Die vollständige Festplattenverschlüsselung eignet sich hervorragend, um den Zugriff zu verhindern, wenn das Gerät gestohlen wird. Schauen wir uns das Windows-eigene BitLocker und seine Alternativen an.
Wissen Sie, was an dem gestohlenen Laptop von Coplin Health Systems aus West Virginia mit den Daten von 43.000 Patienten so erschreckend ist?
Oder was ist so schlimm daran, dass ein Bauunternehmer in Japan ein USB-Laufwerk mit den persönlichen Daten von 460.000 Einwohnern verloren hat?
Die Daten waren nicht verschlüsselt.
Ein bösartiger Akteur konnte also leicht auf persönliche Daten zugreifen und sie im Dark Web verkaufen.
Sie haben die Lektion auf die harte Tour gelernt. Aber das sollte nicht der Fall sein, wenn man weiß, wie einfach es ist, die Daten zu verschlüsseln.
Die folgenden Abschnitte befassen sich mit der Festplattenverschlüsselung, der Durchführung mit BitLocker und einigen BitLocker-Alternativen.
Vollständige Festplattenverschlüsselung
Full Disk Encryption (FDE) bedeutet, dass die Laufwerke Ihres Systems gesperrt werden. Sie verhindert den Zugriff auf Daten auf kompromittierten Geräten und kann eine Überprüfung beim Booten für zusätzliche Sicherheit ermöglichen, wenn sie auf Systemlaufwerken angewendet wird.
BitLocker
Die Windows Professional-, Enterprise- und Education-Versionen sind bereits mit der BitLocker-Geräteverschlüsselung ausgestattet.
Mit BitLocker können Sie die Laufwerke mit einem Kennwort schützen, das normal funktioniert, sobald Sie sich darin befinden. Es gibt auch einen Wiederherstellungsschlüssel zum Zurücksetzen des Kennworts, ohne den der Festplatteninhalt nicht lesbar ist.
Außerdem funktioniert dies plattformübergreifend. So bleibt beispielsweise ein unter Windows verschlüsseltes Laufwerk unter Linux sicher.
Allerdings sind Sie nicht mehr geschützt, sobald das System entsperrt ist. Diese Verschlüsselungsmechanismen sind z.B. für Spyware, die Ihre persönlichen Daten stiehlt und die Sie vielleicht unwissentlich installiert haben, nutzlos. Sie sind also kein Ersatz für Antivirus- oder Anti-Spyware-Tools.
Um loszulegen, geben Sie BitLocker in die Taskleistensuche ein und öffnen Sie Manage BitLocker.
Wählen Sie nun den betreffenden Datenträger und klicken Sie auf BitLocker einschalten.
Der nachfolgende Prozess unterscheidet sich für das Betriebssystemlaufwerk und für Nicht-Systempartitionen, einschließlich tragbarer Festplatten.
BitLocker auf System-Laufwerken
Standardmäßig wird der TPM-Sicherheitschip (Version 1.2 oder höher) für die Authentifizierung verwendet. Und der Rechner fährt hoch, sobald das TPM den Schlüssel zurückgibt.
Ein Trusted Platform Module (TPM) ist ein Chip, mit dem moderne PCs geliefert werden. Es handelt sich dabei um einen separaten Chip, der die allgemeine Integrität des Geräts gewährleistet. Sie müssen ihn jedoch möglicherweise aktivieren, wenn Ihr System das TPM nicht erkennt, obwohl es bereits vorhanden ist.
In solchen Fällen gibt es keine Pre-Boot-Authentifizierung und jeder, der Ihren PC hat, kann ihn einschalten, indem er das Windows-Anmeldekennwort mit brachialer Gewalt herausfindet.
Sie können jedoch die Pre-Boot-PIN über den lokalen Gruppenrichtlinien-Editor aktivieren, um maximale Sicherheit zu genießen. Danach fragt der TPM-Chip nach dem Wiederherstellungsschlüssel und der PIN, bevor er den Rechner booten lässt.
Der Unterschied ist, dass diese Chips mit einem Brute-Force-Schutz ausgestattet sind. Der Angreifer wird also nur eine Handvoll Versuche haben, bevor er aufgibt.
Denken Sie daran, dies zu konfigurieren, bevor Sie mit der Verschlüsselung beginnen.
Das Verfahren ist denkbar einfach. Öffnen Sie zunächst Windows Ausführen mit der Taste ⊞ R, geben Sie gpedit.msc ein und drücken Sie die Eingabetaste.
Navigieren Sie dann zu Computerkonfiguration > Administrative Vorlagen > Windows Komponenten > BitLocker Geräteverschlüsselung > Betriebssystemlaufwerke:
Jetzt benötigt die BitLocker-Verschlüsselung eine PIN oder ein voreingestelltes USB-Laufwerk als physische Authentifizierung vor dem Booten.
Als nächstes verschlüsseln Sie das gesamte Laufwerk oder nur den verwendeten Speicherplatz.
Alles zu verschlüsseln ist im Allgemeinen die bessere Idee für ältere Computer, da Sie möglicherweise Daten haben, die mit Windows-Datenwiederherstellungstools aus den leeren Sektoren wiederhergestellt werden können.
Anschließend entscheiden Sie, ob Sie die neue Verschlüsselung oder einen kompatiblen Modus verwenden möchten. Sie können den neuen Verschlüsselungsmodus wählen, da es sich um ein Betriebssystemlaufwerk handelt. Der kompatible Modus ist eher für portable Laufwerke geeignet.
Abschließend empfehlen wir Ihnen, die BitLocker-Systemprüfung im folgenden Fenster auszuführen, um zu sehen, ob alles einwandfrei funktioniert.
BitLocker auf festen Datenlaufwerken
Die Verschlüsselung dieser Partitionen und Laufwerke ist unkomplizierter. Sie werden aufgefordert, vorab ein Kennwort festzulegen.
Sobald Sie dies hinter sich gebracht haben, ist der Prozess ähnlich wie bei der Verschlüsselung von Betriebssystemlaufwerken, mit Ausnahme der BitLocker-Systemprüfungen.
BitLocker ist zwar praktisch, steht aber für Benutzer der Windows Home-Varianten nicht zur Verfügung. Die zweitbeste kostenlose Option ist Windows Device Encryption, sofern Ihr Gerät diese unterstützt.
Sie unterscheidet sich von BitLocker dadurch, dass sie ein TPM voraussetzt. Außerdem gibt es keine Möglichkeit der Pre-Boot-Authentifizierung.
Sie können die Verfügbarkeit mit den Systeminformationen überprüfen. Öffnen Sie Windows Ausführen, geben Sie msinfo32 ein und drücken Sie die Eingabetaste. Scrollen Sie bis zum Ende und überprüfen Sie, ob die Meet-Voraussetzungen für die Unterstützung der Geräteverschlüsselung aufgeführt sind.
Wenn dies nicht der Fall ist, unterstützt Ihr Gerät Device Encryption höchstwahrscheinlich nicht. Sie können sich jedoch an den Herstellersupport wenden, um eine mögliche Lösung zu finden.
Alternativ dazu gibt es einige kostenlose und kostenpflichtige Tools zur vollständigen Festplattenverschlüsselung, die Sie verwenden können.
VeraCrypt
VeraCrypt ist eine kostenlose Open-Source-Verschlüsselungssoftware für Windows, Mac und Linux. Ähnlich wie bei BitLocker können Sie Systemlaufwerke, feste Datenlaufwerke und portable Laufwerke verschlüsseln.
Die Software ist flexibler und bietet viele Optionen für Verschlüsselungsalgorithmen. Außerdem kann es auch im laufenden Betrieb verschlüsseln. Erstellen Sie also einen verschlüsselten Container und übertragen Sie Ihre Dateien, um sie zu verschlüsseln.
Außerdem kann VeraCrypt verschlüsselte versteckte Volumes erstellen und unterstützt die Pre-Boot-Authentifizierung wie BitLocker.
Allerdings kann die Benutzeroberfläche etwas verwirrend sein, aber das ist nichts, was ein YouTube-Tutorial nicht beheben könnte.
BestCrypt
Sie können BestCrypt als eine benutzerfreundliche und kostenpflichtige Version von Veracrypt bezeichnen.
Damit haben Sie Zugriff auf verschiedene Algorithmen und eine Vielzahl von Optionen, um eine vollständige Festplattenverschlüsselung zu erreichen. Es unterstützt die Erstellung von Verschlüsselungscontainern und Systemlaufwerken.
Außerdem können Sie ein passwortgeschütztes Booten einrichten.
BestCrypt ist ein plattformübergreifendes Verschlüsselungstool und wird mit einer 21-tägigen kostenlosen Testversion geliefert.
Kommerzielle BitLocker-Alternativen
Hierbei handelt es sich um unternehmenstaugliche Lösungen, die auf Volumenlizenzen basieren.
ESET
ESET Full Disk Encryption (jetzt Teil von ESET Protect Elite) ist hervorragend für die Fernverwaltung geeignet. Es bietet Ihnen Flexibilität mit Verschlüsselungslösungen vor Ort und in der Cloud.
Damit können Sie Festplatten, tragbare Laufwerke, E-Mails usw. mit der branchenüblichen 256-Bit-AES-Verschlüsselung schützen.
Außerdem können Sie damit einzelne Dateien mit File Level Encryption (FLE) verschlüsseln.
Sie können es mit der interaktiven Demo oder einer 30-tägigen kostenlosen Testversion ausprobieren, um es in vollem Umfang zu testen.
Symantec
Symantec, von Broadcom, ist ein weiterer führender Anbieter von Verschlüsselungsfunktionen für Unternehmen. Diese vollständige Festplattenverschlüsselung unterstützt das TPM und gewährleistet den manipulationssicheren Zustand von institutionellen Geräten.
Außerdem erhalten Sie Pre-Boot-Checks, E-Mail- und Wechseldatenträger-Verschlüsselung.
Symantec hilft Ihnen bei der Einrichtung von Single Sign-On und kann auch Cloud-basierte Anwendungen schützen. Es unterstützt Smartcards und verfügt über verschiedene Wiederherstellungsmethoden, falls der Benutzer den Passcode vergisst.
Darüber hinaus bietet Symantec Verschlüsselung auf Dateiebene, einen Monitor für sensible Dateien und verschiedene andere Funktionen, die es zu einer unwiderstehlichen Lösung für die End-to-End-Verschlüsselung machen.
ZENworks
ZENworks von Microfocus ist die einfachste Lösung für die AES-256-Verschlüsselung in jedem Unternehmen.
Es unterstützt eine optionale Pre-Boot-Authentifizierung mit Benutzernamen und Passwort oder einer Smartcard mit PIN. ZENworks verfügt über eine zentralisierte Schlüsselverwaltung, die Benutzern hilft, die bei der Boot-Anmeldung feststecken.
Sie können Verschlüsselungsrichtlinien für Geräte erstellen und diese über eine standardmäßige HTTP-Webverbindung durchsetzen.
Und schließlich können Sie die kostenlose Testversion ohne Kreditkarte in Anspruch nehmen, um sich selbst ein Bild zu machen.
FDE vs. FLE
Manchmal lohnt es sich nicht, einen ganzen Datenträger zu verschlüsseln. In solchen Fällen ist es ratsam, eine bestimmte Datei zu schützen, was zu File Level Encryption oder File Based Encryption (FBE) führt.
FLE ist weit verbreitet und wir verwenden sie oft, ohne uns ihrer Existenz bewusst zu sein.
Zum Beispiel sind WhatsApp-Unterhaltungen Ende-zu-Ende verschlüsselt. Ebenso werden E-Mails, die über Proton Mail versendet werden, automatisch verschlüsselt und nur der Empfänger kann auf den Inhalt zugreifen.
In ähnlicher Weise kann man eine Datei mit FLE mit Tools wie AxCrypt oder FolderLock schützen.
Ein deutlicher Vorteil von FBE gegenüber FDE ist, dass alle Dateien unterschiedliche Verschlüsselungsschlüssel haben können. Ergo, wenn eine Datei kompromittiert wird, bleiben die anderen sicher.
Allerdings bringt dies den zusätzlichen Aufwand mit sich, diese Schlüssel zu verwalten.
Fazit
Full Disk Encryption ist wichtig, wenn Sie ein Gerät mit sensiblen Daten verlieren.
Zwar hat jeder Benutzer einige wichtige Daten an Bord, aber gerade Unternehmen brauchen die Festplattenverschlüsselung mehr als alle anderen.
Ich persönlich halte BitLocker für das beste Verschlüsselungstool für Windows-Benutzer. VeraCrypt ist eine weitere Option für jemanden, der eine veraltete Oberfläche ertragen kann.
Und die Unternehmen sollten sich nicht auf das Urteil anderer verlassen, sondern die Tests nutzen, um das Beste für ihren Anwendungsfall auszuwählen. Das Einzige, was ein Geschäftsinhaber vermeiden sollte, sind Anbietersperren.
PS: Schauen Sie sich unsere Verschlüsselungs- und Authentifizierungssoftware an, um die Grundlagen aufzufrischen.