Bundesamt für Sicherheit in der Informationstechnik

M 4.435 Selbstverschlüsselnde Festplatten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Um zu verhindern, dass Unbefugte an vertrauliche Daten auf Festplatten gelangen können, sollten diese nach Möglichkeit komplett verschlüsselt werden (siehe auch M 4.433 Einsatz von Datenträgerverschlüsselung ). Es gibt Hard- und Software-basierte Verfahren zur Verschlüsselung. In dieser Maßnahme wird die hardware-basierte Verschlüsselung in Form von selbstverschlüsselnden Festplatten (englisch: "Self-Encrypting Device", SED) behandelt. SEDs greifen für die Verschlüsselung auf einen speziellen Hardware-Kryptocontroller zu und sind dadurch sehr performant. Die eingesetzten Verschlüsselungslösungen sehen nur die Nutzung durch einen Benutzer vor, Mehr-Benutzer-Lösungen sind im Allgemeinen nicht vorgesehen.

Bei Nutzung einer selbstverschlüsselnden Festplatte kann das IT -System unter Umständen nicht mehr in den Arbeitsspeicher suspendiert werden, da beim Abschalten der Festplatte alle Daten verschlüsselt werden und ein im RAM gespeicherter Schlüssel ein Sicherheitsrisiko wäre. Dies ist vor dem Einsatz zu bedenken.

Selbstverschlüsselnde Festplatten sollten nicht mit einem TPM-Modul kombiniert werden, da es bei einer solchen Kombination in der Regel keine Möglichkeit gibt, die Festplatte in einem anderen IT-System mit einem Master-Key zu entschlüsseln. Wird in so einem Fall das IT-System beschädigt, lassen sich die Daten auf der Festplatte nicht mehr entschlüsseln, da die Festplatte durch das TPM-Modul fest mit dem IT-System verwoben ist.

Bei selbstverschlüsselnden Festplatten wird in der Regel AES mit Schlüssellängen von 128 bis 256 Bit eingesetzt. Der Schlüssel, mit dem die Informationen verschlüsselt werden, ist der sogenannte "Data Encryption Key" (DEK). Der DEK befindet sich im Kryptocontroller, der vor Manipulationen besonders geschützt ist. Er wird auf Basis zufälliger Hardware-Ereignisse generiert. Dieser DEK wird mit einem "Authentication Key" (AK) verschlüsselt. Der AK wird typischerweise vom Benutzer durch die Wahl eines Passwortes erzeugt. Bei einigen selbstverschlüsselnden Festplatten kann auch der AK auf einem Token, beispielsweise einer Chipkarte oder einem USB -Stick, gespeichert und zusätzlich mit einem Passwort verschlüsselt werden. Dies ermöglicht die Umsetzung einer Zwei-Faktor-Authentisierung.

Zusätzlich zum DEK und AK gibt es in der Regel auch noch einen Master-Key, der es erlaubt, die Daten zu entschlüsseln, auch wenn das Passwort oder der Token verloren wurde. Ein solcher Schlüssel muss bei der Installation erzeugt und für den Fall, dass das Passwort bzw. der Token verloren geht, sicher aufbewahrt werden. Es muss geregelt werden, wie organisatorisch vorgegangen wird, wenn ein Benutzer das Passwort zu einer verschlüsselten Festplatte vergisst. In diesem Fall muss mit dem Master-Key das Passwort zurückgesetzt werden und der Benutzer ein neues Passwort setzen.

Wenn sich der Benutzer erfolgreich authentisiert hat, wird der DEK entschlüsselt. Mit dem DEK werden alle auf der Festplatte befindlichen Daten ent- und verschlüsselt, ohne dass der Benutzer im Betrieb etwas davon bemerkt. Fährt der Rechner herunter oder wird die Laufwerkseinbindung des SEDs gelöst, werden alle Daten mit dem DEK und der DEK mit dem AK verschlüsselt.

Generell sollte die verwendete Schlüssellänge des von der Festplatte verwendeten Verschlüsselungsverfahrens hinreichend lang sein. Nähere Details zu angemessenen Schlüssellängen kryptographischer Verfahren sind in M 2.164 Auswahl eines geeigneten kryptographischen Verfahrens zu finden.

Bevor selbstverschlüsselnde Festplatten beschafft werden, sollte geprüft werden, ob die Festplatten mit der übrigen Hardware des IT-Systems kompatibel sind. Ferner sollte geprüft werden, ob die Schreib- und Leserate der ausgesuchten Festplatte angemessen ist. Überdies sollte geprüft werden, ob weitere Randbedingungen für den Einsatz beim IT-System erfüllt werden müssen. Zum Beispiel lassen sich nur sehr wenige Modelle von selbstverschlüsselnden Festplatten in einer bestehenden "Single-Sign-On"-Architektur integrieren. Auch sollte überprüft werden, ob und wie IT-Systeme mit normalen Festplatten zu selbstverschlüsselnden Festplatten migriert werden können ( z. B. mit einem mitgelieferten Programm oder über eine Neuinstallation).

Die Installation einer selbstverschlüsselnden Festplatte sollte in Institutionen durch geschulte Administratoren durchgeführt werden. Dafür müssen diese zunächst einen neuen DEK erzeugen und ein Passwort vergeben sowie einen Master-Key erstellen, der sicher aufbewahrt werden muss (siehe M 6.56 Datensicherung bei Einsatz kryptographischer Verfahren und M 2.22 Hinterlegen des Passwortes ). Das DEK-Startpasswort muss der Benutzer des Clients als Erstes in ein sicheres Passwort ändern (siehe M 2.11 Regelung des Passwortgebrauchs ).

Wird eine selbstverschlüsselnde Festplatte repariert oder soll sie verkauft bzw. entsorgt werden, so muss sichergestellt sein, dass sich von ihr keine schützenswerten Informationen entnehmen lassen. Dazu sollte vor Reparatur, Verkauf oder Entsorgung der DEK neu generiert oder ein Löschbefehl "ATA Secure Erase" ausgeführt werden.

Prüffragen:

  • Wurde bei der Installation von selbstverschlüsselnden Festplatten der DEK neu generiert und ein Master-Key erstellt sowie sicher hinterlegt?

  • Wird vor Reparatur, Verkauf oder Entsorgung einer selbstverschlüsselnden Festplatten der DEK gelöscht bzw. ein ATA Secure Erase ausgeführt?

Stand: 13. EL Stand 2013