USB-Verschlüsselung für Unternehmen: CryptionPro im Test

    EncryptionDie Verschlüsselung von Informationen auf mobilen Datenträgern ist ein wesentlicher Bestandteil von Endpoint Security. Sie stellt sicher, dass vertrauliche Daten bei Verlust von externen Speichermedien nicht in die falschen Hände geraten. Dieser kryptografische Schutz alleine reicht jedoch nicht aus, weil Mitarbeiter auch bewusst Informationen aus der Firma schleusen könnten. Derartige Aktivitäten lassen sich nur durch eine zentrale Kontrolle von Peripheriegeräten unterbinden. Die cynapspro gmbH bietet in DevicePro ein solches Geräte-Management an, CryptionPro liefert die ergänzende Verschlüsselung.

    Die meisten Unternehmen nutzen ein Device-Management, um ausgewählte Geräte unter bestimmten Bedingungen für Benutzer freizugeben, eine vollständige Blockade ist in der Regel nicht praktikabel. Wenn jedoch USB-Speichermedien und ähnliche Geräte auch nur eingeschränkt zugelassen sind, sollten die darauf gespeicherten Daten verschlüsselt werden. Voraussetzung für einen wirksamen Schutz ist jedoch ein über Richtlinien gesteuertes zentrales Management, das die Codierung der Daten automatisiert und nicht dem guten Willen des Benutzers überlässt. Für solche Anforderungen ist CryptionPro vorgesehen.

    Verschlüsselung von Dateien, nicht von Laufwerken

    CryptionPro verschlüsselt auf Dateiebene, codierte Dateien erkennt man an einem Symbol mit Schloss-Icon.Unter den Windows-Bordmitteln lässt sich das von CryptionPro verwendete Verfahren am besten mit dem Encrypting File System (EFS) vergleichen, weil es im Unterschied zu Bitlocker nicht auf Laufwerks-, sondern auf Dateiebene verschlüsselt. CryptionPro unterstützt alle Windows-Versionen bis zurück zu 2000, in dieser alten Ausführung allerdings nur mit dem Algorithmus Triple DES, während sonst AES-256 zum Einsatz kommt.

    Die Konfiguration von CryptionPro erfolgt in der Konsole, die der Administration aller cynapspro-Tools dient. Sie ist optisch Outlook nachempfunden und enthält für die Konfiguration der Verschlüsselung einen eigenen Button in der Navigationsleiste. Eine wesentliche Grundeinstellung besteht in der Auswahl von Methoden, die verfügbar sein sollen. Die Software bietet hier die allgemeine, individuelle und Gruppen-Verschlüsselung. Hinzu kommt noch die Option, das unverschlüsselte Speichern von Dateien zu erlauben.

    Decodierung durch die Firma, Gruppen oder Individuen

    Allgemeine Verschlüsselung bedeutet, dass jeder Mitarbeiter einer Firma alle Dateien entschlüsseln kann, vorausgesetzt auf seinem Rechner läuft der cynapspro-Agent. Bei der Gruppenverschlüsselung dagegen können die Anwender nur jene Dateien decodieren, die von einem Mitglied der gleichen oder einer untergeordneten Benutzergruppe verschlüsselt wurden. Die Software sieht zu diesem Zweck die Einrichtung und Verwaltung eigener CryptionPro-Gruppen vor. Schließlich bleibt das Entschlüsseln von Dateien beim individuellen Modus jenem User vorbehalten, der sie auch verschlüsselt hat.

    Von den in der Basiskonfiguration gewählten Methoden lassen sich einzelne oder mehrere an Benutzer und Gruppen zuweisen.In der CryptionPro-Konfiguration legt man durch die Auswahl der genannten Methoden fest, welche von ihnen im Unternehmen verfügbar sein sollen. Allerdings heißt das nicht, dass alle dort aktivierten Varianten automatisch allen Benutzern zugänglich sind. Vielmehr erfolgt die Zuweisung von Verschlüsselungsvorgaben erst im Rahmen des Device-Managements, also dort, wo man über DevicePro Zugriffsrechte für Geräte an Benutzer oder Gruppen vergibt - und zwar an jene, die aus einem Verzeichnisdienst importiert wurden.

    Die für CryptionPro eingerichteten Gruppen tauchen hier nicht auf, sie haben keine Funktion beim Rechte-Management. Das gilt auch für Geräte, die von der Verschlüsselung ausgenommen werden sollen. Der Administrator wählt sie nicht im Device-Management aus, sondern nimmt sie bei der CryptionPro-Konfiguration in eine Blacklist auf.

    Integration mit dem Device-Management

    Bei der Verschlüsselung gilt die gleiche Vererbungslehre wie bei der Regelung des Zugriffs auf Peripheriegeräte. Richtlinien und Verfahren lassen sich über den Standardbenutzer vorgeben. Sie greifen dann, wenn Gruppen oder Benutzer aus der Vererbung ausgenommen oder sie nicht individuell konfiguriert wurden. Bei aktiver Vererbung übernehmen Benutzer ihre Konfiguration von den Gruppen, denen sie angehören, wobei sie durch persönliche Einstellungen überschrieben werden kann.

    Wenn der Administrator dem Benutzer mehrere Verschlüsselungsmethoden zuteilt, kann dieser über den Agent eine davon auswählen.Die Software erlaubt es den Administratoren, wenn sie nicht auf Basis von klar definierten geschäftlichen Anforderungen agieren, die Dinge komplizierter zu machen als notwendig. Das äußert sich dann nicht nur in einer erschwerten Verwaltung, sondern auch darin, dass die Benutzer bei der Zuteilung mehrerer Verfahren über den Agenten auswählen können, welche Verschlüsselung sie verwenden möchten. Die meisten Unternehmen werden vermutlich ihren Mitarbeitern diese Qual der Wahl ersparen und einen Modus wählen, bei dem alle Informationen auf mobilen Datenträgern automatisch verschlüsselt werden.

    Funktionen für alle Fälle

    Mit Hilfe des Master-Keys lassen sich alle Dateien entschlüsseln, egal mit welchem Verfahren sie codiert wurden. Er kann in eine Datei exportiert werden.Wie beim Device-Management lässt sich alleine über die Grundkonfiguration von CryptionPro relativ schnell ein wirksamer Schutz vor dem Missbrauch oder Diebstahl von Daten erreichen, wenn man pragmatisch vorgeht. Er deckt den Normalbetrieb ab, also typischerweise die Verschlüsselung auf Geräten, die unter der Kontrolle des Agents stehen. Allerdings gibt es außerhalb dieses Standardszenarios auch Situationen, die CryptionPro mit zusätzlichen Funktionen berücksichtigt:

    • Wenn Dateien auf Rechnern entschlüsselt werden sollen, auf denen kein Agent läuft, beispielsweise weil sie nicht dem Unternehmen gehören, dann kopiert die Software eine ausführbare Datei etwa auf USB-Laufwerke, die gegen Eingabe eines Passworts die Daten decodiert. Der Hersteller nennt diese Option CryptionPro Mobile, sie muss dort aktiviert werden, wo man auch die anderen Verschlüsselungsmethoden auswählt. Entsprechend wird diese Variante den Benutzern wie gehabt beim Device-Management zugewiesen. Das Passwort legt der Benutzer selbst fest, der Administrator kann über Richtlinien starke Passwörter erzwingen.
    • Die Software erstellt bei der Installation automatisch einen neuen Schlüssel. Falls beispielsweise wegen eines Server-Defekts CryptionPro neu eingerichtet werden muss, sollte der zuvor verwendete Schlüssel verfügbar sein, um die damit codierten Daten lesen zu können. Zu diesem Zweck gibt es eine Export- und Importfunktion, mit der ein Schlüssel auf einem separaten Speichermedium hinterlegt und im Notfall von dort wieder eingelesen werden kann.
    • Wenn der Client aus irgendeinem Grund nicht in der Lage ist, Dateien zu entschlüsseln, dann greift der Master-Schlüssel. Dieser lässt sich in der Schlüsselverwaltung generieren und in einer externen Datei abspeichern.
    • Wenn betriebliche Erfordernisse verlangen, dass die Verschlüsselung von Dateien auf bestimmte Zeiten beschränkt bleibt, dann kann man den unverschlüsselten Dateitransfer an den ausgewählten Tagen zulassen. Diese Genehmigung lässt sich auf bestimmte Geräte eingrenzen.

    Fazit

    Im Gegensatz zu Einzellösungen für Verschlüsselung mobiler Datenträger profitiert CryptionPro von der engen Integration mit DevicePro. Aus der Sicht des Administrators präsentieren sich die Funktionen des Moduls als eine weitere Option in der Absicherung externer Geräte.

    Wie bereits die Zugriffsverwaltung wartet auch die Verschlüsselung mit einer großen Funktionsfülle auf, die alle erdenklichen Anforderungen und Szenarien abdecken sollte. Allerdings gilt auch hier die Empfehlung, dass man sich vorher ausführliche Gedanken über die Richtlinien machen sollte, die man umsetzen möchte. Die Software erlaubt nämlich beliebige Kombinationen von Vorgaben und Einschränkungen, die bei unbedachter Anwendung zu einem schwer verwaltbaren Dickicht an Regeln führen können.

    1 Kommentar

    Bild von Daniel Döring
    31. Januar 2013 - 18:40

    Entdecken Sie den Nachfolger von CryptionPro: Removable Device Encryption

    Mobile Datenträger, wie z. B. USB-Sticks, sind eine wichtige Unterstützung in einer immer flexibleren Arbeitswelt. Die Geräte werden immer kleiner und leistungsfähiger, wodurch man sie aber auch immer leichter verlieren bzw. stehlen kann. Removable Device Encryption stellt sicher, dass die Daten von Unbefugten nicht genutzt werden können. Die Ver- und Entschlüsselung kann per Passwort auf jedem Windows-Rechner durchgeführt werden, wobei sie für die berechtigten Benutzer völlig transparent ist. Die Verschlüsselung findet dateibasiert statt und es sind unterschiedliche Verschlüsselungsarten (für die ganze Firma, individuell für einen Benutzer oder für bestimmte Benutzergruppen) möglich. Auf einem Medium können unterschiedliche Verschlüsselungsarten parallel genutzt werden.

    EgoSecure Endpoint bietet im Modul Access Control und Audit die einfache und intuitive Device Management Lösung mit weiteren Funktionen wie Cloud Security, Internet Kontrolle, Instant Messanger Kontrolle, uvm.

    Mit Access-Control schützen sich Unternehmen gegen „Angreifer von innen“, indem sie kontrollieren und steuern, welche Personen im Unternehmensumfeld Zugang zu welchen Daten brauchen.

    Audit macht alle Maßnahmen innerhalb der Schutzprozesse nachvollziehbar und ermöglicht die Ermittlung forensischer Daten. Diese optionale Auditfähigkeit von EgoSecure Endpoint ist ein wichtiger Beitrag zur IT-Compliance. Natürlich werden auch die Persönlichkeits-rechte der Mitarbeiter und das Arbeitsrecht beachtet (4 – 6 Augen-Prinzip).

    Weiter bietet EgoSecure Endpoint folgende Module:

    AntiVirus
    Eine Antivirus-Lösung bietet bewährten Schutz gegen anonyme Angreifer aus dem Internet. Wichtig ist, dass die Erkennungsrate möglichst hoch ist, also auf neue Viren und Trojaner sehr schnell reagiert wird. EgoSecure Endpoint integriert eine marktführende Lösung, mit anerkannt hoher Erkennungsrate.

    Content Analysis & Filter
    Die Analyse von Inhalten und das Filtern von geheimen Informationen aus Daten, die die Firma verlassen, sowie das Blocken von schadhaften Informationen bei eingehenden Daten, sind Bestandteile eines ganzheitlichen Sicherheitskonzeptes. Content Analysis & Filter bietet granularen und zuverlässigen Schutz bei der Datenkommunikation ohne die Arbeitsprozesse und den gewünschte Datentransfers zu behindern.

    Application Control
    Application Control kontrolliert, welcher Benutzer welche Programme starten kann. Dadurch wird z. B. vermieden, dass Spiele oder unlizenzierte Softwareprodukte genutzt werden können, was Haftungsrisiken und wirtschaftliche Schäden verursacht. Viele Viren können ebenfalls geblockt werden, sogar meist schneller als Antiviren-Lösungen sie erkennen können.

    Folder Encryption
    Folder Encrytion schützt zum einen Daten beim Verlust von Notebooks oder Festplatten, zum anderen aber auch individuell definierte sensible Daten, wenn mehrere Benutzer auf einen Rechner zugreifen können. Sehr geheime Managementdaten können so z. B. auch vor dem Zugriff von Mitarbeitern mit sehr vielen Rechten – z. B. Mitarbeiter der IT-Abteilung – geschützt werden.

    Mobile Device Management
    Mobile Endgeräte, wie z.B. auch Tablets oder Smartphones, nehmen immer weiter zu. Natürlich müssen sie auch in der Sicherheitsarchitektur berücksichtigt werden. Mobile Device Management sorgt für die intelligente Integration mobiler Endgeräte und unterstützt auch die Betriebssysteme Android und iOS.

    Power Management
    Intelligentes Powermanagement hilft dabei, die Endgeräte effizient zu betreiben indem nur dann Energie verbraucht wird, wenn der Rechner auch tatsächlich genutzt wird. Powermanagement sorgt dafür, dass die Betriebskosten der IT gesenkt werden, die IT einen wichtigen Beitrag zur Umweltbilanz liefert und dass für die Einführung von EgoSecure Endpoint ein schneller ROI erreicht wird.

    Weitere Informationen unter egosecure.com