Bis zu 399 US-Dollar betragen die Gesamtbetriebskosten pro Nutzer einer Lösung zur Festplattenverschlüsselung, so die Ponemon-Studie "The Total Cost of Ownershipfor Full Disk Encryption". Den größten Kostenblock stellt dabei der Aufwand für Administration und Betrieb dar, nicht etwa Lizenz und Wartung.
Foto: Microsoft
Wer die Aufwendungen für Full Disk Encryption (FDE) verringern möchte, sollte also nach einer passenden Administrationslösung Ausschau halten. Nutzer von Windows 8 werden bei der neuen Version 2.0 von MBAM (Microsoft BitLocker Administration and Management) fündig, die Teil des Microsoft Desktop Optimization Pack (MDOP) ist.
Zu den häufigsten Support-Fällen bei der Festplattenverschlüsselung gehört der Verlust des Schlüssels. Die zuvor erwähnte Ponemon-Studie hat für den deutschen Markt Gesamtkosten von mehr als 14 US-Dollar pro Nutzer und Jahr für das Zurücksetzen des Passwortes ermittelt, die durch den entsprechenden Aufwand aufseiten der Administratoren und durch die Wartezeit der Nutzer entstehen.
Foto: Microsoft
Anders sieht es aus, wenn den Nutzern wie beim Einsatz von MBAM 2.0 und Windows 8 ein Self-Service-Portal zur Verfügung steht, mit dem sie selbst den Schlüssel für die verschlüsselte Festplatte zurücksetzen und einen neuen beantragen können.
Der Aufwand bei der Verschlüsselung von Festplatten und mobilen Speichermedien lässt sich durch MBAM 2.0 weiter reduzieren, indem spezielle Gruppenrichtlinien zur Verschlüsselung definiert und bei den Geräten mit BitLocker-Unterstützung zentral und automatisiert umgesetzt werden.
Foto: Microsoft
In Verbindung mit Windows 8 ist das Trusted Platform Module (TPM) eines Endgerätes automatisch in die Verschlüsselung einbeziehbar. Besondere Einstellungen durch den Nutzer sind nicht erforderlich.
Mit MBAM 2.0 lassen sich beispielsweise Richtlinien zur Länge des Schlüssels einheitlich vorgeben - dadurch ist die Laufwerksverschlüsselung per se zu erzwingen. Die können bei Bedarf auf bestimmte Endgeräte beschränkt werden.
Je nach Schutzbedarf können bei definierten Endgeräten die Vorgaben zum Beispiel zur Schlüssellänge verschärft werden. Gerade bei mobilen Endgeräten und Speichermedien kann dies sinnvoll sein, um die darauf befindlichen Daten bei einem möglichen Geräteverlust durch eine starke Verschlüsselung zu schützen.
Schneller zur Verschlüsselung
Mehr als 22 US-Dollar pro Jahr und Nutzer kostet die Wartezeit, bis ein Laufwerk erstmals mit einer Lösung im Bereich Full Disk Encryption verschlüsselt ist, so die eingangs erwähnte Studie des Ponemon-Instituts. Auch dieser Aufwand kann mit MBAM 2.0 und Windows 8 verringert werden.
MBAM 2.0 unterstützt nicht nur Used Disk Space Only Encryption - ein Verschlüsselungsverfahren, bei dem nicht die ganze Festplatte, sondern nur die genutzten Bereiche verschlüsselt werden. Zusätzlich können auch die Vorteile der Encrypted Hard Drives von Windows-8-Geräten genutzt werden. Diese spezialisierten Laufwerke übernehmen die eigentliche Verschlüsselungsarbeit und reduzieren so den Zeitaufwand. MBAM 2.0 und BitLocker kümmern sich in diesem Fall nur noch um das Schlüsselmanagement.
Schlüssel sicher aufbewahren
Die sichere Aufbewahrung der Schlüssel stellt eine weitere Herausforderung dar, die mit MBAM 2.0 angegangen werden kann. Recovery Keys werden in einer zentralen, verschlüsselten Datenbank vorgehalten. Zugriffe auf diese Datenbank lassen sich über Berechtigungen steuern und innerhalb von Zugriffsprotokollen nachvollziehen. Ein separater Schlüsselmanager ist nicht erforderlich.
Foto: Microsoft
Im Gegensatz zur Vorgängerversion MBAM 1.0 kann die Version 2.0 von Microsoft BitLocker Administration and Management auch in eine bestehende Infrastruktur wie den System Center Configuration Manager (SCCM) 2007 und 2012 integriert werden.
Die Administratoren müssen zum Konfigurieren und Absichern der Endgeräte, die die BitLocker-Laufwerksverschlüsselung unterstützen, also nicht mehr zwischen verschiedenen Konsolen wechseln. Die Administration unter einer Oberfläche hilft ebenfalls bei der Verringerung der Aufwände und Betriebskosten für die Verschlüsselung.
Stand der Verschlüsselung zentral prüfen
Wie es um die Verschlüsselung von Laufwerken im Unternehmen oder bei einem bestimmten Endgerät steht, kann direkt mit MBAM 2.0 überprüft werden. Dafür stehen vordefinierte Berichte zur Verfügung. Es ist aber auch möglich, mit SQL-Server-Reporting-Services-Tools individuelle Berichte zur Umsetzung von BitLocker zu definieren und zu erzeugen.
Wie die Ponemon-Studie "The Total Cost of Ownershipfor Full Disk Encryption" zeigt, enthalten mehr als ein Drittel der gestohlenen oder verlorenen Computer unverschlüsselte Daten. Kommt ein Endgerät abhanden, kann mit MBAM 2.0 nachvollzogen werden, ob eine automatische Verschlüsselung aktiv war. MBAM 2.0 verringert somit nicht nur die Aufwendungen für interne Sicherheits-Audits, sondern beschleunigt auch die notwendigen Prüfungen im Ernstfall eines Geräteverlustes.
Bessere Reports zur Verschlüsselung
Im Gegensatz zu MBAM 1.0 bewertet die neue Version 2.0 den Status der Verschlüsselung eines Gerätes nicht nach dem einfachen Schwarz-Weiß-Prinzip. Bei Version 1.0 entsprach eine Verschlüsselung auch dann nicht den Vorgaben (Bewertung "non-compliant"), wenn die Verschlüsselung stärker war als gefordert.
Foto: Microsoft
Diese mögliche Verwirrung gibt es nun bei MBAM 2.0 nicht mehr. Nun darf eine Verschlüsselung sicherer sein als gefordert, ohne eine Warnung im Bericht nach sich zu ziehen. Nur eine Unterschreitung der Anforderungen wird in den vordefinierten Berichten gemeldet. Mit einem neuen Dashboard bietet MBAM 2.0 zudem eine schnelle, grafische Übersicht über die Laufwerksverschlüsselung mit BitLocker im Unternehmen.
Fazit: Auch wenn sich selbst ein größerer Aufwand bei der Verschlüsselung lohnt, um vertrauliche Daten zu schützen: Mit MBAM 2.0 und Windows 8 können der Verschlüsselungsaufwand gesenkt und die wirtschaftlichen Vorteile einer Verschlüsselung noch erhöht werden. (mje)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.