Laufwerksverschlüsselung: Das ist neu in BitLocker mit Windows 8/8.1

Microsofts Laufwerksverschlüsselung BitLocker hat mit Windows 8/8.1 einige Neuerungen erhalten. Damit wird die Bereitstellung deutlich vereinfacht.

Es hat mehr als sieben Jahre Entwicklungszeit gebraucht, bis Microsofts BitLocker-Laufwerksverschlüsselung für...

den Unternehmenseinsatz bereit war und damit nun vollständig in Firmennetzwerke aller Größenordnungen integriert werden kann. Nach dem ersten Testen von BitLocker war ich zunächst kein großer Fan von der Verwendung in Unternehmen, da einfach noch die Flexibilität gefehlt hat, um BitLocker sinnvoll in Umgebungen mit mehr als ein paar Dutzend Computern einzusetzen. Aber wie jede Technologie reift natürlich auch BitLocker.

Microsoft hat mittlerweile einige neue Features hinzugefügt, damit Windows 8/8.1 und Windows Server 2012/2012 R2 optimal mit der Laufwerksverschlüsselung arbeiten können. Spätestens seitdem können Sie BitLocker jetzt so einsetzen, dass Ihr Unternehmen vom Einsatz auch wirklich profitiert und die Sicherheit verbessert wird. 

Nachfolgend finden Sie einige der wichtigsten Eigenschaften für BitLocker in Windows Server 2012/2012 R2 und Windows 8/8.1:

  • Die Fähigkeit, Laufwerke über die Windows Preinstallation Environment (Windows PE) zu verschlüsseln, bevor Windows 8 tatsächlich installiert ist, erhöht deutlich die Sicherheit geschäftskritischer Daten in Unternehmen. Damit ist sichergestellt, dass wichtige Daten von Anfang an geschützt sind.
  • BitLocker Network Unlock, auch Preboot-Authentifikation genannt, entschlüsselt auf Basis des Unified Extensible Firmware Interface (UEFI) automatisch die Festplatte von Windows 8/8.1 Systemen, die mit einer Windows Server 2012/2012 R2-Domäne verbunden sind. Dies erleichtert nicht nur den Authentifikationsprozess, sondern auch die unbeaufsichtigte Patch-Verteilung und das Remote-Management geschützter Systeme.
  • Eine weitere Neuerung ist die Möglichkeit, nur den belegten Speicherplatz auf der Festplatte zu verschlüsseln. Neue Daten werden „on the fly“ verschlüsselt, also im laufenden Betrieb. Dieses Feature wird besonders oft hervorgehoben, weil es die Verschlüsselungszeit deutlich reduziert. Auf der anderen Seite sind lange Verschlüsselungszeiten eigentlich keine Rechtfertigung dafür, um auf Full-Disk-Verschlüsselung zu verzichten. Auch wenn die Verschlüsselung mehr als zehn Stunden pro System dauert, sollte das keine Rolle spielen, wenn die Sicherheit für das Unternehmen wichtig genug ist. In jedem Fall ist es aber auch kein Schaden, wenn die Verschlüsselung schneller abgeschlossen werden kann.
  • Die Möglichkeit für Benutzer ohne Administrator-Rechte, ihre Passwörter oder PINs für BitLocker zurückzusetzen, ist über Gruppenrichtlinien steuerbar.
  • Die Fähigkeit zu verhindern, dass Anwender Speichermedien nutzen, die nicht mit BitLocker geschützt werden, kann die Datensicherheit im Unternehmen ebenfalls deutlich erhöhen. Hierzu gibt es verschiedene Gruppenrichtlinieneinstellungen wie „Schreibzugriff auf Festplattenlaufwerken die nicht durch BitLocker geschützt sind verweigern" und "Schreibzugriff auf Wechseldatenträger die nicht durch BitLocker geschützt sind verweigern".

Ob BitLocker oder Konkurrenzprodukte: Clients im Unternehmen müssen verschlüsselt sein

Trotz dieser neuen Features stößt BitLocker aber immer noch an Grenzen. Sie müssen zum Beispiel immer noch auf Computer setzen, die ein Trusted Program Module (TPM) verbaut haben, wenn Sie in Unternehmen eine vernünftige BitLocker-Bereitstellung ohne großen Verwaltungsaufwand betreiben wollen. 

Ohne ein TPM-Modul müssen Sie den BitLocker-Startschlüssel auf einem USB-Flash-Laufwerk speichern oder Anwender müssen beim Rechnerstart einen PIN-Code eingeben. Sie müssen auch sicherstellen, dass zusätzliche Sicherheitskontrollen aktiviert sind, wie beispielsweise starke Windows-Passwörter und schnelles Sperren des Bildschirms. Keine Ebene der Full-Disk-Verschlüsselung kann diese Sicherheitsfunktionen ersetzen.

Es ist zu hoffen und davon auszugehen, dass Microsoft BitLocker weiter verbessert. Das größte Hindernis für eine größere Verbreitung von Microsofts Laufwerksverschlüsselung ist der schlechte Ruf von Windows 8, und auch Windows 8.1 und sogar das in den Zugeständnissen an Maus- und Tastatur-Nutzer noch weitergehendere Windows 8.1 Update hat da bisher wenig geholfen. Vielleicht erwischt Microsoft mit Windows 9 einen besseren Start, um die Verbreitung von BitLocker weiter zu erhöhen.

Es stellt sich also die Frage, ob BitLocker bereit ist, auch den großen Playern in der Full-Disk-Verschlüsselung Paroli zu bieten. Beispiele für solche Unternehmen wären Symantec Drive Encryption oder WinMagic. Für Unternehmen ohne alte Windows- oder Mac-Systeme mag das inzwischen durchaus zutreffen. Manche Drittanbieter dürften aber in der Gunst der Nutzer auch zukünftig noch weit vor BitLocker liegen. Auf der anderen Seite kostet BitLocker nichts und integriert sich nahezu problemlos in bestehende Windows-Netzwerke.

Es gibt eine Menge zu Windows 8 BitLocker zu lernen. Die TechNet-Library dürfte hierfür ein guter Ausgangspunkt sein, aber auch in der Microsoft Virtual Academy finden sich kostenlose Online-Kurse zu BitLocker

Wenn Sie mit Ihren Plänen zur Festplattenverschlüsselung weiter voranschreiten, dann sollten Sie allerdings nicht nur die Tatsache in den Blick nehmen, dass BitLocker kostenfrei ist und damit vermeintlich die einzige Option darstellt. Stattdessen sollten Sie sich über Ihre Anwender, Geschäftsanforderungen und Risiken bewusst werden. Erst dann sollten Sie darauf basierend die Entscheidung treffen, ob Sie BitLocker oder eine andere Verschlüsselungslösung einsetzen wollen.

Ein unverschlüsselter Laptop ist wohl eines der größten IT-Risiken für Unternehmen. Ein verschlüsselter Laptop bedeutet dagegen nur einen rein physischen Verlust. Unabhängig davon, ob Sie Windows BitLocker verwenden oder nicht, sollten Sie sich auf jeden Fall über die Verschlüsselung Ihrer Client-Rechner Gedanken machen.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im September 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close