsselung dagegen können die Anwender nur jene Dateien decodieren, die von einem Mitglied der gleichen oder einer untergeordneten Benutzergruppe verschlüsselt wurden. Die Software sieht zu diesem Zweck die Einrichtung und Verwaltung eigener CryptionPro-Gruppen vor. Schließlich bleibt das Entschlüsseln von Dateien beim individuellen Modus jenem User vorbehalten, der sie auch verschlüsselt hat.

In der CryptionPro-Konfiguration legt man durch die Auswahl der genannten Methoden fest, welche von ihnen im Unternehmen verfügbar sein sollen. Allerdings heißt das nicht, dass alle dort aktivierten Varianten automatisch allen Benutzern zugänglich sind. Vielmehr erfolgt die Zuweisung von Verschlüsselungsvorgaben erst im Rahmen des Device-Managements, also dort, wo man über DevicePro Zugriffsrechte für Geräte an Benutzer oder Gruppen vergibt - und zwar an jene, die aus einem Verzeichnisdienst importiert wurden.

Die für CryptionPro eingerichteten Gruppen tauchen hier nicht auf, sie haben keine Funktion beim Rechte-Management. Das gilt auch für Geräte, die von der Verschlüsselung ausgenommen werden sollen. Der Administrator wählt sie nicht im Device-Management aus, sondern nimmt sie bei der CryptionPro-Konfiguration in eine Blacklist auf.

Integration mit dem Device-Management

Bei der Verschlüsselung gilt die gleiche Vererbungslehre wie bei der Regelung des Zugriffs auf Peripheriegeräte. Richtlinien und Verfahren lassen sich über den Standardbenutzer vorgeben. Sie greifen dann, wenn Gruppen oder Benutzer aus der Vererbung ausgenommen oder sie nicht individuell konfiguriert wurden. Bei aktiver Vererbung übernehmen Benutzer ihre Konfiguration von den Gruppen, denen sie angehören, wobei sie durch persönliche Einstellungen überschrieben werden kann.

Die Software erlaubt es den Administratoren, wenn sie nicht auf Basis von klar definierten geschäftlichen Anforderungen agieren, die Dinge komplizierter zu machen als notwendig. Das äußert sich dann nicht nur in einer erschwerten Verwaltung, sondern auch darin, dass die Benutzer bei der Zuteilung mehrerer Verfahren über den Agenten auswählen können, welche Verschlüsselung sie verwenden möchten. Die meisten Unternehmen werden vermutlich ihren Mitarbeitern diese Qual der Wahl ersparen und einen Modus wählen, bei dem alle Informationen auf mobilen Datenträgern automatisch verschlüsselt werden.

Funktionen für alle Fälle

Wie beim Device-Management lässt sich alleine über die Grundkonfiguration von CryptionPro relativ schnell ein wirksamer Schutz vor dem Missbrauch oder Diebstahl von Daten erreichen, wenn man pragmatisch vorgeht. Er deckt den Normalbetrieb ab, also typischerweise die Verschlüsselung auf Geräten, die unter der Kontrolle des Agents stehen. Allerdings gibt es außerhalb dieses Standardszenarios auch Situationen, die CryptionPro mit zusätzlichen Funktionen berücksichtigt:

• Wenn Dateien auf Rechnern entschlüsselt werden sollen, auf denen kein Agent läuft, beispielsweise weil sie nicht dem Unternehmen gehören, dann kopiert die Software eine ausführbare Datei etwa auf USB-Laufwerke, die gegen Eingabe eines Passworts die Daten decodiert. Der Hersteller nennt diese Option CryptionPro Mobile, sie muss dort aktiviert werden, wo man auch die anderen Verschlüsselungsmethoden auswählt. Entsprechend wird diese Variante den Benutzern wie gehabt beim Device-Management zugewiesen. Das Passwort legt der Benutzer selbst fest, der Administrator kann über Richtlinien starke Passwörter erzwingen.
• Die Software erstellt bei der Installation automatisch einen neuen Schlüssel. Falls beispielsweise wegen eines Server-Defekts CryptionPro neu eingerichtet werden muss, sollte der zuvor verwendete Schlüssel verfügbar sein, um die damit codierten Daten lesen zu können. Zu diesem Zweck gibt es eine Export- und Importfunktion, mit der ein Schlüssel auf einem separaten Speichermedium hinterlegt und im Notfall von dort wieder eingelesen werden kann.
• Wenn der Client aus irgendeinem Grund nicht in der Lage ist, Dateien zu entschlüsseln, dann greift der Master-Schlüssel. Dieser lässt sich in der Schlüsselverwaltung generieren und in einer externen Datei abspeichern.
• Wenn betriebliche Erfordernisse verlangen, dass die Verschlüsselung von Dateien auf bestimmte Zeiten beschränkt bleibt, dann kann man den unverschlüsselten Dateitransfer an den ausgewählten Tagen zulassen. Diese Genehmigung lässt sich auf bestimmte Geräte eingrenzen.

Fazit

Im Gegensatz zu Einzellösungen für Verschlüsselung mobiler Datenträger profitiert CryptionPro von der engen Integration mit DevicePro. Aus der Sicht des Administrators präsentieren sich die Funktionen des Moduls als eine weitere Option in der Absicherung externer Geräte.

Wie bereits die Zugriffsverwaltung wartet auch die Verschlüsselung mit einer großen Funktionsfülle auf, die alle erdenklichen Anforderungen und Szenarien abdecken sollte. Allerdings gilt auch hier die Empfehlung, dass man sich vorher ausführliche Gedanken über die Richtlinien machen sollte, die man umsetzen möchte. Die Software erlaubt nämlich beliebige Kombinationen von Vorgaben und Einschränkungen, die bei unbedachter Anwendung zu einem schwer verwaltbaren Dickicht an Regeln führen können.