Vor- und Nachteile selbstverschlüsselnder Festplatten

Unternehmen wollen ihre Daten sicher wissen. Selbst wenn die Gefahr eines böswilligen Zugriffs auf Daten nicht oder nur minimal besteht, müssen Administratoren alle verfügbaren Optionen nutzen, um die Sicherheit der Daten aus Compliance-Gründen zu gewährleisten.

Eine der einfachsten Möglichkeiten, dies zu tun, ist die Verwendung von selbstverschlüsselnden Laufwerken, einer Hardware- und On-Disk-Verschlüsselung, die von allen Herstellern von Speicher-Arrays angeboten wird.

Daten liegen auf Speichermedien und den größten Teil ihrer Existenz auf rotierenden Festplatten oder Flash-Drives. Der Zugang zu diesen Informationen muss gesichert sein, im Rechenzentrum, wenn sie aus der Anlage entfernt werden, und am Ende der Lebensdauer, wenn sie entsorgt werden. Mit anderen Worten, wenn die Daten im Ruhezustand sind.

Selbstverschlüsselnde Laufwerke sind Verschlüsselungshardware, in die während der Fertigung einen Datenverschlüsselungsschlüssel integriert wird. Wenn die Laufwerke ausgeliefert werden, ist der Authentifizierungsschlüssel als „entsperrt“ definiert und Daten können von jedem Gerät gelesen werden.

Die Verschlüsselung auf dem Laufwerk wird aktiviert, indem der Kunde den werkseitigen Authentifizierungsschlüssel in einen privaten ändert, wobei dieser Schlüssel auf einem Key-Management-Server gespeichert ist.

Anschließend wird dieser Schlüssel beim Hochfahren angewendet und verschlüsselt die Daten auf dem Laufwerk während des gesamten Betriebs. Wenn Laufwerke jedoch inaktiv sind, sind sie vollständig geschützt und können nicht mit einem anderen Computer betrieben werden.

Es gibt keine Auswirkungen auf die Leistung, da die Entriegelung des Laufwerks beim Start erfolgt. Der verwendete Verschlüsselungsstandard ist der Enterprise-Standard (TCG-E) der Trusted Computing Group und für Consumer-Hardware wie Laptops der Opal 2 der TCG. TCG-Standards verwenden die 256-Bit-Verschlüsselung des Advanced Encryption Standard (AES).

TCG-E-Kompatibilität ist in SAS- und SATA-Laufwerken verfügbar, während NVMe-Flash-Laufwerke offenbar derzeit nur TCG Opal-Laufwerke sind.

Es sei darauf hingewiesen, dass selbstverschlüsselnde Festplatten nur begrenzt Bedrohungen adressieren können. Sie schützen die Daten nicht, während der Server oder das Array läuft, nur wenn es ausgefallen oder entfernt ist. Eine Gefahr für selbstverschlüsselnde Laufwerke ist ein Angriff oder Hack von böswilligen Insidern, die Zugriff auf die Drives haben.

Allerdings erfüllen selbstverschlüsselnde Laufwerke grundlegende Compliance-Anforderungen. Trotzdem sind sie anfällig für eine Reihe von Angriffen. Dazu gehören unter anderem verschiedene Methoden, mit denen Angreifer entweder physisch auf das Laufwerk zugreifen oder einen Neustart erzwingen und seine Daten an ein anderes Betriebssystem auf dem Rechner des Angreifers übergeben oder den Authentifizierungsschlüssel erhalten.

Allerdings benötigt ein Angreifer eben physischen Zugriff auf die Laufwerke. Manchmal wird die Verwendung von selbstverschlüsselnden Laufwerken als vollständige Festplattenverschlüsselung bezeichnet. Wenn es sich lediglich auf die Verwendung von selbstverschlüsselnden Festplatten bezieht, dann wird es manchmal als Hardware-Vollverschlüsselung bezeichnet.

Es gibt auch eine vollständige Festplattenverschlüsselung, bei der eine Verschlüsselungsanwendung die Daten schützt. Dies muss vom Benutzer authentifiziert werden und hat einen Performance-Overhead. Es wird häufig mit Laptops verwendet und kann in einem Unternehmensszenario von einer zentralen Konsole aus verwaltet werden.

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!