Virtuelle Datentresore

Kaspersky Endpoint Security erlaubt die Verschlüsselung von Dateien und Ordnern, die auf lokalen Laufwerken und Wechseldatenträgern gespeichert sind, sowie die Verschlüsselung kompletter Wechseldatenträger und Festplatten. Die Datenverschlüsselung reduziert das Risiko eines Informationsdiebstahls, falls ein Laptop, ein Wechseldatenträger oder eine Festplatte gestohlen wird oder verloren geht, oder falls Dritte oder andere Programme auf Daten zugreifen. Kaspersky Endpoint Security verwendet den Verschlüsselungsalgorithmus Advanced Encryption Standard (AES).

Wenn die Lizenz abgelaufen ist, verschlüsselt das Programm neue Daten nicht mehr. Bereits verschlüsselte Daten bleiben verschlüsselt und es kann weiterhin damit gearbeitet werden. Um neue Daten zu verschlüsseln, muss das Programm mit einer neuen Lizenz aktiviert werden, welche die Verwendung der Verschlüsselung vorsieht.

In den folgenden Fällen kann nicht garantiert werden, dass zuvor die verschlüsselten Dateien auch weiterhin verschlüsselt bleiben: Wenn die Lizenz abgelaufen ist, der Lizenzvertrag verletzt wurde, die Lizenz gelöscht wurde oder das Programm Kaspersky Endpoint Security oder die Verschlüsselungskomponenten vom Computer des Benutzers entfernt wurden. Dies liegt daran, dass einige Programme, wie z. B. Microsoft Office Word, während der Bearbeitung eine temporäre Kopie der Dateien erstellen. Wenn die Originaldatei gespeichert wird, ersetzt die temporäre Kopie die Originaldatei. Ist die Verschlüsselungsfunktionalität auf dem Computer nicht vorhanden oder nicht verfügbar, so bleibt die Datei unverschlüsselt.

Kaspersky Endpoint Security bietet folgende Datenschutzmaßnahmen:

• Dateiverschlüsselung auf lokalen Festplatten des Computers. Sie können folgende Listen anlegen: Listen mit Dateien nach Erweiterung oder Erweiterungsgruppen, und Listen mit Ordnern, die sich auf lokalen Laufwerken des Computers befinden. Außerdem können Sie Verschlüsselungsregeln für Dateien definieren, die von bestimmten Programmen erstellt werden. Nachdem die Richtlinie übernommen wurde, verschlüsselt und entschlüsselt Kaspersky Endpoint Security die folgenden Dateien:
  • Dateien, die einzeln zur Verschlüsselungsliste oder Entschlüsselungsliste hinzugefügt wurden
  • Dateien, die in Ordnern gespeichert sind, welche zur Verschlüsselungsliste oder Entschlüsselungsliste hinzugefügt wurden
  • Dateien, die von bestimmten Programmen erstellt werden
• Wechseldatenträger verschlüsseln. Sie können eine Standard-Verschlüsselungsregel festlegen, nach der das Programm für alle Wechseldatenträger die gleiche Aktion ausführt. Außerdem können Sie Verschlüsselungsregeln für bestimmte Wechseldatenträger erstellen.

  Die Standard-Verschlüsselungsregel besitzt eine niedrigere Priorität als die Verschlüsselungsregeln, die für bestimmte Wechseldatenträger erstellt wurden. Verschlüsselungsregeln, die für bestimmte Wechseldatenträger unter Angabe eines Gerätemodells erstellt wurden, besitzen eine niedrigere Priorität als Verschlüsselungsregeln, die für Wechseldatenträger unter Angabe einer Geräte-ID erstellt wurden.

  Um zu wählen, welche Regel für die Dateiverschlüsselung auf einem Wechseldatenträger gilt, überprüft Kaspersky Endpoint Security, ob Gerätemodell und Geräte-ID bekannt sind. Anschließend führt das Programm eine der folgenden Aktionen aus:

  • Ist nur das Gerätemodell bekannt, so wendet das Programm jene Verschlüsselungsregel an, die für Wechseldatenträger mit diesem Gerätemodell erstellt wurde, falls eine solche Regel vorhanden ist.
  • Ist nur die Geräte-ID bekannt, so wendet das Programm jene Verschlüsselungsregel an, die für Wechseldatenträger mit dieser Geräte-ID erstellt wurde, falls eine solche Regel vorhanden ist.
  • Sind Gerätemodell und Geräte-ID bekannt, so wendet das Programm jene Verschlüsselungsregel an, die für Wechseldatenträger mit dieser Geräte-ID erstellt wurde, falls eine solche Regel vorhanden ist. Ist eine solche Regel nicht vorhanden, es gibt aber eine Verschlüsselungsregel, die für Wechseldatenträger mit diesem Gerätemodell erstellt wurde, so verwendet das Programm diese Regel. Wurde weder für diese Geräte-ID noch für dieses Gerätemodell eine Verschlüsselungsregel festgelegt, so verwendet das Programm die standardmäßige Verschlüsselungsregel.
  • Wenn weder das Gerätemodell noch die Geräte-ID bekannt ist, wendet das Programm die Standard-Verschlüsselungsregel an.

  Ein Wechseldatenträger kann vom Programm so vorbereitet werden, dass die darauf verschlüsselten Dateien im portablen Modus verwendet werden können. Ist der portable Modus aktiviert, so können verschlüsselte Dateien auf Wechseldatenträgern auch dann verwendet werden, wenn der Wechseldatenträger mit einem Computer verbunden ist, auf dem die Verschlüsselungsfunktion nicht verfügbar ist.

• Verwaltung von Regeln für den Zugriff von Programmen auf verschlüsselte Dateien. Sie können für ein beliebiges Programm eine Regel für den Zugriff auf verschlüsselte Dateien erstellen. Diese Regel kann entweder den Zugriff auf verschlüsselte Dateien verbieten oder nur den Zugriff auf den verschlüsselten Text erlauben, also auf eine Zeichenfolge, die aus der Verschlüsselung hervorgeht.
• Verschlüsselte Archive erstellen. Sie können verschlüsselte Archive erstellen und den Zugriff darauf mit einem Kennwort schützen. Der Zugriff auf den Inhalt verschlüsselter Archive wird erst nach Eingabe der Kennwörter gewährt, mit denen Sie den Zugriff auf diese Archive geschützt haben. Solche Archive können gefahrlos über das Internet oder auf Wechseldatenträgern übertragen werden.
• Vollständige Festplattenverschlüsselung. Sie können ein Verschlüsselungsverfahren auswählen: Kaspersky-Festplattenverschlüsselung oder BitLocker-Laufwerkverschlüsselung (im Folgenden auch „BitLocker“ genannt).

  Die Technologie BitLocker ist Bestandteil des Betriebssystems Windows. Wenn ein Computer mit Trusted Platform Module (TPM) ausgerüstet ist, verwendet BitLocker das TPM zur Speicherung von Wiederherstellungsschlüsseln, die zur Freigabe verschlüsselter Festplatten dienen. Beim Hochfahren des Computers fragt BitLocker bei Trusted Platform Module die Wiederherstellungsschlüssel für die Festplatte ab und entsperrt die Festplatte. Sie können die Verwendung eines Kennworts und/oder eines PIN-Codes für den Zugriff auf die Wiederherstellungsschlüssel festlegen.

  Sie können eine standardmäßige Regel für die vollständige Festplattenverschlüsselung festlegen und eine Liste mit Festplatten erstellen, die von der Verschlüsselung ausgeschlossen werden sollen. Nachdem die Richtlinie für Kaspersky Security Center übernommen wurde, führt Kaspersky Endpoint Security die vollständige Festplattenverschlüsselung sektorbasiert aus. Das Programm verschlüsselt alle logischen Partitionen der Festplatten auf einmal.

  Nach der Verschlüsselung von Systemfestplatten und einem nachfolgenden Neustart des Computers, sind der Zugriff auf die Festplatten und das Laden des Betriebssystems erst möglich, nachdem der Benutzer sich mithilfe des Authentifizierungsagenten authentifiziert hat. Dazu ist entweder die Eingabe des Kennworts für den Token oder die Smartcard, die mit dem Computer verbunden sind, oder die Eingabe des Namens und Kennworts für das Authentifizierungsagenten-Benutzerkonto erforderlich, das vom Systemadministrator des lokalen Unternehmensnetzwerks mithilfe der Aufgabe Authentifizierungsagenten-Konten verwalten erstellt wurde. Diese Konten basieren auf den Benutzerkonten von Microsoft Windows, mit denen sich die Benutzer im Betriebssystem anmelden. Sie können auch das Verfahren zur Einmalanmeldung (SSO, Single Sign-On) nutzen. Es ermöglicht eine automatische Anmeldung im Betriebssystem mit dem Benutzernamen und dem Kennwort des Authentifizierungsagenten-Benutzerkontos.

  Schnittstelle, welche nach der Verschlüsselung einer bootfähigen Festplatte die Authentifizierung für den Zugriff auf verschlüsselte Festplatten und für das Laden des Betriebssystems ermöglicht.

  Wenn für den Computer eine Sicherungskopie erstellt wurde, die Computerdaten dann verschlüsselt wurden, anschließend die Sicherungskopie des Computers wiederhergestellt wurde und die Computerdaten erneut verschlüsselt wurden, so erstellt Kaspersky Endpoint Security Duplikate der Benutzerkonten für den Authentifizierungsagenten. Um die Duplikate zu löschen, muss das Dienstprogramm klmover mit dem Parameter dupfix verwendet werden. Das Tool gehört zum Lieferumfang von Kaspersky Security Center. Weitere Informationen dazu finden Sie in der Hilfe zu Kaspersky Security Center.

  Der Zugriff auf verschlüsselte Festplatten ist nur von jenen Computern aus möglich, auf denen das Programm Kaspersky Endpoint Security installiert ist und die vollständige Festplattenverschlüsselung verfügbar ist. Diese Bedingung gewährleistet ein minimales Risiko von Datendiebstahl von der verschlüsselten Festplatte, falls diese außerhalb des lokalen Unternehmensnetzwerks verwendet wird.

Um Festplatten und Wechseldatenträger zu verschlüsseln, können Sie die Funktion Nur belegten Speicherplatz verschlüsseln verwenden. Es wird empfohlen, diese Funktion nur für neue Geräte zu verwenden, die bisher noch nicht benutzt worden sind. Wenn Sie die Verschlüsselung auf einem Gerät verwenden möchten, das bereits benutzt wurde, so sollte das gesamte Gerät verschlüsselt werden. Dies garantiert den Schutz aller Daten, selbst gelöschter Daten, aus denen noch Informationen entnommen werden könnten.

Vor dem Beginn der Verschlüsselung erhält Kaspersky Endpoint Security eine Sektorenkarte des Dateisystems. Im ersten Datenstrom werden die Sektoren verschlüsselt, die beim Start der Verschlüsselung mit Dateien belegt sind. Im zweiten Datenstrom werden die Sektoren verschlüsselt, die nach dem Beginn der Verschlüsselung geschrieben wurden. Nach dem Abschluss der Verschlüsselung sind alle Sektoren verschlüsselt, die Daten enthalten.

Löscht der Benutzer nach dem Abschluss der Verschlüsselung eine Datei, so werden die Sektoren, in denen diese Datei gespeichert waren, frei und dort können auf Dateisystemebene Informationen geschrieben werden. Dabei bleiben die Sektoren weiterhin verschlüsselt. Wird die Verschlüsselung regelmäßig ausgeführt und die Funktion Nur belegten Speicherplatz verschlüsseln ist aktiviert, so werden durch die kontinuierliche Speicherung von Dateien nach und nach alle Sektoren auf dem neuen Gerät verschlüsselt.

Die Daten, die zur Entschlüsselung von Objekten erforderlich sind, werden vom Administrationsserver für Kaspersky Security Center zur Verfügung gestellt, der den Computer zum Zeitpunkt der Verschlüsselung verwaltet. Kommt ein Computer mit verschlüsselten Objekten unter die Kontrolle eines anderen Administrationsservers, so bestehen folgende Möglichkeiten, um Zugriff auf die verschlüsselten Daten zu erhalten:

• Administrationsserver in derselben Hierarchie:
  • Sie müssen keine zusätzlichen Aktionen ausführen. Der Benutzer kann weiterhin auf die verschlüsselten Objekte zugreifen. Die Chiffrierschlüssel gelten für alle Administrationsserver.
• Die Administrationsserver sind verstreut:
  • Administrator des lokalen Unternehmensnetzwerks um die Freigabe der verschlüsselten Objekte bitten.
  • Daten auf verschlüsselten Geräten mithilfe des Reparatur-Tools wiederherstellen.
  • Aus einer Sicherungskopie die Konfiguration des Administrationsservers für Kaspersky Security Center wiederherstellen, von welchem der Computer bei der Verschlüsselung verwaltet wurde, und diese Konfiguration auf dem Administrationsserver verwenden, welcher den Computer mit den verschlüsselten Objekten verwaltet.

Wenn der Zugriff auf verschlüsselte Daten nicht möglich ist, folgen Sie den entsprechenden Anleitungen für die Arbeit mit verschlüsselten Daten (Wiederherstellen des Zugriffs auf verschlüsselte Dateien, Mit verschlüsselten Geräten arbeiten, wenn kein Zugriff besteht).