Ein Blog rund um Microsoft Windows und allem, was sonst noch so anfällt...

Bitlocker - Keine Chance für Diebe

von Georg Binder 14. May 2008 12:01

Habe wieder Fragen zu Bitlocker bekommen deswegen hier zusätzlich zu den bereits beantworteten (siehe Bitlocker Drive Encryption Fragen und Antworten) noch zusätzliche Information.

Anwendungsfall
Es ist doch interessant, wo überall Rechner wegkommen oder Alt-Geräte statt vernichtet einer genaueren Durchsuchung zugeführt werden. Also Verlust der eigenen Daten durch Datendiebstahl oder durch entwendete oder nicht anonymisierte verkaufte Hardware. Und da braucht man gar keine amerikanischen Zahlen zitieren, auch unsere Insel der Seeligen bleibt nicht verschont. Auch die Politik nicht, alleine im letzten Jahr: bei Ex-Innenminister Strasser, aus dem Lebensministerium, bei der SPÖ, auch die Grünen wurden nicht verschont, ... und wahrscheinlich sind auch Laptops Schossrechner von BZÖ/FPÖ betroffen gewesen. Ich will damit bestimmt niemandem was unterstellen, und dass Information bzw. eMails von diesen Rechnern wenige Tage später in der Presse auftauchen ist natürlich reiner Zufall, bestenfalls Material für Verschwörungstheoretiker.

Aber für Firmen kann dies die Existenz bedeuten. Wenn nicht nur die Hardware verscherbelt wird, sondern die Daten (gezielt) benutzt werden (Finanzdaten, Forschungsergebnisse, Verträge,...) dann ist der Schaden schnell ziemlich hoch. Dass wir davon in der Presse weniger lesen, ist wohl eher dem Umstand zu Verdanken, dass private Firmen nicht eine Pressemeldung herausgeben, wenn die Lücken in der eigenen IT-Sicherheit offensichtlich werden.

Lösung
Bitlocker, welches bei Vista Enterprise und Ultimate verfügbar ist. BitLocker verhindert, dass ein Dieb ein anderes Betriebssystem startet oder ein Tool verwendet und so die Datei- und Systemverschlüsselung von Windows Vista umgeht. Oder anders gesagt: Bitlocker "sitzt" VOR EFS, das zusätzlich natürlich auch noch eingeschalten sein sollte. Im Idealfall nutzt das Feature TPM 1.2 (Trusted Platform Module), um die Daten des Benutzer zu schützen. BitLocker verbessert den Datenschutz, indem es zwei wichtige Aufgaben zusammenführt: Die vollständig Verschlüsselung von Laufwerken und die Integritätsüberprüfung von Komponenten beim Systemstart. Die Laufwerksverschlüsselung schützt die Daten, indem sie verhindert, dass nicht autorisierte Benutzer diese Daten lesen. Sie erreicht dies, indem Sie das gesamte Windows-Volumen verschlüsselt - inklusive der Auslagerungsdatei und der Datei für den Ruhezustand. Die Integritätsprüfung beim Systemstart führt dazu, dass eine Datenentschlüsselung nur dann stattfindet, wenn die entsprechenden Komponenten unverändert und nicht kompromittiert sind und sich das verschlüsselte Laufwerk im entsprechenden Computer befindet. Sprich "ausbauen" oder von einem anderen Volume booten funktioniert nicht.

Frage: Braucht es einen TPM Chip?
Nein, nicht zwingend. Für maximale Sicherheit ja (am besten noch plus Start-up Key & PIN), aber es geht auch, indem man den Key auf einen USB Stick speichert. Wie man entsprechende Gruppenrichtlinien dazu setzt steht hier beschrieben: Windows BitLocker Drive Encryption Step-by-Step Guide.

Frage: Kann Bitlocker erst nachträglich installiert werden? Verliere ich dann meine Daten/Programme?
Ja, kann man, nein verliert man nicht. Ein Backup ist natürlich anzuraten. Es gibt das Bitlocker-Laufwerkvorbereitungstool, das die Repartitionierung der Festplatte übernimmt (es wird eine neue Bootpartition erstellt, anschließend wird die Systempartition (und seit SP1 auch Datenpartitionen) verschlüsselt.

bitlocker_drive_preparation

Das neue Laufwerk selbst ist nicht verschlüsselt, enthält WindowsPE und kann damit für Recovery Tools benutzt werden (NICHT für Daten).

Mehr Information:
Daniel Melanchton hat einen echNet Webcast Windows Bitlocker - Laufwerkverschlüsselung in Windows Vista RTM, SP1 & Windows Server 2008 aufgezeichnet, wo er die technischen Möglichkeiten von Bitlocker (Vista RTM & SP1 und Server 2008) zeigt, gespickt mit Demos.

Und er bietet viele brauchbare Links:

Quelle (Anmerkung - ist generell ein sehr empfehlenswerter Blog!):
Nachlese: Windows Bitlocker - Laufwerkverschlüsselung in Windows Vista RTM, SP1 & Windows Server 2008

 

Comments (9) -

>

5/14/2008 12:01:00 PM#

Ja natürlich sieht Bitlocker das als Kompromitierung, ist ja auch Sinn dahinter. Woher soll Bitlocker wissen, ob das Mainboard kaputt geht beim richtigen User oder der böse Dieb die Platte ausgebaut hat. Mit einer Rückfrage "Wollen Sie wirklich?" Smile

Deswegen gibt es einen Recovery Key, den man z.B. im Active Directory aufbewahren kann, sodass eine Entschlüsselung auch dann möglich ist.

Ohne Recovery Key ist es das gewünschte Ergebnis, eine Bitlocker-verschlüsselte Platte kann man beruhigt bei eBay verkaufen...

Georg Binder | Reply

>

5/14/2008 12:01:00 PM#

Utimcao hat schon einen anderen Umfang als Bitlocker - stößt sich aber daran nicht, ganz im Gegenteil:
www.utimaco.de/.../W278GEE7053OBELDE

Aber ich glaube nicht, dass es da ein "richtig" und "falsch" gibt, eher: wie groß ist das Sicherheitsbedürfnis, wie groß ist das Budget?

Georg Binder | Reply

>

5/14/2008 12:01:00 PM#

Nicht zwingend. Wie so oft gibt es was, das gratis ist, was ein bisserl kostet und etwas teures. Ein kleiner Vergleich:

http://www.truecrypt.org
Für Home User oder Einzel-Firma kann man TrueCrypt in Erwägung ziehen.
Vorteil: Kostenlos, Schnell einsetzbar, auch XP
Nachteil: Keine Management Tools (deshalb für den Firmeneinsatz unbrauchbar)

Bitlocker
Zielgruppe ganze Firmen (Enterprise Version) bzw. Einzelplatz (Ultimate).
Vorteil: integriert, Management Tools (Group Policies, Password Recorvery)
Nachteil: Nur Vista (was ich jetzt nicht so als Nachteil sehe), Software Assurance für Enterprise erforderlich (oder Ultimate)

Spezialsoftware wie z.B. von http://www.utimaco.de/
Vorteil: Kann mehr.
Nachteil: Kostet mehr.

Also, das war kein in die Tiefe gehender Vergleich jetzt, aber ich glaube im Kern trifft es.

Georg Binder | Reply

>

5/14/2008 12:01:00 PM#

Hi,

also ich habe ein Mainboard mit einem TPM Chip (aber leider nur Business), wenn ich jetzt BitLocker benutzen könnte (angenommen ich habe Ulitmate) und mein Mainboard oder andere Komponenten würden kaputt gehen. Sieht BitLocker das dann als Kompromittierung, und entschlüsselt die Daten dann nicht?

Das wär ja quasi der super Gau, trotz Backup usw. sind die Daten weg.

Andreas | Reply

>

5/14/2008 12:01:00 PM#

Okay es gibt einen Recovery Key. Dann ist ja alles in Ordnung!

Andreas | Reply

>

5/14/2008 12:01:00 PM#

...die dann auch was kosten darf? Also warum nicht gleich zur Ultimate greifen? Wink

Grogoth | Reply

>

5/14/2008 12:01:00 PM#

Utimaco hat für Standalones keine Unterstützung für Vista.

Für Enterprise gibt es aber Vista Unterstützung. Hierbei brauch man aber einen Serverdienst von Utimaco.

Meine Frage: Wieso dann überhaupt noch Utimaco nutzen, wenn man nicht gleich komplett zum Bitlocker wechseln kann?

DB | Reply

>

5/14/2008 12:01:00 PM#

Ist mit Sicherheit ein nettes Feature von Vista. Nur ist es schade, dass es das nur bei Vista Enterprise und Ultimate gibt.
Dadurch bleibt allen anderen Vista-Benutzern leider nur die Alternative eine Fremdsoftware dafür zu verwenden.

Tom | Reply

>

5/14/2008 12:01:00 PM#

@Georg Binder:
Das Sicherheitsbedürfnis ist bei kleinen Firmen genauso so hoch wie bei Großen.

In diese Richtung ging eigentlich meine Aussage.

Utimaco unterstützt seit der Einführung von SafeGuard Enterprise keine "kleinen mittelständige Unternehemen" mehr.

Bei SafeGuard Enterprise liegt die Mindestabnahme bei 50 Nodes.
Zusätzlich benötigt man noch einen Verwaltungsserver.

Obendrin ist das ganze nicht so schön nahtlos integriert wie der BitLocker.

DB | Reply

Pingbacks and trackbacks (1)+

>

6/28/2009 5:44:11 PM#

Du sollst BitLocker verwenden.

Du sollst BitLocker verwenden.

windowsblog.at | Reply

Add comment

  Country flag

biuquote
Loading

Datenschutzhinweis: Sie stimmen durch "Kommentar speichern" der Speicherung Ihrer Angaben durch Microsoft Österreich für die Beantwortung der Anfrage zu. Sie erhalten dadurch keine unerwünschten Werbezusendungen. Ihre Emailadresse wird auf Ihren Wunsch dazu verwendet Sie über neue Kommentare zu informieren.

Microsoft respektiert den Datenschutz. Datenschutz & Cookies