ServicesIT SicherheitPrävention
Datenverschlüsselung

Datenverschlüsselung

DATENTRÄGER-VERSCHLÜSSELUNG

Beim Einsatz mobiler Geräte oder Datenträgern mit Daten der Schutzstufen D und E ist die Verschlüsselung des Datenträgers durch das Rundschreiben 19/2020 "Verschlüsselung dienstlich genutzter mobiler Speicherträger" vorgegeben. Die Datenträger-Verschlüsselung kann auf Firmware-Ebene im Gerät, auf Betriebssystem-Ebene oder als Anwendungs-Programm realisiert werden.

Daten-Verschlüsselung des Betriebssystems

Datenträger, Partionsverschlüsselung oder FileBaseEncryption wird von allen gängigen Betriebssystemen zur Verfügung gestellt.

Datenträger- & Container-Verschlüsselung mit separaten Anwendungen

Container, Dateien die als Behälter für ein Dateisystem dienen in dem Dateien abgespeichert werden können, können ebenfalls zur sicheren Ablage von Daten verwendet werden. Zum Austausch über Cloud Dienste sind Container jedoch nicht geeignet.

VeraCrypt ermöglicht den Zugriff von Windows/OSX/Linux auf Container und bietet

  • die Vollverschlüsselung von Windows-Systemen
  • die Ablage von schützenswerten Dateien in einem separaten Container
  • Verschlüsselung mobiler Datenträger

Vollverschlüsselung in der Geräte-Firmware

Aufgrund von Schwachstellen in der Umsetzung der Hardwareverschlüsselung in modernen Datenträgern wird diese von BitLocker in Windows 10 seit September 2019 nicht mehr verwendet.

DATEI-VERSCHLÜSSELUNG

Die Verschlüsselung einzelner Dateien entspricht nicht der Vorgabe des Rundschreibens. Auch wenn generell von der Verschlüsselung einzelner Dateien abzuraten ist gibt es dafür Nutzungsszenarien. Hier gilt es dem Generieren und der Verwaltung eines sicheren Passworts für jede Datei besondere Aufmerksamkeit zu widmen.

Die sichere Übermittlung von vertraulichen Daten an Dritte kann die Verschlüsselung einzelner Dateien notwendig machen. Möglichkeiten sind:

  • Verschlüsselte E-Mail - bei geringen Datenmengen
  • Nutzung des zentralen Seafile Cloud Dienstes in Kombination mit dem Programm 7Zip, wobei das Verfahren AES-256 zu wählen ist. Details vgl. z.B. beim DSB-RLP.
  • Seafile bietet die Möglichkeit, verschlüsselte Bibliotheken zu erstellen. Für einen Austausch mit Dritten ist diese Option jedoch nicht geeignet.
  • Mail Versand von verschlüsselten ZIP Dateien per Mail ist nicht empfehlenswert, da es sich um eine gängige Praxis handelt um Viren an Sicherheitssoftware vorbei in Systeme einzubringen und der verschlüsselte Anhang wahrscheinlich nicht zugestellt wird.

Verzeichnisverschlüsselung für Cloud-Synchronisation

Ähnlich einem verschlüsselten Dateisystem funktioniert Cryptomator: Es legt ein separates Laufwerk an, auf dem lokal gearbeitet werden kann. Im Hintergrund verschlüsselt Cryptomator die einzelnen Dateien und speichert sie unter verschlüsselten Dateinamen in ein bei der Installation anzugebendes Verzeichnis ab. Die verschlüsselten Dateiversionen können über die üblichen Cloud-Speicher-Clients in die Cloud synchronisiert werden.

KONTAKT

IT-Sicherheit
Sicherheitsteam
IT-Sicherheit
Sicherheitsteam