Workshop: Verschlüsselte Dateisysteme

Für den kanadischen Telekom-Ausrüster Nortel Networks hatte Industriespionage katastrophale Konsequenzen. Chinesische Hacker erlangten laut Zeitungsberichten umfangreichen Zugang zur IT-Infrastruktur des Unternehmens über sieben gestohlene Passwörter von Top-Managern. Die Einbrecher konnten im Laufe von mindestens einem Jahrzehnt Geschäftsgeheimnisse ausspähen. Über die Jahre seien zahlreiche technische Dokumentationen, Entwicklungsberichte und Geschäftspläne von den Hackern heruntergeladen worden. Schließlich musste Nortel Networks Konkurs anmelden, wurde zerschlagen und samt Patenten an Rivalen verkauft.

Das Schicksal von Nortel Networks illustriert die enormen Gefahren, denen Unternehmen und ihre Daten im vernetzten Zeitalter ausgesetzt sind, doch der Vorfall ist bei Weitem keine Ausnahme. Organisationen haben heute keine Wahl, außer ihre Sicherheitsmaßnahmen zu verstärken. Dazu zählt die Datenverschlüsselung.

Zwei Wege der Verschlüsselung

Moderne Betriebssysteme stellen Ihnen mindestens zwei Methoden der Diskverschlüsselung zur Verfügung: gestapelte Verschlüsselung auf Dateisystemebene (zum Beispiel eCryptfs unter Linux und FreeBSD oder EFS unter Windows) und Verschlüsselung auf Blockdevice-Ebene (wie etwa cryptsetup/dmsetup und LUKS unter Linux und Windows NT-Derivaten, Loop-AES oder Microsoft Bitlocker für Windows).

Gestapelte Verschlüsselung auf Dateisystemebene kann auf einem beliebigen Dateisystem aufsetzen. Die zugehörigen Metadaten befinden sich im Header der jeweiligen Datei. Die Daten müssen weder die Grenze zwischen dem Userspace und dem Kernel überschreiten noch den Netzwerk-Stack passieren. Lösungen zur Verschlüsselung auf Blockdevice-Ebene werkeln unterhalb des Dateisystems. Dadurch können Sie mit dieser Methode auch Swap-Partitionen oder rohe Volumes zum Einsatz mit einem Datenbankserver verschlüsseln.

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.