Bundesamt für Sicherheit in der Informationstechnik

G 4.54 Verlust des Schutzes durch das verschlüsselnde Dateisystem EFS

Das verschlüsselnde Dateisystem (Encrypting File System, EFS) ab Windows Server 2003/XP ist ein für Benutzer einfach zu bedienendes Mittel, damit Anwendungen transparent mit verschlüsselten Dateien arbeiten können. Es eignet sich am besten für einzelne Benutzer und exponierte Client-Computer, die zeitweise außerhalb der geschützten IT -Umgebung zum Einsatz kommen. Die Hauptintention bei EFS ist es, die Vertraulichkeit von dedizierten lokalen Daten zu schützen.

Die in G 2.19 Unzureichendes Schlüsselmanagement bei Verschlüsselung genannten Gefährdungen können in vielfältiger Art und Weise dazu führen, dass EFS-Zertifikate, welche zur Ver- und Entschlüsselung verwendet werden, offen gelegt werden oder abhanden kommen. Auf einem Dateiserver wären dann große Datenmengen nicht mehr vertraulich oder nicht mehr verfügbar, was im Vergleich zu einem einzelnen Client fatal sein kann. Auf einem Server spielt auch Datenverlust beim Kopieren oder Verschieben von Daten eine erhebliche Rolle und kann zum Verlust oder zur Beschädigung größerer Datenmengen führen. Wenn sich Administratoren solcher Effekte und den komplexen Anforderungen nicht ausreichend bewusst sind, kann die durch ein aktiviertes EFS beabsichtigte höhere Sicherheit leicht verloren gehen. Kommt aufgrund der vermeintlichen Sicherheit noch Fahrlässigkeit bei Benutzern und Administratoren hinzu, sind kritische Daten sogar stärker bedroht als ohne aktiviertes EFS. Im Folgenden werden einige Teilaspekte genauer erläutert.

Mit EFS ist es nicht möglich, die Vertraulichkeit von verschlüsselten Daten auf Remote-Servern gegenüber Administratoren zu garantieren. Ein Administrator kann sich jederzeit die Möglichkeit verschaffen, mittels Berechtigungen und dem integrierten Wiederherstellungsverfahren auf verschlüsselte Daten zuzugreifen.

EFS ist vollständig transparent für Benutzer und Anwendungen. Das bedeutet, dass jeder Prozess und jede Anwendung, die im Kontext des Benutzers ausgeführt wird, Zugriff auf die verschlüsselten Dateien hat. EFS stellt somit keinen Schutz vor Schadsoftware wie Trojanischen Pferden und Viren dar. EFS ersetzt nicht die sorgfältige Administration der Zugriffsberechtigungen (Access Control Lists, ACL) des NTFS. Verschlüsselte Dateien können von Benutzern oder Anwendungen unabhängig vom Schutz durch EFS gelöscht werden, wenn sie über ausreichende NTFS-Berechtigungen verfügen.

Die Transparenz geht soweit, dass Benutzer im Allgemeinen nicht wissen, ob Daten ver- oder entschlüsselt sind. Eine Verschlüsselung liegt aber nur auf NTFS-formatierten Datenträgern vor. Beim Kopieren und Verschieben auf Speichermedien mit anderen Dateisystemen werden die Dateien unverschlüsselt abgespeichert.

Fehlende Kontrolle über EFS-Zertifikate

EFS erfordert ein definiertes zentrales Schlüsselmanagement. Ohne den Einsatz einer Public Key Infrastructure (PKI) werden selbstsignierte Zertifikate des lokalen Computers (Client oder Server) benutzt. Damit stellt EFS ein nicht unerhebliches Risiko dar, durch Schlüsselverlust den Zugriff auf die verschlüsselten Dateien zu verlieren.

Werden von einem Client aus Daten mittels EFS auf einem Server verschlüsselt, der Mitglied in einer Domäne ist, muss dieser Server im Namen des Client-Benutzers ein EFS-Zertifikat anfordern. Das ist nur möglich, wenn dem Domänenkonto des Servers erweiterte Berechtigungen eingeräumt werden. Dem Serverobjekt innerhalb der Domäne wird für Delegierungszwecke vertraut. Diese "Stellvertretung" und das "Vertrauen" lassen sich mit dem Kerberos-Protokoll realisieren, designbedingt wird dadurch allerdings die Sicherheit der Kerberos-Umgebung verringert. Im Falle einer Kompromittierung des vertrauten Servers kann der Angreifer Einfluss auf benutzerspezifische Daten nehmen. Sind die Einstellungen zum Vertrauen nicht korrekt konfiguriert und auf EFS-relevante Dienste beschränkt, ergeben sich auch Manipulationsmöglichkeiten in anderen Bereichen des Servers oder der Domäne.

Werden EFS-Zertifikate auf dem Remote-Server oder im Active Directory erzeugt, ist es außerdem schwieriger, das Schlüsselmaterial zu verwalten und zu schützen.

Nutzung des EFS-API

Greift eine Anwendung auf verschlüsselte Dateien zu, welche für mehrere Benutzer verschlüsselt wurden, muss die Anwendung das entsprechende Application Programming Interface (API), das ab Windows Server 2003/Windows XP verfügbar ist, unterstützen. Anderenfalls werden die Schlüssel der zusätzlichen Benutzer von den Dateien entfernt. Kein Benutzer außer dem ursprünglichen Erzeuger hat dann noch Zugriff auf die jeweilige Datei. Sicherungs-, Archiv- und Synchronisierungs-Tools von Drittherstellern bergen ähnliche Risiken, sobald sie zur Verarbeitung verschlüsselter Dateien zum Einsatz kommen.

Stand: 13. EL Stand 2013