Wirksamer Datenschutz dank BitLocker
Der Trend zur mobilen Arbeit ist nach wie vor ungebrochen. Die Zeiten, in denen Unternehmen teure Laptops als mobile Büros nur wenigen Mitarbeitern zur Verfügung stellten sind definitiv vorbei. Heute wird der Einsatz von mobilen Endgeräten wie Notebooks, Tablets oder Convertibles in den Unternehmen immer beliebter und selbstverständlicher. Doch damit einhergehend gewinnt die Absicherung mobiler Systeme immer mehr Bedeutung. Zentrales Gerätemanagement, Antivirus Software und der Einsatz einer Firewall sind gängige Features zur Absicherung der Geräte. Aber wie können die gespeicherten Daten wirksam geschützt werden? Insbesondere dann, wenn das System verloren geht oder gestohlen wird. In vielen Fällen wird noch nicht einmal eine Anmeldung benötigt, um Zugriff auf die gespeicherten Daten eines Systems zu erhalten. In diesem Fall wäre nur eine starke Festplattenverschlüsselung ein wirksamer Datenschutz. Für Windows Systeme ist die Festplattenverschlüsselung Bestandteil des Betriebssystems.
BitLocker Drive Encryption
Seit Windows Vista und Windows Server 2008 steht mit BitLocker (Bitlocker Drive Encryption BDE) eine betriebssystemeigene Sicherheitsfunktion zur Verfügung, mit der der Inhalt von NTFS-Laufwerken - mit AES als Verschlüsselungsmethode – wirksam verschlüsselt werden kann. Mit Windows 7 wurden die Möglichkeiten und Fähigkeiten deutlich ausgeweitet. Konnte man unter Vista weder die Betriebssystempartition noch mobile Festplatten/USB-Sticks verschlüsseln, können jetzt alle Laufwerke verschlüsselt werden.
BitLocker beruht auf der Trusted-Computing-Technik. Das Trusted Platform Module (TPM) - Hardware Bestandteil der Trusted-Computing-Technik - ist ein Mikrochip, der grundlegende, sicherheitsbezogene Funktionen bereitstellt, hauptsächlich unter Einbezug von Verschlüsselungsschlüsseln. Informationen, die im TPM gespeichert werden, sind vor externen Softwareangriffen und physikalischem Diebstahl besser geschützt. Mit dem TPM ist ein System in der Lage, Kryptografieschlüssel zu erstellen und diese so zu verschlüsseln, dass sie nur durch das TPM wieder entschlüsselt werden können. Durch diese "Schlüsselverschlüsselung" wird ein Offenlegen des Schlüssels verhindert. Jedes TPM verfügt über einen Masterschlüssel zur Verschlüsselung, den so genannten Speicherstammschlüssel (Storage Root Key, SRK), der im TPM selbst gespeichert wird. Der private Teil eines im TPM erstellten Schlüssels wird weder für eine Software, einen Prozess oder eine Person offengelegt.
BitLocker verwendet das TPM zum Sperren des Verschlüsselungsschlüssels, der die Daten auf einem Volume schützt. Nur wird nicht einfach ein Schlüssel erstellt, sondern dieser Schlüssel wird zusätzlich an bestimmte Hardware- oder Softwarebedingungen gebunden, was auch als „Schlüssel-Versiegelung“ bezeichnet wird. Wenn bei der Inbetriebnahme von BitLocker ein versiegelter Schlüssel zum ersten Mal erstellt wird, zeichnet das TPM einen Snapshot der Konfigurationswerte und Dateihashes vom System auf. Ein versiegelter Schlüssel wird nur entsiegelt oder freigegeben, wenn die aktuellen Systemwerte mit denen im Snapshot übereinstimmen. Als Nebeneffekt behindert BitLocker somit auch Angriffe auf die Integrität des Betriebssystems.
Durch das Verschlüsseln eines gesamten Volumes werden alle Daten geschützt, einschließlich des Betriebssystems, der Windows-Registrierung, temporärer Dateien und der Ruhezustandsdatei. Da die zum Entschlüsseln der Daten erforderlichen Schlüssel im TPM gesperrt bleiben, kann kein Angreifer die Daten, durch einfaches Ausbauen der Festplatte und anschließender Installation in einem anderen Computer, lesen. Der Zugriff auf das TPM kann zusätzlich abgesichert werden. Entweder durch eine PIN zur Authentifizierung oder mit einem Startschlüssel, der auf einem USB-Flashlaufwerk gespeichert ist.
BitLocker kann auch ohne einen TPM verwendet werden. Hierzu muss allerdings das Standardverhalten des BitLocker-Setup-Assistenten mithilfe einer Gruppenrichtlinie geändert oder durch den Einsatz eines Skripts konfiguriert werden. Der erforderliche Verschlüsselungsschlüssel wird in diesem Szenario auf einem USB-Flashlaufwerk gespeichert. Dieses Laufwerk muss zum Entsperren der gespeicherten Daten mit dem System verbunden sein.
BitLocker-Wiederherstellungsschlüssel
Bei der ersten Verwendung von BitLocker wird nicht nur der Verschlüsselungsschlüssel für das zu verschlüsselnde Laufwerk im TPM erstellt, sondern auch der BitLocker-Wiederherstellungsschlüssel. Der Wiederherstellungsschlüssel gewährleistet den Zugriff auf das System, wenn BitLocker eine Bedingung erkannt hat, die das Entsperren des Laufwerks beim Start des Computers verhindert; wenn also die gespeicherte Systemkonfiguration im TPM nicht mehr mit der aktuellen Konfiguration übereinstimmt. Der BitLocker-Wiederherstellungsschlüssel sollte getrennt vom eigentlichen System aufbewahrt werden. Entweder in ausgedruckter Form auf Papier sowie als Datei, die entweder auf einem externen Datenträger oder auf einem anderen System gespeichert ist. Sind die mit BitLocker verschlüsselten Computersysteme Mitglied einer Active Directory Domäne (AD), kann der Wiederherstellungsschlüssel direkt in den Eigenschaften zum Computerobjekt gesichert werden; vorausgesetzt das AD wurde hierfür entsprechend vorbereitet.
Für Unternehmenskunden mit einem Enterprise Agreement steht im Microsoft Desktop Optimization Pack (MDOP) das „Microsoft BitLocker-Administration and Montitoring Kit (MBAM)“ zur Verfügung. Diese Verwaltungslösung bietet eine Reihe von zusätzlichen Funktionen für BitLocker und „BitLocker To Go“. MBAM vereinfacht die Bereitstellung und Schlüsselwiederherstellung, bietet eine zentralisierte Überwachung und Berichterstellung zur Richtlinientreue und minimiert die Kosten für Bereitstellung und Unterstützung verschlüsselter Laufwerke in einem Unternehmen.
BitLocker To-Go
BitLocker To-Go ist dagegen die BitLocker-Laufwerkverschlüsselung für Wechseldatenträgern. Diese umfasst die Verschlüsselung von USB-Speichern, SD-Karten, externen Festplattenlaufwerken und anderen Laufwerken, die mit dem Dateisystem NTFS, FAT16, FAT32 oder exFAT formatiert sind. War dieses Feature unter Windows 7 nur der Enterprise/Ultimate Edition vorbehalten, hat es mit Windows 8 auch in den Business Editionen Einzug erhalten.
Neue BitLocker Features mit Windows 10
Mit Windows 10 wurden auch für BitLocker einige neue Erweiterungen implementiert. Hierzu zählen die bessere Integration mit Azure Active Directory, DMA Port Protection und neue Gruppenrichtlinien für die Konfiguration des Prä-Boot Bildschirm. Mit dem Release 1511 wird dann auch ein neuer Verschlüsselungs-Algorithmus XTS-AES unterstützt.
Quellen: Microsoft