Bundesamt für Sicherheit in der Informationstechnik

M 4.433 Einsatz von Datenträgerverschlüsselung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Vertrauliche Informationen auf wiederbeschreibbaren Datenträgern können auf verschiedene Weise verschlüsselt und damit vor unbefugter Kenntnisnahme geschützt werden. So kann beispielsweise der komplette Datenträger, eine einzelne Partition oder nur einzelne Dateien verschlüsselt werden. Aus Sicherheitssicht ist es besser, den kompletten Datenträger zu verschlüsseln, da dann weniger Benutzereingriffe erforderlich sind und alle Daten vor unbefugtem Zugriff geschützt sind. Die Verschlüsselung eines gesamten Datenträgers oder einer kompletten Partition ist für die Benutzer nahezu transparent. Lediglich beim Booten oder dem ersten Zugriff auf die Partition müssen sich die Benutzer authentisieren. Werden nur einzelne Dateien oder Dateicontainer verschlüsselt, besteht die Gefahr, dass versehentlich schützenswerte Daten in unverschlüsselten Bereichen der Festplatte abgelegt werden. Zudem muss hierfür ein Verschlüsselungsprogramm explizit von den Benutzern gestartet werden.

Auch wenn einzelne Partitionen komplett verschlüsselt werden, kann dies dazu führen, dass aus verschiedenen Gründen vertrauliche Informationen auf unverschlüsselten Partitionen landen. Daher ist eine vollständige Verschlüsselung von Datenträgern die beste und effizienteste Methode, um vertrauliche Daten zuverlässig vor unbefugtem Zugriff zu schützen.

Datenträgerverschlüsselung lässt sich mit Software, aber auch mit Hardware-Unterstützung umsetzen. Software-Lösungen sind z. B. BitLocker von Microsoft (siehe M 4.337 Einsatz von BitLocker Drive Encryption ) oder das vom BSI für die Verarbeitung von Daten bis zum Geheimhaltungsgrad VS -NUR FÜR DEN DIENSTGEBRAUCH zugelassene TrustedDisk.

Mobile Datenträgern wie USB-Sticks und Laptops sollten möglichst immer vollständig verschlüsselt werden, auch wenn sie nur gelegentlich für vertrauliche Informationen eingesetzt werden. Bei stationären IT -Systemen sollten die Datenträger bei hohem Schutzbedarf bezüglich Vertraulichkeit komplett verschlüsselt werden. Bei der Verschlüsselung von Server-Festplatten sollte geprüft werden, ob die gewählte Variante der Verschlüsselung ausreichend leistungsfähig für die Anzahl der Benutzerzugriffe ist.

Neben dem Verschlüsselungsprogramm selbst sind für die Datenträgerverschlüsselung noch die kryptographischen Schlüssel nötig. Die kryptographischen Schlüssel sollten gemäß der Maßnahme M 2.46 Geeignetes Schlüsselmanagement sicher erzeugt und getrennt vom verschlüsselten Datenträger aufbewahrt werden. Hierfür können beispielsweise Chipkarten oder USB -Token eingesetzt werden. Eine solche Trennung ist bei der Verschlüsselung von USB -Sticks in der Regel nicht möglich, was bei der Sicherheitsanalyse berücksichtigt werden sollte.

Natürlich müssen auch die auf den verschlüsselten Datenträgern gespeicherten Daten regelmäßig gesichert werden (siehe M 6.56 Datensicherung bei Einsatz kryptographischer Verfahren ).

Einige Programme zur Datenträger- oder Partitionsverschlüsselung oder für den Einsatz von verschlüsselten Dateicontainern bieten die Möglichkeit, die verschlüsselten Bereiche zu "verstecken". Da solche Funktionen schwierig anzuwenden sind und Fehlbedienung zu vollständigem Datenverlust führen kann, sollten sie nicht angewendet werden.

Prüffragen:

  • Wurde eine geeignete Lösung zur Datenträgerverschlüsselung für alle mobilen Clients und mobilen Datenträger ausgewählt und installiert?

  • Wurde eine geeignete Lösung zur Datenträgerverschlüsselung für alle stationären IT-Systeme ausgewählt und installiert, die Informationen mit einem mindestens hohen Schutzbedarf in der Kategorie Vertraulichkeit verarbeiten?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK