Bitlocker – Keine Chance für Diebe

Habe wieder Fragen zu Bitlocker bekommen deswegen hier zusätzlich zu den bereits beantworteten (siehe Bitlocker Drive Encryption Fragen und Antworten) noch zusätzliche Information.

Anwendungsfall
Es ist doch interessant, wo überall Rechner wegkommen oder Alt-Geräte statt vernichtet einer genaueren Durchsuchung zugeführt werden. Also Verlust der eigenen Daten durch Datendiebstahl oder durch entwendete oder nicht anonymisierte verkaufte Hardware. Und da braucht man gar keine amerikanischen Zahlen zitieren, auch unsere Insel der Seeligen bleibt nicht verschont. Auch die Politik nicht, alleine im letzten Jahr: bei Ex-Innenminister Strasser, aus dem Lebensministerium, bei der SPÖ, auch die Grünen wurden nicht verschont, … und wahrscheinlich sind auch Laptops Schossrechner von BZÖ/FPÖ betroffen gewesen. Ich will damit bestimmt niemandem was unterstellen, und dass Information bzw. eMails von diesen Rechnern wenige Tage später in der Presse auftauchen ist natürlich reiner Zufall, bestenfalls Material für Verschwörungstheoretiker.

Aber für Firmen kann dies die Existenz bedeuten. Wenn nicht nur die Hardware verscherbelt wird, sondern die Daten (gezielt) benutzt werden (Finanzdaten, Forschungsergebnisse, Verträge,…) dann ist der Schaden schnell ziemlich hoch. Dass wir davon in der Presse weniger lesen, ist wohl eher dem Umstand zu Verdanken, dass private Firmen nicht eine Pressemeldung herausgeben, wenn die Lücken in der eigenen IT-Sicherheit offensichtlich werden.

Lösung
Bitlocker, welches bei Vista Enterprise und Ultimate verfügbar ist. BitLocker verhindert, dass ein Dieb ein anderes Betriebssystem startet oder ein Tool verwendet und so die Datei- und Systemverschlüsselung von Windows Vista umgeht. Oder anders gesagt: Bitlocker „sitzt“ VOR EFS, das zusätzlich natürlich auch noch eingeschalten sein sollte. Im Idealfall nutzt das Feature TPM 1.2 (Trusted Platform Module), um die Daten des Benutzer zu schützen. BitLocker verbessert den Datenschutz, indem es zwei wichtige Aufgaben zusammenführt: Die vollständig Verschlüsselung von Laufwerken und die Integritätsüberprüfung von Komponenten beim Systemstart. Die Laufwerksverschlüsselung schützt die Daten, indem sie verhindert, dass nicht autorisierte Benutzer diese Daten lesen. Sie erreicht dies, indem Sie das gesamte Windows-Volumen verschlüsselt – inklusive der Auslagerungsdatei und der Datei für den Ruhezustand. Die Integritätsprüfung beim Systemstart führt dazu, dass eine Datenentschlüsselung nur dann stattfindet, wenn die entsprechenden Komponenten unverändert und nicht kompromittiert sind und sich das verschlüsselte Laufwerk im entsprechenden Computer befindet. Sprich „ausbauen“ oder von einem anderen Volume booten funktioniert nicht.

Frage: Braucht es einen TPM Chip?
Nein, nicht zwingend. Für maximale Sicherheit ja (am besten noch plus Start-up Key & PIN), aber es geht auch, indem man den Key auf einen USB Stick speichert. Wie man entsprechende Gruppenrichtlinien dazu setzt steht hier beschrieben: Windows BitLocker Drive Encryption Step-by-Step Guide.

Frage: Kann Bitlocker erst nachträglich installiert werden? Verliere ich dann meine Daten/Programme?
Ja, kann man, nein verliert man nicht. Ein Backup ist natürlich anzuraten. Es gibt das Bitlocker-Laufwerkvorbereitungstool, das die Repartitionierung der Festplatte übernimmt (es wird eine neue Bootpartition erstellt, anschließend wird die Systempartition (und seit SP1 auch Datenpartitionen) verschlüsselt.

bitlocker_drive_preparation_cf75bd18-633f-4508-9358-9f8e35e46330

Das neue Laufwerk selbst ist nicht verschlüsselt, enthält WindowsPE und kann damit für Recovery Tools benutzt werden (NICHT für Daten).

Mehr Information:
Daniel Melanchton hat einen echNet Webcast Windows Bitlocker – Laufwerkverschlüsselung in Windows Vista RTM, SP1 & Windows Server 2008 aufgezeichnet, wo er die technischen Möglichkeiten von Bitlocker (Vista RTM & SP1 und Server 2008) zeigt, gespickt mit Demos.

Und er bietet viele brauchbare Links:

Quelle (Anmerkung – ist generell ein sehr empfehlenswerter Blog!):
Nachlese: Windows Bitlocker – Laufwerkverschlüsselung in Windows Vista RTM, SP1 & Windows Server 2008

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s