Backups verschlüsseln
Sie können Ihre Backup-Archive vor fremden Zugriff schützen, indem Sie sie verschlüsseln. So können Sie sichergehen, dass niemand etwas mit den Backup-Daten anfangen kann, der nicht über das entsprechende Passwort verfügt. Dies empfiehlt sich besonders für Backups sensitiver Daten auf Datenträgern, die Sie außer Haus aufbewahren wollen.CoolZipBackup kennt mehrere Verschlüsselungsmethoden, die wie folgt kompatibel sind:
| Verschlüsselung > v kompatibel mit | Windows XP | Winzip 8 | Winzip 9 | WinRAR 3.x | 7-zip 4.x | PkUnzip 2.04g (DOS) | WzZip 1.1 SR-1 (DOS) |
|---|---|---|---|---|---|---|---|
| keine unsicher | ja | ja | ja | ja | ja | ja | ja |
| PK2 (Zip 2.0-kompatibel, 96 bit-Schlüssel) wenig sicher | ja | ja | ja | ja | ja | ja | ja |
| AES-128 (Rijndael mit 128 bit-Schlüssel) recht sicher | nein | nein | ja | nein | nein | nein | ja |
| AES-192 (Rijndael mit 192 bit-Schlüssel) zufriedenstellend sicher | nein | nein | ja | nein | nein | nein | ja |
| AES-256 (Rijndael mit 256 bit-Schlüssel) sehr sicher | nein | nein | ja | nein | nein | nein | ja |
Bitte beachten Sie, dass in diesem Zusammenhang mit Sicherheit die Widerstandfähigkeit gegen Angriffe, die das Ausspionieren von Daten zum Ziel haben, gemeint ist. Es liegt in der Natur von Zip-Archiven, dass die darin enthaltenen Dateinamen ohne Passworteingabe aufgelistet werden können. Nur der Dateiinhalt selbst ist vor Einblicken geschützt. Auch können Zip-Archive manipuliert werden, wenn sie auf einem beschreibbaren Datenträger vorliegen, z. B. könnten Dateien aus einem Archiv ohne Passwort entfernt oder umbenannt werden. Wenn Sie sicher gehen wollen, den original Datenträger von einem Dritten wieder unverändert zurückzubekommen, dann verwenden Sie einmal beschreibbare Medien (CDR, DVDR)) und markieren Sie das Medium fälschungssicher, z. B. mit Ihrer Unterschrift. Bei Rückerhalt prüfen Sie, ob nicht etwa Schreib-Sessions hinzugefügt worden sind.
Die PK2-Verschlüsselungsmethode ist zwar sehr kompatibel, da dieser Standard schon lange bekannt ist, doch kann sie nicht wirklich vor fremden Zugriff schützen. Das liegt daran, dass die Schlüssellänge mit 96 bit zum Einen nicht sehr lang ist, und zudem eine "Quersumme" dieses Schlüssels in der Zip-Datei gespeichert wird, um bei Falscheingaben von Passworten entsprechend reagieren zu können. Die Ermittlung und Speicherung dieser Quersumme ist nicht genügend gegen Angriffe geschützt und es kann durch "Rückwärtsrechnen" der Raum der in Frage kommenden Passwörter erheblich eingegrenzt werden. Mit diesem kryptoanalytischen Wissen sind bereits Werkzeuge entwickelt worden, die es auch dem Laien erlauben, das Passwort zu PK2-chiffrierte Archiven ohne jede kryptografischen Vorkenntnisse in einem Zeitrahmen von wenigen Stunden herauszufinden. Sie sollten sich dessen bewusst sein, wenn Sie PK2 als Verschlüsselungsmethode wählen, und dies auch nur tun, wenn Sie vorhaben, die Backup-Archive mit einer anderer Software als CoolZipBackup zurückzuspielen oder weiterzuverarbeiten, die den PK2-Standard unterstützen muss.
In allen anderen Fällen sollten Sie unbedingt AES als Verschlüsselungsmethode wählen. Und dort die Variante mit 256 Bit. Die Varianten mit 128 und 192 Bit Schlüssellänge sind lediglich unmerkbar schneller und sollten nur gewählt werden, wenn dies Kompatibilitätsgründe zwingend erfordern. AES macht nicht die Fehler von zu langen "Quersummen", die leicht zurückzurechnen wären. Die Wahrscheinlichkeit, dass ein falsches Passwort dadurch nicht erkannt wird und angenommen wird (was in Datenmüll in den entpackten Dateien enden würde) ist zwar damit gestiegen, sogleich aber auch die Sicherheit.
Außerdem wurden in AES einige modernen Verschlüsselungstechniken wie "salt" (Gedankenspiel Gemisch "salt and pepper" (Salz und Pfeffer)), dem "Mischen" des verwendeteten Schlüssels (Pfeffer/Pepper) mit einem Zufallswert (Salz/Salt) bei jedem neuen Vorgang, verwendet. Die Salt-Länge ist dabei übrigens bei der 256-Bit-Variante mit 16 Byte doppelt so groß wie bei der 128-Bit-Variante. Oder die sichere Ableitung eines Schlüssels aus dem angegebenen Passwort mittels Hash-Werten.
Nicht umsonst war dem AES zugrundeliegende Rijndael-Algorithmus (nach seinen Entwicklern Vincent Rijmen und Joan Daemen) Sieger eines drei Jahre (1997-2000) dauernden offenen Wettbewerbs der NIST (National Institute of Standards and Technology, U.S.A.) und hat sich damit als offizieller Standard etabliert. Er löst damit die alten Standards DES (Data Encryption Standard, 56 Bit, 1976) und 3DES (Triple DES, effektive Schlüssellänge von 112 Bit durch Kombination von drei hintereinander kombinierten DES-Vorgängen, bis 2000) ab. AES ist damit in den U.S.A. für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen.
Sie wählen die Verschlüsselungsstärke in den Programm-Einstellungen auf der Seite Komprimierung, wo Sie - wenn Sie ein externes Zip-Programm verwenden wollen, auch die anderen, externen Parameter eingeben.
Das Passwort geben Sie für beide Varianten auf der Seite Verschlüsselung ein. Dort können Sie die Verschlüsselung auch ein- und ausschalten und sich ein Kennwort automatisch generieren lassen.
Bitte denken Sie daran, dass ein schwaches Passwort den allerbesten Verschlüsselungs-Algorithmus unterlaufen wird. Verwenden Sie bitte eine sinnlose Kombination aus Buchstaben, Zahlen und Sonderzeichen und auch Groß/Kleinschreibung. Verwenden Sie keine gewöhnlichen Wörter oder gar Vornamen oder so simple Kombinationen wie "Sommer1969".
Versuchen sich Sie für einen 256-Bit-Schlüssel ein Zahlenschloß vorzustellen, das über 1,17 x 1077 (oder 2256, eine 78-stellige Zahl) Kombinationen verfügt. Wenn nun 1 Million Computer jeweils 1 Million dieser Kombinationen pro Sekunde ausprobieren würden, bräuchten diese 3,74 x 1057 Jahre, um alle Kombinationen durchzuprobieren.
Wären die möglichen Kombinationen aber auf die vielleicht 10.000 möglichen Vornamen beschränkt, würde ein einziger Computer all diese in einem Sekundenbruchteil ausprobieren können.
Darum benutzen Angreifer Datenbanken mit Wörtern und beliebten Kombinationen, und wenn Ihr gewähltes Passwort eines ist unter den vielleicht 1 Million Einträgen in einer dieser Datenbanken, dann ist es ganz schnell herausgefunden.
Eine zufällige Kombination als Passwort, vielleicht noch mit 20 Stellen Länge ist zwar recht sicher, aber alles andere als leicht zu merken. Schreiben Sie es darum auf, aber bewahren Sie es an einem sicheren Ort auf. Ein sicherer Ort ist sicher nicht die Unterseite Ihrer Tastatur oder Ihr unbeaufsichtigt herumliegender Papier-Organizer. Aber ein Mobiltelefon, dass Sie nie aus den Augen lassen und das Sie ausschalten und PIN-schützen, wenn es doch mal unbeaufsichtigt sein sollten, wäre gar kein so schlechtes Medium. Wie viel Aufwand Sie beim Aufbewahren betreiben sollten, hängt von Ihrem Sicherheitsbedürfnis und der Sensibilität der gespeicherten Daten ab. Für ein Tagebuch lohnt sicher nicht der gleiche Aufwand wie für streng geheime Unternehmensdaten.
Und selbst diese Vorsichtsmaßnahmen können unterwandert werden, wenn bösartige Software, etwa softwaretechnische "trojanische Pferde" - kurz "Trojaner", auf Ihrem System läuft, ohne dass Sie es merken und diese Sie bei Eingabe des Passwortes ausspioniert. Es gibt z. B. Software, sogenannte Key-Logger, die jeden Tastendruck aufzeichnen und heimlich per Internet versenden. Um ein System von Trojanern sauber zu halten, muss man eine eiserne Disziplin einhalten, was die Installation von Software betrifft. Fremde Software von unbekannten Herstellern sollten Sie nicht installieren, wenn Sie nicht sicher sind, dass diese sauber ist - auch wenn man Ihre Neugier noch so reizen mag. Eine Anti-Spyware-Anwendung kann helfen, Trojaner ausfindig zu machen und zu eliminieren. Doch ein hundertprozentiger Schutz ist nie gegeben, selbst wenn Sie nichts bewusst installieren, vermag ein Trojaner vielleicht eine Sicherheitslücke im System auszunutzen, durchzuschlüpfen und es zu infizieren.
Auch wenn perfekte Sicherheit nicht möglich ist, sollten Sie wenigstens nicht gegen die elementarsten Grundsätze verstoßen - und damit erreichen Sie dann schon ein gutes Maß an Sicherheit.