In dieser Anleitung zeigen wir Ihnen, wie Sie Festplatten von Windows-Notebooks mit Bitlocker verschlüsseln können.
Hintergrund
Mit der steigenden Anzahl an Notebooks als Arbeitsrechner häufen sich auch die Meldungen, dass diese Geräte verloren gegangen sind oder entwendet wurden. Neben dem materiellen Verlust kann dabei auch hoher immaterieller Schaden entstehen: Der Dieb kann die Festplatte ausbauen, an einen anderen Computer anschließen und hat dann sofort Zugang zu allen darauf gespeicherten Daten. Persönliche E-Mails, Forschungsergebnisse und personenbezogenen Daten fallen dadurch in fremde Hände.
Ein Verlust eines Notebooks muss daher immer zentral bei der TUM IT-Sicherheit (it-sicherheit@tum.de) und der zentralen Datenschutzanlaufstelle (support@datenschutz.tum.de) gemeldet werden.
Schutz durch Festplattenverschlüsselung
Mit einer Festplattenverschlüsselung kann man sich sehr einfach vor diesen Gefahren schützen. Speziell bei Windows bietet sich hierfür die integrierte Funktion „Bitlocker“ an, die die Festplattendaten über ein extra „Verschlüsselungskennwort“ schützt. Bei Business-Notebooks mit sogenanntem TPM-Modul merkt man nach der einmaligen Aktivierung von Bitlocker und der Komplettverschlüsselung der Festplatte nichts mehr von dieser zusätzlichen Sicherheitsfunktion: Weder verringert sich die Geschwindigkeit merklich, noch muss man ein weiteres Passwort eingeben.
So funktioniert der Schutz:
- Windows speichert das Verschlüsselungskennwort auf dem TPM-Sicherheitschip im Rechner und startet die Ver- und Entschlüsselung der Daten automatisch beim Rechnerstart.
- Baut ein Dieb die gestohlene Festplatte in einen anderen Rechner ein, fehlt ihm das TPM-Kennwort und er sieht nur unbrauchbaren Buchstabensalat auf der Festplatte.
- Bitlocker kann übrigens auch ohne TPM genutzt werden, dann ist bei jedem Einschalten des Rechners die manuelle Eingabe des Verschlüsselungskennworts nötig.
Zumindest bei Business-Notebooks mit TPM-Modul und Windows als Betriebssystem raten wir daher dringend zur Nutzung von Bitlocker. Mit wenigen Klicks in der Systemsteuerung ist Bitlocker aktiviert, anschließend läuft die zusätzliche Schutzfunktion unbemerkt im Hintergrund.
Wenn Sie einen TUM-PC nutzen und Ihr System TPM unterstützt, müssen Sie nichts weiter tun. Der Rechner wird automatisch mit Bitlocker verschlüsselt. Bitlocker ist auf TU-Ebene bereits konfiguriert, die Schlüssel werden im Active Directory automatisch gesichert.
Lösung für defekte Notebooks: Speicherung von Notfallschlüsseln über Gruppenrichtlinie
Einen kritischen Punkt gibt es beim Einsatz der Festplattenverschlüsselung zu bedenken: Bei einem defekten Notebook soll natürlich kein Datenverlust entstehen und die Festplatte in einem Austauschnotebook wieder gelesen werden können. Für diesen Fall erzeugt Bitlocker bei der Installation einen Notfallschlüssel, den man in eine Datei speichern oder ausdrucken kann.
Die TUM bietet jedoch einen eleganteren Weg zur Notfallschlüsselspeicherung an: Hat der Administrator das Notebook an das Active Directory angebunden, wird der Schlüssel aufgrund einer Gruppenrichtlinie automatisch dort gespeichert. Mit dem im Active Directory gespeicherten Schlüssel kann der Systemadministrator eine umgebaute Festplatte auch in einem Austauschgerät wieder freischalten.
Die Verschlüsselung selbst muss allen Systemen außer TUM-PCs manuell in der Systemsteuerung der jeweiligen Rechner gestartet werden.
Anleitung: Bitlocker aktivieren
Sofern kein extrem hoher Schutzbedarf besteht und der Rechner ein TPM zum Speichern des Verschlüsselungskeys besitzt, kann die Option mit der automatischen Entsperrung genutzt werden. Dann bemerkt der Nutzer nicht einmal, dass Bitlocker im Hintergrund die Festplatte absichert.
Der Wiederherstellungsschlüssel kann wie gewohnt gesichert werden. Aber man muss man hier keinen allzu großen Aufwand betreiben und kann diese "manuelle" Sicherung auch gleich löschen, sofern der Schlüssel durch die GPO im Active Directory gesichert wird.
Der Wiederherstellungsschlüssel wird automatisch im Computerobjekt im AD gesichert und ist für TUM-PCs für die Teiladministratoren jederzeit im Teiladminportal unter https://tap.ads.mwn.de sichtbar.
Handelt es sich nicht um einen TUM-PC oder ist der Schlüssel im TAP nicht verfügbar, so kann er im Active Directory ausgelesen werden. Dazu ist es zunächst notwendig, die Teiladminkennung zur "Bitlocker-Readers"-Gruppe hinzuzufügen, die bei jeder Einrichtung im AD unter Groups → "M" ist. Danach kann man mit einem Doppelklick auf das Computerobjekt unter "Bitlocker-Wiederherstellung" die Schlüssel auslesen. Sollten Sie die Fehlermeldung erhalten, dass auf die Schlüssel nicht zugegriffen werden kann, so versuchen Sie es bitte nach einiger Zeit erneut.
Überblick
Inhalte
Apps
Aufgabenbericht
2 Kommentare
Florian Schmalzl sagt:
Der Bitlocker von Windows ist standardmäßig nur mit AES-128-Bit verschlüsselt.
Vor der ersten Verschlüsselung ist es vielleicht empfehlenswert, in den Gruppenrichtlinien am Computer
(über die Suche "gpedit.msc" unter Computerkonfiguration - Administrative Vorlagen - Windowskomponenten - Bitlocker-Laufwerkverschlüsselung)
die Verschlüsselung auf AES-256-Bit zu erhöhen (ab Windows 10 Build 1511, alle 3 Verschlüsselungsmethoden ändern).
Florian Schmalzl sagt:
Externe Laufwerke verschlüsseln:
Windows 10 ist streng bei der Vergabe von Passwörtern (Mindestlänge, Groß- und Kleinschreibung, Sonderzeichen und Zahlen).
Wer diese Richtlinien nicht erfüllen kann/will mit seinem Passwort, empfiehlt es sich, die Verschlüsselung von externen Festplatten und USB-Sticks
z.B. mit Winows 7 vorzunehmen. Da ist es dem Ersteller noch frei, wie lang oder aus welchen Kombinationen das Passwort besteht.
Aufrufbar sind die Bitlocker-Laufwerke dann in allen Windows-Versionen (ab Windows 7 und höher).
Für Windows XP und Vista gibt es ein Tool von MS, mit dem jedoch die verschlüsselten Laufwerke nur lesbar (aber nicht beschreibbar) sind.
Auch für Linux & Mac OSX gibt es ein Tool um mit Bitlocker verschlüsselte Laufwerke zu lesen/schreiben https://github.com/Aorimn/dislocker