office365-verschluesselung-cloud-eperi

Office 365-Umgebungen mithilfe von eperi DSGVO-konform absichern

Es soll ja Leute geben, die können sich gar nicht mehr vorstellen, ohne Cloud-Services wie Microsoft Office 365 zurecht zu kommen. Dafür ist der Komfort und der schnelle Zugriff auf sämtliche Applikationen und Daten einfach zu gut, als dass sie jemals wieder darauf verzichten möchten.

Dabei bleibt allerdings leider viel zu oft die Sicherheit auf der Strecke. Denn mit jeder E-Mail, jedem vertraulichen Termin und mit jedem personenbezogenen Datum steigt das Risiko, dass sensible Daten in die falschen Hände geraten. Dabei ist es doch im Grunde so einfach, seine wertvollen Daten gegen den Zugriff von Unbefugten zu schützen.

Wussten Sie eigentlich, dass spätestens mit dem Inkrafttreten der DSGVO am 25. Mai 2018 nicht nur die Datenverantwortlichen eines Unternehmens in der Verantwortung stehen, sondern auch die sogenannten Auftragsverarbeiter? Das sind neben den klassischen Rechenzentrumsbetreibern auch die Anbieter von Cloud-Plattformen und Cloud-Diensten. Dazu zählt also auch Microsoft mit seinem Cloud-Service Office 365. Doch können Sie sicher sein, dass die Cloud Service Provider (CSP) sämtliche Auflagen rund um die DSGVO (und andere gesetzliche Regularien) auch wirklich vollständig einhalten? Sehen Sie, und genau das ist der Knackpunkt an der Geschichte. Und genau an der Stelle kommt das Thema Verschlüsselung ins Spiel.

Denn nur wenn Daten verschlüsselt in der Cloud gespeichert werden, kann man sich sicher sein, dass damit auch kein Unfug angestellt werden kann. Darüber hinaus will man keinen Aufwand generieren, der mit einer möglichen Anpassung der Verschlüsselungstechnik an den Cloud-Service wie Office 365 erforderlich macht. Eine Lösung, die beide Aspekt berücksichtigt, nennt sich eperi Cloud Data Protection (CDP). In diesem Fall geht die Sicherheit der Office-365-Daten noch ein erhebliches Stück weiter: Die Daten liegen faktisch gar nicht innerhalb der Office-365-Cloud-Umgebung, sondern auf einem geografisch und damit physikalisch getrennten Server, dem eperi Gateway.

eperi CDP = sichere Office 365-Cloud-Umgebungen

Damit stellt eperi Cloud Data Protection for Office 365 die ideale Ergänzung zu den Sicherheits- und Datenschutz-Funktionen dar, die Office 365 von Haus aus anbietet, indem es die Microsoft’sche Cloud-Umgebung um zentrale Datenschutz- und Compliance-Funktionen ergänzt. Damit werden sensible Informationen sicher verschlüsselt, bevor sie an die Office 365 Cloud übermittelt werden.

Ein weiterer Vorteil an dieser Lösung: Nur ein kleiner Kreis berechtigter Personen hat Zugang zu den kryptografischen Schlüsseln, die zum Ver- und Entschlüsseln sensibler Informationen in der Office 365-Cloud benötigt werden. Außerdem finden sämtliche Verschlüsselungs- und Entschlüsselungsprozesse ausschließlich unter der Kontrolle des Unternehmens außerhalb der Office 365-Cloud statt. So können nicht einmal Microsoft-Administratoren oder Mitarbeiter in externen Datenzentren auf die Daten im Klartext zugreifen.

Stellt sich nur die Frage, wie wichtige Anwendungsfunktionen, z. B. die Volltextsuche in E-Mails auf Exchange weiterhin funktionieren können, wenn die Daten in der Office 365-Cloud zu jedem Zeitpunkt verschlüsselt sind und die Microsoft Cloud-Services keinerlei Zugriff auf die Schlüssel haben? Die Antwort darauf liefert das eperi Gateway, das die Grundlage aller Cloud Data Protection-Lösungen darstellt, und die Art und Weise, wie es mit der Office 365-Cloud zusammenarbeitet und die Protokolle, die es unterstützt.

Office 365: Protokolle, Schnittstellen, Funktionen

HTTP(S): Mit dem Hypertext Transfer Protocol greifen die Anwender auf die Office-365-Anwendungen über einen Standard-Webbrowser zu. Dabei verschlüsselt HTTPS (Hypertext Transfer Protocol Secure) die Verbindungen zwischen Browser und Server. Hierbei kommt das Übertragungsprotokoll TCP/IP zum Einsatz, die Verschlüsselungstechnik dahinter wird mit SSL (Secure Socken Layer) bzw. TLS (Transport Layer Security) bezeichnet. Auf dem Server muss ein anerkanntes Zertifikat installiert sein, das eine Authentifizierung des Webbrowsers gegenüber des Webservers erlaubt.

SMTP: Mit dem Simple Mail Transfer Protocol werden innerhalb einer Office-365-Umgebung E-Mails versendet. Die Schnittstelle basiert ebenfalls auf dem Übertragungsprotokoll TCP/IP und nutzt SSL/TLS für den verschlüsselten Versand von E-Mails. Im Falle des SSL/TLS-basierten Versands spricht man auch von SMTPS (Simple Mail Transfer Protocol Secure).

Exchange Web Services (EWS): Mit den EWS greifen Anwender sicher und komfortabel auf Office 365-Postfachdaten zu. Dazu gehören E-Mails genauso wie Kalendertermine und Kontakte. Hier kommt auch HTTPS als Zugriffsprotokoll zum Einsatz.

Exchange ActiveSync (EAS): Analog zu den Exchange Web Services greift man mit EAS auf E-Mails, Kalender und Termine zu, allerdings mittels seiner Mobilgeräte wie iPhone und Tablet. Erwähnenswert ist in diesem Kontext die EAS-Funktion „Direct Push“, mit dessen Hilfe E-Mails, Terminen, etc. zwischen Office 365 und dem mobilen Endgerät synchronisiert werden. Die Daten zwischen Server und Mobilgerät werden auch über HTTPS übertragen.

MAPI over HTTP(S): Mit dem Messaging Application Programming Interface lassen sich E-Mail-Nachrichten direkt aus anderen Anwendungen als dem Mail-Programm verschicken. So lassen sich Textdokumente aus Word versendet werden, ohne dass man diese zuvor in den E-Mail-Client von Office 365 kopieren muss. MAPI over HTTPS wurde mit Microsoft Exchange 2013 eingeführt und hat seinerzeit das Vorgängerprotokoll RPC over HTTP abgelöst. Vor allem die deutlich schnellere Verbindung eines tragbaren Rechners mit dem Office 365-Mailserver via MAPI over HTTPS bietet erhebliche Vorteile gegenüber RPC over HTTP.

Müßig zu erwähnen, dass das eperi Gateway diese Protokolle, Funktionen und Schnittstellen von Office 365 unterstützt. Denn nur dann ist eine durchgängige Verschlüsselung innerhalb der Office 365 Cloud-Umgebung möglich.

eperi Gateway & Office 365: ein erprobtes E-Mail-Team

Eine Besonderheit des eperi Gateway ist seine unkomplizierte Verschlüsselungstechnik. Damit muss sich der Anwender nicht um passende Schlüssel oder ähnliche Dinge kümmern. So verfasst er einfach eine unverschlüsselte E-Mail-Nachricht und versendet diese. Diese landet auf dem E-Mail-Server des Empfängers, wo sie unmittelbar nach Erhalt vom eperi Gateway verschlüsselt und dann automatisch an Office 365 weitergeleitet wird. Da nur das Unternehmen des Empfängers über den Schlüssel zum Dekodieren der Nachricht verfügt, können ausschließlich berechtige Anwender des Unternehmens und sonst niemand die Nachricht lesen.

Interessant ist obendrein die Option, über die Outlook Web Apps auf die Office 365-Umgebung zuzugreifen. Da sich zwischen Browser und Office 365 Cloud-Umgebung ebenfalls das eperi Gateway um die Ver- und Entschlüsselung der Nachrichten kümmert, können E-Mails ganz bequem von jedem Ort der Welt via Webbrowser abgerufen werden – und das vollkommen geschützt.

Trotz Verschlüsselung nach E-Mails und Dateien suchen

Mit einem speziellen Trick können Anwender innerhalb einer Office 365 Cloud-Umgebung verschlüsselte E-Mails und Dateien suchen und finden. Hierzu legt das eperi Gateway einen vollständigen Index aller E-Mails und Dateien an, der nicht in der Office 365-Cloud, sondern in der sicheren Kundenumgebung, z.B. auf dem eperi Gateway-Server gespeichert wird. Das entkoppelt die Office-Umgebung vom eperi Gateway, was zusätzlich die Sicherheit erhöht.

Sucht dann ein Benutzer nach einem Datum oder Begriff, wird dieses/r zunächst an das eperi Gateway weitergeleitet. Dort wird die modifizierte Suchanfrage mithilfe der richtigen Datenset-ID an die Office 365-Cloud-Umgebung gesendet, die anhand dieser eindeutigen Nummer das richtige, verschlüsselte Suchergebnis aus der Office 365-Umgebung an das eperi Gateway zurückgibt. Dort wird die E-Mail oder Datei entschlüsselt und dem Anwender als Klartext zur Verfügung gestellt. Damit wird zu jeder Zeit sichergestellt, dass Suchergebnisse wie E-Mails oder Dateien niemals öffentlich vorliegen und damit Office 365-Inhalte auch nicht kompromittiert werden können.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.

Rita Pleus über Sicherheitsvorkehrungen auf der IBM Mainframe

[Videochat] Rita Pleus (IBM) zu Sicherheitskonzepten auf Mainframe-Maschinen

Während der IBM Z-Roadshow habe ich dieses Interview mit Rita Pleus von IBM geführt. Darin spricht sie über die aktuelle Sicherheitslage, über die Sicherheitsebenen der Pervasive Encryption und über zuverlässige Sicherheitskonzepte.

„Wie schätzen Sie die aktuelle IT-Sicherheitslage ein?“

Laut Rita Pleus ist dieses Thema ein äußerst komplexes, und je nachdem, wen man fragt, wird es unterschiedlich bewertet. So zeigt beispielsweise das BSI (Bundesamt für Sicherheit in der Informationstechnik) in seinem Bericht zur Lage der IT-Sicherheit in Deutschland, dass aufgrund der „zunehmenden Digitalisierung und Vernetzung durch Entwicklungen wie dem Internet der Dinge, Industrie 4.0 oder Smart Everything Cyber-Angreifern fast täglich neue Angriffsflächen“ geboten werden. Hinzu kommen zahlreiche regulatorische Vorschriften wie die DSGVO und der PSIDSS, die natürlich auch von IBM-Kunden eingehalten werden müssen.

Doch sollte das Thema Sicherheit im eigenen Unternehmen laut Frau Pleus nicht ausschließlich von diesen und anderen Vorschriften bestimmt werden, sondern auch aus der Erkenntnis heraus entstehen, dass IT-Security ein allumfassendes Thema sein sollte, zu dem unter anderem das Thema Datenverschlüsselung zählt.

„Auf welchen Ebenen findet Pervasive Encryption statt?“

Das mit der IBM z14 eingeführte Sicherheitskonzept Pervasive Encryption ist ja kein Produkt, wie Rita Pleus im Interview klarstellt. Es handelt sich vielmehr um eine fundierte Strategie, die auf allen Ebenen der Mainframe seinen jeweiligen Beitrag zur Sicherheit beiträgt. Das beginnt ganz unten auf der Hardware-Schicht, wo dedizierte Hardware-Module mit z/OS-Features wie CP Assist for Cryptographic Functions (CPACF) für explizite Sicherheit sorgen, aber auch Kryptokarten kommen hierfür zum Einsatz. Beides stellt laut Rita eine solide Grundlage für Pervasive Encryption dar, da die Hardware die Sicherheitsmaßnahmen erheblich beschleunigt.

httpss://twitter.com/mhuelskoetter/status/986989333377888256

Wichtig sind aber auch die gespeicherte Daten in diesem Kontext. Hierfür kommt eine mehrstufige Datenverschlüsselung zum Tragen, was bei IBM unter dem Begriff Data Set Encryption läuft. Damit lassen sich vor allem Daten anhand der Anwendungen oder logischen Datenhaltung trennen, je nachdem, welche Schlüssel für das Encryption-Verfahren eingesetzt werden. Hinzu kommen weitere Möglichkeiten der Verschlüsselung, zum Beispiel auf Cluster- und Netzwerkebene, mit der sich sehr transparent zeigen lässt, welche Daten gerade verschlüsselt werden – und welche nicht.

Wichtig ist aber auch das Thema Secure Service Container, mit dem das Verschlüsseln virtueller Umgebungen möglich ist. Hierfür bietet die IBM z14 ZR1 insgesamt 40 LPARs, mit denen virtuelle Bereiche geschaffen werden können, in denen sich verschlüsselte Container mit all ihren Daten und Anwendungen sehr sicher befinden.

Schließlich weist Rita Pleus noch auf das äußerst wichtige Schlüsselmanagement hin, das eine profunde Grundlage für das Verschlüsseln der Daten darstellt. Denn nur wenn das zugehörige Managementtool sicherstellt, dass Schlüssel über einen längeren Zeitraum valide und verfügbar sind, kann Pervasive Encryption zuverlässig funktionieren.

httpss://twitter.com/mhuelskoetter/status/986992404166258688

„Was gehört denn noch zu einem guten Sicherheitskonzept?“

Neben den aufgezeigten Features, die allesamt unter dem Begriff Pervasive Encryption zusammengefasst werden, hält Rita Pleus obendrein das Thema Identity Management für unabdingbar, wenn es um sichere Mainframe-Umgebungen geht. Denn nur wenn sichergestellt werden kann, dass ausschließlich bestimmte Anwender oder Anwendergruppen auf klar definierte IT- und Datenbereiche zugreifen dürfen, funktioniert das IT-Sicherheitskonzept vollumfänglich. Dies kann beispielsweise mithilfe einer Mehrfaktor-Authentifizierung erreicht werden, so wie sie IBM versteht und ihren Kunden zur Verfügung stellt.

Das Interview mit Rita Pleus in voller Länge

Disclaimer: Für diesen Video-Blogpost hat mich IBM Deutschland als Blogger engagiert.

Funktionsweise des eperi Gateway

DSGVO mithilfe von eperi-Tools effektiv umsetzen

Stellen Sie sich vor, Sie haben Ihre IT-Infrastruktur in eine Cloud-Umgebung transferiert. Weil Sie einfach keine teuren Rechenmaschinen mehr kaufen und verwalten wollten, weil der Zugriff auf Anwendungen und Daten seitens externer Mitarbeiter und Geschäftspartner einfacher werden sollte, und vielem mehr.

Spätestens an dieser Stelle könnte Ihnen auffallen, dass es trotz der vielen schönen Vorzüge von Cloud-basierten IT-Infrastrukturen eine erhebliche Schwachstelle gibt: die Datensicherheit. Damit ist vor allem die Datensicherheit und der Datenschutz im Sinne der DSGVO gemeint, die am 25. Mai 2018 endgültig in Kraft tritt. Ab diesem Tag wird auf die elektronische Datenverarbeitung personenbezogener Daten ganz besondere Herausforderungen zukommen. Dazu zählt unter anderem die sogenannte Datenschutz-Folgenabschätzung sowie weitere Prüf- und Dokumentationspflichten. Das ist vor allem dann der Fall, wenn Unternehmen Auftragsdatenverarbeiter und Cloud-Dienste in Anspruch nehmen.

Das hat auch damit zu tun, dass die DSGVO eine explizite Datenverarbeitung personenbezogener Daten auch außerhalb der EU vorsieht, unabhängig davon, ob der Auftragsverarbeiter (also ein Cloud Service Provider zum Beispiel) innerhalb oder außerhalb der EU sitzt. Daraus lassen sich diverse Konsequenzen ableiten: So können Cloud-Anbieter beispielsweise selbst zu Datenverantwortlichen werden, wenn sie den Zweck der Datenverarbeitung selbstständig bestimmen.

Liegt die Datenverantwortung beim Unternehmen oder Cloud-Provider?

Laut DSGVO wird künftig nicht mehr der Auftraggeber der externen Datenverarbeitung allein bei möglichen Verstößen haftbar gemacht, sondern auch der externe Auftragsverarbeiter, da Datenverarbeiter und Auftragsverarbeiter künftig gemeinsam haften.

DSGVO = besondere Pflichten für Datenverantwortliche

Ab 25. Mai 2018 müssen die Datenschutzverantwortlichen der Unternehmen sicherstellen und nachweisen können, dass die Verarbeitung von personenbezogenen Daten jederzeit im besten Sinne der DSGVO erfolgt. Dazu gehören diverse Prinzipien wie Pseudonymisierung und Verschlüsselung von Daten, die Datenminimierung, die Einhaltung des Verarbeitungszwecks, etc. Daraus ergibt sich unter anderem, welche Daten in welchem Umfang und wie lange verarbeitet und gespeichert werden dürfen.

DSGVO = großer Aufwand für größere Unternehmen

Gerade in größeren Unternehmen werden teils äußerst sensible Daten verarbeitete und gespeichert. Ob das Personaldaten sind oder die E-Mail-Adresse und Anschrift eines Kunden – über all diese Daten muss akribisch Buch im Sinne der DSGVO geführt werden. Dieser Aufwand verschärft sich zusätzlich, wenn personenbezogen Daten innerhalb einer Cloud-Umgebung gespeichert und verarbeitet werden.

Um dieses große Dilemma elegant zu umgehen, sollten sensible Daten am besten vor der Speicherung beim Cloud-Anbieter verschlüsselt werden. Denn damit werden sie automatisch pseudonymisiert, so wie es die DSGVO explizit fordert. Damit sind Datenschutzrechtsverletzung auf Seiten des Cloud-Anbieters gar nicht möglich, was sich auf die Umsetzung der DSGVO enorm positiv auswirkt.

Mit eperi Cloud Data Protection (CDP) entspannt ins DSGVO-Zeitalter

Damit wären wir beim eigentlichen Kern dieses Beitrags. Denn mithilfe des eperi-Gateways lassen sich die Forderungen der DSGVO zum Schutz personenbezogener Daten relativ unaufwendig umsetzen. So können Unternehmen auf Basis der eperi-Lösung ihre Datenschutz-Prozesse kontrollieren. Damit garantieren sie auch, die DSGVO-Vorgaben peinlich genau einzuhalten, wenn Cloud-Services im Unternehmen genutzt werden. Damit reduzieren sich der Prüfaufwand und die damit verbundene Nachweispflicht auf die Vorkehrungen und Datenschutzmaßnahmen, die im eigenen Unternehmen umgesetzt werden müssen.

Funktionsweise des eperi Gateway

„Erst verschlüsseln, dann speichern“ – so lautet die eperi-Devise

Die eperi-Devise in Sachen DSGVO-konforme Cloud-Daten lautet: „Erst verschlüsseln, dann speichern!“. Damit lassen sich nämlich sämtliche sensible Daten für Unbefugte unleserlich machen, bevor personenbezogene Daten überhaupt in der Cloud landen. Folge: Die Unternehmen behalten die volle Kontrolle über ihre personenbezogene Daten und erfüllen damit die strengen Auflagen in Sachen Datenschutz-Konformität „on the fly“.

Doch dieser eperi-Ansatz bietet einen weiteren Vorzug: Dank der transparenten Verschlüsselung der Cloud-Daten können sehr elegant zahlreiche Risiken „ad acta“ gelegt werden, die bei der Auswahl des geeigneten Cloud-Konzepts respektive des dazu passenden Cloud Service Providers entstehen können. Denn wer kann schon genau sagen, ob der infrage kommende Cloud-Anbieter die strengen Auflagen der DSGVO so ernst nimmt, wie er das eigentlich tun sollte.

Office 365, Salesforce & Co: eperi Gateway als zentraler Kontrollpunkt

Mithilfe des eperi Gateway für Cloud-Anwendungen wie Office 365 oder Salesforce stellen Unternehmen ebenfalls sicher, dass besonders sensible personenbezogene Daten jederzeit und vollumfänglich vor fremden Zugriffen geschützt sind. Denn weder der Cloud-Provider noch ein externer Auftragsverarbeiter erhält Zugriff auf die Daten, da die Schlüssel im alleinigen Besitz des Cloud-Anwenders, also des Unternehmens bleiben. Damit wird ein zentraler Kontrollpunkt für das Datenschutz- und Verschlüsselungsmanagement festgelegt, das dem Datenverantwortlichen die alleinige Kontrolle über die Verschlüsselungs- und Tokenisierungsprozesse garantiert.

eperi Cloud Data Protection bedeutet darüber hinaus, dass sich die Verschlüsselung der Daten in keiner Weise auf die Cloud-Plattform und deren Techniken auswirkt und darüber hinaus alle wichtigen Anwendungsfunktionalitäten bei komfortabler Bedienerfreundlichkeit erhalten werden.

Fazit: eperi sorgt für DSGVO-konforme Cloud-Daten

Zusammenfassend kann man also sagen: Unternehmen, die sich für eine Verschlüsselung auf Basis der eperi Cloud Data Protection-Lösung entscheiden, gehen einen großen Schritt in Sachen DSGVO-Konformität. Denn ihr Datenschutz wird ohne größeren Aufwand auf einen Level gehievt, um den sie so mancher Datenschutzbeauftragte beneidet.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.

Internetserver mittels HTTPS verschlüsseln

Darum ist eine gute Verschlüsselung wichtig

Die eigenen Daten zu verschlüsseln ist aus mehreren Gründen eine gute Idee. Mit diesem Blogbeitrag zeige ich bekannte Szenarien und Möglichkeiten auf, mit denen Sie Ihre wertvollen Daten vor fremden Zugriffen schützen können.

Im Grund geht es ganz schnell: Sie lassen im Taxi zum Flughafen oder zum Kunden Ihr Notebook liegen, und schwups, sind im ungünstigen Fall alle Daten verloren. Schlimmer noch: Wenn Sie keine entsprechenden Sicherheitsvorkehrungen getroffen haben, hat der Finder des Laptops Zugriff auf sämtliche Daten, die sich darauf befinden. Und die Rede ist nicht von einem unsicheren Windows-Kennwort, sondern von der Festplatte, auf der die Daten meist ohne jeglichen Schutz gelagert werden. In solch einem Fall schützt ausschließlich die Verschlüsselung des Datenträgers mithilfe eines geeigneten Mechanismus.

Daten auf Laptops und anderen tragbaren Geräten stellen ohne Verschlüsselung ein erhebliches Risiko dar

Doch nicht nur Festplatten stellen ein potenzielles Datenleck dar. Denn mit jeder E-Mail, die man unverschlüsselt versendet, gibt man sich einem möglichen Angriff preis. Dabei ist gar kein großer Aufwand nötig, seine elektronische Post mit ein paar Handgriffen vor Manipulation und Spionage zu bewahren. Und dass man seine drahtlose WLAN-Verbindung mit dem Internet vor unbefugten Zugriffen seitens Dritter schützen sollte, dürfte mittlerweile klar sein. Die Praxis zeigt allerdings: Für viele Anwender ist es das immer noch nicht.

Software- oder Hardware-basierte Verschlüsselung – das ist die Frage

Dass es eine gute Idee ist, seine Daten oder den Transport derselben zu verschlüsseln, wissen Sie jetzt. Doch wie schützt man sich vor möglichen Angriffen? Nun, hierfür bieten sich zwei Wege an: Entweder man installiert eine passenden Software beziehungsweise nutzt ein vorinstalliertes Tool oder überlässt das einer erprobten und praxistauglichen Hardware-Lösung, die für das richtige Verschlüsseln von Daten oder den Austausch derselben konzipiert wurde

Solch eine Lösung nennt sich beispielsweise IndependenceKey, der sämtliche Daten und Datenverbindungen automatisch verschlüsselt, und das auf Hardware-Basis. Das ist deutlich sicherer als die Verschlüsselung mit einer Software, kostet aber auch dementsprechend mehr.

Hardware-Verschlüsselung von Festplatten & SSDs

Instant Secure Erase (ISE) ist eine recht neue Technik des Speicherkomponentenherstellers HGST, die in zahlreichen Festplatten und SSDs zum Einsatz kommt. Dazu gehören die Modelle aus der Ultrastar 7K6000-Reihe genauso wie die Ultrastar-Serien He10 und He8.

Damit lassen sich diese Datenträger mit geringem Aufwand rückstandsfrei löschen, wenn die Speicherkomponenten beispielsweise verschrottet werden sollen. Hierfür wird einfach nur der Schlüssel gelöscht, der zum Ver- und Entschlüsseln der Daten zuvor erstellt wurde. Damit wird der Datenträger innerhalb weniger Sekunden vollkommen unbrauchbar.

Festplattenverschlüsselung mit dem passenden Tool

Zuverlässige Verschlüsselung mithilfe des Prozessors

Für die Sicherheit bei der Verschlüsselung von Daten auf weniger leistungsstarken Rechnern empfiehlt sich ein Intel-Prozessor, der die Verschlüsselungstechnik Intel AES NI (New Instructions) unterstützt (selbstverständlich trifft das auch auf AMD-Prozessoren zu).

Denn die Intel AES NI sorgen für mehr Sicherheit auch auf PCs mit Intel Core i3 oder Intel Celeron Prozessor, da das Ver- und Entschlüsseln von Daten direkt im Prozessor geschieht und damit Anwender auch auf einem weniger leistungsfähigen Rechner die Verschlüsselung aktivieren – und damit auf ihrem PC für mehr Sicherheit sorgen.

Prozessor-basierte Verschlüsselung ist sehr sicher

Auf die richtige Verschlüsselungstechnik kommt es an

Wer es noch sicherer mag, sollte auf die pure Hardware-Verschlüsselung setzen. Dazu gehört beispielsweise die SATA-zu-SATA-Verschlüsselung, die dafür sorgt, dass die Daten direkt auf dem Mainboard oder dem Speichermedium selbst verschlüsselt werden, und das auf Basis des AES-Verschlüsselungsalgorithmus’.

Hierfür hat die Firma Enova Technology einen speziellen Chip namens X-Wall MX entwickelt, der sich direkt auf dem Motherboard oder dem Laufwerk integrieren lässt. Dabei wird der komplette Datenstrom auf Hardwarebasis mit AES (128 bis 256 Bit) mit einer Bandbreite von bis zu 150 MByte/s verschlüsselt. Firmen wie Addonics Technologies und DataLocker vertrauen unter anderem der Verschlüsselungstechnik von Enova.

Auf Hardware-Basis verschlüsselt auch die Speziallösung namens IndependenceKey sämtliche Daten, die sich auf Festplatten und Cloud-Laufwerken befinden, die aber auch via internetbasierten Telefonaten und Chats austauscht werden – und das alles in Echtzeit. Hierbei kommt auf jedem Rechner, dessen Daten verschlüsselt werden sollen, eine Art USB-Sticks zum Einsatz. Diese Sticks kümmern sich vollautomatisch um die Verschlüsselung der Daten. Und das ebenfalls auf Basis des AES-Algorithmus’, der als sehr sicher gilt.

Daten und Laufwerke mit Herstellersoftware verschlüsseln

Ob Sie Ihre Festplatten- oder USB-Stick-Inhalte verschlüsseln wollen, letztlich geschieht dies mit einer passenden Software, die Festplattenhersteller wie Kingston oder Seagate auf ihren Speichermedien meist vorinstallieren.

Damit kann entweder die komplette Platte oder einzelne Partitionen verschlüsselt werden. Um die Sicherheit weiter zu erhöhen, werden die Festplatten automatisch gesperrt, sobald diese aus dem Rechner entfernt oder dieser ausgeschaltet wird. In diesem Zusammenhang kommt meist die FIPS 140-2-basierte Zertifizierung zum Einsatz.

USB-Sticks lassen sich mit der richtigen Software verschlüsseln

Kostenlose Software für die Datenverschlüsselung

Mit ArchiCrypt Live lassen sich virtuelle Laufwerke verschlüsselnNeben den hersteller-spezifischen Tools gibt es auch kostenlose Software, mit der sich Daten verschlüsseln lassen. Dazu gehört beispielsweise ArchiCrypt Live, mit denen Hilfe ein virtuelles Laufwerk erstellt wird, das mit einem sicheren Kennwort geschützt wird.

Darüber hinaus verschlüsselt das Tool komplette Partitionen, externe Festplatten, Speicherkarten und USB-Sticks. Als Verschlüsselungsmethoden kommen AES und Blowfish zum Einsatz. Zum Schutz vor dem Ausspähen des Kennworts mittels Keylogger bietet ArchiCrypt Live eine Bildschirmtastatur.

Mit CrococryptFile lassen sich einzelne Daten und ganze Laufwerke per rechter Maustaste verschlüsseln. Als Sicherheitsalgorithmen kommen AES-256, RSA-AES-256, PGP-AES-256 und AES-Twofish-256 zum Einsatz.

Sehr anschaulich gehen Werkzeuge wie Virtual Safe vor: Damit legen Sie einen virtuellen Safe an, in dem Sie anschließend ihre sensiblen und schützenswerten Daten ablegen, die mithilfe sicherer Verschlüsselungsalgorithmen wie AES-256 vor fremden Blicken geschützt werden.

Mobile Daten mit Apps verschlüsseln

Mit Keepsafe Bilder und andere Dateien versteckenMobile Anwendungen wie KeepSafe oder Private Photo Vault wählen einen einfachen Weg, um sensible Daten zu verschlüsseln: Sie machen diese auf dem Smartphone oder Tablet „unsichtbar“, indem einzelne oder mehrere Dateien mit einer PIN oder einem Kennwort belegt werden und auch nur damit wieder sichtbar gemacht werden können.

Cloud-Laufwerke  mit Software verschlüsseln

Das bekannte Tool BoxCryptor verschlüsselt bekannte Cloud-Dienste wie Dropbox, Microsoft OneDrive, Google Drive und SugarSync. Hierfür wird ein virtuelles Laufwerk im Windows Explorer oder im OS X Finder angelegt, mit dessen Hilfe die Online-Daten automatisch synchronisiert werden.

Als Schutz kommt ein Kennwort zum Einsatz, das die Daten auf Basis des AES-256- oder RSA-Algorithmus’ verschlüsselt. BoxCryptor gibt es sowohl für Windows als auch den Mac. Als Alternative bietet sich die Software Cryptomator an, die ganz ähnlich wie BoxCryptor arbeitet.

So funktioniert Boxcryptor

Internetdaten und -verbindungen unbedingt verschlüsseln

Jeder digitale Schritt ins Internet ist mit einer potentiellen Gefahr verbunden. Daten können ausspioniert werden, aber auch die Wege, die Anwender zurücklegen, sind ein Risikofaktor, da Hacker sich ganz leicht auf ihre Spur begeben und ihnen auf den Server folgen können, den ein User gerade ansteuert.

Daher ist es eine sehr gute Idee, sich während der Reise durchs weltweite Netz bestmöglich vor Angriffen von außen zu schützen. Das lässt sich mithilfe bestimmter Techniken und Spezialtools erreichen wie beispielsweise mit virtuellen Netzwerkverbindungen auf VPN-Basis.

Internetserver mittels HTTPS verschlüsseln

HTTPS schützt Webseiten vor unbefugten Zugriffen

Mit dem HyperText Transfer Protocol Secure (HTTPS) befindet sich eine Schicht zwischen den Protokollen HTTP und TCP, die für die Verschlüsselung der Verbindungsdaten zuständig ist. Dies geschieht meist per SSL/TLS, einem sehr sicheren Algorithmus, der beispielsweise auch beim Verschlüsseln von Online-Banking-Verbindungen zum Einsatz kommt.

Wichtig ist HTTPS auch für Webseitenbetreiber, die ihre Zentralrechner mithilfe von SSL-Bibliotheken wie OpenSSL für gesicherte Datentransfers fit machen können. Das wird unter anderem für ein positive Bewertung seitens Google dringend empfohlen.

E-Mail-Verschlüsselung leicht gemacht

Jede E-Mail, die den Mailserver verlässt, ist von Hause aus nicht verschlüsselt. Das bedeutet, dass Nachrichten, Bilder und andere Dokumente mit einfachsten Mitteln abgefangen und gelesen bzw. betrachtet werden können. Gerade für spezielle Berufsgruppen wie Anwälte, Ärzte, usf. stellt das grundsätzlich einen Verstoß gegen das Bundesdatenschutz und Strafgesetzbuch dar. Dabei ist es so einfach, E-Mails verschlüsselt zu versenden und empfangen.

Eine der Möglichkeiten, seine E-Mails abhörsicher zu versenden, stellen die Mail-Dienste der Telekom und der Deutschen Post zur Verfügung. Dies gilt allerdings nur dann, solange die E-Mails zwischen Kunden von De-Mail (Telekom) oder E-POST versandt und empfangen werden. In allen anderen Fällen erfolgt der Mailverkehr zwar verschlüsselt, die Daten selbst liegen unverschlüsselt auf den Mailservern von Telekom und der Deutschen Post.

Wer es noch sicherer will, sollte auf Software-Tools wie GPGTools (Mac) oder Gpg4win (Windows) zurückgreifen. Allerdings erfordern diese Werkzeuge technisches Know-how, da man etwas wissen sollte von Schlüsselerzeugung, Schlüsselverwaltung und anderen Dingen. 

Wer es sicher und komfortabel mag und monatliche Kosten nicht scheut, kann bestimmte Verschlüsselungsdienste nutzen, die das Versenden und Empfangen von abhörsicheren E-Mails übernehmen. Solch ein Service nennt sich Tutanota der in Hannover ansässigen Firma Tutao, der Microsoft Outlook und andere E-Mail-Programme unterstützt. Und mit iPhone und Tablet funktioniert das Ganze auch.

Mit Tutanota lassen sich E-Mails rechtssicher versenden

Nehmen Sie mit mir einfach Kontakt auf

Hat Ihnen der Beitrag gefallen? Haben Sie Fragen zum Bloggen? Benötigen Sie Blog-Support? Dann nehmen Sie am besten noch heute Kontakt mit mir auf.

[pirate_forms]

So funktioniert Boxcryptor

So hilft Boxcryptor bei der Umsetzung der DSGVO

In Zeiten der Datenschutzgrundverordnung, die eine europäische Harmonisierung des Datenschutzes erreichen soll, gibt es derzeit viele verunsicherte Unternehmen, die sich unter anderem die Frage stellen:

„Kann bzw. darf ich ab dem 25. Mail 2018 aus Gründen des DSGVO-konformen Datenschutzes überhaupt noch Dropbox, Google Drive und Co. einsetzen?“

Diese Frage ist unter den verschärften Datenschutzbestimmungen, welche die DSGVO vorsieht, sehr berechtigt. Denn nicht erst seit der emsigen Betriebsamkeit rund um dieses Thema fragen sich viele Unternehmen zurecht, ob eine Datensicherung in einer Cloud-Umgebung wie der Dropbox den strengen Vorschriften und Vorgaben der europäischen Gesetzeshüter stand hält.

DSGVO und Public Cloud ist kein Widerspruch – mit dem richtigen Tool

Die gute Nachricht: Ja, das Ablegen und Austauschen sensibler, personenbezogener Daten ist in den allermeisten Fällen auch innerhalb von Dropbox und Co. möglich, wenn Unternehmen die richtigen Maßnahmen dazu ergreifen. Sprich, wenn sie es schaffen, die Daten innerhalb solch einer Public Cloud hochverschlüsselt abzulegen, so dass weder Unbefugte noch der Cloud-Anbieter selbst auf diese Daten zugreifen können. Dieser Beitrag zeigt, wie dies mithilfe des kleinen, aber sehr leistungsfähigen Verschlüsselungswerkzeugs Boxcryptor geschieht. Dabei sehe ich mir speziell die Business-Lizenzvariante an, die sich vor allem an Freiberufler wie mich richtet.

Die Business Edition von Boxcryptor bietet für Freiberufler nützliche Funktionen - für 72 Euro pro

Die Business Edition von Boxcryptor bietet für Freiberufler nützliche Funktionen – für 72 Euro pro Jahr

Um die Entwicklung und Vermarktung von Boxcryptor kümmert sich das Startup-Unternehmen Secomba. Mit diesem Tool lassen sich mit relativ geringem Aufwand die eigene Public-Cloud-Daten vor unbefugten Zugriffen absichern. Hierzu kommen zwei Verschlüsselungsverfahren zum Einsatz, nämlich AES 256 und RSA. Beiden ist eine extrem hohe Sicherheit gemein, sodass Nutzer von Boxcryptor ihre Daten guten Gewissens in einem geschützten Cloud-Bereich speichern können.

So funktioniert Boxcryptor technisch

Um es ganz klar zu machen: Boxcryptor verschlüsselt die lokalen Cloud-Daten, also diejenigen, die auf dem Rechner innerhalb der Cloud-Ansicht oder auf einem mobilen Gerät abgelegt werden. Dabei wird nicht der Ordner selbst, sondern jede einzelne Datei verschlüsselt, und das in dem Moment, wenn sie in den Cloud-Ordner kopiert wird. Das bedeutet auch, dass sämtliche Daten, die in der Cloud-Umgebung wie der Dropbox landen, hochverschlüsselt dort ankommen und damit vor dem Zugriff Unbefugter sicher sind.

So funktioniert Boxcryptor

Boxcryptor optimal nutzen

Sobald man die Boxcryptor-Software installiert hat, kann man diverse Voreinstellungen vornehmen. Dazu gehört, dass man die infrage kommenden Cloud-Dienste bestimmt, die man nutzt. Zudem kann man die Verschlüsselung der Dateinamen aktivieren und kann obendrein, falls man wie ich ein MacBook Pro mit Touch-ID besitzt, den Fingerabdruckscanner samt Kennwort als zusätzlichen Schutz einrichten. Schön an der Boxcryptor Business Edition auch die Möglichkeit, diverse Gruppen mit unterschiedlichen Zugriffsrechten festzulegen.

Erster Schritt: Verschlüsselung aktivieren und den Schutz der Daten gegebenenfalls zusätzlich erhöhen

Erster Schritt: Verschlüsselung des Dateinamens aktivieren und damit den Schutz der Daten zusätzlich erhöhen

Zweiter Schritt: Vor der ersten Verschlüsselung mit Boxcryptor legt man die Cloud-Dienste fest, die infrage kommen

Zweiter Schritt: Vor der ersten Verschlüsselung mit Boxcryptor legt man die Cloud-Dienste fest, die infrage kommen

Boxcryptor zum ersten Mal einrichten

Sobald diese vorbereitenden Maßnahmen abgeschlossen sind, steht das Verschlüsseln der Daten auf den zugehörigen Cloud-Laufwerken auf der Agenda. So kann man entweder einzelne Dateien per rechter Maustaste verschlüsseln oder einzelne Ordner oder gleich die gesamte Cloud-Umgebung. Je nachdem, ob alle oder nur bestimmte Daten einer besonderen Geheimhaltung unterliegen. Ganz im Sinne und Geiste der DSGVO.

Beim ersten Einrichten von Boxcryptor kann man entweder einzelne Dateien verschlüsseln oder am besten gleich komplette Ordner

Beim ersten Einrichten von Boxcryptor kann man entweder einzelne Dateien verschlüsseln oder am besten gleich komplette Ordner

Et volià: Boxcryptor hat die Daten erfolgreich verschlüsselt

Et volià: Boxcryptor hat die Daten erfolgreich verschlüsselt – ganz im Sinne der DSGVO

Disclaimer: Diesen Beitrag habe ich im Auftrag der Fa. Secomba GmbH geschrieben, die mir bei der inhaltlichen Ausgestaltung freie Hand gelassen hat.

CeBIT 2017: Dr. Hubert Jäger von Uniscon über Sealed Cloud und iDGARD

Während der CeBIT 2017 hatte ich die Gelegenheit, dieses sehr interessante Interview zum Thema Cloud & Sicherheit mit Dr. Hubert Jäger von der Münchner Firma Uniscon zu führen. Darin spricht er über die Sealed-Cloud-Technik, über das erste Sealed-Produkt namens iDGARD und welche namhaften Firmen bereits die Uniscon-Lösung einsetzen.

Gleich mit der ersten, eher generisch gemeinten Frage, ging Dr. Jäger „in media res“. Sprich, er kam direkt auf die Sealed-Cloud-Technik zu sprechen, die Uniscon auf der CeBIT 2017 vorgestellt hat. Damit bekommen sowohl Betreiber von Datenzentren als auch IT-Adminstratoren technische Maßnahmen an die Hand, mit denen ein Zugriff auf hochsensible Daten in der Cloud nahezu ausgeschlossen werden kann.

„Löschen vor Lesen“ lautet das Uniscon-Credo

Zum Schutz der Cloud-Daten segmentiert Uniscon das Rechenzentrum dergestalt, dass sich im Falle eines Angriffs von außen (oder innen) mithilfe der sogenannten Data Cleanup-Technik komplette oder partielle Datenbereiche automatisch löschen lassen, was man bei Uniscon als „Löschen vor Lesen“ bezeichnet. Hinzu kommt eine ausgeklügelte Schlüsselverteilungstechnik, die dafür sorgt, dass der Betreiber der Cloud-Platform über keinerlei Schlüssel für das Entschlüsseln der gehosteten Daten verfügt.

iDGARD richtet sich an Anwälte, Ärzte und andere Berufsgeheimnisträger

Auf Basis der Sealed-Cloud-Technik von Uniscon hat das Unternehmen auf der CeBIT sein erstes Produkt unter dem Namen iDGARD vorgestellt. Dabei handelt es sich um einen Datenaustauschdienst, der vor allem Berufsgeheimnisträger wie Anwälte, Ärzte und vergleichbare Berufsgruppen adressiert. Damit tauschen diese Anwender Daten und Dokumente sicher und gesetzeskonform über eine iDGARD-gesicherte Cloud-Verbindung via Internet aus.

Datenschutz „made in Germany“ ist ein echter Wettbewerbsvorteil

Zugegeben, meine letzte Frage war ein wenig ketzerisch angelegt. Ob denn der hiesige Datenschutz eher hemmend oder eher nützlich sei, wollte ich von Dr. Jäger wissen. Seine passende Antwort hierzu: Der Datenschutz „made in Germany“ ist zu allererst ein Wettbewerbsvorteil, und jeder, der etwas anderes behauptet, hat wohl die Zeichen der Zeit nicht erkannt.

Hierzu sollten Sie sich das Interview am besten einmal komplett ansehen – oder punktuell ab Minute 1:50. Viel Vergnügen dabei! Dann erfahren Sie auch gleichzeitig, wer die Sealed-Cloud-Technik bereits einsetzt – und das sind keine unbedeutenden Unternehmen…

SIMSme der Dt. Post

Videochat: Das steckt hinter SIMSme der Deutschen Post

Bestimmt habt ihr schon von SIMSme gehört, oder? Falls nicht, ist das nicht weiter schlimm, denn ich habe auf der Powering the Cloud, die heute und morgen in Frankfurt am Main stattfindet, das nachfolgende Videointerview gedreht. Darin sprechen zwei der Protagonisten über diesen recht neuen IT-Service der Deutsche Post, mit dem sich der „Gelbe Riese“ im Bereich der Messenger etablieren will. Natürlich nicht mit einer billigen Kopie von WhatsApp und Konsorten, sondern mit einer iOS– und Android-App, bei der die Sicherheit ganz weit oben auf der Agenda steht.

Aus diesem Grund erfolgt die komplette Kommunikation über eine echte Ende-zu-Ende-Verschlüsselung mithilfe eines privaten und öffentlichen Schlüssels, den die App einerseits zur Verfügung stellt und andererseits auf dem Server der Deutschen Post gespeichert wird. Natürlich komplett verschlüsselt, sodass dieser von außen nicht angreifbar oder lesbar ist.

Weiterlesen

Wireless-Lexikon: WPA2

WPA2 steht für Wi-Fi Protected Access 2 und stellt einen Sicherheitsstandard für Wireless LANs nach IEEE 802.11a, b und g dar. WPA2 ist Teil des Sicherheitsstandards IEEE 802.11i, der im Juni 2004 ratifiziert wurde.

WPA2 basiert auf dem Advanced Encryption Standard (AES) und stellt quasi den Nachfolger von WPA dar, das auf dem als unsicher geltenden Wired Equivalent Privacy (WEP) basiert.

WPA2 nutzt neben dem AES noch TKIP und das Verschlüsselungsprotokoll CCMP. Damit sind auch per WPA2 Ad-hoc-Verbindungen möglich. CCMP soll auf lange Sicht TKIP ablösen.

Leider unterstützen die meisten WLAN-Komponenten keinen Umstieg von WEP/WPA auf WPA2 per Firmware-Update. Hauptgrund hierfür ist oft die leistungsschwache Hardware. Weiterlesen

Fritzbox 7430

Teil 5: WLAN abhörsicher verschlüsseln und schützen

Mit den Teilen eins bis vier unseres ausführlichen WLAN-Kochbuchs beantworten wir folgende wichtige WLAN-Fragen: Was brauche ich alles, was brauche ich eventuell sonst noch, wie plane und richte das Drahtlosnetzwerk richtig ein und was muss ich am WLAN-Router zunächst einstellen?

Teil fünf unseres ultimativen WLAN-Guides geht vor allem der Frage nach: Wie sichere ich mein Wireless LAN gegenüber Angriffen von außen ab?

Hinweis: Wir haben auf wifi-info schon in anderen Beiträgen darüber berichtet, wie sich drahtlose Netzwerke mit mehr oder weniger Aufwand vor Hackern und anderen unliebsamen Gesellen schützen lassen. Daher erfolgen hier teilweise Verweise auf bereits vorhandene Tipps und Tricks zum Thema Verschlüsselung und Authentifizierung im WLAN.

SSID verstecken

Diese Maßnahme bringt zwar kaum echte Sicherheit, stellt aber zumindest eine schnelle Möglichkeit dar, das Wireless LAN vor den Augen anderer zu verstecken. Denn: Wenn das eigene WLAN nicht sichtbar ist, kann man sich auch nicht einfach so ohne Hilfsmittel einwählen.

DCHP ausschalten: automatisch keine IP-Adressen vergeben

Ich hab es selbst schon erlebt: Ein fremder WLAN-Router war derart schwach gesichert, dass ich mühelos drauf gekommen bin und sofort ohne eigenes Zutun über diesen „Hotspot“ ins Internet gehen konnte.

Dass dies überhaupt möglich war, lag auch der eingeschalteten DHCP-Funktion des WLAN-Routers, der mein Powerbook automatisch mit einer IP-Adresse versorgt hat. Daher unser Tipp: DCHP ausschalten, dann bekommen Eindringlinge zumindest keinen automatischen Zugriff ins Web.

WEP-Verschlüsselung nutzen: keine gute Idee!

Wer noch immer glaubt, das die WEP-Verschlüsselung sicher sei, muss an dieser Stelle leider enttäuscht werden. Mit den richtigen Tools, die im Internet „for free“ zum Download angeboten werden, lässt sich jeder WEP-Key (egal, ob 64 oder 128 Bit lang), innerhalb weniger Minuten knacken.

Aber: nicht jedes Wireless LAN stellt ein potenzielles Angriffsziel heimtückischer Hacker dar. Daher ist der Einsatz eines WEP-Schlüssels besser als gar kein Schutz.

Know-how: Die WEP-Technik bietet – wie übrigens WPA und WPA2 auch – zwei Mechanismen, das eigene Wireless LAN zu schützen: Verschlüsselung und Authentifizierung. Denn zum einen werden die Daten per WEP-Key verschlüsselt über den Äther versendet und empfangen, und zum anderen kommt nur derjenige ins drahtlose Netzwerk hinein, der den entsprechenden Schlüssel kennt und nutzen kann.

Besser: WPA/2-Verschlüsselung einschalten

Leider wird immer noch WPA und WPA2 von vielen Anwendern gleich gesetzt oder zumindest verglichen. Das ist insofern unzulässig, da WPA mit der WEP-Technik vergleichbar ist, WPA2 hingegen eine ganz neue Verschlüsselungs- und Authentifizierungstechnik darstellt.

Dass WPA eher der WEP-Technik ähnelt, liegt größtenteils am IEEE-Konsortium, das sich beim Umstieg von WEP auf WPA2 aus der Sicht vieler Hersteller von WLAN-Komponenten zu viel Zeit gelassen hat. Daher entschied man sich beim WiFi-Forum für die temporäre Einführung der WPA-Technik, der in Teilen ohnehin für den neuen IEEE-Standard 802.11i vorgesehen war, dessen Bestandteil mittlerweile WPA2 ist.

Für den Einsatz von WPA bzw. WPA2 müssen diverse Voraussetzungen erfüllt sein:

WPA: Auf den WLAN-Clients sollte Windows XP mit Service Pack 1 installiert sein oder zusätzlich der zugehörige WPA-Patch für Windows XP. Außerdem müssen Sie die Treibersoftware der WLAN-Adapter auf den neuesten Stand bringen.

Zudem muss der WLAN-Router WPA unterstützen. Bei manchen Modellen, die standardmäßig nur WEP beherrschen, implementiert ein Firmware-Update die WPA-Funktion nachträglich auf dem Access Point.

WPA2: Da die WPA2-Technik rechenintensiver ist als WPA, ist ein Umstellen des Routers von WPA auf WPA2 per Firmware-Update meist nicht möglich. Falls der WLAN-Router WPA2 beherrscht, müssen für die störungsfreie Nutzung auf allen WLAN-Clients Windows XP mit Service Pack 2 oder der entsprechenden Patch installiert sein. Außerdem muss der aktuelle Treiber eingebunden sein, der WPA2 unterstützt.

Praxistipp: Falls sich ein Wireless LAN nicht ausschließlich per WPA oder WPA2 absichern lässt, unterstützen manche WLAN-Router ein gemischtes Drahtlosnetzwerk, das aus WEP-, WPA- und WPA2-Clients besteht. Dann wird ein und derselbe Key für die Verschlüsselung genutzt.

MAC-Adressen-Filtering nutzen

Jeder Netzwerkadapter besitzt eine fest vergebene Nummer, die MAC-Adresse genannt wird. Mit dieser Kennziffer lässt sich jeder WLAN-Client innerhalb eines Drahtlosnetzwerks eindeutig zuordnen. Die Funktion MAC-Adressen-Filtering erlaubt somit den Zugang zu einem Wireless LAN, falls der betreffende Client in der entsprechenden Liste eingetragen ist – oder verwährt den Zutritt.

Routerfunktionen ausschalten (UPnP, Remote Management)

Sie werden selten benötigt, sind aber in vielen Fällen standardmäßig eingeschaltet: Routerfunktionen wie UPnP oder Remote Management. Mit UPnP lassen sich WLAN-Router besonders einfach von jedem Windows-XP-Client aus verwalten, was zwar sehr komfortabel ist, aber auch einfachsten Zutritt für jeden auf den Access Point darstellt.

Remote Management wurde für die Fernwartung via Internet oder Telnet konzipiert. Diese Funktion ist wirklich nur was für erfahrene Profis und ist für kleinere Drahtlosnetzwerke, speziell im privaten Umfeld, nicht notwendig.

Daher gilt für beide Funktionen: Aus Sicherheitsgründen am besten ausschalten!

RADIUS-Authentifizierung nutzen

Nur wenige WLAN-Router wie viele der ZyXEL-Modelle bieten eine eigene RADIUS-Funktion, mit der sich im Access Point WLAN-Clients per Benutzerkennung und Kennwort eintragen lassen. Diese Daten können dann in einigen Fällen gleichzeitig für die WPA/2-basierte Authentifizierung genutzt werden.

VPN-Verbindungen verwenden

Die Einwahl via Internet ins eigene Wireless LAN ist zwar möglich, erfordert allerdings einen abhörsicheren Zugang, der sich entweder mit Windows-Bordmitteln oder spezieller Software einrichten lässt.

Das Zauberwort lautet VPN (Virtual Private Network) und stellt eine Art Tunnel dar, der zwischen Einwahlpunkt wie einem Hotspot und dem WLAN-Router aufgebaut wird. Aufgrund der abhörsicheren Protokolle wie IPsec, die bei VPN-Verbindungen eingesetzt werden, ist die Verbindung nahezu unknackbar.

Der WLAN-Router muss dies Funktion natürlich auch unterstützen: Entweder hardwarebeschleunigt wie der Netgear FVG318 oder per Software, was sich dann im Router hinter der Bezeichnung „VPN pass through“ versteckt.