08.12.2005, 17:35 Uhr
Notebooks werden zu Datentresoren
Der Zürcher Rückversicherer Swiss Re verschlüsselt die Festplatten seiner 4500 im Einsatz befindlichen Notebooks und schafft so mobile Datentresore.
«Die Verschlüsselungssoftware muss sich im laufenden Betrieb installieren lassen», so Fredi Schmid, Projektleiter bei der Swiss Re in Zürich.
Die Achillesferse vieler Unternehmensnetzwerke sind die mo-bilen Rechner.
Werden die darauf gespeicherten Geschäftsdaten nicht ausreichend geschützt, können vertrauliche Informatio-nen bei Verlust oder Diebstahl der Geräte in falsche Hände geraten. Dass der simple Passwortschutz von Windows bei weitem nicht ausreicht, um die heiklen Informationen abzuschirmen, war auch den IT-Verantwortlichen des Zürcher Rückversicherers Swiss Re bewusst, die rund 4500 Notebooks zu verwalten haben. Im Rahmen eines IT-Projekts, das sie in Anlehnung an die berüchtigte Chiffriermaschine aus den 20er Jahren Enigma getauft haben, wurde ein Projektteam beauftragt, eine Verschlüsselungssoftware zu evaluieren.
Vor der Detailanalyse wurden entsprechende Auswahlkriterien definiert: Gefordert war eine Komplettverschlüsselung der Notebook-Festplatten. Darüber hinaus sollte die Lösung Software-basiert sein und unter Windows XP arbeiten. «Das A und O einer Verschlüsselungslösung für mobile Endgeräte ist, dass sie sich mit der vorhandenen Serverinfrastruktur, den Applikationskomponenten auf den Laptops und dem Softwareverteilmechanismus verträgt», so Fredi Schmid, zuständiger Projektleiter bei der Swiss Re. «Dazu zählt auch, dass sich die Software automatisch im laufenden Betrieb - und das heisst, ohne Supportmitarbeiter vor Ort - auf die Geräte installieren lässt.»
Das Rennen unter den evaluierten Produkten machte schliesslich Pointsec der gleichnamigen Herstellerin. Für die Software sprach laut Schmid, dass sie neben der eigentlichen Verschlüsselung auch eine Benutzer-Authentisierung bietet. «Diese Schutzfunktion kommt sofort nach dem Einschalten der Geräte zum Tragen und damit noch vor dem eigentlichen Booten», betont Schmid.
Werden die darauf gespeicherten Geschäftsdaten nicht ausreichend geschützt, können vertrauliche Informatio-nen bei Verlust oder Diebstahl der Geräte in falsche Hände geraten. Dass der simple Passwortschutz von Windows bei weitem nicht ausreicht, um die heiklen Informationen abzuschirmen, war auch den IT-Verantwortlichen des Zürcher Rückversicherers Swiss Re bewusst, die rund 4500 Notebooks zu verwalten haben. Im Rahmen eines IT-Projekts, das sie in Anlehnung an die berüchtigte Chiffriermaschine aus den 20er Jahren Enigma getauft haben, wurde ein Projektteam beauftragt, eine Verschlüsselungssoftware zu evaluieren.
Vor der Detailanalyse wurden entsprechende Auswahlkriterien definiert: Gefordert war eine Komplettverschlüsselung der Notebook-Festplatten. Darüber hinaus sollte die Lösung Software-basiert sein und unter Windows XP arbeiten. «Das A und O einer Verschlüsselungslösung für mobile Endgeräte ist, dass sie sich mit der vorhandenen Serverinfrastruktur, den Applikationskomponenten auf den Laptops und dem Softwareverteilmechanismus verträgt», so Fredi Schmid, zuständiger Projektleiter bei der Swiss Re. «Dazu zählt auch, dass sich die Software automatisch im laufenden Betrieb - und das heisst, ohne Supportmitarbeiter vor Ort - auf die Geräte installieren lässt.»
Das Rennen unter den evaluierten Produkten machte schliesslich Pointsec der gleichnamigen Herstellerin. Für die Software sprach laut Schmid, dass sie neben der eigentlichen Verschlüsselung auch eine Benutzer-Authentisierung bietet. «Diese Schutzfunktion kommt sofort nach dem Einschalten der Geräte zum Tragen und damit noch vor dem eigentlichen Booten», betont Schmid.
Notebooks werden zu Datentresoren
Nach der Installation von einem Server verschlüsselt die Applikation zuerst die gesamte Festplatte. Auch wenn die Erstverschlüsselung mehrere Stunden benötigt, können die Anwender ihr Gerät normal be-nutzen, da sie im Hintergrund abläuft. Allerdings reagiert das Notebook während der ersten Chiffrierung etwas langsamer. Das Single-Sign-on-Verfahren sorgt dafür, dass sich die Anwender anschliessend lediglich mit ihrer Windows-Benutzerkennung und ihrem Pointsec-Passwort anmelden können.
Als Verschlüsselungsalgorithmus verwendet das System AES (Advanced Encryption Standard), ein symmetrisches Verfahren, das variable Schlüssellängen von bis zu 256 Bit bietet. Zugleich unterstützt AES die von Swiss Re geforderte Challenge-Response-Authentisierung, die dann zum Einsatz kommt, wenn sich ein Benutzer bei der Passworteingabe mehrmals vertippt oder schlicht seine Kombination vergisst.
Die Verschlüsselung der gesamten Festplatte ist für alle Notebook-Benutzer bindend. Gemeint damit ist eine vollständige Sektor-für-Sektor-Chiffrierung. Einbezogen werden dabei nicht nur die im Gebrauch befindlichen Speicherbereiche, sondern auch solche mit temporären oder gelöschten Files sowie der aktuell nicht genutzte Platz. Die zwingende Einhaltung der Verschlüsselungsmassnahmen bedingt auch, dass selbst Mitarbeiter mit Administrationsrechten auf einem Laptop die einmal installierte Chiffriersoftware nicht ausser Kraft setzen können.
Als Verschlüsselungsalgorithmus verwendet das System AES (Advanced Encryption Standard), ein symmetrisches Verfahren, das variable Schlüssellängen von bis zu 256 Bit bietet. Zugleich unterstützt AES die von Swiss Re geforderte Challenge-Response-Authentisierung, die dann zum Einsatz kommt, wenn sich ein Benutzer bei der Passworteingabe mehrmals vertippt oder schlicht seine Kombination vergisst.
Die Verschlüsselung der gesamten Festplatte ist für alle Notebook-Benutzer bindend. Gemeint damit ist eine vollständige Sektor-für-Sektor-Chiffrierung. Einbezogen werden dabei nicht nur die im Gebrauch befindlichen Speicherbereiche, sondern auch solche mit temporären oder gelöschten Files sowie der aktuell nicht genutzte Platz. Die zwingende Einhaltung der Verschlüsselungsmassnahmen bedingt auch, dass selbst Mitarbeiter mit Administrationsrechten auf einem Laptop die einmal installierte Chiffriersoftware nicht ausser Kraft setzen können.
Notebooks werden zu Datentresoren
Dem Rollout ging ein Produktivtest voraus, am dem rund 100 Mitarbeiter beteiligt waren, die sich aus der IT-Abteilung, aus Mitgliedern des Security-Gremiums und ausgewählten Powerusern in regionalen Niederlassungen rekrutierten. Die eigentliche Rolloutphase erstreckte sich über fast sechs
Monate. Pro Woche wurde die Verschlüsselungssoftware als normales Update an durchschnittlich 150 Benutzer verteilt, wobei gut die Hälfte aller 4500 Anwender in Europa tätig ist. Zur Unterstützung der Anwender existiert heute eine dreistufige Serviceorganisation. Rein rechnerisch belaufe sich der gesamte Administrationsaufwand auf eine Vollzeitkraft pro Jahr, so Schmid.
Demnächst will Swiss Re die zweite Phase des Projekts angehen: Ausser Notebook-Festplatten sollen auch die gemeinsam mit den Laptops genutzten Wechselmedien wie Memory Cards oder USB-Sticks mit Pointsec-Produkten verschlüsselt werden
Monate. Pro Woche wurde die Verschlüsselungssoftware als normales Update an durchschnittlich 150 Benutzer verteilt, wobei gut die Hälfte aller 4500 Anwender in Europa tätig ist. Zur Unterstützung der Anwender existiert heute eine dreistufige Serviceorganisation. Rein rechnerisch belaufe sich der gesamte Administrationsaufwand auf eine Vollzeitkraft pro Jahr, so Schmid.
Demnächst will Swiss Re die zweite Phase des Projekts angehen: Ausser Notebook-Festplatten sollen auch die gemeinsam mit den Laptops genutzten Wechselmedien wie Memory Cards oder USB-Sticks mit Pointsec-Produkten verschlüsselt werden
Claudia Bardola