Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

Datensicherheit und Notebooks

Maßnahmen für das mobile Zeitalter

Copyright (C) 10/2000 by Howard Fuhs

Zum flexiblen Arbeiten an verschiedenen Orten kommen in Unternehmen hauptsächlich Notebooks zum Einsatz. Das größte Datensicherheitsproblem bei der Verwendung von Notebooks stellt die ständige Verlagerung von wichtigen und sensiblen Unternehmensdaten zur Weiterverarbeitung an einen Ort und in einen Computer dar, über den das Unternehmen keine direkte Zugriffskontrolle mehr hat. Das größte Risiko für das Unternehmen ist dabei der Verlust von vertraulichen Unternehmensdaten durch den Diebstahl des Notebooks. Oftmals kann die genaue Anzahl der Notebooks und deren Besitzer von den Unternehmen nicht angegeben werden. Dabei haben die Notebooks sehr oft hausintern Zugriff auf das Firmennetzwerk über eine Netzwerkkarte und verfügen darüber hinaus auch über einen Remote Access Zugriff auf das Unternehmensnetzwerk von außerhalb. Ebenfalls muss beachtet werden, dass Notebooks überwiegend durch die Geschäftsleitung und leitende Angestellte verwendet werden, die über umfangreiche Zugriffsberechtigungen auf Daten verfügen und es ist sehr oft nicht bekannt, welche Daten auf den Notebooks gespeichert sind.

Datenspionage und Datensabotage

Versetzt man sich in die Lage eines Angreifers, so wird schnell klar, dass es gerade die nach außen transportierten Daten sind, die am einfachsten angreifbar sind. Es wird sich kein Angreifer der Mühe unterziehen, Daten aus einer gut gesicherten EDV-Zentrale eines Unternehmens zu stehlen, wenn er über schlecht abgesicherte Notebooks sein Ziel wesentlich einfacher und risikoloser erreichen kann. Damit entsteht gerade für Notebooks ein wesentlich höheres Gefahrenpotential im Hinblick auf Wirtschaftsspionage

Als hauptsächliche Vorgehensweise bei Datenspionage und Datensabotage wären Diebstahl des Computers / der Festplatte, "Abhören" der Datenübertragungswege oder Verfälschung und Manipulation von Daten zu nennen.

Lösungskonzepte

Für die Datensicherheitsprobleme die durch die Verwendung von Notebooks entstehen, müssen nun Lösungskonzepte entwickelt werden die

  1. bestmöglichsten Schutz
  2. bei geringster Störung des Arbeitsalltags bieten, und darüber hinaus auch noch
  3. an das Unternehmen und seine Bedürfnisse individuell angepaßt sind.

Da diese Lösungskonzepte individuell für die Unternehmensbedürfnisse erstellt werden, sollen nachfolgend die wichtigsten Faktoren aufgezählt werden, die in einem Lösungskonzept unbedingt berücksichtigt sein sollen. Von der richtigen Implementierung dieser Faktoren in einer unternehmensweit gültigen Datensicherheitsrichtlinie für Mobile Computing und der entsprechenden Auswahl und Anpassung von Produktlösungen wird der Erfolg der gesamten Sicherheitsmaßnahme abhängig sein. Richtig durchgeführt wird ein Unternehmen immer wissen

  1. welcher Mitarbeiter mit welchem Notebook arbeitet,
  2. welche Daten auf diesem Notebook gespeichert sind,
  3. das von diesen Daten aktuelle Sicherheitskopien vorhanden sind,
  4. welche Software auf dem Computer installiert ist,
  5. das ein umfassender Virenschutz gewährleistet ist, auch wenn sich der Notebook über eine Docking-Station in das unternehmensinterne Netzwerk einloggt,
  6. das der Import und Export von Daten und Programmen unterbunden ist,
  7. das nur befugte Personen Zugriff auf die gespeicherten Daten erhalten, unter welchen Umständen auch immer.

Beim Einsatz von Notebooks sollten generell umfangreiche Sicherheitsmaßnahmen implementiert werden, um das Unternehmen vor Datenverlust zu schützen. Es muss unbedingt eine Schutzkonzeption mit Verschlüsselungstechniken für die Notebooks ausgearbeitet werden.

Es sollte darauf geachtet werden, dass ein vertrauenswürdiges Verschlüsselungs- programm auf dem Notebook zum Einsatz kommt. Dabei müssen die auf dem Notebook gespeicherten Daten automatisch verschlüsselt werden. Die Entschlüsselung der Daten darf erst durch Eingabe eines Paßwortes bzw. durch Einsatz eines ID-Tokens erfolgen. Da die Wahrscheinlichkeit groß ist, dass der Notebook auch privat genutzt wird und Zugang zum Internet hat, sollte der Notebook durch ein Prüfsummenprogramm zusätzlich abgesichert werden. Damit kann sichergestellt werden, dass Trojanische Programme entdeckt werden können, die von einem Antiviren-Programm nicht entdeckt werden.

Vor dem lokalen Einloggen des Notebooks in das Firmennetzwerk sollten verschiedene automatische Sicherheitsüberprüfungen stattfinden. Dazu zählt die Überprüfung ob das installierte Antiviren-Programm auf dem aktuellsten Stand ist, wann das letzte Mal nach Computerviren gesucht wurde und ob dabei ein Virus gefunden wurde. Weiterhin sollte automatisch überprüft werden, zu welchem Zeitpunkt von den Daten auf dem Notebook das letzte Mal eine Sicherungskopie angefertigt wurde.

Was das Einloggen des Notebooks über eine Remote Access Funktionalität in das Netzwerk betrifft, sollte darauf geachtet werden das hierfür entsprechend sichere Virtual-Private-Network Verfahren mit entsprechender Identifizierung des Anwenders Verwendung findet. Dies vor allem, wenn eine solche Funktionalität über das Internet angeboten werden soll.

Der Besitzer des Notebooks muss über die Gefahren des Notebook-Einsatzes und über die zu beachtenden Sicherheitsmaßnahmen geschult sein um dem Anwender die Gefahren aufzuzeigen und sie für die Datensicherheitsproblematik zu sensibilisieren.

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 10/2000 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!
 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
 Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher