Bitlocker Verschlüsselung

header news Cyber Security Training 2021

Alles spricht von Verschlüsselung - are you ready?

Am Heimweg haben Sie Ihren Firmencomputer in der Tasche, kurz trifft man sich noch mit Freunden - und schon ist's passiert. Die Tasche wurde gestohlen und der Computer ist weg. Auf Nimmerwiedersehen. Wer so etwas schon mal erlebt hat, weiß, dass nun eine Vielzahl verschiedener Gedanken durch den Kopf braust. Einerseits ist der Hardware-Verlust und die Erklärung gegenüber dem Arbeitgeber und der Versicherung, wie das passieren konnte, schon eine unangenehme Situation. 

Aber der Folgegedanke lässt so manchem das Blut in den Adern gefrieren. "Was ist alles auf diesem Gerät gespeichert und wer bekommt jetzt möglicherweise Zugriff auf diese Daten?"

 

Im ersten Moment neigen viele dazu, das Problem zu verharmlosen. Was soll da auch schon groß drauf sein? Ein paar Emails, ein paar Word-Dokumente. Vielleicht noch ein paar Fotos, die man jetzt nicht so unbedingt in der Öffentlichkeit wissen will. Das war's auch schon. 

 

Aber überlegen wir uns die Sache mal genauer. Wenn jemand Zugriff auf Ihren Computer bekommt und dieser Jemand ist ein IT-Experte mit bösen Absichten, dann bekommt dieser Jemand viel mehr als Emails und Dokumente und Dateien aus Ihrem Computer heraus.

 

Das Anmeldekennwort Ihres Computers stellt keine große Hürde dar. Danach werden alle möglichen Zugangskennungen ausgelesen, die auf Ihrem Rechner gespeichert sind. Das können Microsoft 365 Zugänge, Email-Passwörter, Anmeldepasswörter von Webseiten (kurze Zwischenfrage - haben Sie das Amazon Webshop-Passwort vielleicht im Browser gespeichert? na? ehrlich jetzt...!) und so manches mehr. Dass die Passwörter der sich automatisch verbindenden WLANs auch ausgelesen werden können, ist Ihnen natürlich in diesem Moment auch sofort klar. Das heißt, Ihr Notebook ist eigentlich eine ganz schöne Datenschleuder, wenn's jemand darauf anlegt. 

Rein rechtlich betrachtet, ist der Diebstahl nun nicht nur der Polizei zu melden, sondern auch der Datenschutzbehörde. Mit an Sicherheit grenzender Wahrscheinlichkeit sind darauf personenbezogene Daten gespeichert, die nun in fremden Händen sind.

 

Was kann man dagegen tun? Gibt es einen Schutz?

Die kurze und schnelle Antwort lautet: JA, den gibt es.

Aber alles mal der Reihe nach...:

So mancher würde jetzt gleich mal den Ratschlag erteilen: Bitlocker-Verschlüsselung einschalten und gut ist's. - IRRTUM

 

Bitlocker

Seit der Enterprise-Version von Windows 7 und für alle Nachfolge-Versionen (also Windows 8, 8.1, 10 und 11) bietet Microsoft die sogenannte Bitlocker-Verschlüsselung für alle möglichen Datenträger an. So auch für in Notebooks oder Standgeräte eingebaute Festplatten (bzw. Solid State Drives oder besser bekannt als SSDs).

Mit diesem Verschlüsselungsverfahren können Datenträger verschlüsselt und somit vor unberechtigtem Zugriff geschützt werden.

Aktuelle Computer werden mit einem Trusted Platform Modul (TPM) ausgeliefert. Es handelt sich dabei um einen kleinen Chip, der die Plattformintegrität sicherstellt. Der durch verschiedene Sicherheitsmechanismen geschützte Chip erlaubt die Erzeugung von kryptografischen Schlüsseln und sorgt so für eine zuverlässige Verschlüsselung. Grundsätzlich besteht die Möglichkeit, dass man die Verschlüsselung als Anwender selbst aktivieren und einrichten kann. Speziell in Firmenumgebungen sollte dies aber zentral gesteuert werden. Hintergrund dazu ist, dass bei der erstmaligen Verschlüsselung ein Wiederherstellungs-Key erzeugt wird, der im Notfall Zugriff auf das System ermöglicht. Sollte dieser Key nicht zentral abgespeichert werden, gibt es auch bei einer Fehlfunktion, bei einem Ausscheiden eines Mitarbeiters oder sonstigen Gründen keinerlei Möglichkeit, auf das verschlüsselte System zuzugreifen (oder wie Profi-Hacker es sagen würde - dann braucht's etwas länger).

Der lustig klingende Nachsatz bringt leider die ernste Realität zum Vorschein. Mit dem richtigen Werkzeug und den entsprechenden falschen/schlechten Einstellungen kann trotz Aktivierung Bitlocker ein Zugriff auf die Daten möglich werden.

 

PNC-Empfehlung

Um aus Bitlocker die beste Sicherheit herauszuholen, sind folgende Maßnahmen erforderlich:

  1. Computer muss mit einem Trusted Platform Modul (TPM) ausgestattet sein 
  2. Am Computer müssen spezielle Energieoptionen aktiviert werden, so dass das Gerät einfaches Energiesparen nicht zulässt, sondern immer in den Ruhezustand geht (wenn z. B. Deckel geschlossen oder länger inaktiv)
  3. Beim Systemstart muss ein PIN abgefragt werden

Und um im Notfall trotz dieser Sicherheitseinstellungen als berechtigte Person auf das Gerät zugreifen zu können, muss der Wiederherstellungsschlüssel zentral im Active Directory (auf einem Server) gespeichert werden.

All diese Empfehlungen gelten für Geräte, die in einem Unternehmensnetzwerk eingesetzt werden. Analog dazu sollten die Einstellungen auf Privatgeräten gleichlautend vorgenommen werden, nur dass hier manuelle Anpassungen erforderlich sind.

 

Für Preisauskünfte und weiterführende Informationen steht Ihnen das PNC Team gerne unter +43 (2956) 7001 zur Verfügung. 

 

Kontakt

PNC Professionelle Netzwerke & Computersysteme GmbH
Schlossallee 52
A-3704 Glaubendorf
Tel.: +43 2956 7001
info@pnc.at

Wien: Hagedornweg 2/74, 1220 Wien
Tel.: +43 (1) 3320905