Ratgeber - Die richtige Festplattenverschlüsselung für mobile Geräte

Waren es bis vor wenigen Jahren die "PC-Boliden" - also große PC-Workstations im Tower-Gehäuse -, die sowohl bei den meisten Anwendern im professionellen als auch im SoHo-Bereich (Small Office, Home Office) hauptsächlich zum Einsatz kamen, so haben Notebook- und Laptop-Rechner heute in vielen Fällen diese Rolle übernommen. Die meisten Nutzer wissen die Vorteile dieser Systeme zu schätzen und nutzen sie, um auch mobil an fast allen Orten auf ihre Daten und Anwendungen zugreifen zu können.

Doch mit der erhöhten Mobilität entstehen neue und größere Gefahren: Während es für die meisten Anwender keine Frage ist, dass sie auch auf diesen Systemen die gängigen Schutzmaßnahmen wie Antivirensoftware und Firewalls einsetzen, machen sich doch viele der Nutzer keine Gedanken darüber, was mit den Daten auf dem System geschieht, sollte es einmal verloren gehen oder gestohlen werden. Zumeist sind die Daten dann nur noch durch die Windows-Anmeldung mittels Namen und Passwort geschützt - ein mehr als unzureichender Schutz, zumal er bei einem Ausbau der Festplatte aus dem System mit anschließendem Direktzugriff auf die Platte überhaupt nicht greift.

Ratgeber - Notebook-Verschlüsselung
Das Freeware-Programm Truecrypt: Es kann nicht nur verschlüsselte Dateicontainer bereitstellen sondern auch die Systempartition sicher verschlüsseln.

Ratgeber - Notebook-Verschlüsselung
Eine besondere Spezialität von Truecrypt: Ein Betriebssystem kann komplett versteckt werden, so dass es selbst nach der Entschlüsselung des ersten Containers nicht zu finden ist.

Ratgeber - Notebook-Verschlüsselung
Auch Multiboot-Systeme können geschützt werden: Dies muss der Anwender allerdings zuvor explizit angeben, da ansonsten Fehler und Ungereimtheiten auftauchen können.

Ratgeber - Notebook-Verschlüsselung
Besitzt mein System die nötige „Hardware-Power“, um die gewählte Verschlüsselungsmethode einsetzen zu können? Truecrypt bietet die Möglichkeit, dies zu testen.

Ratgeber - Notebook-Verschlüsselung
Mehr Sicherheit: Durch die zufälligen Mausbewegungen des Anwenders wird die Qualität der Verschlüsselung erhöht.

Ratgeber - Notebook-Verschlüsselung
Sicherheit geht vor: Die Software erstellt automatisch ein ISO-Image mit einer Wiederherstellungs-CD. Dieser Schritt kann nicht übersprungen werden.

Ratgeber - Notebook-Verschlüsselung
Nicht unbedingt für ungeduldige Anwender zu empfehlen: Das Verschlüsseln der Systemplatte kann schon einige Stunden in Anspruch nehmen.

Ratgeber - Notebook-Verschlüsselung
Es ist geschafft: Nach über zwei Stunden heftige Systemaktivität ist die Systempartition verschlüsselt und mittels Truecrypt gesichert.

Ratgeber - Notebook-Verschlüsselung
. Für die ganz mutigen Anwender: Truecrypt ermöglicht es, die Anzeige einer Bootmeldung komplett zu unterdrücken – das System scheint sich dann beim Start komplett „aufgehängt“ zu haben.

Ratgeber - Notebook-Verschlüsselung
So nur auf den Ultimate- und Enterprise-Versionen von Windows 7 zu finden: Die Bitlocker-Laufwerksverschlüsselung steht für alle internen Festplatten und auch mobile Geräte zu Verfügung.

Ratgeber - Notebook-Verschlüsselung
Ohne ein TPM (Trusted Platform Modul) geht es zunächst einmal nicht: Bei der Verschlüsselung des Systemlaufwerks verlangt Windows 7 nach der entsprechenden Hardwareunterstützung.

Ratgeber - Notebook-Verschlüsselung
Alle anderen Laufwerke und auch USB-Sticks können problemlos verschlüsselt werden: Ein Assistent leitet den Anwender dabei durch die komplette Prozedur.

Ratgeber - Notebook-Verschlüsselung
Der Wiederherstellungsschlüssel: Er sollte unbedingt auf einem anderem Medium abgespeichert oder auch ausgedruckt werden, damit die Festplatte auch wiederhergestellt werden kann, wenn das Passwort vergessen oder verloren wurde.

Ratgeber - Notebook-Verschlüsselung
Kann schon eine gewisse Zeit in Anspruch nehmen: Die Dauer der eigentlichen Verschlüsselung hängt sowohl von der Datenmenge als auch von der Verarbeitungsgeschwindigkeit der CPU ab.

Ratgeber - Notebook-Verschlüsselung
Die verschiedenen Optionen zur Verwaltung: Für ein bereits verschlüsseltes Laufwerk stellt Windows über das Kontextmenü (Rechtsklick) eine Reihe von Optionen bereit.

Ratgeber - Notebook-Verschlüsselung
Sofort erkennbar: Windows kennzeichnet verschlüsselte Laufwerke durch ein spezielles Icon, so dass der Anwender schon vor der Frage nach dem Passwort weiß, womit er es in diesem Fall zu tun hat.

Ratgeber - Notebook-Verschlüsselung
Und es geht doch ohne TPM: Mittels einer bereits bestehenden Gruppenrichtlinie wird es möglich, auch das Systemlaufwerk ohne diese Hardwareunterstützung zu verschlüsseln und von diesem Schutz zu profitieren.

Ratgeber - Notebook-Verschlüsselung
Umbau notwendig: Damit das System nach der Verschlüsselung wieder booten kann, richtet der Assistent eine zusätzliche, ohne Hilfsmittel nicht sichtbare Partition auf der Festplatte ein.

Ratgeber - Notebook-Verschlüsselung
Sollte unbedingt durchgeführt werden: Die Bitlocker-Systemüberprüfung stellt sicher, dass der Systemstartschlüssel als auch der Wiederherstellungsschlüssel lesbar und in Ordnung sind.

Kaum ein Anwender kümmert sich wohl darum, dass die Daten auf seinem Notebook oder Laptap verschlüsselt werden, und selbst von PC-Profis wird noch viel zu häufig die Meinung vertreten, dass solche Programme viel zu schwierig und unzuverlässig in der Anwendung seien. Aber sowohl aus dem Bereich der Freeware als auch direkt auf einigen Windows-Versionen stehen Lösungen bereit, die einfach zu handhaben und zuverlässig in der täglichen Praxis sind: Wir stellen zwei davon vor und geben Tipps für ihren Einsatz in der Praxis.

Truecrypt: Freeware bietet Sicherheit und viele Möglichkeiten

Bei vielen Anwender ist die Freeware Truecrypt bereits gut bekannt: Sie ermöglicht das Anlegen sogenannter Container, in denen dann Daten oder ganze Partitionen verschlüsselt abgespeichert werden können.

Diese lassen sich anschließend wie Laufwerke wieder in ein System einhängen und verwenden. Seit der Version 5 dieser Software (aktuell steht die Version 7.0a zum Download bereit) ist es auch möglich, die Systempartitionen eines Rechners zu verschlüsseln.

TrueCrypt: Voraussetzungen für den Einsatz - Grundlagen und Tipps

Präsentiert sich die Software nach dem Herunterladen zunächst nur mit einer englischen Oberfläche, so stellen die Macher auf der Website auch Sprachpakete bereit, mit deren Hilfe dann auch die Assistenten der Software in die jeweilige Landessprache übersetzt zur Verfügung stehen. Es ist unbedingt empfehlenswert, diese zusätzlichen Sprachpakete zu installieren, da die Software doch recht komplex ist. Truecrypt lässt sich auf allen Windows-Versionen ab Windows 2000, auf Linux-Systemen und unter Mac OS X einsetzen.

Besondere Hardwareanforderungen sind dabei nicht zu beachten, die Software funktioniert sowohl auf 64- als auch auf 32-Bit-Systemen problemlos. Die Sprachdateien werden allerdings von freiwilligen Mitarbeitern des Projekts übersetzt und zur Verfügung gestellt. Es empfiehlt sich also immer, diese sehr genau auf Konsistenz und Inhalt hin zu lesen und im Zweifelsfall mit der englischsprachigen Dokumentation abzugleichen.

TrueCrypt: Die Praxis - was die Software leisten kann

Die Truecrypt-Software stellt dem Anwender verschiedene Assistenten zur Verfügung, die ihn durch den Verschlüsselungsprozess seiner Festplatte(n) leiten. Hier zeigt das Werkzeug dann schnell, wie vielfältig und flexibel es ist:

• Der Anwender hat die Wahl, entweder nur die Betriebssystempartition oder die gesamte Festplatte mit allen darauf befindlichen Partitionen in einem Rutsch zu verschlüsseln.

• Es besteht die Möglichkeit, die Betriebssystempartition in einem anderen Container so zu "verstecken", dass ein System auch nach Öffnen des Containers nicht zu finden ist (Hidden Operation System).

• Auch ein Multiboot-System mit mehreren unterschiedlichen Betriebssystemen kann verschlüsselt werden.

• Die Lösung legt automatisch eine Rettungs-CD an und testet diese auf Funktionalität, bevor das System endgültig verschlüsselt wird.

So kann dann jeder Anwender auch direkt entscheiden, welchen Verschlüsselungsalgorithmus er verwenden will und ob die darunterliegenden Festplattenbereiche vor dem Verschlüsseln noch zusätzlich mit zufälligen Dateimustern überschrieben werden sollen, um ein späteres Entschlüsseln von dritter Seite zu erschweren. Genauso wie die Möglichkeit zum Verstecken des Betriebssystems zeigt auch dieses Feature, dass die Software dazu entwickelt wurde, die Geheimnisse einer Festplatte auch unter erschwerten Bedingungen zu wahren.

Truecrypt: Nachteile beim Einsatz der Lösung

Diese vielfältigen Möglichkeiten und unterschiedlichen Fähigkeiten erschweren den Einsatz der Software für weniger versierte Benutzer. Zwar werden alle Schritte sehr ausführlich erläutert und teilweise auch automatische zusätzliche Anleitungen zum Ausdruck generiert, aber der durchschnittliche Anwender wird durch diese Vielfalt schnell erschlagen:

• Truecrypt ist definitiv kein Werkzeug für technisch nicht versierte Anwender.

• Nach der Verschlüsselung ist die Freischaltung nur per Passworteingabe möglich - die Möglichkeit, ausschließlich einen USB-Stick während des Boot-Vorgangs zu verwenden.besteht nicht; zusätzliche Schlüsseldateien - sogenannte keyfiles - können hingegen verwendet werden.

• Eine Einbindung in Verzeichnisstrukturen wie Active Directory für den Unternehmenseinsatz steht nicht zur Verfügung.

Wer sich allerdings die Mühe macht, sich mit der Vielfalt der Möglichkeiten von Truecrypt näher zu befassen, bekommt eine Sicherheitslösung, die er über viele Plattformen hinweg und für die unterschiedlichsten Anwendungsfälle einsetzen kann.

Bitlocker: Windows-Systeme mit integrierter Festplattenverschlüsselung

Bereits seit Windows Vista gehört die Funktionalität BDE (Bitlocker Drive Encryption) als fester Bestandteil zu einigen Windows-Betriebssystemen. Mit Windows 7 wurden die Möglichkeiten und Fähigkeiten dieser Software ausgeweitet. Konnte man unter Vista weder die Partition mit dem Betriebssystem noch mobile Festplatten/USB-Sticks verschlüsseln, hat Microsoft bei Windows 7 deutlich nachgearbeitet.

Alle Laufwerke können transparent verschlüsselt werden: Der Anwender merkt während seiner täglichen Arbeit nicht, dass er mit einem verschlüsselten Laufwerk arbeitet. Fährt er dann allerdings seinen Rechner herunter, und das Betriebssystem greift nicht mehr auf die Laufwerke zu, so liegen alle Daten nur noch verschlüsselt auf den Festplatten.

Bitlocker: Vorausetzung für den Einsatz - Grundlage und Fallstricke

Der Einsatz von Bitlocker setzt voraus, dass ein Windows-7-Ultimate- oder das Enterprise-Betriebssystem zum Einsatz kommt. Microsoft bietet die Laufwerksverschlüsselung leider nur auf diesen Versionen seines Client-Betriebssystems und auf dem Windows Server 2008 (und auch dem Windows Server 2008 R2) an. Auf diesen Systemen findet der Anwender im Menü Systemsteuerung dann den Eintrag "Bitlocker-Laufwerksverschlüsselung", unter dem dann alle eingebauten Festplatten sowie mobile Geräte zur Verschlüsselung angeboten werden.

Wer jetzt aber versucht, die Verschlüsselung für das Laufwerk, auf dem sich sein Betriebssystem befindet (zumeist das Laufwerk C:), zu starten, stößt unvermittelt auf eine zweite Vorausetzung, die speziell für den Einsatz von Bitlocker auf Systemlaufwerken gilt: Die Software macht darauf aufmerksam, dass auf dem Computer ein sogenanntes TPM-Sicherheitsgerät (Trusted Platform Modul) vorhanden sein muss, damit eine Verschlüsselung möglich ist. Dabei handelt sich um einen speziellen Chip, der sich auf dem Motherboard des Systems befindet und verschiedene Sicherheitsfunktionen zur Verfügung stellt. Diese finden sich heute aber zumeist nur auf Motherboards von Systemen, die von den Herstellern speziell für den professionellen Einsatz angeboten werden.

Während also die Verschlüsselung anderer Festplattenbereiche und auch mobiler Geräte mittels "Bitlocker to Go" durch Assistenten gestützt (siehe auch unsere Bildstrecke) schnell und einfach abläuft, funktioniert dies für das so wichtige Systemlaufwerk nicht. Taugt Bitlocker dadurch nicht für den Einsatz zu Sicherung eines portablen Rechners ohne TPM-Modul?

Bitlocker: Und ss geht doch - komplette Verschlüsselung ohne TPM

Doch tief verborgen im System hat Microsoft noch eine Möglichkeit vorgesehen, dass der Anwender ein komplettes System mittels Bitlocker schützen kann, ohne dass sein Rechner dazu ein integriertes TPM benötigt. Auf den Windows-7-Systemen steht eine entsprechende Gruppenrichtlinie bereit, mit deren Hilfe diese Beschränkung umgangen werden kann. Dazu muss diese Gruppenrichtlinie zunächst einmal aktiviert werden:

• Das erfordert als ersten Schritt den Aufruf des "Editors für lokale Gruppenrichtlinien" durch Eingabe von "gpedit.msc" unter Start/Ausführen.

• Dann muss der Anwender im linken Konsolenfenster den folgenden Pfad auswählen: "Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Bitlocker-Laufwerksverschlüsselung/Betriebssystemlaufwerke".

• Dort findet sich dann die Richtlinie mit der Bezeichnung "Zusätzliche Authentifizierung beim Start anfordern".

• Hat der Anwender diese Richtlinie durch Auswahl von "Aktiviert" in Gang gesetzt, kann er nun auch das Kästchen "Bitlocker ohne kompatibles TPM zulassen" auswählen.

• Nun steht auch der Verschlüsselung des Systemlaufwerks nichts mehr im Wege. Diese Verschlüsselung kann je nach Größe der Partition und der Rechengeschwindigkeit der CPU einige Minuten oder auch mehrere Stunden dauern.

Bitlocker: weitere Voraussetzungen für den Einsatz:

Wer sein Betriebssystemlaufwerk mit Bitlocker auch ohne ein TPM schützen will, braucht dazu:

• ein USB-Laufwerk oder einen USB-Stick sowie

• ein Notebook, dessen BIOS die Möglichkeit bietet, von einem solchen USB-Gerät zu booten.

• Zugleich muss das BIOS in der Lage sein, bereits während des Systemstarts lesend auf das USB-Gerät zuzugreifen.

Das Medium mit dem Bitlocker-Schlüssel (dem sogenannten Systemstartschlüssel) muss während des Startvorgangs mit dem System verbunden sein. Nach dem Booten kann es der Anwender dann wieder entfernen und ganz normal mit seinem Rechner arbeiten. Ein Start des Rechners ohne dieses Medium ist danach nicht mehr möglich!

Die Vor-und Nachteile von Bitlocker im Überblick

Die Microsoft-Ingenieure haben bei der Bitlocker-Version unter Windows 7 viel darangesetzt, den Einsatz dieser komplexen Technik möglichst einfach und sicher zu gestalten. Dazu gehören die folgenden Vorteile:

• sehr gute Integration in das Betriebssystem;

• sehr einfache, durch Assistenten gestützte Bedienung;

• automatische Erstellung eines Bitlocker-Wiederherstellungsschlüssels, wenn ein Anwender die Laufwerksverschlüsselung erstmalig auf einem Laufwerk aktiviert. Dieser besondere Schlüssel ermöglicht auch dann einen Zugriff auf den Computer, wenn das Systemlaufwerk mit Bitlocker verschlüsselt wurde und aus irgendeinem Grund beim Start nicht korrekt entsperrt wird;

• ein Administrator kann innerhalb einer Windows-Domänen-Struktur die Schlüssel im Active Directory verwalten und speichern. Somit eignet sich Bitlocker auch sehr gut zur Sicherung von tragbaren Rechnern, die in großen Windows-Infrastrukturen zum Einsatz kommen.

Der größte Nachteil dieser Lösung: Diese Software funktioniert nur und ausschließlich auf diesen beiden Window-7- und Windows-Server-2008-Versionen. Unter Windows Vista lassen sich damit keine Systemlaufwerke verschlüsseln, und für Windows XP steht die Software überhaupt nicht zur Verfügung. Wer zudem seine mobilen Laufwerke mit "Bitlocker to Go" verschlüsselt, steht vor ähnlichen Problemen, da er diese beispielsweise unter Windows XP nur auslesen, aber nicht wieder beschreiben kann.

Festplattenverschlüsselung: Freeware oder System - die Plattform entscheidet

Kein Anwender muss die Festplatten seiner Net- oder Notebook-Systeme heute noch ungeschützt lassen: Wer Windows 7 in der Ultimate- oder Enterprise-Version einsetzt, kann beruhigt die Bitlocker-Funktion auch für sein Betriebssystemlaufwerk verwenden. Die Möglichkeit, das System einfach durch das Einstecken eines USB-Sticks während der Bootphase freizuschalten, ist zudem elegant und leicht zu handhaben.

Die Nachteile dieser Technik liegen ohne Zweifel darin, dass sie nur und ausschließlich auf diesen zwei Versionen von Windows 7 einzusetzen ist. Alle anderen Anwender und vor allen Dingen die Benutzergruppen, die unterschiedliche Betriebssysteme und Betriebssystemversionen in ihrem Umfeld einsetzen, können sicher auf Truecrypt als freie und sehr mächtige Alternative zurückgreifen. Die Software steht dabei auch für Mac OS X und Linux zur Verfügung.

Doch im Gegensatz zur Bitlocker-Software ist diese Lösung nicht so eng in das Betriebssystem eingebunden und insgesamt komplexer, sowohl im Aufbau als auch in der Bedienung. Truecrypt ist deshalb keine Lösung, die man unbedarften Anwendern "einfach so" in die Hand geben sollte. (hal)