Bitlocker bietet eine sehr sichere Verschlüsselung von Datenpartitionen, USB-Medien oder auch dem Systemlaufwerks. Vorteile gegenüber Alternativen wie Truecrypt bestehen vor allem in der nahtlosen Systemintegration und der transparenten Bedienung. Die Komponente Bitlockker bleibt allerdings Enterprise- und Ultimate-Kunden vorbehalten.
Die Bitlocker-Laufwerksverschlüsselung schließt eine Sicherheitslücke:
Das Konto-Logon ist kein Schutz, wenn Unbefugte physischen Zugriff auf den PC oder das Notebook erhalten: Diese booten einfach ein anderes System per CD/DVD und erhalten Zugriff auf die Daten, alternativ auch durch Einbau der Festplatte in einen anderen PC.
Die Windows-eigene EFS-Verschlüsselung (EFS=Encrypted File System) hat zwei andere Probleme: Sie wird wertlos, wenn Unbefugte die Kontodaten (Kontoname und Kennwort) entweder ausspionieren oder mit Hacker-Tools knacken. Sie ist zweitens nicht praktikabel auf portablen USB-Medien, weil nur auf dem PC der Zugriff möglich ist, wo die Daten verschlüsselt wurden (gleiches Konto und Passwort nützen nichts).
Bitlocker: Der seit Windows Vista in Enterprise und Ultimate enthaltene Bitlocker verschlüsselt Partitionen sicher und bedienerfreundlich. Unter Windows 7 stehen alle wesentlichen Bitlocker-Aktionen direkt im Kontextmenü der Laufwerke zur Verfügung ('Bitlocker aktivieren', 'Laufwerk entsperren', 'Bitlocker verwalten'). Gegenüber Vista unterstützt Bitlocker in Windows 7 auch USB-Medien. Verschlüsselte Laufwerke werden erst durch Eingabe des Kennworts oder durch Einlegen einer Smartcard in das Dateisystem geladen. Beim rohen Einlesen ohne Bitlocker-Entsperrung zeigt die Partition nur unlesbaren Datensalat.
Voraussetzungen für die Bitlocker-Verschlüsselung:
1. Datenpartition: Für das Verschlüsseln einer Datenpartition oder eines USB-Laufwerks (oder generell einer beliebigen Partition, die nicht das Betriebssystems enthält) gibt es keinerlei Einschränkungen. Es ist nicht einmal nötig, dass das Laufwerk ein bestimmtes Dateisystem benutzt - Bitlocker verschlüsselt NTFS, FAT32, FAT16 oder exFAT.
2. Systempartition: Für den Bitlocker-Einsatz auf der Systempartition ist hingegen ein TPM-Chip der Version 1.2 oder höher notwendig (TPM=Trusted Platform Module). Fehlt dem Rechner dieser Hardware-Chip, lässt sich über die Gruppenrichtlinie erzwingen (gpedit.msc, 'Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten, Bitlocker-Laufwerksverschlüsselng, Operating System Drives, Require aditional athentication at startup'), dass Bitlocker den Schlüssel statt auf das TPM auf einen USB-Stick speichert.
Zusätzlich benötigt eine Bitlocker-Verschlüsselung der Systempartition eine zweite Partition auf der selben Festplatte. Dies lässt sich über die Datenträgerverwaltung (Diskmgmt.msc) durch nachträgliches Verkleinern der Systempartition erreichen.
Bitlocker im Einsatz: Im laufenden Betrieb ist die transparente Bitlocker-Verschlüsselung weder bei der Nutzung der Daten noch insgesamt bei der Systemleistung zu bemerken. Relativ zeitaufwendig ist lediglich der einmalige Vorgang der Verschlüsselung - je nach Größe der Partition ist mit mehreren Stunden zu rechnen.
Bei Verlust des Kennworts oder des USB-Sticks, der das Kennwort enthält, ist normaler Weise kein Zugriff auf die Daten mehr möglich. Bitlocker bietet aber die Option, für ein verschlüsseltes Laufwerk den Wiederherstellungsschlüssel in eine Datei zu speichern oder zu drucken. Datei oder Ausdruck sollten dann an einem anderen Ort verwahrt werden. Mit Hilfe dieser 48-stelligen Ziffernfolge ist das Bitlocker-Laufwerk dann auch bei verlorenem Kennwort wieder zu entsperren.
Quelle
C-Welt
Die Bitlocker-Laufwerksverschlüsselung schließt eine Sicherheitslücke:
Das Konto-Logon ist kein Schutz, wenn Unbefugte physischen Zugriff auf den PC oder das Notebook erhalten: Diese booten einfach ein anderes System per CD/DVD und erhalten Zugriff auf die Daten, alternativ auch durch Einbau der Festplatte in einen anderen PC.
Die Windows-eigene EFS-Verschlüsselung (EFS=Encrypted File System) hat zwei andere Probleme: Sie wird wertlos, wenn Unbefugte die Kontodaten (Kontoname und Kennwort) entweder ausspionieren oder mit Hacker-Tools knacken. Sie ist zweitens nicht praktikabel auf portablen USB-Medien, weil nur auf dem PC der Zugriff möglich ist, wo die Daten verschlüsselt wurden (gleiches Konto und Passwort nützen nichts).
Bitlocker: Der seit Windows Vista in Enterprise und Ultimate enthaltene Bitlocker verschlüsselt Partitionen sicher und bedienerfreundlich. Unter Windows 7 stehen alle wesentlichen Bitlocker-Aktionen direkt im Kontextmenü der Laufwerke zur Verfügung ('Bitlocker aktivieren', 'Laufwerk entsperren', 'Bitlocker verwalten'). Gegenüber Vista unterstützt Bitlocker in Windows 7 auch USB-Medien. Verschlüsselte Laufwerke werden erst durch Eingabe des Kennworts oder durch Einlegen einer Smartcard in das Dateisystem geladen. Beim rohen Einlesen ohne Bitlocker-Entsperrung zeigt die Partition nur unlesbaren Datensalat.
Voraussetzungen für die Bitlocker-Verschlüsselung:
1. Datenpartition: Für das Verschlüsseln einer Datenpartition oder eines USB-Laufwerks (oder generell einer beliebigen Partition, die nicht das Betriebssystems enthält) gibt es keinerlei Einschränkungen. Es ist nicht einmal nötig, dass das Laufwerk ein bestimmtes Dateisystem benutzt - Bitlocker verschlüsselt NTFS, FAT32, FAT16 oder exFAT.
2. Systempartition: Für den Bitlocker-Einsatz auf der Systempartition ist hingegen ein TPM-Chip der Version 1.2 oder höher notwendig (TPM=Trusted Platform Module). Fehlt dem Rechner dieser Hardware-Chip, lässt sich über die Gruppenrichtlinie erzwingen (gpedit.msc, 'Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten, Bitlocker-Laufwerksverschlüsselng, Operating System Drives, Require aditional athentication at startup'), dass Bitlocker den Schlüssel statt auf das TPM auf einen USB-Stick speichert.
Zusätzlich benötigt eine Bitlocker-Verschlüsselung der Systempartition eine zweite Partition auf der selben Festplatte. Dies lässt sich über die Datenträgerverwaltung (Diskmgmt.msc) durch nachträgliches Verkleinern der Systempartition erreichen.
Bitlocker im Einsatz: Im laufenden Betrieb ist die transparente Bitlocker-Verschlüsselung weder bei der Nutzung der Daten noch insgesamt bei der Systemleistung zu bemerken. Relativ zeitaufwendig ist lediglich der einmalige Vorgang der Verschlüsselung - je nach Größe der Partition ist mit mehreren Stunden zu rechnen.
Bei Verlust des Kennworts oder des USB-Sticks, der das Kennwort enthält, ist normaler Weise kein Zugriff auf die Daten mehr möglich. Bitlocker bietet aber die Option, für ein verschlüsseltes Laufwerk den Wiederherstellungsschlüssel in eine Datei zu speichern oder zu drucken. Datei oder Ausdruck sollten dann an einem anderen Ort verwahrt werden. Mit Hilfe dieser 48-stelligen Ziffernfolge ist das Bitlocker-Laufwerk dann auch bei verlorenem Kennwort wieder zu entsperren.
Quelle
C-Welt
Zuletzt bearbeitet:
