Trellix Logo

Was ist Endgeräteverschlüsselung?

Definition Bedarf bei Unternehmen Arten von Endgeräteverschlüsselung Verwaltung Bedeutung Demo anfordern

Bei der Verschlüsselung werden Daten so codiert, dass sie anschließend nur von Benutzern mit dem richtigen Entschlüsselungsschlüssel gelesen und verwendet werden können. Ohne diesen Schlüssel sind die Daten unlesbar und nicht verwendbar. Durch die Endgeräteverschlüsselung wird das Betriebssystem vor "Evil Maid"-Angriffen geschützt, bei denen ein Keylogger installiert oder Startdateien beschädigt werden können. Außerdem wird verhindert, dass nicht autorisierte Benutzer auf die Daten zugreifen können, die auf den entsprechenden Laptops, Servern, Tablets und anderen Endgeräten gespeichert sind.

Unternehmen verwenden Software zur Endgeräteverschlüsselung, um vertrauliche Informationen am Speicherort und bei der Übertragung auf ein anderes Endgerät zu schützen. Dateien mit Gesundheitsdaten, Bankkontoinformationen, Sozialversicherungsnummern und Privatadressen sind typische Beispiele für Informationen, die verschlüsselt werden.

Zwei häufig verwendete Verschlüsselungsstandards sind RSA (Rivest, Shamir, Adleman) und AES-256 (Advanced Encryption Standard-256).

  • RSA wird häufig für die Übertragung von Daten von einem Endgerät zu einem anderen verwendet. Dabei wird asymmetrische Verschlüsselung verwendet, d. h. ein Schlüssel wird zum Verschlüsseln der Daten und ein anderer Schlüssel wird auf dem Endgerät des Empfängers zum Entschlüsseln der Daten verwendet.
  • AES-256 verwendet symmetrische Verschlüsselung und wird häufig zum Verschlüsseln von Daten auf Speichermedien eingesetzt, z. B. auf Festplatten oder USB-Sticks. Behörden und Unternehmen in regulierten Branchen, die starke Verschlüsselung benötigen, verwenden häufig AES-256. Dieser Standard ersetzt den älteren Data Encryption Standard (DES), der anfälliger für Brute-Force-Angriffe ist.

Zu den Zertifizierungskriterien für Verschlüsselungssoftware gehören die folgenden:

  • National Institute of Standards and Technology (NIST) Federal Information Processing Standard (FIPS) 140-2 – ein von der US-Regierung herausgegebener Computer-Sicherheitsstandard
  • Die Common Criteria for Information Technology Security Evaluation – ein internationaler Standard zur Zertifizierung von IT-Produkten

Mitarbeiter in Unternehmen übertragen große Mengen wertvoller Daten auf USB-Sticks, Cloud-Speicherdienste, Netzwerklaufwerke, Browser, E-Mails und andere für Sicherheitsverletzungen anfällige Medien, um sie zu speichern oder weiterzugeben. Zu diesen Daten gehören auch vertrauliche Informationen wie Finanzdaten, Namen und Adressen von Kunden sowie vertrauliche Geschäftspläne. Die Verschlüsselung der Daten trägt erheblich zum Schutz vor Diebstahl bei.

Warum benötigen Unternehmen Endgeräteverschlüsselung?

Es gibt viele Gründe für Unternehmen, Daten zu verschlüsseln. In Hightech-Branchen wie der Pharma- oder Softwareentwicklung müssen Unternehmen beispielsweise ihre Forschung vor Mitbewerbern schützen, während Unternehmen in regulierten Branchen wie Gesundheitswesen und Finanzdienstleistungen Patienten- und Verbraucherdaten verschlüsseln müssen, um gesetzliche Vorschriften einzuhalten. Gemäß dem PCI DSS-Standard (Payment Card Industry Data Security Standard) müssen Einzelhändler Kreditkartendaten von Verbrauchern verschlüsseln, um die nicht autorisierte Nutzung dieser Informationen zu verhindern.

Doch auch Unternehmen in nicht regulierten Branchen bereitet die Datensicherheit Sorgen, da eine Datenkompromittierung zu negativer Publicity, Verlust von Geschäftsmöglichkeiten und Rechtsstreitigkeiten mit Partnern oder Kunden führen kann.

Cyber-Angriffe und Datenkompromittierungen werden immer häufiger – und sie verursachen hohe Kosten. Laut dem "Cost of a Data Breach"-Bericht des Ponemon Institute sind die durchschnittlichen Kosten pro verlorenem oder gestohlenem Datensatz mit vertraulichen Informationen im Jahresvergleich um 4,8 % auf 148 US-Dollar gestiegen. Dementsprechend kann eine mittelgroße Kompromittierung von 100.000 Datensätzen dem Unternehmen Kosten in Höhe von 15 Millionen US-Dollar verursachen – Tendenz steigend.

Verschlüsselung ist eine unverzichtbare Komponente einer mehrschichtigen Datensicherheitsstrategie. Unternehmen setzen in der Regel auf mehrere Schutzebenen, einschließlich Firewalls, Eindringungsschutz, Malware-Schutz und Schutz vor Datenkompromittierungen. Die Verschlüsselung fungiert dabei als letzte Ebene, damit die Daten auch dann geschützt bleiben, wenn sie trotz aller Sicherheitsmaßnahmen in falsche Hände gelangen.

Arten der Endgeräteverschlüsselung

Es gibt zwei grundlegende Arten der Endgeräteverschlüsselung:

  • Bei der vollständigen Laufwerkverschlüsselung sind Laptops, Server oder andere Geräte unbrauchbar, sofern nicht die richtige PIN eingegeben wird.
  • Bei der FFRM-Verschlüsselung (File, Folder and Removable Media, d. h. Datei-, Ordner- und Wechselmedien) werden nur ausgewählte Dateien oder Ordner gesperrt.

Die vollständige Laufwerkverschlüsselung schützt das Betriebssystem und die Daten auf Laptops und Desktops, indem das gesamte Laufwerk verschlüsselt wird. Ausnahme ist lediglich der Master Boot Record, der unverschlüsselt bleibt, damit der Computer starten und den Verschlüsselungstreiber zum Entsperren des Systems finden kann. Wenn ein Computer mit einem verschlüsselten Laufwerk verloren geht, ist es unwahrscheinlich, dass jemand auf die darauf gespeicherten Daten zugreifen kann. Die Laufwerkverschlüsselung erfolgt dabei automatisch, sodass alle auf dem Laufwerk gespeicherten Inhalte automatisch verschlüsselt werden.

Es gibt zwei Methoden zum Autorisieren eines Benutzers für ein verschlüsseltes Laufwerk:

  • Bei der ersten Methode startet das Laufwerk das Betriebssystem, und der Benutzer meldet sich an, bevor er auf Anwendungen oder Daten zugreift.
  • Die andere Methode ist die Pre-Boot-Authentifizierung, bei der ein Benutzer vor dem Starten des Betriebssystems eine PIN oder ein Kennwort eingeben muss. Die Pre-Boot-Authentifizierung ist sicherer, da die Daten bis zum Abschluss der Authentifizierung verschlüsselt bleiben. Durch die Pre-Boot-Authentifizierung werden Exploits wie Windows-Kennwort-Cracker verhindert, die einen Neustart erfordern.

Bei der FFRM-Verschlüsselung werden ausgewählte Inhalte auf lokalen Laufwerken, Netzwerkfreigaben oder Wechselmediengeräten verschlüsselt. Die Verschlüsselungssoftware stellt Agenten bereit, die Dateien basierend auf den jeweiligen Unternehmensrichtlinien verschlüsseln. Die dateibasierte Verschlüsselung unterstützt strukturierte und unstrukturierte Daten, sodass sie auf Datenbanken, Dokumente und Bilder angewendet werden kann.

Bei der dateibasierten Verschlüsselung bleiben die Daten verschlüsselt, bis ein autorisierter Benutzer sie öffnet. Dies unterscheidet diesen Ansatz von der Laufwerkverschlüsselung, bei der alle Daten entschlüsselt werden, nachdem der Benutzer authentifiziert und das System gestartet wurde. Daher werden die Daten bei dateibasierter Endgeräteverschlüsselung auch dann weiter geschützt, wenn sie das Unternehmen verlassen haben. Wenn eine verschlüsselte Datei zum Beispiel als E-Mail-Anhang gesendet wird, muss sich der Empfänger authentifizieren, um die Datei zu entschlüsseln. Empfänger, die nicht über die entsprechende Verschlüsselungs-/Entschlüsselungs-Software verfügen, erhalten möglicherweise einen Link zu einem Portal (über das sie sich authentifizieren und die Datei entschlüsseln können) oder eine Container-Anhangdatei (z. B. eine kennwortgeschützte ZIP-Datei, die sie mit einem vom Absender mitgeteilten Kennwort öffnen können).

Bei der dateibasierten Verschlüsselung werden die zu verschlüsselnden Inhaltstypen und die Umstände, die eine Verschlüsselung erforderlich machen, mithilfe einer Verschlüsselungsrichtlinie des Unternehmens definiert. Nach der Konfiguration können Verschlüsselungslösungen automatisch Richtlinien erzwingen und Inhalte verschlüsseln.

Verwaltung von Endgeräteverschlüsselungen

Mit einer umfassenden Lösung für die Endgeräteverschlüsselung können IT-Abteilungen alle verschlüsselten Endgeräte zentral verwalten, einschließlich der von verschiedenen Anbietern bereitgestellten Verschlüsselung. Das ist deutlich effizienter, als ständig zwischen mehreren Konsolen wechseln zu müssen. Endgeräte-Sicherheitslösungen, die Verschlüsselungsprodukte mehrerer Anbieter unterstützen, reduzieren den Verwaltungsaufwand und die Kosten.

Eine zentrale Konsole bietet zudem einen besseren Überblick über den Status aller Endgeräte und überwacht die Verwendung der Verschlüsselung auf jedem Endgerät. Wenn ein Laptop oder USB-Laufwerk verloren geht oder gestohlen wird, können Unternehmen auf diese Weise Compliance nachweisen.

Software zur Endgeräteverschlüsselung kann zahlreiche Verwaltungsfunktionen umfassen, darunter:

  • Ein zentrales Dashboard mit Statusberichten
  • Unterstützung für Umgebungen mit gemischter Verschlüsselung
  • Schlüsselverwaltungsfunktionen, einschließlich Erstellen, Verteilen, Löschen und Speichern von Schlüsseln
  • Zentrale Erstellung und Verwaltung von Verschlüsselungsrichtlinien
  • Automatische Bereitstellung von Software-Agenten auf Endgeräten zur Erzwingung von Verschlüsselungsrichtlinien
  • Identifizierung von Geräten, auf denen keine Verschlüsselungssoftware vorhanden ist
  • Möglichkeit zum Sperren von Endgeräten, die nicht automatisch einchecken

Die Bedeutung der Endgeräteverschlüsselung

Verschlüsselung ist eine wichtige Ebene in der Sicherheitsinfrastruktur von Unternehmen. Sicherheitsprodukte wie Firewalls, Eindringungsschutz und rollenbasierte Zugriffssteuerung tragen zum Schutz der Daten im Unternehmen bei. Kompromittierungen kommen jedoch immer häufiger vor – und durch Datenverschlüsselung bleiben Daten auch dann geschützt, wenn sie das Unternehmen verlassen. Verschlüsselung ist eine unverzichtbare Schutzmaßnahme gegen Diebstahl und Offenlegung von Daten.

Weitere Themen zum Sicherheitsbewusstsein erkunden

Endpunktsicherheitsthemen anzeigen Alle anzeigen Sicherheitsbewusstsein