Festplattenverschlüsselung richtig einsetzen – Entscheidungsgrundlagen für BitLocker und Co
Mit Tools wie Microsoft BitLocker oder Apple FileVault lassen sich ganze Festplatten verschlüsseln (FDE – Full Disk Encryption). Diese Tools sind Bestandteil des Betriebssystems und daher besonders gut geeignet, Daten sehr einfach vor neugierigen Blicken zu schützen.
Beide Tools sind seit mehreren Versionen fester Bestandteil des Betriebssystems und wurden im Lauf der Zeit mehrfach aktualisiert – es gibt keinen technischen Grund mehr, auf diese Funktion zu verzichten. Die Verschlüsselung arbeitet reibungslos und robust.
Sind die konkreten Vorteile wirksam?
Mit der eingebauten Festplattenverschlüsselung lassen sich die Systempartition ebenso wie alle weiteren eingebauten Laufwerke verschlüsseln. Gleichzeitig kann das Betriebssystem weiterhin von selbst (ohne Passworteingabe) starten. Die Verschlüsselung erfolgt im Hintergrund und Sie brauchen Ihre Arbeitsweise nicht anzupassen.
Obwohl sich die Festplatten durch das Betriebssystem beim Starten also zunächst gewissermaßen „selbst entschlüsseln“, ist die Wirkung der Verschlüsselung vollständig vorhanden: Ein echter Datenzugriff ist konzeptionell wirksam erst möglich, wenn sich der Benutzter am PC (bzw. Mac) anmeldet. Sie müssen sich also zwingend mit Ihrer gültigen Computer-Anmeldung authentifizieren oder der Zugriff auf Ihre Dateien bleibt unmöglich.
Wirklich unmöglich?
Mal abgesehen von etwaigen Softwarefehlern erst einmal ja! Es gibt natürlich ein paar „Abers“, die man hier und da an Stammtischen oder im sonstigen „urbanen Gelände“ hört. Räumen wir damit kurz auf:
-
Der sogenannte Offline-Angriff: Darunter versteht man das Auslesen eines Datenträgers unter einem fremd-gestarteten Betriebssystem. Das geht äußerst einfach und schnell und kann wirklich jeder: Es gibt zwei Möglichkeiten: Entweder haben Sie einen Live-CD bzw. einen Live-(USB)Stick und booten Ihren PC damit anstatt von Ihrer Festplatte. Oder Sie bauen die Platte gleich kurz aus und hängen diese „mal kurz“ an einen fremden PC, um über diesen auf die Platte zuzugreifen.
Solche Live-Umgebungen bzw. Fremd-Umgebungen gibt es als Rettungs-CD/DVD in jeder IT-Fachzeitschrift als Beilagen-DVD. Darauf enthalten sind viele Rettungstools, die es wirklich jedem Benutzer einfach machen, ein kaputtes Betriebssystem entweder zu reparieren oder wenigstens noch Daten als Backup auszulesen. Diese Umgebungen können von einem Angreifer aber auch genutzt werden, um das Benutzer-Kennwort zurückzusetzen. Oder noch besser: Um ein zusätzliches Administrator-Konto versteckt anzulegen. Es ist wie bei einem Küchenmesser, das ein Werkzeug oder eine Tatwaffe sein kann.
Wie dem auch sei. In einer fremden Live-Umgebung können Sie auf eine verschlüsselte Festplatte nicht mehr zugreifen. Punkt. Die Verschlüsselung wirkt.
-
Der (Netzwerk-)Administrator: Wer ist das überhaupt? Klar ist, dass in einer Firmen-Umgebung gewisse IT-Prozesse existieren und funktionieren müssen. Zum Beispiel, wenn Sie aus dem Urlaub zurückkommen und Ihr Login-Passwort vergessen haben. Dies kann die IT-Abteilung (auf Ihr Verlangen) völlig problemlos weiterhin zentral zurücksetzen.
Auch tiefgreifendere Fehlerfälle werden „abgesichert“. Allen voran existieren zum Beispiel sogenannten Wiederherstellungsschlüssel. Damit kann der Administrator im Fehlerfall einen verschlüsselten Datenträger entschlüsseln (z.B. auch über den Umweg des o.g. Offline-Angriffs). Ebenso einfach kann Ihr Administrator aber auch per Netzwerk direkt auf Ihren PC und Ihre Festplatte zugreifen. Dies kann z.B. für eine Datensicherung notwendig sein und ist grundsätzlich ein „normaler IT-Prozess“, wie er in Unternehmen genutzt und gebraucht wird. (So ein Backup-Archiv ist übrigens auch ein toller Weg, um auf Daten zuzugreifen. Hierfür sind also immer auch noch einmal eigenständige Schutzmaßnahmen erforderlich, um einen Missbrauch damit zu verhindern!)
Wenn Sie selbst Ihr eigener Administrator sind, dann erhalten auch Sie den Wiederherstellungsschlüssel, wenn Sie die Verschlüsselung aktivieren. Diese brauchen Sie dann nur noch sicher abspeichern (z.B. als Ausdruck im Tresor). Und natürlich kann dann auch kein dritter Administrator mehr per Netzwerk auf Ihren PC zugreifen – es sei denn Sie richten explizit eine Freigebe ein oder teilen jemanden Ihr Passwort mit.
Wir halten also fest: Richtig, ein Administrator kann auf Ihre Daten zugreifen. Egal ob mit oder ohne Verschlüsselung.
-
Der Hersteller bzw. der Staat: Grüße von George Orwell! Und ehe wir uns an Verschwörungstheorien beteiligen belassen wir es bei einer kritischen technischen Analyse. Fakt ist: Die Verschlüsselung von Bitlocker und FileVault setzen mutmaßlich durchaus einen sicheren Schlüssel und Algorithmus ein. Der Zugriff auf diesen (jeweils pro Datenträger einmaligen) Schlüssel wird jedoch auch verschlüsselt – wenn Sie so wollen, nennen wir dies einen „Masterschlüssel“. Der wird technisch vom Betriebssystem gebraucht, um die automatisierte und einfache Verwaltung der Verschlüsselung zu ermöglichen. Das ist in Ordnung so!
Oben haben wir gelernt, dass es mindestens einen zusätzlichen Wiederherstellungsschlüssel gibt. Auch dies ist in Ordnung so und ein sinnvoller Prozess für einen hoffentlich nie benötigten Rettungsweg.
Natürlich kann es jetzt durchaus sein, dass der Hersteller vielleicht einen weiteren, übergeordneten „Superschlüssel“ in sein Verschlüsselungsprogramm eingebaut hat. Tatsächlich ist dies sogar zu erwarten, denn US-Hersteller unterliegen in den USA gesetzlichen Regulierungen, wenn sie Verschlüsselungstechnologie ins Ausland exportieren wollen. Der Staat tut dies in seiner legitimen Souveränität, um beispielsweise in einer Straftatermittlung einen Täter zu überführen. Auch in Europa gibt es zum Zweck polizeilicher Ermittlungen ein Zugriffsrecht auf sensible Daten nach Richterbeschluss (vgl. das Abhören von Telefonaten oder Mitlesen von E-Mails). Zumindest vor dem Hintergrund demokratisch-gesellschaftlicher Ordnung wird man die mögliche Existenz solcher „Superschlüssel“ also auch akzeptieren müssen.
Wir halten also fest: Bitlocker und Co wirken und sind für den alltäglichen Einsatz ein adäquates Mittel, um mit einfachen Mitteln die IT-Sicherheit stark zu verbessern. Systemlaufwerke und auch Wechseldatenträger (wie z.B. USB-Sticks) sind mit BitLocker und Co vor unbefugtem Auslesen geschützt (z.B. bei Diebstahl oder Verlust). Ebenso können Angreifer am Gerät selbst keine Offline-Angriffe mehr durchführen, um zu spionieren oder versteckte Benutzer-Konten einzurichten.
Für sehr persönliche und äußert vertrauliche Geheimnisse reichen diese Verschlüsselungstools jedoch möglicherweise nicht aus. In solchen Fällen empfiehlt es sich, zusätzliche Verschlüsselungstools einzusetzen – für diese Zwecke sind insbesondere freie, quelloffene Programme empfehlenswert, weil eine Vielzahl von Programmierern und Profis diesen Quellcode auf Schwachstellen prüfen und überwachen kann.
Solche quelloffenen Tools sind dann im Einzelfall vertrauenswürdiger als eingebaute Funktionen eines Betriebssystems. Und sie schützen außerdem auch vor dem neugierigen Blick eines Administrators aus der IT-Abteilung. Selbstredend, dass Sie dann aber auch selbst für das Backup Ihrer persönlichen Daten verantwortlich sind.
Noch mehr „Aber“? Gibt es auch Nachteile?
Wie so oft im Leben hat die Münze zwei Seiten. Und während auf der einen Seite der Offline-Angriff abgewehrt wird, so wird er auf der anderen Seite als Offline-Zugriff ebenfalls unmöglich.
Zunächst zur Klärung: Von einem Offline-Zugriff sprechen wir, wenn wir gewollt (und legitim!) über den Umweg eines fremden Systems auf die eigene Festplatte zugreifen. In der Praxis geschieht dies häufig in zwei Fällen:
- Für die regelmäßige Datensicherung von virtuellen Maschinen. Diese werden vom Host (=fremdes System) als VM-Image erstellt.
- Im Notfall, wenn Ihr PC oder Server nicht mehr startet oder mit Viren befallen ist.
Tatsächlich ist für solche Fälle der Wiederherstellungsschlüssel vorgesehen (und ebenfalls wirksam). In der IT-Praxis ergeben sich jedoch auch hier Konstellationen, die zu Schwierigkeiten bzw. Mehraufwand führen. Beispiele:
-
Ein Hardwarefehler hat die Bootpartition auf Ihrer von Bitlocker verschlüsselten Festplatte beschädigt. Windows startet nicht mehr und selbst mit dem Wiederherstellungsschlüssel erhalten wir keinen Zugriff, weil der Verschlüsselungsalgorithmus wichtige Datenfragmente nicht mehr lesen kann. Die gesamten Daten sind verloren.
Dem gegenüber steht, dass ohne Verschlüsselung nur ein paar Sektoren (also nur ein paar Dateien) verloren gewesen wären. Die restlichen Daten hätten noch gelesen werden können.
-
In der Praxis hat sich der Einsatz unterschiedlicher Betriebssysteme sehr bewährt. Falls ein Virenbefall vorliegt, können z.B. mit Linux sehr behutsam nicht befallene Daten noch gerettet werden. Linux selbst ist auch vor einem Windows-Virus sicher – eine sehr wirksame Kombination, um bei einem Virenbefall noch etwas zu retten!
Zurzeit kann aber Linux /auch mit einem Wiederherstellungsschlüssel noch keine verschlüsselte Festplatte lesen. Was bleibt ist der Einsatz von allein Windows – und die Gefahr, dass der Virus auch das Ersatz-Windows befällt.
- Der Einsatz von Virtualisierung in Serverumgebungen bringt viele Vorteile. Hier im Kontext geht es um das sehr robuste und äußerst schnelle Backup-Verfahren: Da eine VM keine echte, sondern eine „virtuelle Festplatte“ besitzt, kann diese virtuelle Festplatte wie eine Datei einfach kopiert und somit als Sicherungskopie ins Archiv gelegt werden. Es ist nur eine (große) Datei.
Mit aktivierter Verschlüsselung innerhalb der VM ist diese Datei nun ebenfalls verschlüsselt. In der primären Betrachtung funktioniert das für die Technik weiter. Sekundär verliert der Administrator aber wichtige Zugriffsmöglichkeiten auf diese Sicherungsdatei – z.B. das testweise hineinschauen, um zu prüfen, ob die Daten korrekt kopiert wurden und im Bedarfsfall auch nutzbar wären.
In der Praxis bedeutet dies, dass im Extremfall das Backup einer lokal installierten Software funktionieren muss. Und das katapultiert den Administrator zurück ins letzte Jahrtausend: Zwar hat das lokale Backup alle Daten zuverlässig gesichert, jedoch ist das installierte Betriebssystem nach dem Restore häufig nicht mehr startfähig bzw. beschädigt. Die Folge ist eine zeitaufwendige Neuinstallation.
Insbesondere in gemischten Umgebungen (Host unter Linux, VM unter Windows) kann dies zu Wechselwirkungen führen, die dann zusätzlichen Aufwand bedeuten. Einheitliche Umgebungen (z.B. alles unter Windows) erhöht dagegen wieder die Fahr, dass ein Virus innerhalb von Sekunden auf einmal den Host und alle VMs gleichzeitig befallen und vernichten kann.
Fazit:
Konkret überlassen wir es Ihnen als Kunde, ob und auf welchen Geräten Sie Ihre Festplatten verschlüsseln möchten. Wir empfehlen es zu tun! Sie erhöhen mit einem vertretbaren und vergleichsweise einfachen Aufwand die IT-Sicherheit erheblich und werden so auch den Anforderungen technischer Maßnahmen gem. DSGVO gerecht.
Wenn Sie sich gegen die Verschlüsselung entscheiden, können im Ernstfall vielleicht Rettungsmaßnahmen besser und günstiger greifen. Auch mit Blick auf den gesamten IT-Betrieb eines technischen Lebenszyklus kann ohne Verschlüsselung bei bestimmten Arbeitsschritten Zeitaufwand gespart werden. Dies kann z.B. gerechtfertigt sein, wenn Ihre Daten in keinerlei Weise vertraulich sind und Sie nach DSGVO auch keine personenbezogenen Daten verarbeiten.