Speichert ein Disk-Encryption Produkt die Schlüssel auf der Festplatte des Rechners, besteht für einen Angreifer prinzipiell die Möglichkeit den Schlüssel z. B. mit Hilfe eines Trojaners vom System zu lesen, solange sich das Gerät noch im Besitz des tatsächlichen Besitzers befindet.

Mit Hilfe des so erbeuteten Schlüssels könnte ein Angreifer, nachdem er die Festplatte in seinen Besitz gebracht hat, diese entschlüsseln und so auf die Daten zugreifen.

Besser sind daher Lösungen, bei denen der Schlüssel auf externen Datenträgern gespeichert wird. Hier sind vor allem Smart-Cards oder sogenannte USB-Tokens zu nennen, die bei Anwendern einen hohen Akzeptanzgrad erzielen und die - bei entsprechender Implementierung - einen relativ hohen Sicherheitsstandard bieten. Gleichzeitig wird hierdurch eine sogenannte "2 factor authentification" erreicht: "Something you know" (die PIN für die Smartcard) "and something you own" (die Smartcard oder das Token an sich). Zukünftig werden an dieser Stelle biometrische Mechanismen verstärkt Einsatz finden.

Wie werden die Schlüssel verwaltet?

Kauft sich nun ein verantwortungsbewusster Mitarbeiter eine Disk-Encryption Software und verwendet diese, ohne dass das Schlüsselmanagement in irgendeiner Weise zur Organisation passt, bringt das auch nichts: Widerfährt diesem Mitarbeiter ein schlimmer Unfall oder steht er aus anderen Gründen nicht mehr dem Unternehmen zur Verfügung, sind die verschlüsselten Daten in der Regel unwiderruflich verloren. Sorgt der Mitarbeiter für diesen Fall vor, z. B. in dem er die Schlüssel an der Rückseite, der hinterletzten Schublade seines Schreibtisches deponiert, passt dies sicher nicht zum Sicherheitsbedürfnis des Unternehmens.

Abhilfe schaffen nur Lösungen, bei denen eine vom Administrator oder besser der Geschäftsführung vorgeschriebene Richtlinie zum Umgang mit den verschlüsselten Daten umgesetzt werden kann. Auf diese Weise kann gewährleistet werden, dass Zweitschlüssel an einer sicheren Stelle deponiert werden und nur bestimmtem Personal zugänglich sind.

Wie Benutzerfreundlich ist das Verschlüsselungsprodukt?

Diese Frage ist gleichbedeutend mit der Frage: "Welche Anwender-Akzeptanz erreicht ein Produkt?" Das beste Produkt nützt nichts, wenn Benutzer übermässig beeinflusst werden. Ist das der Fall, suchen sie automatisch Möglichkeiten den Mechanismus zu "überlisten" und werden normalerweise auch fündig, denn jedes Sicherheitssystem ist nur so gut wie die Leute, die damit umgehen.

Gefragt sind also Lösungen, von denen die Benutzer eigentlich gar nichts mitbekommen. Weder hinsichtlich einer Einschränkung der Funktionalität, noch der Beeinflussung der Performance des Systems.