computerwoche.de

Security

DevicePro und CryptionPro im Test

Externe Geräte zentral kontrollieren und verschlüsseln

14.12.2011
Von 
Wolfgang Sommergut ist Betreiber der Online-Publikation WindowsPro.
Alle Posts des Autors Email:

Integration mit dem Device-Management

Der Master-Key kann alle Dateien entschlüsseln, egal mit welchem Verfahren sie codiert wurden.
Der Master-Key kann alle Dateien entschlüsseln, egal mit welchem Verfahren sie codiert wurden.
Foto: cynapspro GmbH

Bei der Verschlüsselung gilt die gleiche Vererbungslehre wie bei der Regelung des Zugriffs auf Peripheriegeräte. Richtlinien und Verfahren lassen sich über den Standardbenutzer vorgeben. Sie greifen dann, wenn Gruppen oder Benutzer aus der Vererbung ausgenommen oder sie nicht individuell konfiguriert wurden. Bei aktiver Vererbung übernehmen Benutzer ihre Konfiguration von den Gruppen, denen sie angehören, wobei sie durch persönliche Einstellungen überschrieben werden kann.

Wie beim Device-Management lässt sich alleine über die Grundkonfiguration von CryptionPro relativ schnell ein wirksamer Schutz vor dem Missbrauch oder Diebstahl von Daten erreichen, wenn man pragmatisch vorgeht. Er deckt den Normalbetrieb ab, also typischerweise die Verschlüsselung auf Geräten, die unter der Kontrolle des Agents stehen. Allerdings gibt es außerhalb dieses Standardszenarios auch Situationen, die CryptionPro mit zusätzlichen Funktionen berücksichtigt:

  • Wenn Dateien auf Rechnern entschlüsselt werden sollen, auf denen kein Agent läuft, beispielsweise weil sie nicht dem Unternehmen gehören, dann kopiert die Software eine ausführbare Datei etwa auf USB-Laufwerke, die gegen Eingabe eines Passworts die Daten decodiert. Der Hersteller nennt diese Option CryptionPro Mobile, sie muss dort aktiviert werden, wo man auch die anderen Verschlüsselungsmethoden auswählt.

  • Die Software erstellt bei der Installation automatisch einen neuen Schlüssel. Falls beispielsweise wegen eines Server-Defekts CryptionPro neu eingerichtet werden muss, sollte der zuvor verwendete Schlüssel verfügbar sein, um die damit codierten Daten lesen zu können. Zu diesem Zweck gibt es eine Export- und Importfunktion, mit der ein Schlüssel auf einem separaten Speichermedium hinterlegt und im Notfall von dort wieder eingelesen werden kann.

  • Wenn der Client aus irgendeinem Grund nicht in der Lage ist, Dateien zu entschlüsseln, dann greift der Master-Schlüssel. Dieser lässt sich in der Schlüsselverwaltung generieren und in einer externen Datei abspeichern.

  • Wenn betriebliche Erfordernisse verlangen, dass die Verschlüsselung von Dateien auf bestimmte Zeiten beschränkt bleibt, dann kann man den unverschlüsselten Dateitransfer an den ausgewählten Tagen zulassen. Diese Genehmigung lässt sich auf bestimmte Geräte eingrenzen.