Workshop: Verschlüsselte Dateisysteme

Die Wahl der Schlüssel

,
Wer vertrauliche Daten unverschlüsselt aufbewahrt, setzt sie in der vernetzten Welt enormen Risiken aus. Der deutsche Mittelstand sieht sich vor allem durch internationale Industriespionage bedroht. Einbruchsversuche etwa seitens chinesischer Hacker, die auf die Geschäftsgeheimnisse deutscher Unternehmen abzielen, haben im Laufe der vergangenen Jahre zugenommen. Datenverschlüsselung gehört somit zum Pflichtenheft der IT.
Sie ist aufwendig, kostet Geld und bringt in der Regel keinen unmittelbar sichtbaren Nutzen: Die Client-Security. Dabei ist das richtige Absichern von Rechnern ... (mehr)

Für den kanadischen Telekom-Ausrüster Nortel Networks hatte Industriespionage katastrophale Konsequenzen. Chinesische Hacker erlangten laut Zeitungsberichten umfangreichen Zugang zur IT-Infrastruktur des Unternehmens über sieben gestohlene Passwörter von Top-Managern. Die Einbrecher konnten im Laufe von mindestens einem Jahrzehnt Geschäftsgeheimnisse ausspähen. Über die Jahre seien zahlreiche technische Dokumentationen, Entwicklungsberichte und Geschäftspläne von den Hackern heruntergeladen worden. Schließlich musste Nortel Networks Konkurs anmelden, wurde zerschlagen und samt Patenten an Rivalen verkauft.

Das Schicksal von Nortel Networks illustriert die enormen Gefahren, denen Unternehmen und ihre Daten im vernetzten Zeitalter ausgesetzt sind, doch der Vorfall ist bei Weitem keine Ausnahme. Organisationen haben heute keine Wahl, außer ihre Sicherheitsmaßnahmen zu verstärken. Dazu zählt die Datenverschlüsselung.

Zwei Wege der Verschlüsselung

Moderne Betriebssysteme stellen Ihnen mindestens zwei Methoden der Diskverschlüsselung zur Verfügung: gestapelte Verschlüsselung auf Dateisystemebene (zum Beispiel eCryptfs unter Linux und FreeBSD oder EFS unter Windows) und Verschlüsselung auf Blockdevice-Ebene (wie etwa cryptsetup/dmsetup und LUKS unter Linux und Windows NT-Derivaten, Loop-AES oder Microsoft Bitlocker für Windows).

Gestapelte Verschlüsselung auf Dateisystemebene kann auf einem beliebigen Dateisystem aufsetzen. Die zugehörigen Metadaten befinden sich im Header der jeweiligen Datei. Die Daten müssen weder die Grenze zwischen dem Userspace und dem Kernel überschreiten noch den Netzwerk-Stack passieren. Lösungen zur Verschlüsselung auf Blockdevice-Ebene werkeln unterhalb des Dateisystems. Dadurch können Sie mit dieser Methode auch Swap-Partitionen oder rohe Volumes zum Einsatz mit einem Datenbankserver verschlüsseln.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019