Quo vadis BitLocker?

Eins vorab und damit kein falscher Eindruck entsteht: Um die Weiterentwicklung von BitLocker durch Microsoft müssen wir uns wohl erstmal keine Sorgen machen. Und Microsoft wird auch weiterhin kritische Sicherheitsupdates für MBAM liefern. Aber: Problematisch ist, dass durch die Abkündigung Administratoren im professionellen Umfeld die Verwaltungssoftware für das BitLocker Management verlieren.

Wozu braucht man ein Tool wie MBAM?

Wie bei vielen IT-Security Lösungen wird auch bei BitLocker das Passwort (Passphrase) oder die PIN zur Zugangskontrolle abgefragt. Schon beim Setup wird durch BitLocker ein statisches Recovery Passwort erstellt und zugewiesen. Ist die Festplattenverschlüsselung tatsächlich irgendwann fehlerhaft oder wird eine neue Hardware eingesetzt, kommt der Wiederherstellungsschlüssel zum Einsatz.

Ohne BitLocker Management wird dieser Schlüssel meistens als Datei gespeichert oder mittels Schema-Erweiterung relativ unsicher im Active Directory gespeichert. Jeder Admin mit entsprechender Berechtigung kann diese Daten auslesen.

MBAM (und vergleichbare Tools) schieben dem einen Riegel vor und sichern den Wiederherstellungsschlüssel in einer eigens geschützten Datenbank.

Wie kann man in Zukunft BitLocker in einem Netzwerk zentral und sicher administrieren?

Die Antwort ist einfach: Es gibt (kostenpflichtige und leistungsfähige) Alternativen. Dazu muss man vorausschicken, dass MBAM im Gegensatz zu BitLocker ohnehin nur für Organisationen verfügbar bzw. kostenlos war, die auch ein bezahltes Microsoft Enterprise oder Select Plus Agreement hatten. Neben den Kosten musste durch die Verteilung des MBAM Clients auch noch Zeit investiert werden.

Die jetzt entstehende Lücke wird von anderen Anbietern schon heute gefüllt, genannt sei hier zum Beispiel BitTruster. Auch diese Lösung speichert Zugangs- und Wiederherstellungsdaten in einer sicheren Datenbank. Der Helpdesk kann bei Problemen und Verlust der Zugangsdaten den Anwender produktiv unterstützen. Zudem ist eine periodische Änderung des TPM-PINs und der Passphrase einstellbar. Ein echter Mehrwert gegenüber. MBAM ist, dass BitTruster nach jeder Nutzung das Recovery Passwort standardmäßig ändert –  ein Feature, mit dem ein echter konzeptioneller Fehler des BitLocker beseitigt wird. Bei BitLocker ohne Management bleibt das Passwort zur Wiederherstellung nämlich auch nach dessen Einsatz unverändert – ist also „öffentlich“ geworden.

BitTruster arbeitet ohne Client auf den BitLocker Systemen. Die Overnight-Encryption kann die zeitintensive Erstverschlüsselung der Festplatten auf eine Zeit außerhalb der Geschäftszeiten verlegen. Über ein SelfHelp Portal können Anwender sicher PIN & Passwort erfragen bzw. ändern oder ein Notebook als gestohlen melden.

BitTruster arbeitet ohne Client auf den BitLocker Systemen. Die Overnight-Encryption kann die zeitintensive Erstverschlüsselung der Festplatten auf eine Zeit außerhalb der Geschäftszeiten verlegen. Über ein SelfHelp Portal können Anwender sicher PIN & Passwort erfragen bzw. ändern oder ein Notebook als gestohlen melden.

Wichtig: Nachweis ist Pflicht

Vor Audits oder nach einem Sicherheitsvorfall schlägt die Stunde der Nachweispflicht. Das gilt natürlich auch für die Festplattenverschlüsselung. Kommt ein Notebook abhanden ist das per se ein meldepflichtiger Sicherheitsvorfall, wenn man davon ausgeht, dass darauf fast immer schützenswerte Daten gespeichert oder darüber zugänglich sind. In diesem Fall muss nachgewiesen werden können, dass die Festplattenverschlüsselung aktiv war. Zusätzliche IT-Asset Angaben wie z.B. Anzahl der HDD/SSD oder Device-Name beschreiben und identifizieren das Endgerät eindeutig.

Damit kein falscher Eindruck entsteht:

Obwohl die Redaktion von ProBlog ein großer Verfechter von „Hardwareverschlüsselung“ ist, sehen wir in der Festplattenverschlüsselung BitLocker von Microsoft eine empfehlenswerte Software-basierte Lösung. BitLocker ist in das Betriebssystem implementiert und damit sehr sicher und schnell. Und kostenlos, zumindest, wenn Sie die Versionen Pro und Enterprise ab Windows 8 einsetzen. Diesen Vorteilen kann man sich nicht verschließen. Sie erfüllen damit laut BSI die entsprechenden IT-Grundschutz Anforderungen und haben eine entscheidende technisch-organisatorische Maßnahme (TOM) bei der Zugangskontrolle im Sinne des Art. 32 DSGVO erfüllt.