M 4.337 Einsatz von BitLocker Drive Encryption

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer, IT-Sicherheitsbeauftragter, Leiter IT

Neben der Festplattenverschlüsselung dient BitLocker Drive Encryption (BDE) der Sicherstellung der Systemintegrität während des Bootprozesses. Letzteres setzt voraus, dass der Windows Vista Rechner über ein TPM (Trusted Platform Module) verfügt.

BitLocker ist nur in den Windows Vista Versionen Enterprise und Ultimate verfügbar.

Der Einsatz der BDE wird empfohlen, um die Vertraulichkeit aller Daten eines Windows Vista Rechners zu schützen. Dies gilt insbesondere für mobile Rechner.

Die Verschlüsselung entfaltet jedoch nur dann ihre Schutzwirkung, wenn der Windows Vista Rechner ausgeschaltet ist. Während des Startvorgangs von Windows Vista entschlüsselt BitLocker die verschlüsselten Festplattenpartitionen für die Dauer, in der der Windows Vista Rechner eingeschaltet ist.

Vorbereitung des Einsatzes von BitLocker

Wird BDE eingesetzt, sollte der Windows Vista Rechner über ein TPM (Trusted Platform Module) verfügen. BitLocker unterstützt TPMs ab einschließlich der Version 1.2.

Ein TPM ist ein Sicherheitschip, der durch die Trusted Computing Group (TCG) spezifiziert worden ist. Vereinfacht lässt sich ein TPM wie eine, auf die Hauptplatine gelötete, Smartcard vorstellen. Sofern auf dem Windows Vista Rechner ein Trusted Platform Module (TPM) zur Verfügung steht, kann BitLocker dieses als Schlüsselspeicher, zur Schlüsselprüfung und zur Sicherstellung der Systemintegrität während des Bootprozesses nutzen. Ohne TPM kann BitLocker alternativ auch ein USB-Speichermedium als Schlüsselspeicher nutzen, ein Integritätsschutz ist dann allerdings nicht mehr gegeben.

BitLocker verschlüsselt "simple Volumes". Ein simple Volume besteht aus genau einer Partition (ein Volume kann sonst auch aus mehreren Partitionen bestehen). Die Begriffe Volume, simple Volume und Partition werden hier synonym verwendet.

Für BitLocker ohne installiertes Service Pack 1 oder später müssen mindestens zwei Volumes eingerichtet werden:

Wenn ein Windows Vista Rechner nur ein Volume hat, dann kann mit dem Microsoft BitLocker-Laufwerkvorbereitungstool ein zweites Volume erstellt werden. Das BitLocker-Laufwerkvorbereitungstool befindet sich unter Start / Alle Programme / Zubehör / Systemprogramme / BitLocker.

Es sollte überlegt werden, den Schreibzugriff durch die Standardbenutzer auf die unverschlüsselte Systempartition zu unterbinden. Dies kann erreicht werden, indem die entsprechenden NTFS-Berechtigungen gesetzt werden. Dadurch wird verhindert, dass Standardbenutzer irrtümlich die Vertraulichkeit ihrer Daten durch die BDE geschützt glauben, obwohl sie ihre Daten versehentlich in die unverschlüsselte Systempartition geschrieben haben.

Weitere Partitionen, wie eine Datenpartition, lassen sich durch BitLocker ab dem Service Pack 1 für Windows Vista verschlüsseln.

Auswahl der geeigneten Benutzer-Authentisierung

Für den erfolgreichen Start von BitLocker während des Startvorgangs von Windows Vista kann der Administrator vier unterschiedliche Verfahren zur Authentisierung des Benutzers konfigurieren.

Es muss eine geeignete Form der Authentisierung des Benutzers gegenüber BitLocker gewählt werden. Hierbei sind folgende Gesichtspunkte zu berücksichtigen und gegeneinander abzuwägen:

Alle vier vorgestellten Authentisierungsformen können auch im Pool-Betrieb eingesetzt werden, wenn ein mobiler Windows Vista Rechner mehreren Benutzern zur Verfügung steht. Alle Benutzer müssen dann über dieselbe PIN und/oder über dasselbe Schlüsselmaterial auf einem USB-Stick verfügen.

BitLocker Wiederherstellungskennwort und Wiederherstellungsschlüssel

Der Administrator muss ein Wiederherstellungskennwort für BitLocker setzen. Das Wiederherstellungskennwort kann nach der Erstellung ausgedruckt oder elektronisch gespeichert und im Bedarfsfall manuell eingegeben werden. Es besteht aus 48 numerischen Zeichen.

Wenn das Wiederherstellungskennwort vom Administrator gewählt wird, dann müssen triviale Formen vermieden werden (siehe M 2.11 Regelung des Passwortgebrauchs). Wenn das Wiederherstellungskennwort aus Effizienzgründen für verschiedene Windows Vista Rechner gleich gewählt wird, dann gilt die Vermeidung trivialer Formen umso dringender.

Eine Variante des Wiederherstellungskennworts ist der Wiederherstellungsschlüssel. Dieser liegt im Binärformat vor. Zu den unterstützten Ablageorten für Wiederherstellungskennworte und Wiederherstellungsschlüssel zählen Dateien, Active Directory und USB-Sticks. Das Wiederherstellungskennwort eignet sich im Gegensatz zum Wiederherstellungsschlüssel aufgrund seiner numerischen Darstellungsform auch für die telefonische Übermittlung.

Das Wiederherstellungskennwort und der Wiederherstellungsschlüssel ermöglichen die Fortführung des Startvorgangs von Windows Vista, wenn BitLocker diesen abgebrochen hat. Zu den möglichen Ursachen zählen eine falsche PIN, ein defekter oder fehlender USB-Stick, ein defektes TPM und festgestellte Veränderungen am BIOS des IT-Systems. Für den Start des abgesicherten Modus von Windows Vista, zum Beispiel zur Wartung oder Fehlerbehebung, wird ebenfalls das Wiederherstellungskennwort beziehungsweise der Wiederherstellungsschlüssel benötigt.

Besteht der Verdacht, dass PIN, USB-Stick, Wiederherstellungskennwort oder Wiederherstellungsschlüssel kompromittiert worden sind, dann muss der entsprechende Schlüssel neu gesetzt werden. Dies kann mit dem Kommandozeilenwerkzeug manage-bde.wsf in Verbindung mit dem Wiederherstellungskennwort oder dem Wiederherstellungsschlüssel erfolgen. Auf diese Weise können auch verlorene oder defekte USB-Sticks und/oder PINs zurückgesetzt werden.

Auch ein mit BitLocker verschlüsselter Datenträger wird einmal ausgesondert werden. Möglicherweise wird dann aus Effizienzgründen auf das Löschen des BitLocker-verschlüsselten Datenträgers verzichtet. In diesem Fall müssen alle Schlüssel vernichtet werden, die zur Entschlüsselung eingesetzt werden können.

Es sollte überlegt werden, Sicherheitskopien des Wiederherstellungskennworts und des Wiederherstellungsschlüssels zu erstellen und an einer geeigneten Stelle separat aufzubewahren. Die Form der Sicherheitskopien und deren Aufbewahrung sind anhand des Schutzbedarfs der Daten festzulegen. Wenn ein Active Directory als Speicherort für das Wiederherstellungskennwort gewählt wird, dann können dessen vorhandene Mechanismen zur Sicherstellung der Verfügbarkeit genutzt werden.

Wiederherstellungskennwort und Wiederherstellungsschlüssel sowie deren Sicherheitskopien dürfen nur Befugten zugänglich sein (siehe M 2.22 Hinterlegen des Passwortes). Sie müssen an einer geeigneten Stelle hinterlegt werden, so dass sie im Bedarfsfall hinreichend schnell verfügbar sind.

Klarstellung des Umfangs der BitLocker-Verschlüsselung

Die Benutzer müssen darüber informiert werden, welche Festplattenpartitionen durch BitLocker verschlüsselt werden und welche nicht. Derzeit verschlüsselt BitLocker nur die eigentliche Windows-Partition, auch Bootpartition genannt. Und dies auch nur, wenn der Windows Vista Rechner ausgeschaltet ist. Mit Erscheinen des Service Packs 1 können auch weitere Partitionen, wie Datenpartitionen, mit Bitlocker verschlüsselt werden. BitLocker verschlüsselt nicht die Systempartition.

Die Benutzer müssen darüber informiert werden, wie sie mit den möglichen Energiesparmodi unter dem Gesichtspunkt der Wirksamkeit der BitLocker-Verschlüsselung umgehen sollten.

BitLocker in Verbindung mit Energiesparmodi

Ein Windows Vista Rechner, der aktuell nicht benutzt wird und auch nicht ausgeschaltet ist kann sich im Energiesparmodus befinden. Bei Windows-Systemen gibt es die Energiesparmodi Standby-Modus, Ruhezustand (auch Hibernate-Modus genannt) und Hybrider Energiesparmodus.

Im Standby-Modus verbleibt das BitLocker-Schlüsselmaterial im Arbeitsspeicher (RAM) des Windows Vista Rechners. Dadurch ist die Vertraulichkeit der BitLocker-verschlüsselten Daten durch den Angriffsvektor gegen BitLocker-Schlüssel im RAM gefährdet (siehe Abschnitt oben). Gegen diesen Angriffsvektor wird empfohlen, einen Windows Vista Rechner nicht unbeaufsichtigt im Standby-Modus zu lassen. Alternativen sind der Ruhezustand und das Ausschalten. Die Möglichkeit zum Standby-Modus ist ein typisches Merkmal von mobilen Rechnern, um Energie zu sparen.

Der Ruhezustand ist nicht durch den geschilderten Angriffsvektor gegen BitLocker-Schlüssel im RAM gefährdet, da das Schlüsselmaterial verschlüsselt auf die Festplatte geschrieben wird und nicht im Arbeitsspeicher verbleibt.

Der hybride Energiesparmodus ist eine Neuerung von Windows Vista. Dieser Modus kombiniert den Standby-Modus mit dem Ruhezustand. Analog dem Standby-Modus ist der hybride Energiesparmodus durch den Angriffsvektor gegen BitLocker-Schlüssel im RAM gefährdet. Der hybride Energiesparmodus sollte deshalb nicht eingesetzt werden, wenn hohe Anforderungen an den Schutz der Vertraulichkeit durch BitLocker gestellt werden und der Windows Vista Rechner unbeaufsichtigt ist.

In jedem Fall sollte die Rückkehr aus dem Standby-Modus, dem Ruhezustand oder dem hybriden Energiesparmodus nur nach erneuter Kennworteingabe erfolgen können. Hierzu ist im entsprechenden Gruppenrichtlinienobjekt unter Benutzerkonfiguration \ Administrative Vorlagen \ System \ Energieverwaltung die Richtlinie Kennworteingabe bei der Wiederaufnahme aus dem Ruhezustand bzw. Energiesparmodus zu aktivieren.

BitLocker-Werkzeuge

Microsoft stellte Werkzeuge zur Verfügung, um BitLocker vorbereiten, konfigurieren, administrieren und in Notfällen behandeln zu können.

Abgrenzung der Eignung von BitLocker

BDE ist für Multiboot-Systeme in der Praxis ungeeignet. Soll neben Windows Vista ein anderes Betriebssystem gestartet werden können (Multiboot-System), dann empfiehlt sich der Einsatz eines Programms zur Festplattenverschlüsselung, das mögliche Verletzungen der Vertraulichkeit durch ein anderes Betriebssystem unterbindet. Es sollte ein, für Multiboot-Systeme geeignetes, Produkt eines Drittherstellers eingesetzt werden. Alternativ zur Festplattenverschlüsselung kann unter Windows 2000/XP/Vista auch EFS (Encrypting File System - verschlüsselndes Dateisystem) eingesetzt werden. EFS unterstützt die Verschlüsselung einzelner Dateien (siehe M 4.147 Sichere Nutzung von EFS unter Windows).

Der Einsatz des EFS empfiehlt sich auch, wenn die zu schützenden Daten auf einem mobilen Rechner auch dann verschlüsselt sein sollen, wenn der mobile Rechner unter Windows Vista eingeschaltet ist. Im eingeschalteten Zustand bietet die BitLocker-Verschlüsselung keinen wirksamen Schutz.

Weiterführende Informationen zu BitLocker

Weiterführende Informationen zu BitLocker sind im Anwenderleitfaden "BitLocker Drive Encryption im mobilen und stationären Unternehmenseinsatz" auf den Webseiten des BSI zu finden. Der Leitfaden ist das Ergebnis einer gemeinsamen Sicherheitsanalyse des BSI und des Fraunhofer-Instituts für sichere Informationstechnologie unter Einbeziehung der für die Entwicklung von BDE verantwortlichen Produktgruppe von Microsoft.

Prüffragen: