Kaspersky Endpoint Security erlaubt die Verschlüsselung von Dateien und Ordnern, die auf lokalen Laufwerken und Wechseldatenträgern gespeichert sind, sowie die Verschlüsselung kompletter Wechseldatenträger und Festplatten. Die Datenverschlüsselung reduziert das Risiko eines Informationsdiebstahls, falls ein Laptop, ein Wechseldatenträger oder eine Festplatte gestohlen wird oder verloren geht, oder falls Dritte oder andere Programme auf Daten zugreifen. Kaspersky Endpoint Security verwendet den Verschlüsselungsalgorithmus Advanced Encryption Standard (AES).
Wenn die Lizenz abgelaufen ist, verschlüsselt das Programm neue Daten nicht mehr. Bereits verschlüsselte Daten bleiben verschlüsselt und es kann weiterhin damit gearbeitet werden. Um neue Daten zu verschlüsseln, muss das Programm mit einer neuen Lizenz aktiviert werden, welche die Verwendung der Verschlüsselung vorsieht.
In den folgenden Fällen kann nicht garantiert werden, dass zuvor die verschlüsselten Dateien auch weiterhin verschlüsselt bleiben: Wenn die Lizenz abgelaufen ist, der Lizenzvertrag verletzt wurde, die Lizenz gelöscht wurde oder das Programm Kaspersky Endpoint Security oder die Verschlüsselungskomponenten vom Computer des Benutzers entfernt wurden. Dies liegt daran, dass einige Programme, wie z. B. Microsoft Office Word, während der Bearbeitung eine temporäre Kopie der Dateien erstellen. Wenn die Originaldatei gespeichert wird, ersetzt die temporäre Kopie die Originaldatei. Ist die Verschlüsselungsfunktionalität auf dem Computer nicht vorhanden oder nicht verfügbar, so bleibt die Datei unverschlüsselt.
Kaspersky Endpoint Security bietet folgende Datenschutzmaßnahmen:
Die Standard-Verschlüsselungsregel besitzt eine niedrigere Priorität als die Verschlüsselungsregeln, die für bestimmte Wechseldatenträger erstellt wurden. Verschlüsselungsregeln, die für bestimmte Wechseldatenträger unter Angabe eines Gerätemodells erstellt wurden, besitzen eine niedrigere Priorität als Verschlüsselungsregeln, die für Wechseldatenträger unter Angabe einer Geräte-ID erstellt wurden.
Um zu wählen, welche Regel für die Dateiverschlüsselung auf einem Wechseldatenträger gilt, überprüft Kaspersky Endpoint Security, ob Gerätemodell und Geräte-ID bekannt sind. Anschließend führt das Programm eine der folgenden Aktionen aus:
Ein Wechseldatenträger kann vom Programm so vorbereitet werden, dass die darauf verschlüsselten Dateien im portablen Modus verwendet werden können. Ist der portable Modus aktiviert, so können verschlüsselte Dateien auf Wechseldatenträgern auch dann verwendet werden, wenn der Wechseldatenträger mit einem Computer verbunden ist, auf dem die Verschlüsselungsfunktion nicht verfügbar ist.
Die Technologie BitLocker ist Bestandteil des Betriebssystems Windows. Wenn ein Computer mit Trusted Platform Module (TPM) ausgerüstet ist, verwendet BitLocker das TPM zur Speicherung von Wiederherstellungsschlüsseln, die zur Freigabe verschlüsselter Festplatten dienen. Beim Hochfahren des Computers fragt BitLocker bei Trusted Platform Module die Wiederherstellungsschlüssel für die Festplatte ab und entsperrt die Festplatte. Sie können die Verwendung eines Kennworts und/oder eines PIN-Codes für den Zugriff auf die Wiederherstellungsschlüssel festlegen.
Sie können eine standardmäßige Regel für die vollständige Festplattenverschlüsselung festlegen und eine Liste mit Festplatten erstellen, die von der Verschlüsselung ausgeschlossen werden sollen. Nachdem die Richtlinie für Kaspersky Security Center übernommen wurde, führt Kaspersky Endpoint Security die vollständige Festplattenverschlüsselung sektorbasiert aus. Das Programm verschlüsselt alle logischen Partitionen der Festplatten auf einmal.
Nach der Verschlüsselung von Systemfestplatten und einem nachfolgenden Neustart des Computers, sind der Zugriff auf die Festplatten und das Laden des Betriebssystems erst möglich, nachdem der Benutzer sich mithilfe des Authentifizierungsagenten authentifiziert hat. Dazu ist entweder die Eingabe des Kennworts für den Token oder die Smartcard, die mit dem Computer verbunden sind, oder die Eingabe des Namens und Kennworts für das Authentifizierungsagenten-Benutzerkonto erforderlich, das vom Systemadministrator des lokalen Unternehmensnetzwerks mithilfe der Aufgabe Authentifizierungsagenten-Konten verwalten erstellt wurde. Diese Konten basieren auf den Benutzerkonten von Microsoft Windows, mit denen sich die Benutzer im Betriebssystem anmelden. Sie können auch das Verfahren zur Einmalanmeldung (SSO, Single Sign-On) nutzen. Es ermöglicht eine automatische Anmeldung im Betriebssystem mit dem Benutzernamen und dem Kennwort des Authentifizierungsagenten-Benutzerkontos.
Wenn für den Computer eine Sicherungskopie erstellt wurde, die Computerdaten dann verschlüsselt wurden, anschließend die Sicherungskopie des Computers wiederhergestellt wurde und die Computerdaten erneut verschlüsselt wurden, so erstellt Kaspersky Endpoint Security Duplikate der Benutzerkonten für den Authentifizierungsagenten. Um die Duplikate zu löschen, muss das Dienstprogramm klmover mit dem Parameter dupfix verwendet werden. Das Tool gehört zum Lieferumfang von Kaspersky Security Center. Weitere Informationen dazu finden Sie in der Hilfe zu Kaspersky Security Center.
Der Zugriff auf verschlüsselte Festplatten ist nur von jenen Computern aus möglich, auf denen das Programm Kaspersky Endpoint Security installiert ist und die vollständige Festplattenverschlüsselung verfügbar ist. Diese Bedingung gewährleistet ein minimales Risiko von Datendiebstahl von der verschlüsselten Festplatte, falls diese außerhalb des lokalen Unternehmensnetzwerks verwendet wird.
Um Festplatten und Wechseldatenträger zu verschlüsseln, können Sie die Funktion Nur belegten Speicherplatz verschlüsseln verwenden. Es wird empfohlen, diese Funktion nur für neue Geräte zu verwenden, die bisher noch nicht benutzt worden sind. Wenn Sie die Verschlüsselung auf einem Gerät verwenden möchten, das bereits benutzt wurde, so sollte das gesamte Gerät verschlüsselt werden. Dies garantiert den Schutz aller Daten, selbst gelöschter Daten, aus denen noch Informationen entnommen werden könnten.
Vor dem Beginn der Verschlüsselung erhält Kaspersky Endpoint Security eine Sektorenkarte des Dateisystems. Im ersten Datenstrom werden die Sektoren verschlüsselt, die beim Start der Verschlüsselung mit Dateien belegt sind. Im zweiten Datenstrom werden die Sektoren verschlüsselt, die nach dem Beginn der Verschlüsselung geschrieben wurden. Nach dem Abschluss der Verschlüsselung sind alle Sektoren verschlüsselt, die Daten enthalten.
Löscht der Benutzer nach dem Abschluss der Verschlüsselung eine Datei, so werden die Sektoren, in denen diese Datei gespeichert waren, frei und dort können auf Dateisystemebene Informationen geschrieben werden. Dabei bleiben die Sektoren weiterhin verschlüsselt. Wird die Verschlüsselung regelmäßig ausgeführt und die Funktion Nur belegten Speicherplatz verschlüsseln ist aktiviert, so werden durch die kontinuierliche Speicherung von Dateien nach und nach alle Sektoren auf dem neuen Gerät verschlüsselt.
Die Daten, die zur Entschlüsselung von Objekten erforderlich sind, werden vom Administrationsserver für Kaspersky Security Center zur Verfügung gestellt, der den Computer zum Zeitpunkt der Verschlüsselung verwaltet. Kommt ein Computer mit verschlüsselten Objekten unter die Kontrolle eines anderen Administrationsservers, so bestehen folgende Möglichkeiten, um Zugriff auf die verschlüsselten Daten zu erhalten:
Wenn der Zugriff auf verschlüsselte Daten nicht möglich ist, folgen Sie den entsprechenden Anleitungen für die Arbeit mit verschlüsselten Daten (Wiederherstellen des Zugriffs auf verschlüsselte Dateien, Mit verschlüsselten Geräten arbeiten, wenn kein Zugriff besteht).