Zentrales Management für BitLocker

BitLocker businesstauglich machen

| Autor / Redakteur: Ralf Kaiser / Peter Schmitz

Microsoft hat mit BitLocker eine leistungsfähige Full Disk Encryption (FDE) direkt in Windows integriert. Das für Unternehmen wichtige Management der Verschlüsselung funktioniert aber nur mit Zusatztools reibungslos.
Microsoft hat mit BitLocker eine leistungsfähige Full Disk Encryption (FDE) direkt in Windows integriert. Das für Unternehmen wichtige Management der Verschlüsselung funktioniert aber nur mit Zusatztools reibungslos. (Bild: Maksim Kabakou - Fotolia.com, BitTruster)

Der Verlust oder Diebstahl von Endgeräten ist heute leider längst Alltag. Festplattenverschlüsselung mit BitLocker, schützt sensible Unternehmensdaten vor unbefugtem Zugriff. Das Management der in Windows integrierten Verschlüsselungslösung kann je nach Unternehmensgröße kompliziert sein, muss es aber nicht.

Hat ein Datendieb erst einmal physischen Zugriff auf ein Notebook, Tablet oder einen Desktop-PC, sind die üblichen Schutzmechanismen von Windows & Co. hinfällig: Eine Boot- oder Diagnose-CD-ROM hebelt Passwörter und Dateizugriffsberechtigungen ganz leicht aus.

Wertvolle Unternehmensdaten, sensible personenbezogene Daten und andere geheime Informationen sind nun problemlos auslesbar. Eine Verschlüsselung der Festplatte hätte das Schlimmste verhindern können. Denn wer den entsprechenden Schlüssel nicht kennt, hat keine Chance, innerhalb akzeptabler Zeit an irgendwelche Informationen zu gelangen.

BitLocker Laufwerksverschlüsselung als TrueCrypt-Ersatz

Datenverschlüsselung mit Windows-Bordmitteln für HDD und USB-Stick

BitLocker Laufwerksverschlüsselung als TrueCrypt-Ersatz

02.06.14 - Die BitLocker-Laufwerks-Verschlüsselung ist in Windows 7/8 eine effiziente Möglichkeit Datenverlust vorzubeugen, für den Fall, dass Notebooks in falsche Hände gelangen. Interessant wird das Thema, da die Entwickler der bekannten Verschlüsselungs-Software TrueCrypt die Weiterentwicklung eingestellt haben und zur Verwendung des Microsoft-Verschlüsselungssystems raten. lesen

Schäden durch Datenverluste gehen schnell in die Millionen, allen voran Umsatzeinbußen aufgrund der Veröffentlichung des Vorfalls, aber auch die Kommunikation mit Betroffenen kostet viel Geld. Festplattenverschlüsselung ist also aus Sicht von Administratoren und Sicherheitsbeauftragten erste Pflicht, allein schon mit Blick auf eventuelle Haftungsfragen.

Verschlüsselung mit Bordmitteln

Früher musste man mangels Alternativen auf Verschlüsselungslösungen von Drittanbietern zurückgreifen. In den letzten Jahren hat sich Microsofts integrierte Verschlüsselung BitLocker als bessere Wahl herausgestellt. Die Vorteile liegen auf der Hand: BitLocker ist seit Windows Vista in die Ultimate-Editionen integriert und bei Windows 8 bereits ab der Professional-Edition ohne Zusatzkosten enthalten. Darüber hinaus führt die werksseitige Integration in das Betriebssystem dazu, dass die Lösung störungsfrei und performance-optimiert läuft.

Im Zusammenspiel mit dem TPM-Chip entsteht ein Schutz, der den Zugriff auf sensible Daten ohne das Windows Passwort verhindert. Wem dies als Sicherheitsanforderung nicht reicht, dem steht es frei, zusätzlich eine PIN für den Zugriff auf das Gerät festzulegen. Das BSI hat einen Leitfaden für den sicheren Betrieb von BitLocker herausgegeben.

Sichere Verschlüsselung durch sichere Schlüsselverwaltung

Der Einsatz von BitLocker Verschlüsselung in Unternehmen stellt allerdings eine ziemliche Herausforderung dar. Sie liegt im Management des jeweiligen Verschlüsselungsstatus und aller zugehöriger Schlüssel. Microsoft bietet serienmäßig nur die Möglichkeit, Wiederherstellungskennwörter im AD abzulegen, allerdings kann ihr Einsatz zur Sicherheitslücke werden. Zur Notfallwiederherstellung erforderliche Informationen fehlen komplett.

Erst durch eine systematische Schlüsselverwaltung, die neben der sicheren Verwahrung auch Mechanismen zur Wiederherstellung und zur automatischen Schlüsseländerung vorsieht, wird Festplattenverschlüsselung zur sicheren Sache. Nur so ist gewährleistet, dass der Betrieb durch schnelle und vollständige Wiederherstellungsmaßnahmen nicht gestört wird.

Außerdem werden die einmalig zur Kenntnis gelangten Kennwörter nicht zum dauerhaften Freifahrtschein für den Zugriff auf sensible Daten, denn sie werden nach Nutzung umgehend ausgetauscht. Hier sind bereits interessante Lösungen auf dem Markt, etwa von BitTruster, einem IT-Thinktank aus Wiesbaden.

Zentrales Monitoring mit Problemen

Was nützt Festplattenverschlüsselung, wenn nicht alle Systeme in diese Sicherheitsmaßnahme eingebunden sind? Die Antwort fällt ernüchternd aus: absolut nichts. Am Anfang muss deshalb im Unternehmen die Auseinandersetzung mit dem Thema Sicherheit und den verbundenen Risiken stehen. Erst wenn Business und IT sich über notwendige Sicherheitsrichtlinien und -prozesse einig sind, ist der Weg frei für lückenlosen Schutz der Unternehmensdaten.

Einfaches BitLocker Management

Microsoft BitLocker mit BitTruster 3.5 verwalten

Einfaches BitLocker Management

22.07.14 - BitTruster, das praktische Management-Tool für Microsoft BitLocker Festplatten-Verschlüsselung, vom deutschen Softwareunternehmen BitTruster GmbH gibt es jetzt in der neuen Version 3.5. Die neue Version entlastet vor allem durch ein Self-Help-Portal den Helpdesk bei Fragen nach einem vergessenem Kennwort. lesen

Abhilfe könnte ein zentrales Monitoring schaffen, doch hier mangelt es meist an praktikablen Lösungen. Häufig ist zur Überwachung und Steuerung der Verschlüsselung ein lokaler Client auf den einzelnen Geräten erforderlich, der den Status an eine zentrale Datenbank meldet. Aber was passiert, wenn ein Client eine Störung hat und nicht mehr von allein den Status weitergibt? Oder wenn er gar nicht erst installiert wurde?

Lücken im BitLocker-Management schließen

Wie man sieht, gibt es Lücken im Management von BitLocker, die es zu schließen gilt. Hilfreich sind Lösungen, die den Status der Clients zentral abfragen und den Administrator informieren, wenn bei einem Computer über längere Zeit der Verschlüsselungsstatus nicht eingeholt werden konnte.

Hierzu gibt es Lösungsansätze wie etwa von BitTruster, die ohne eine Client-Installation auf den zu schützenden Computern auskommen. Dadurch wird nicht nur der administrative Aufwand geringer, auch die Fehleranfälligkeit sinkt. Durch zentrale Steuerung und Monitoring aller Computer entsteht ein lückenloses Bild des Verschlüsselungsstatus aller Systeme und Geräte.

Mit Hilfe von Richtlinien kann ohne großen Aufwand der Schutz der Unternehmensdaten realisiert und gepflegt werden. Da diese Lösung nur einer einzigen Server-Komponente bedarf, ist auch die Installation eines Test- oder auch Produktivsystems relativ simpel. Für Unternehmen, bei denen bereits BitLocker ohne übergeordnetes Management läuft, bietet BitTruster mit einem Monitoring-Modus eine bequeme Möglichkeit, den Status aller bisher verschlüsselten Geräte auf einen Blick zu erfassen. Alle Systeme, die nicht ordnungsgemäß geschützt sind, werden sofort sichtbar, bereits geschützte Geräte können nahtlos übernommen werden.

Benutzer helfen sich bei Passwortverlust selbst

Dass Benutzer ihre PIN oder ihr Passwort vergessen, passiert immer wieder. Bei einer Standard BitLocker Implementierung muss sich der Administrator einschalten und ein 48-stelliges Wiederherstellungskennwort herausgeben. Es gibt jedoch Managementsysteme wie das von BitTruster, bei denen dies einfacher geht, und zwar ohne Preisgabe des Kennworts.

Sollte es trotzdem benötigt werden, ersetzt das Managementsystem alle Wiederherstellungsgeheimnisse nach ihrer Verwendung automatisch. Dadurch wird verhindert, dass diese bekannt gewordenen Informationen zu einem späteren Zeitpunkt erneut verwendet werden. Gleiches gilt auch für alle anderen zur Notfallwiederherstellung erforderlichen Informationen.

Beim bereits genannten Management-Tool BitTruster stehen dem Benutzer auch noch weitere Möglichkeiten offen. So kann er mit dem SelfHelp-Portal der Version 3.5 sogar via Browser von seinem Smartphone aus die PIN seines Computers ändern oder seinen Computer als gestohlen melden.

Über den Autor: Ralf Kaiser ist Geschäftsführer der BitTruster GmbH.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42860718 / Verschlüsselung)