Jaa

Du sollst BitLocker verwenden.

  • Artikkeli

Gastbeitrag von Georg Binder , selbständiger IT-Dienstleister und Autor von windowsblog.at.

Und so schnell kann ein Einbruch geschehen. Während wir am Freitag gemütlich Ripperl essen, hat jemand die Seitenscheibe am Auto eines Freundes (nennen wir ihn N.N.) eingeschlagen. Offenbar hat es sich noch nicht herumgesprochen, dass die SOKO Ost für mehr Sicherheit sorgt. Dürfte sich ausgezahlt haben:

“Alles von Wert ist weg. Laptop, Videokamera, Aufnahmegerät, Webcam, Zusatzakkus, SD-Karten usw. …”

Der Wert der Hardware ist das eine, VIEL schlimmer sind die Daten, vor allem wenn es sich eben nicht nur um private Daten handelt, sondern auch um Firmendaten, die der Geheimhaltung unterliegen. N.N. kann nur hoffen, dass der Dieb nur am Gerät interessiert ist. Denn sonst hat N.N. ganz andere Probleme, …

Die Erkenntnis kommt,…

“Am neuen Laptop ist BitLocker das erste, was ich aktiviere.”

Gute Idee. Die Enterprise und Ultimate Editionen von Vista/Windows 7 kennen die BitLocker Laufwerksverschlüsselung. Das ist eine Pre-Boot Verschlüsselung im Zusammenspiel mit einem privaten Zertifikat am Mainboard (TPM-Chip), wo der physische Zugriff auf das Gerät noch nicht heißt, dass man auch Zugriff auf die Daten bekommt. Die Standard-Schmähs (Festplatte wo anders einbauen, oder von Alternativ-Medium booten) hauen da nicht hin.

Ich hab mir die Mühe gemacht und über Nacht mein Gerät wieder entschlüsselt, damit ich die Screens machen kann und verschlüssle derzeit wieder. Hier die “Anleitung” (Weiter, Weiter, Fertig,…)

BitLocker aktivieren
Dazu gibt man im Startmenü “BitLocker” ein, klickt auf die Laufwerksverschlüsselung und aktiviert den BitLocker.

Bitlocker

Bitlocker aktivieren

Jetzt wählt man noch optional ein zusätzliches Sicherheitsmerkmal wie einen USB – Schlüssel oder einen PIN. Ich geb’s zu: hab ich nicht. Ohne PIN kommt der Angreifen bis zum Login – wenn er die Bootreihenfolge einhält, das sollte genau genommen gar nicht helfen. Und der USB-Schlüssel wäre sowieso in der selben Notebooktasche,…

Bitlocker Systemstarteinstellungen

Dann muss noch der Widerherstellungsschlüssel gespeichert werden. Schließlich brauchen wir ja auch eine Strategie wenn z.B. der TPM Chip bzw. das Motherboard eingeht.

Bitlocker Recovery

Zusätzlich – je nach dem was der Administrator für Einstellungen getroffen hat – muss auch eine Verbindung mit der Domain bestehen, damit der Recovery-Key auch im Active Directory gespeichert werden kann. Wenn man das nicht ist,… dann darf man die Einstellungen noch mal machen. Für die Ultimate Variante, die man ja auch als Einzelperson und ohne AD betreiben kann, gilt umsomehr, dass man den Key am besten auch ausdruckt und sicher verwahrt um dann im Desasterfall (mangels Administrator,…) die Verschlüsselung selbst aufheben zu können. @Microsoft: Hier fehlt der “Try again”-Button

BitLocker Domaine

Damit’s auch wirklich funktioniert, wird vorab ein Test gemacht, …

Bitlocker Überprüfung

Dazu ist dann ein Reboot notwendig:

Bitlocker reboot

Nach dem Hochfahren (wenn der Test erfolgreich war), beginnt die eigentliche Verschlüsselung. Und dann dauert es. Der Rechner kann in der Zwischenzeit weiter benutzt werden, was auch gut ist, denn das kann schon mal 6 Stunden dauern (nicht gestoppt, aber es dauert ewig,…).

BitLocker verschlüsselt

Tja, und dann würde es mich immer noch ärgern, würde mir wer den Laptop stehlen. Aber ich müsste mir keine Sorgen machen, dass meine Daten in fremde Hände gelangen.

BitLocker aktiv

Noch eine Anmerkung: ja, den BitLocker gibt es nur für Enterprise und Ultimate. Bevor wer jetzt wieder trollt, dass die Ultimate so teuer ist (und dabei sein Nicht-Wissen augenscheinlich präsentiert, in dem die FPP Preise statt der Systembuilder Preise genannt werden) hier nur die Frage: wie hoch ist der Schaden, wenn die Daten tatsächlich missbraucht werden?

Comments

  • Anonymous
    January 01, 2003
    Weil zum Beispiel TrueCrypt eben NICHT alles kann, was Bitlocker auszeichnet?

  • Anonymous
    January 01, 2003
    The comment has been removed

  • Anonymous
    July 09, 2009
    Zitat:

Noch eine Anmerkung: ja, den BitLocker gibt es nur für Enterprise und Ultimate. Bevor wer jetzt wieder trollt, dass die Ultimate so teuer ist (und dabei sein Nicht-Wissen augenscheinlich präsentiert, in dem die FPP Preise statt der Systembuilder Preise genannt werden) hier nur die Frage: wie hoch ist der Schaden, wenn die Daten tatsächlich missbraucht werden?

TrueCrypt kann das alles auch - und zwar völlig kostenfrei - und dank OpenSource kann ich mir da auch sicher sein, dass es wirklich keine Hintertürchen zur Entschlüsselung gibt :) Weitere Fragen: Beherrscht BitLocker die Technik des "versteckten Betriebssystems"? Ist BitLocker vllt. schneller als TrueCrypt?

  • Anonymous
    July 17, 2009
    Wieso sollte man sich eine Ultimate Version zulegen, wenn Programme wie Truecrypt oder Drivecrypt genauso gut arbeiten? Zumal Truecrypt sogar noch umsonst ist. MfG Chris

  • Anonymous
    August 06, 2009
    Die meisten Anwender werdedn höchstens davon ausgehen können, dass TrueCrypt keine bösen Hintertürchen enthält. Wirklich WISSEN kann man es nur, wenn man den gesamten Code selbst analysiert.