Ich erlebe es immer wieder das Leute sich selbständig machen, gut dagegen ist nichts einzuwenden, aber stets wird das ohne Plan gemacht quasi mit einem Fresszettel in der Hand der zusammengefasst sich so liest 1. Produkt 2. Kunden .3 $ bling bling $. ausgebaut wird dann quasi nach und nach. Heute ist es Gang und gebe Rechnungen maschinell zu verfassen, gerade online Shop Betreiber haben also viele digitale Schätze auf ihrer Festplatte. Und Hier ist auch schon der Knackpunkt denn das ganze wird oft auf privaten Geräten gemacht auf dem Medion Laptop der vor 3 Jahren beim Aldi Ausverkauf erworben wurde, an dem die Kinder ihre Spiele spielen und man selbst ebenso alles mögliche darauf erledigt. Gefahren gibt es viele nicht jedes Notebook hat zwei Festplatten zur Datenspiegelung verbaut, nicht jeder Haushalt kann mit einem Homeserver aufwarten, und somit ist der Anteil derer sehr groß die an meine Türe klopfen um eine Datenrettung zu beantragen. Dabei muss das gar nicht sein! Genauso Schlimm ist aber die Tatsache das viele Kundendaten unverschlüsselt und ungeschützt auf ihrem Gaming Laptop haben ohne auch nur 2 min darüber nachzudenken welche Konsequenzen eintreten könnten. Doch wie kann man sich schützen? Wie kann man es besser machen? eine vernünftige Infrastruktur ist genauso wichtig wie ein Auto zum Ware Ausliefern oder jedes andere Arbeitsgerät für das Business, man muss aber auch keine 2000 EUR für ein Top gerät aus dem bereich ausgeben, obwohl viele ja diese Geräte absetzen könnten! gerade die Geräte der 2012/13 Generation sind leistungstechnisch mehr als ausreichend und genügen den aktuellen Standards. Es hat zudem auch einen guten Grund warum das Medion Celeron Notebook mit 15 Zoll nur 299 EUR kostet und das Thinkpad mit I3 und 13 Zoll seine 1300 EUR. Das fängt bei der built Quality an und hört bei den Sicherheitsmerkmalen auf! aber auch einige Home Computer die selbst gebaut sind können günstig auf einen hohen Standard gebracht werden. Die Sicherheitstechniken die es bei den Business Notebooks und nicht bei den sog. Consumer Geräten gibt wären:
- Das TPM Das Trusted Plattform Modul
ist ein Chip auf der Hauptplatine der sehr wichtig ist je nach Spezifikation hat er Eigenschaften die Geräte noch sicherer machen können. Sehr weit verbreitet ist die Spezifikation 1.2, aber auch 2.0 ist derzeit auf dem Vormarsch. Das TPM kann verschlüsselt Passwörter speichern sowie Schlüssel, zudem kann es manipulationsfrei sich Dinge wie die Hardware Konfiguration merken. Als Beispiel dafür musste ich heute bei einem Kunden die Festplatte wechseln und promt fragte mich das TPM ob ich das möchte und wenn ich das will muss ich das Passwort eingeben. Das Ganze kann man so paranoid treiben das sogar neue USB Geräte vom TPM gemeldet werden, das ist z.B. sinnvoll wenn jemand versucht einen Hardware basierten Keyloger einzuschleusen oder eine manipulierte Platte einbaut. Mit einem Keyloger ist es möglich alle Tastatur Bewegungen in einer Datei aufzuzeichnen die auf einem Gerät liegt, z.B waren Anfang der 2000er Geräte beliebt die wie ein USB zu PS2 Adapter ausgesehen haben. Somit wurde jeder Tastenanschlag bevor er an den PC übergeben wurde vorher in eine Datei auf dem Adapter geschrieben, günstige Adapter haben gewisse Hardware IDs die ein TPM durchaus wahrnehmen kann und entsprechend melden würde. So ein TPM kann aber auch noch etwas mehr, so wird er unter anderem von der Microsoft Verschlüsselung Bitlocker verwendet, ohne ein TPM müsste man diesen schlüssel auf einen Stick speichern durch den TPM aber spart man sich die Eingabe eines Passwortes, sollte dann aber sein Windows Login entsprechend absichern um diese Maßnahme nicht sinn frei zu machen. Zusammengefasst hilft ein TPM also vor Manipulation und speichert wichtige Schlüssel Logs und Ereignisse verschlüsselt. Also ist so ein TPM bombensicher? Die Antwort lautet NEIN alleine sicherlich nicht und auch die Spezifikation 1.2 hat Schwachstellen so kann er bei Thinkpad Notebooks durch Jtagging umgangen werden in dem man die Kommunikation zwischen TPM und Bios Chip abfängt und so an das Passwort im Klartext kommen kann, das muss nicht bei jedem Notebook sein und ist bei neueren Thinkpads bereits behoben worden. Die Version 2.0 hat aus den 1.2 Fehlern gelernt und derzeit ist keine Lücke bekannt. Windows 10 möchte wohl demnächst das TPM 2.0 als Standard verwenden und die Version 1.2 ausschließen.
- Die Verschlüsselung!
Ist ein must Have und wenn sie nur dazu da ist um Kleinkriminelle abzuschrecken, Gerade Fotografen nehmen Datensicherheit auf die viel zu leichte Schulter Es muss nur ein Abend mit einem C Promi ausreichen, ein paar nackte Tatsachen etwas Suff und schon hat man eine Bombe auf seiner Festplatte herumliegen. Nun muss diese nur gestohlen werden oder der Kollege kopiert sich kurz per Linux Boot Stick die Daten drauf und schon ist man kurz gesagt – erledigt. Verschlüsselung ist heutzutage im Gegensatz zu früher sogar kostenlos! erfordert aber einen etwas potenteren Prozessor oder eben ein TPM. Beispiele für Verschlüsselungssoftware wären unter anderem Bitlocker und Veracrypt alias Truecrypt. Auch hier gilt nichts ist sicher gerade Veracrypt wird weil es relativ neu ist viele Fehler von Truecrypt sowie viele Zero Day Lücken inne haben. Microsofts Bitlocker steht im verdacht ein NSA Hintertürchen im Petto zu haben, wobei Microsoft sich offiziell gegen Backdoors ausgesprochen hat (also Hintertüren) vor allem seit dem Apple es vorgemacht hat. Wenn man mich fragt vertraue ich eher Bitlocker denn die NSA wird jemanden wie mich sicherlich nicht hacken wollen. eine Zero Day Lücke in Veracrypt wäre da um einiges schlimmer. Bitlocker ist in Windows 7 ab professionell und jeweils Windows 8 pro und 10 pro kostenlos vorhanden. in Windows 8 Home ist es ebenfalls vorhanden muss aber per Konsole gesteuert werden bzw Dienste müssen angefeuert werden. Microsoft hatte damals eine Herausforderung an alle Hacker diese besagte wer Truecrypt hacken könne der bekommt 2 Mio US Dollar samt Job bei Microsoft – indirekt geschafft wurde das von einem russischen Unternehmen der Ansatz war einen Pc nach dem Ausschalten direkt zu kühlen, und später den Schlüssel direkt aus dem Klartext im Ram bzw Arbeitsspeicher auszulesen, da man erfolgreich eingeloggt war steht der Schlüssel tatsächlich im Ram., Aber wie wahrscheinlich ist es das euer PC geklaut wird, gekühlt wird um per Firewire das euer PC vermutlich nicht einmal mehr hat Daten auszulesen? Von daher galt der Versuch nicht. Was bringt eine Verschlüsselung also? Dazu brauchen wir ein Beispiel das wir oben beim TPM bereits hatten. Nehmen wir an ein Fotograf macht Nachts ein Nacktshooting mit so einem RTL Z Promi ( mal jetzt ausgenommen die welche sich sowieso schon für Adam und Eva nackig machen) und speichert die Bilder auf seinem ungeschützten Computer. im Suff prahlt er damit und der Kollege geht eben an einem freien Tag an den Pc des Fotografen und versucht sich mehrmals erfolglos einzuloggen. Nun weiß man ja welche Zieldateien man sucht man muss also nicht eingeloggt sein um an Daten des Nutzers zu kommen, deshalb nimmt der Kollege sein Notebook samt USB zu Plattenadapter schließt die Platte per USB an sein Notebook an und wie bei einer externen Festplatte hat er nun Zugriff und durchsucht eben jene Platte nach Jpegs bzw Foto Daten – die er dann auch mit Erfolg findet. Hätte der Fotograf seine Platte verschlüsselt, hätte der besagte Kollege keine einzige Datei gefunden im Gegenteil Windows ab Version 7 hätte sogar noch ein Passwort verlangt. eine Verschlüsselung schottet also Daten vom Rest der Welt ab bis das entsprechende Passwort eingegeben wird, oder ein TPM wie bei Bitlocker das Passwort freigibt nachdem ein Bios Passwort eingegeben wurde. Wer keinen TPM hat der kann auch einen USB Stick verwenden somit fungiert dieser als Schlüssel, der Nachteil ist natürlich das wenn der Stick kaputt ist oder einfach nur weg, man seine Festplatte platt machen darf, deshalb besteht Bitlocker auf eine Sicherung des Wiederherstellungsschlüssels per Druck, USB Stick oder auf Onedrive, letzteres ist natürlich als Schwachstelle anzusehen, sofern jemand das Email Login kennt kann er sich per Onedrive Zugriff zur Platte verschaffen. das Beste wäre einen USB Stick zu nehmen und dort den Schlüssel zu speichern und diesen Stick separat nochmals mit Bitlocker2go zu verschlüsseln also für ganz paranoide – in der Regel reicht es aber aus den Stick mit dem Schlüssel an einem sicheren Ort aufzubewahren. Sogar Linux bietet an Daten zu verschlüsseln das sollte man in jedem Fall wahrnehmen, hier ist der Schlüssel das Login Passwort. Bitlocker bietet seit der neusten Windows 10 Version das Verschlüsselungsverfahren AES XTC an das ist sicherer jedoch nicht mit älteren Windows Versionen kompatibel. Man sollte es zum Schutz der primären Platte verwenden.
- Smartcards, und Fingerabdrücke
Teurere Geräte bieten Bios seitig die Authentifizierung via Smartcard oder Fingerabdruck Leser an letzteres ist zwar komfortabel, bietet aber leider einige Schwachstellen wie der CCC aufgedeckt hat. Ein Stück Tesa reicht schon aus um eine Fingerkopie von einem Glas anzufertigen. anders sieht es bei Scannern mit Wärmeprofil aus die sind zwar ausgereifter aber auch die lassen sich derzeit übergehen. anders sieht es mit dem Smartcard Verfahren aus, eine solche karte hat letztendlich fast jeder im Gebrauch in Form einer Bankkarte. Es gibt zwei Versionen Smartkarten mit Chip und contactless Smartcards die mit NFC kommunizieren. letztere sind auch hier wieder unsicher da es aus China Kopiergeräte gibt die samt Verschlüsselung den Inhalt von Smartcard a auf Smartcard B kopieren können. Ebenso existiert zur Zeit die Problematik das NFC basierte Karten (das NFC steht für Nahfeld Kommunikation) ab 4 cm Nähe alle Informationen ihres Besitzers Preisgeben, so wurde in SternTV aufgezeigt das man per NFC Reader App auf Distanz die Kreditkartennummer samt anderen Daten auslesen kann, hierfür fingiert die App eine Zahlungsaufforderung und greift die Karten Daten bei Kontakt ab. Eine Chip Smartcard ist da weitestgehend sicherer. Eine Chip basierte Smardcard kann man für wenige Cent kaufen, hochwertigere können bis zu 2 EUR kosten halten aber länger. Nun erstellt man sich ein Zertifikat und verschlüsselt dieses auf der Smartcard. per Drittanbieter App oder wie z.B bei HP im Bios kann man nun die Smartcard an einen User binden somit wird diese für ein Login benötigt. mittlerweile lässt Bitlocker auch Smartcards zu.
- Die Kette macht es
Eine Maßnahme kann womöglich umgangen werden, aber mehrere Maßnahmen im Zusammenspiel werden da schon schwerer eine Chain also Kette könnte z.B. folgende Kombination sein ein TPM; mit einer Bitlocker verschlüsselten Platte samt Bios Passwort welches per Smartcard authentifiziert. ohne die Smartcard wäre kein Login möglich mit Smartcard aber ohne Windows Passwort wäre ebenso kein Login möglich, der Aufwand alles gleichzeitig auszuhebeln würde sich nur lohnen wenn jemand ein Bitcoin Wallet mit 10000 coins auf der Platte hätte. Gerade bei Diebstahl des Gerätes ist es wichtig das Fremde nicht an Daten dritter kommen können deshalb gibt es noch eine Maßnahme falls alles scheitern sollte.
- Anti Theft Maßnahmen
hochwertigere Notebooks haben Prozessoren und Chipsätze in denen Anti Diebstahl Mechanismen implementiert sind, diese sind per Standard aber deaktiviert Intel bietet sein ANTI THEFT System an Kosten cirka 30 eur im Jahr und ebenfalls etabliert in vielen Notebooks hat sich Computrace cirka 65 EUR im Jahr. Diese beiden Maßnahmen sind Hardware gebunden, bedeutet das ein austauschen der Platte nichts bringt da die Überwachung durch Prozessor und Bios zusammen stattfindet. andersd als bei reinen Software Lösungen von Norton und co reicht es wenn der Dieb die Platte austauscht. Bei Computrace z.B wird das gerät registriert und Computrace im Bios aktiviert und eingestellt, somit wird auf die Platte ein sog LoJack installiert also das was der Bundestrojaner nicht kann. dieser LoJack wird sich direkt auf der neuen Platte installieren udn versteht sich mit Windows und Linux mittlerweile sehr gut. Ist das gerät dann gestohlen so geht man zur Polizei und erhebt Anzeige, mit dieser meldet man sich dann bei Computrace und diese spürt das Gerät dann auf. Dabei werden GPS und 3g fals vorhanden verwendet aber auch Wlan Einwahl Knoten. Intels ANTI THEFT geht sogar soweit internes GPS und UMTS karten zu aktivieren wenn diese aus sind Lenovo bietet gerne beides an, HP setzt auf Computrace bzw seit neustem nur noch auf Intels Lösung, das kommt wohl auf das erworbene Model an. Beide Lösungen bieten zudem die Möglichkeit dem Dieb eine Nachricht auf dem Schirm zu hinterlassen, was taktisch aber dämlich wäre und oder bestimmte Daten aus der Ferne zu verschlüsseln oder zu löschen.
Zugegeben das sind sehr viele Methoden halbwegs sicher zu leben und für den beginn tut es schon ein sichereres Windows Passwort samt Verschlüsselung. Ebenso sollte man Ports die man nicht nutzt wie Boot on LAN Roms, Seriell Ports Firewire im Bios deaktivieren da über diese ebenso Angriffe durchgeführt werden können. Eine weitere Möglichkeit wäre ein hidden Backup Also eine versteckte Platte und oder USB Stick der gut versteckt ist und nur dann verwendet wird wenn man die Daten braucht. ABER all das nutzt natürlich nur aus der Richtung Hardware, denn ist man einmal erfolgreich in seinem PC eingeloggt und mit dem Internet verbunden so ist man unter Umständen von dieser Seite aus angreifbar. Yahoo z.B. hat gezeigt das auch größere Webdienste unsicher sein können, und auch ich gebe zu wir tun zwar einiges für Sicherheit aber es wird immer den einen geben welcher das Talent hat samt böser Energie oder den Beweisdrang eben uns platt zu machen, denn hier gilt nichts ist zu 100 Prozent sicher und alle Maßnahmen gibt es nur um es dem Angreifer das Leben schwerer zu machen. Es ist aber allemal besser als komplett ungeschützt Kundendaten auf den Präsentierteller zu legen