Datensicherheit am HandheldPC

Vertrauliche Daten sind auf dem HandheldPC gut und sicher aufgehoben. Jedenfalls dann, wenn man durch Nachrüsten entsprechender Tools für Datensicherheit sorgt. Die Sicherungsmechanismen, die HandheldPCs ab Werk mitbringen, sind nämlich unzureichend. Kein Problem des HPC-Betriebssystems oder der CE-Gerätehersteller allein - an Sicherheits-Features mangelt es grundsätzlich allen am Markt verfügbaren PDAs und PDA-Betriebssystemen.

Die Bordmittel zur Sicherung vertraulicher Daten vor unberechtigtem Zugriff beschränken sich auf die Möglichkeit, ein Passwort festzulegen, das beim Einschalten des Geräts abgefragt wird. Das ist zweifellos ausreichend um zu verhindern, daß ein neugieriger Mensch mal eben einen Blick riskiert, wenn der Besitzer des Handhelds gerade nicht hinsieht. Geht das Gerät aber verloren oder wird gestohlen, reicht diese Sicherung nicht aus. Der Passwortschutz läßt sich vielfach schon durch einen Hard Reset, spätestens aber durch Entfernen der Haupt- und Backup-Batterie innerhalb kürzester Zeit "knacken". Daten, die auf einer Speichererweiterungskarte, z.B. CompactFlash, abgelegt sind, sind sogar noch einfacher zu bekommen: Einfach die Karte in ein anderes Gerät oder ein passendes Laufwerk am Desktop-PC einstecken, schon ist unbeschränkter Zugriff möglich.

Wer vor hat, wirklich sensible Daten auf dem Handheld zu speichern, sollte sich auf den Kennwortschutz des Gerätes allein nicht verlassen. Z.B. TAN-Nummern für Bankgeschäfte stets bei der Hand zu haben, ist sicherlich praktisch. Nur kommt man in diesem Fall um zusätzliche Sicherheitseinrichtungen nicht herum. Tools zur Absicherung vertraulicher Informationen gibt es in großer Auswahl und zum Teil sogar kostenlos. Ein paar Lösungen seien an dieser Stelle beispielhaft vorgestellt, jede aufgrund der verwendeten Verschlüsselungsverfahren uneingeschränkt empfehlenswert:

• Das kostenlose Open Source-Projekt Tombo eines japanischen Software-Entwicklers ist eigentlich ein Tool, um Notizen zu editieren, strukturiert abzulegen und in den Notizentexten zu recherchieren. Tombo bietet aber auch die Möglichkeit, einzelne Notizen zu verschlüsseln. Will nun ein Unbefugter auf eine solche Notiz zugreifen, muß er das richtige Passwort wissen. Ohne Passwort oder bei Zugriff direkt auf Dateisystemebene ist nicht mehr als unverständlicher "Zeichensalat" zu lesen.
  Tombo hat - abgesehen von den Kosten - den Vorteil, daß Informationen in einzelnen Blöcken (sprich: Notizen) verschlüsselt und jede dieser Notizen mit einem beliebigen anderen Kennwort gesichert werden kann. Das ermöglicht zum Beispiel "Handheld-Sharing", also das gemeinsame Nutzen des mobilen Datengeräts. Sensible Daten, die allen Nutzern gleichermaßen zugänglich sein sollen, werden mit einem Passwort geschützt, das allen bekannt ist; individuelle Daten lassen sich in diesem Fall immer noch ohne Umstände über ein individuelles Kennwort in einer eigenen Notiz verschlüsseln.
  Tombos Nachteil: Das Programm kann nur mit einem einzigen Dateityp umgehen, mit schlichten Text-Files. Wer beliebige Daten, mit beliebigen Programmen erstellt, sichern möchte, muß also zwangsläufig zu einer anderen Lösung greifen.
• Beliebige Dateien verschlüsseln kann das Programm HideIt! - nach dem Sichern und Schließen der fraglichen Datei einfach HideIt! aufrufen, Pfad für Quell- und Sicherungsdatei einstellen, Passwort vergeben, fertig. Auf Wunsch löscht HideIt! nach dem Verschlüsseln automatisch die ungesicherte Originaldatei. Eine äußerst flexible Lösung, aber auch ein wenig umständlich. Etwas weniger umständlich geht Encrypter zu Werke, indem es beim Verschlüsseln automatisch die Originaldatei überschreibt. Aber auch das ist nicht wirklich komfortabel: Vor dem Bearbeiten eines so gesicherten Files muß immer erst das Verschlüsselungsprogramm aufgerufen und die Datei entsperrt werden, nach der erfolgten Änderung dann das selbe Procedere in umgekehrter Richtung. Wer mit einer Vielzahl einzelner Dateien zu tun hat, die er womöglich alle gleichzeitig zur Verfügung haben muß, wird dessen vermutlich schnell überdrüssig. HideIt! oder Encrypter bieten sich als Lösung an, wenn einzelne Daten gesondert gesichert werden sollen, auf die nicht ständig zugegriffen werden muß. Um z.B. einen Projektplan, ein halbes Dutzend Meeting-Protokolle und zwei, drei Präsentationen, alle für das selbe Projekt nötig, vor fremden Augen zu schützen, ist das Verschlüsseln auf diese Art zu umständlich.
  Besser macht das auch MaxorCE nicht. Vorteil gegenüber HideIt! oder Encrypter ist, daß das Programm auf verschiedenen Plattformen kostenlos zur Verfügung steht und damit das Weitergeben verschlüsselter Dateien vom HandheldPC an Nutzer von PocketPCs oder Desktop-Rechnern unter DOS, Windows und Linux ermöglicht.
  Deutlich komfortabler arbeitet das Freeware-Tool DesCrypt. Auch damit lassen sich beliebige Dateien mit beliebigen Kennwörtern verschlüsseln. Dank eines Auto-Decrypters können verschlüsselte Dateien aber direkt aufgerufen und nach korrekter Passworteingabe bearbeitet werden. Beim Speichern wird das File dann genauso automatisch wieder verschlüsselt. Nachteil von DesCrypt: Der verwendete Schlüssel ist nicht mehr ganz auf der Höhe der Zeit, wirklich sicher codieren lassen sich Daten damit nicht.
• Software-Lösungen wie Sentry 2020 oder SecuBox verfolgen einen ganz anderen Ansatz: Anstatt eine bestimmte Datei einzeln zu verschlüsseln, legen diese Programme einen beliebig großen Passwort-gesicherten Bereich im RAM oder auf einer Speichererweiterungskarte an. Zugriff auf die dort gespeicherten Daten hat nur, wer den verschlüsselten Bereich als virtuelles Laufwerk mountet und dabei das korrekte Kennwort eingibt. Auf diesem virtuellen Laufwerk lassen sich dann mit beliebigen Programmen beliebige Daten speichern und wieder öffnen - es verhält sich ganz so wie eine zusätzliche Speicherkarte. Um die Daten nach getaner Arbeit wieder vor Fremdzugriffen zu schützen, muß das virtuelle Laufwerk über das Verschlüsselungsprogramm getrennt werden.
  Der Vorteil dieser Lösung liegt auf der Hand: Beliebige Daten können so vor fremden Blicken gesichert werden. Zudem ergibt sich ein zusätzlicher Sicherheitsaspekt, da keine Rückschlüsse auf Art und Umfang der Daten in einem solchen gesicherten Bereich möglich sind; bei einzeln verschlüsselten Dateien verrät allein der gewählte Dateiname schon vielfach, ob sich ein "Einbruchsversuch" lohnt.
  Nachteil: Der Vorgang des Verbindens und Trennens solcher Passwort-geschützter virtueller Laufwerke ist zugegebenermaßen recht umständlich, jedenfalls wenn es nur darum geht, schnell eine bestimmte Information nachzusehen. Außerdem kostet sowohl Sentry 2020 wie SecuBox Geld. So ein Programm ist aber sicher immer noch kostengünstiger als der Aufwand, Kreditkarten zu sperren, Zugangsdaten für Online-Banking zu ändern etc., sollte der Handheld tatsächlich mal abhanden kommen.

Mit sicheren Verschlüsselungsverfahren ist es allerdings nicht getan. Datendiebstahl ist in den seltensten Fällen erfolgreich, wenn die Datensicherheit nicht durch den "menschlichen" Faktor kompromitiert wird. Was nützt das beste Verschlüsselungsverfahren, wenn Kennwörter leicht zu erraten sind oder durch einfaches Ausprobieren "geknackt" werden können?

Wer vertrauliche Daten auf dem Handheld speichert, sollte deshalb nicht nur ein sicheres Verschlüsselungs-Tool wählen, sondern vor allem ein paar Grundregeln zur Datensicherheit beachten:

• Nicht alle Daten in einer einzigen kennwortgeschützten Datei ablegen bzw. nicht für alle geschützten Dateien das selbe Kennwort verwenden! Vor allem Bankdaten sollten unbedingt in getrennten Dateien aufbewahrt werden, also TAN-Liste in einem File, Kontonummer und Bankleitzahl in einem anderen (sofern deren Speicherung überhaupt wirklich nötig ist).
• Dateinamen sollten so gewählt werden, daß Rückschlüsse auf den Inhalt nicht möglich sind.
• Als Passphrasen und Kennwörter sollten keine Klartextausdrücke verwendet werden, schon gar nicht relativ leicht recherchierbare Zeichenfolgen wie Geburtsdatum oder ähnliches. Am sichersten (aber auch am schwierigsten zu merken) sind zufällige Zeichenfolgen, gemischt zusammengesetzt aus Groß- und Kleinbuchstaben sowie Ziffern. Passphrasen sollten auch nicht zu kurz sein; mit jedem zusätzlichen Zeichen steigt die Zahl der zu testenden Kombinationsmöglichkeiten exponential.