BitLocker mit PIN

Einleitung

Mobile Geräte verlassen den Betrieb und somit auch die geschützte Netzwerkumgebung. Dass auf diesen Geräten Daten gespeichert sind, lässt sich kaum verhindern. Auch wenn es Vorgaben untersagen, muss davon ausgegangen werden, dass sich vertrauliche Daten auf der Disk befindet, entweder weil trotz Vorgaben Daten lokal gespeichert werden oder weil Daten auf dem lokalen Laufwerk gecached sind. Es ist daher geboten, dass die Datenträger zuverlässig verschlüsselt sind. Windows bietet die dazu notwendigen Komponenten von Haus aus an. Die Einrichtung ist einfach und kann auch per Group Policy erfolgen.

Was ist Bitlocker?

Bitlocker ist die eingebaute Verschlüsselungsfunktion von Windows 10 (Versionen Professional und Business). Im Unterschied zur Funktion ‘Ordner verschlüsseln’ wird die gesamte Disk verschlüsselt. Das bedeutet, dass Windows nur gebooted werden kann, wenn der zur Entschlüsselung notwendige Schlüssel vorliegt. Dieser Schlüssel muss unabhängig vom Gerät abgelegt sein, da die Verschlüsselung sonst wenig Sinn ergibt (Türe abgeschlossen, Schlüssel steckt). Es gibt dazu folgende Optionen:

  1. Der Schlüssel wird beim Einschalten eingetippt (in Form eines Passwortes)
  2. Schlüssel wird auf einem externen Gerät (USB Stick, Smart Card) gespeichert, welches vor dem Einschalten eingesteckt werden muss und nach dem Abschalten entfernt und getrennt aufbewahrt werden muss

Variante a) ist sehr umständlich, da ein starkes (sprich langes) Passwort verwendet werden muss.

Variante b) ist unsicher, da das getrennte Aufbewahren schwierig durchzusetzen ist.

BitLocker legt daher den Schlüssel im sogenannten TPM (trusted platform module) ab. Diese Methode ist für den Anwender mit wenig Zusatzaufwand verbunden und trotzdem sicher. Das Booten erfolgt nun in zwei Stufen. Zuerst wird eine Art Bootloader gestartet. Dieser liegt auf einer unverschlüsselten Partition auf der Disk. Dieser Bootloader holt dann den Schlüssel aus dem TPM und übergibt diesen an das im zweiten Schritt bootende Windows. Dieses kann dann mit dem Schlüssel von der verschlüsselten Windows Partition booten

Was ist das TPM?

Das TPM ist eine fix in den PC eingebaute Hardwarekomponente. Diese kann unter anderem Schlüsselmaterial erzeugen und sicher verwalten. Diese Funktion ähnelt der einer Smart Card. Das TPM hat einen internen Speicher auf den nur über spezielle Schnittstellen zugegriffen werden kann. Zudem kann z.B. ein PIN Zugriffsschutz aktiviert werden. Das macht dann den Schlüsselspeicher resistent gegen Brute Force Angriffe (tamperproof). Konkret heisst das, dass das TPM zuverlässig verhindert kann, dass alle möglichen PINs durchprobiert werden können. Nach einer definierten Anzahl Fehlversuchen wird der Zugriff blockiert.

Eine weitere Funktion des TPM ist die Überwachung der Hardware. So ‘merkt’ sich das TPM die Konfiguration ‘seines’ Computers. Wird diese verändert (z.B. durch einen Hacker, der das Gerät gestohlen hat) so verweigert das TPM die Herausgabe des Schlüssels.

BitLocker mit oder ohne Startup PIN

Wenn BitLocker aktiviert wird, wird die Systemfestplatte im Hintergrund automatisch verschlüsselt. Ist dieser Vorgang abgeschlossen, sind alle Daten darauf sicher verschlüsselt. Der Schlüssel liegt im TPM und wird beim Booten automatisch von dort geholt. Das Ganze ist für den Anwender transparent, d.h. er merkt nichts davon. Wenn das Gerät in fremde Hände gelangt, funktioniert das natürlich auch. Auch ein Unbefugter kann Windows booten und dann versuchen, sich anzumelden.

Als zusätzliche Sicherheitsmassnahme kann der Schlüssel mit einem PIN geschützt werden. Dieser muss dann jeweils beim Einschalten eingegeben werden. Ohne diesen PIN kann Windows nicht gestartet werden. Ein 6-stelliger PIN genügt, da die TPM vor Brute Force Angriffen geschützt ist. Damit der zusätzliche Schutz auch wirkt, muss das Gerät ausgeschaltet sein (Herunterfahren oder Ruhezustand).

Im Folgenden wird der Schutz gegen Datendiebstahl für verschiedene Situationen verglichen.

Situation

Ohne PIN

Mit PIN

Dritte erlangen Zugriff auf ausgeschaltetes Gerät

genügend

sehr gut

Dritte erlangen Zugriff auf eingeschaltetes Gerät

genügend

genügend

Dritte erlangen Zugriff auf Disk (z.B. Entsorgung)

sehr gut

sehr gut

Fazit

Mit der Standardfunktion BitLocker von Windows können mobile Geräte zuverlässig gegen Datendiebstahl geschützt werden. Es empfiehlt sich, den Zugriff auf die verschlüsselte Disk mit einem PIN zu schützen. Dies ist zwar ein kleiner Zusatzaufwand für den Anwender, erhöht aber den Schutz stark. Ohne den PIN sind die Daten nur durch das Windows Passwort geschützt.

Als Nebenprodukt hat man das Problem von Daten auf entsorgten Disks auch noch sicher gelöst. Verschlüsselung der Daten und löschen des Schlüssels ist zuverlässiger als Daten (z.B. durch mehrmaliges Überschreiben) löschen.

Links

Thomas Gusset

Über den Autor

Thomas Gusset

Thomas Gusset hat über 25 Jahre Erfahrung in Netzwerksicherheit und ist CEO & CTO der NetSec.co AG

Cookieinformation

Diese Seite verwendet Cookies. Details siehe Datenschutzerklärung.

 

Cookies akzeptieren

Back to top