Sicherheitsleck Temporär-Verzeichnis

Wer mit dem Laptop unterwegs ist und sensible Daten damit herumträgt, sollte unter Windows 8 diese Daten verschlüsseln. Dabei sollte aber ein Hilfsordner bedacht werden, den Windows für viele Vorgänge benötigt.

In Windows gibt es zwei „Hilfs­pfade“ für Programme, die in temporäre Verzeichnisse führen. Typischer­weise sind das

 %USERPROFILE%\AppData\Local\Temp
  %SystemRoot%\TEMP   

Der erste Pfad ist „mehrere“, denn für jeden Benutzer gibt es einen eigenen temporären Pfad. Hier zeigt sich schon das Problem: Das System verteilt temporäre Information über den Rechner, die während der Bearbei­tung entsteht. Diese Ordner liegen irgendwo in den System­ver­zeichnissen, also dort, wo neben dem erst mal finden müssen verschlüsseln aufgrund eingeschränkter Rechte mühsam ist.

Bequem, einfach und sicher ist das anpassen der Pfade in ein Verzeichnis, dass sich gut erreichen lässt und idealerweise auf der ver­schlüs­selten Partition befindet. Dann kann niemand in den temporären Daten schnüffeln und das Verzeichnis lässt sich ggf. einfach leeren.

Der Weg dahin

  1. Explorer öffnen
  2. Rechtsklick auf „Dieser PC“
  3. Linksklick „Eigenschaften“
  4. Linksklick „Erweiterte System­einstel­lungen“ (links im Menü)
  5. Reiter „Erweitert“ Knopf unten „Um­gebungs­variablen“

Im zweigeteilten Dialog gibt es oben den Eintrag für den aktuellen Benutzer und unten den für das System. Bei mir ist „D“ verschlüsselt, das bedeutet, selbst wenn ich das temporäre Verzeichnis nicht lösche, sind die Daten ggf. geschützt.

Nicht wasserdicht!

Wenn der Rechner „richtig dicht“ sein soll, muss auch das Laufwerk des Betriebs­systems verschlüsselt werden. Aller­dings ziert sich Windows da (zumindest bei mir) regelmäßig. Was durchaus o.k. ist, denn ein Windows-Rechner, der sich dann gar nicht mehr starten lässt, nützt auch dem Besitzer nicht.

Bei gut organisierter Installation der Programme ist ein verschlüs­seltes Windows-Laufwerk jedoch nicht zwingend erforderlich; dort liegen dann allenfalls Programm-Daten, die bei den Herstellern typischer­weise frei herunter geladen werden können. Allenfalls die Serien­nummer wäre auslesbar, das ist aber eher selten bis nie das Ziel von Daten­dieben. Darüber hinaus ist es definitiv nicht die erste Sorge beim Verlust sensibler Daten.

Fatalerweise speichern diverse Programme jedoch schützens­werte Daten explizit in der Windows-Struktur, allen voran (als Beispiel) das Mail­programm Thunderbird. Die E-Mails liegen — bei einer üblichen Installation im Benutzer­verzeichnis. Im aktuellen Thunderbird kann dieses Verzeichnis mittler­weile eingestellt werden. Es lässt sich damit einfach auf die verschlüsselte Platte verschieben, fertig. Dass sich damit die Datensicherung der „individuellen Daten“ ebenfalls vereinfacht, sei nur am Rande bemerkt.

Es gibt diverse Programme, die Daten ins Benutzer­verzeichnis ablegen. Das ist grundsätzlich o.k., denn dieses Verzeichnis ist bei mehreren Nutzern typischer­weise ein bisschen geschützt. Als Administrator komme ich aber problemlos hinein und kann alles ansehen. Deshalb muss auf einem Laptop der Benutzer­pfad untersucht werden, ob dort von Programmen sensible Daten abgelegt werden, die umgeleitet werden müssen.

Ein mögliches Problem kann sein, dass manche Programme ein Temporär­verzeichnis benötigen und unleidlich darauf reagieren, wenn sie gestartet werden und das verschlüsselte Verzeichnis noch abgeschlossen ist. Dazu habe ich keine konkreten Erfahrungswerte, bin aber für Hinweise empfänglich.