Über die Datenverschlüsselung

Kaspersky Endpoint Security erlaubt die Verschlüsselung von Dateien und Ordnern, die auf lokalen Laufwerken und Wechseldatenträgern gespeichert sind, sowie die Verschlüsselung kompletter Wechseldatenträger und Festplatten. Die Datenverschlüsselung reduziert das Risiko eines Informationsdiebstahls, falls ein Laptop, ein Wechseldatenträger oder eine Festplatte gestohlen wird oder verloren geht, oder falls Dritte oder andere Programme auf Daten zugreifen.

Wenn die Lizenz abgelaufen ist, verschlüsselt das Programm neue Daten nicht mehr. Bereits verschlüsselte Daten bleiben verschlüsselt und es kann weiterhin damit gearbeitet werden. Um neue Daten zu verschlüsseln, muss das Programm mit einer neuen Lizenz aktiviert werden, welche die Verwendung der Verschlüsselung vorsieht.

Wenn die Lizenz abgelaufen ist, der Lizenzvertrag verletzt wurde, der Schlüssel entfernt wurde, oder das Programm Kaspersky Endpoint Security oder die Verschlüsselungskomponenten vom Computer des Benutzers entfernt wurde, kann nicht garantiert werden, dass zuvor verschlüsselte Dateien auch weiterhin verschlüsselt bleiben. Das hängt damit zusammen, dass manche Programme, wie z. B. Microsoft Office Word, bei der Bearbeitung einer Datei eine temporäre Kopie anlegen, mit der sie die Originaldatei beim Speichern ersetzen. Ist die Verschlüsselungsfunktionalität auf dem Computer nicht vorhanden oder nicht verfügbar, so bleibt die Datei unverschlüsselt.

Kaspersky Endpoint Security bietet folgende Datenschutzmaßnahmen:

• Dateiverschlüsselung auf lokalen Festplatten des Computers. Sie können folgende Listen anlegen: Listen mit Dateien nach Erweiterung oder Erweiterungsgruppen, und Listen mit Ordnern, die sich auf lokalen Laufwerken des Computers befinden. Außerdem können Sie Verschlüsselungsregeln für Dateien definieren, die von bestimmten Programmen erstellt werden. Nachdem die Richtlinie für Kaspersky Security Center übernommen wurde, verschlüsselt und entschlüsselt Kaspersky Endpoint Security folgende Dateien:
  • Dateien, die einzeln zur Verschlüsselungsliste oder Entschlüsselungsliste hinzugefügt wurden
  • Dateien, die in Ordnern gespeichert sind, welche zur Verschlüsselungsliste oder Entschlüsselungsliste hinzugefügt wurden
  • Dateien, die von bestimmten Programmen erstellt werden

  Ausführliche Informationen zum Übernehmen der Richtlinie für Kaspersky Security Center finden Sie im Administratorhandbuch zu Kaspersky Security Center.

• Wechseldatenträger verschlüsseln. Sie können eine Standard-Verschlüsselungsregel festlegen, nach der das Programm für alle Wechseldatenträger die gleiche Aktion ausführt. Außerdem können Sie Verschlüsselungsregeln für bestimmte Wechseldatenträger erstellen.

  Die Standard-Verschlüsselungsregel besitzt eine niedrigere Priorität als die Verschlüsselungsregeln, die für bestimmte Wechseldatenträger erstellt wurden. Verschlüsselungsregeln, die für bestimmte Wechseldatenträger unter Angabe eines Gerätemodells erstellt wurden, besitzen eine niedrigere Priorität als Verschlüsselungsregeln, die für Wechseldatenträger unter Angabe einer Geräte-ID erstellt wurden.

  Um zu wählen, welche Regel für die Dateiverschlüsselung auf einem Wechseldatenträger gilt, überprüft Kaspersky Endpoint Security, ob Gerätemodell und Geräte-ID bekannt sind. Anschließend führt das Programm eine der folgenden Aktionen aus:

  • Ist nur das Gerätemodell bekannt, so wendet das Programm jene Verschlüsselungsregel an, die für Wechseldatenträger mit diesem Gerätemodell erstellt wurde, falls eine solche Regel vorhanden ist.
  • Ist nur die Geräte-ID bekannt, so wendet das Programm jene Verschlüsselungsregel an, die für Wechseldatenträger mit dieser Geräte-ID erstellt wurde, falls eine solche Regel vorhanden ist.
  • Sind Gerätemodell und Geräte-ID bekannt, so wendet das Programm jene Verschlüsselungsregel an, die für Wechseldatenträger mit dieser Geräte-ID erstellt wurde, falls eine solche Regel vorhanden ist. Ist eine solche Regel nicht vorhanden, es gibt aber eine Verschlüsselungsregel, die für Wechseldatenträger mit diesem Gerätemodell erstellt wurde, so verwendet das Programm diese Regel. Wurde weder für diese Geräte-ID noch für dieses Gerätemodell eine Verschlüsselungsregel festgelegt, so verwendet das Programm die standardmäßige Verschlüsselungsregel.
  • Wenn weder das Gerätemodell noch die Geräte-ID bekannt ist, wendet das Programm die Standard-Verschlüsselungsregel an.

  Ein Wechseldatenträger kann vom Programm so vorbereitet werden, dass die darauf verschlüsselten Dateien im portablen Modus verwendet werden können. Ist der portable Modus aktiviert, so können verschlüsselte Dateien auf Wechseldatenträgern auch dann verwendet werden, wenn der Wechseldatenträger mit einem Computer verbunden ist, auf dem die Verschlüsselungsfunktion nicht verfügbar ist.

  Das Programm führt bei der Übernahme der Richtlinie für Kaspersky Security Center die in der Verschlüsselungsregel angegebene Aktion durch.

• Verwaltung von Regeln für den Zugriff von Programmen auf verschlüsselte Dateien. Sie können für ein beliebiges Programm eine Regel für den Zugriff auf verschlüsselte Dateien erstellen. Diese Regel kann entweder den Zugriff auf verschlüsselte Dateien verbieten oder nur den Zugriff auf den verschlüsselten Text erlauben, also auf eine Zeichenfolge, die aus der Verschlüsselung hervorgeht.
• Verschlüsselte Archive erstellen. Sie können verschlüsselte Archive erstellen und den Zugriff darauf mit einem Kennwort schützen. Der Zugriff auf den Inhalt verschlüsselter Archive wird erst nach Eingabe der Kennwörter gewährt, mit denen Sie den Zugriff auf diese Archive geschützt haben. Solche Archive können gefahrlos über das Internet oder auf Wechseldatenträgern übertragen werden.
• Festplatten verschlüsseln. Sie können ein Verschlüsselungsverfahren wählen: Kaspersky-Festplattenverschlüsselung oder BitLocker-Laufwerkverschlüsselung (im Folgenden auch "BitLocker" genannt).

  Die BitLocker-Technologie ist Bestandteil des Betriebssystems Windows. Wenn ein Computer mit Trusted Platform Module (TPM) ausgerüstet ist, verwendet BitLocker das TPM zur Speicherung von Wiederherstellungsschlüsseln, die zur Freigabe verschlüsselter Festplatten dienen. Beim Hochfahren des Computers fragt BitLocker bei Trusted Platform Module die Wiederherstellungsschlüssel für die Festplatte ab und entsperrt die Festplatte. Sie können die Verwendung eines Kennworts und/oder eines PIN-Codes für den Zugriff auf die Wiederherstellungsschlüssel festlegen.

  Sie können eine Standard-Verschlüsselungsregel für Festplatten festlegen und eine Liste mit Festplatten erstellen, die aus der Verschlüsselung ausgenommen werden sollen. Nachdem die Richtlinie für Kaspersky Security Center übernommen wurde, führt Kaspersky Endpoint Security die Festplattenverschlüsselung sektorbasiert aus. Das Programm verschlüsselt alle logischen Partitionen der Festplatten auf einmal. Ausführliche Informationen zum Übernehmen der Richtlinie für Kaspersky Security Center finden Sie im Administratorhandbuch zu Kaspersky Security Center.

  Nach der Verschlüsselung von Systemfestplatten und einem nachfolgenden Neustart des Computers, sind der Zugriff auf die Festplatten und das Laden des Betriebssystems erst möglich, nachdem der Benutzer sich mithilfe des Authentifizierungsagenten authentifiziert hat. Dazu ist entweder die Eingabe des Kennworts für den Token oder die Smartcard, die an den Computer angeschlossen sind, oder die Eingabe der Anmeldedaten des Benutzerkontos für den Authentifizierungsagenten erforderlich. Dieses Benutzerkonto wird vom Systemadministrator des lokalen Unternehmensnetzwerks mithilfe der Verwaltungsaufgaben für die Benutzerkonten des Authentifizierungsagenten erstellt. Diese Konten basieren auf den Benutzerkonten von Microsoft Windows, mit denen sich die Benutzer im Betriebssystem anmelden. Sie können die Benutzerkonten des Authentifizierungsagenten verwalten und das Verfahren zur einmaligen Anmeldung (SSO, Single Sign-On) nutzen, das eine automatische Anmeldung im Betriebssystem mit dem Benutzernamen und dem Kennwort des Benutzerkontos für den Authentifizierungsagenten ermöglicht.

  Über diese Oberfläche erfolgt die Authentifizierung, nach welcher der Zugriff auf verschlüsselte Festplatten gewährt und das Laden des Betriebssystems nach dem Verschlüsseln des Systemlaufwerks ermöglicht wird.

  Wenn für den Computer eine Sicherungskopie erstellt wurde, die Computerdaten dann verschlüsselt wurden, anschließend die Sicherungskopie des Computers wiederhergestellt wurde und die Computerdaten erneut verschlüsselt wurden, so erstellt Kaspersky Endpoint Security Duplikate der Benutzerkonten für den Authentifizierungsagenten. Um die Duplikate zu löschen, muss das Dienstprogramm klmover mit dem Parameter dupfix verwendet werden. Das Tool gehört zum Lieferumfang von Kaspersky Security Center. Weitere Informationen dazu finden Sie im Administratorhandbuch zu Kaspersky Security Center.

  Beim Upgrade des Programms auf Kaspersky Endpoint Security 10 Service Pack 2 für Windows wird die Liste der Benutzerkonten für den Authentifizierungsagenten nicht gespeichert.

  Der Zugriff auf verschlüsselte Festplatten ist nur von jenen Computern möglich, auf denen das Programm Kaspersky Endpoint Security installiert und die Verschlüsselungsfunktion für Festplatten verfügbar ist. Diese Bedingung gewährleistet ein minimales Risiko von Datendiebstahl von der verschlüsselten Festplatte, falls diese außerhalb des lokalen Unternehmensnetzwerks verwendet wird.

Um Festplatten und Wechseldatenträger zu verschlüsseln, können Sie die Funktion Nur belegten Speicherplatz verschlüsseln verwenden. Es wird empfohlen, diese Funktion nur für neue Geräte zu verwenden, die bisher noch nicht benutzt worden sind. Wenn Sie die Verschlüsselung auf einem Gerät verwenden möchten, das bereits benutzt wurde, so sollte das gesamte Gerät verschlüsselt werden. So sind alle Daten geschützt, selbst gelöschte Daten, aus denen noch Informationen entnommen werden können.

Vor dem Beginn der Verschlüsselung erhält Kaspersky Endpoint Security eine Sektorenkarte des Dateisystems. Im ersten Datenstrom werden die Sektoren verschlüsselt, die beim Start der Verschlüsselung mit Dateien belegt sind. Im zweiten Datenstrom werden die Sektoren verschlüsselt, die nach dem Beginn der Verschlüsselung geschrieben wurden. Nach dem Abschluss der Verschlüsselung sind alle Sektoren verschlüsselt, die Daten enthalten.

Löscht der Benutzer nach dem Abschluss der Verschlüsselung eine Datei, so werden die Sektoren, in denen diese Datei gespeichert waren, frei und dort können auf Dateisystemebene Informationen geschrieben werden. Dabei bleiben die Sektoren weiterhin verschlüsselt. Wird die Verschlüsselung regelmäßig ausgeführt und die Funktion Nur belegten Speicherplatz verschlüsseln ist aktiviert, so werden durch die kontinuierliche Speicherung von Dateien nach und nach alle Sektoren auf dem neuen Gerät verschlüsselt.

Die Daten, die zur Entschlüsselung von Objekten erforderlich sind, werden vom Administrationsserver für Kaspersky Security Center zur Verfügung gestellt, der den Computer zum Zeitpunkt der Verschlüsselung verwaltet. Falls ein Computer mit verschlüsselten Objekten inzwischen von einem anderen Administrationsserver verwaltet wird und noch nie auf die verschlüsselten Objekte zugegriffen wurde, so kann die Freigabe wie folgt erreicht werden:

• Administrator des lokalen Unternehmensnetzwerks um die Freigabe der verschlüsselten Objekte bitten.
• Daten auf verschlüsselten Geräten mithilfe des Reparatur-Tools wiederherstellen.
• Aus einer Sicherungskopie die Konfiguration des Administrationsservers für Kaspersky Security Center wiederherstellen, von welchem der Computer bei der Verschlüsselung verwaltet wurde, und diese Konfiguration auf dem Administrationsserver verwenden, welcher den Computer mit den verschlüsselten Objekten verwaltet.

Im Verlauf der Verschlüsselung legt das Programm Verwaltungsdateien an. Um sie zu speichern, sind etwa 2 bis 3 Prozent nicht fragmentierter freier Speicherplatz auf der Festplatte des Computers erforderlich. Ist auf der Festplatte zu wenig unfragmentierter Speicherplatz verfügbar, so wird die Verschlüsselung erst gestartet, wenn entsprechende Bedingungen vorliegen.

Die Kompatibilität zwischen der Verschlüsselungsfunktion von Kaspersky Endpoint Security und Kaspersky Anti-Virus für UEFI wird nicht unterstützt. Die Verschlüsselung der Festplatten von Computern, auf denen Kaspersky Anti-Virus für UEFI installiert ist, macht Kaspersky Anti-Virus für UEFI funktionsunfähig.

Siehe auch Zugriff auf verschlüsselte Dateien bei fehlender Verbindung mit Kaspersky Security Center anfordern Freigabe von verschlüsselten Geräten über die Programmoberfläche Daten auf verschlüsselten Geräten mithilfe des Reparatur-Tools wiederherstellen

Nach oben