+49 (0) 8171/405-0 info@proSoft.de

Quo vadis BitLocker?

05.
Jul
2019
BitLocker-Management, MBAM

MBAM Mainstream Support endete im Juli 2019.
Microsoft hat MBAM (BitLocker Administration and Monitoring) abgekündigt. Der Mainstream Support für das Tool, mit dem die BitLocker Laufwerksverschlüsselung zentral für Gruppen definiert und verwaltet werden, endete im Juli 2019.

Ist das auch das Ende für BitLocker?

Eins vorab und damit kein falscher Eindruck entsteht: Um die Weiterentwicklung von BitLocker durch Microsoft müssen wir uns wohl erstmal keine Sorgen machen. Und Microsoft wird auch weiterhin kritische Sicherheitsupdates für MBAM liefern. Aber: Problematisch ist, dass durch die Abkündigung Administratoren im professionellen Umfeld die Verwaltungssoftware für das BitLocker Management verlieren.

Wozu braucht man ein Tool wie MBAM?

Wie bei vielen IT-Security Lösungen wird auch bei BitLocker das Passwort (Passphrase) oder die PIN zur Zugangskontrolle abgefragt. Schon beim Setup wird durch BitLocker ein statisches Recovery Passwort erstellt und zugewiesen. Ist die Festplattenverschlüsselung tatsächlich irgendwann fehlerhaft oder wird eine neue Hardware eingesetzt, kommt der Wiederherstellungsschlüssel zum Einsatz.

Ohne BitLocker Management wird dieser Schlüssel meistens als Datei gespeichert oder mittels Schema-Erweiterung relativ unsicher im Active Directory gespeichert. Jeder Admin mit entsprechender Berechtigung kann diese Daten auslesen.

MBAM (und vergleichbare Tools) schieben dem einen Riegel vor und sichern den Wiederherstellungsschlüssel in einer eigens geschützten Datenbank.

Wie kann man in Zukunft BitLocker in einem Netzwerk zentral und sicher administrieren?

Die Antwort ist einfach: Es gibt (kostenpflichtige und leistungsfähige) Alternativen. Dazu muss man vorausschicken, dass MBAM im Gegensatz zu BitLocker ohnehin nur für Organisationen verfügbar bzw. kostenlos war, die auch ein bezahltes Microsoft Enterprise oder Select Plus Agreement hatten. Neben den Kosten musste durch die Verteilung des MBAM Clients auch noch Zeit investiert werden.

Die jetzt entstehende Lücke wird von anderen Anbietern schon heute gefüllt, genannt sei hier zum Beispiel BitTruster. Auch diese Lösung speichert Zugangs- und Wiederherstellungsdaten in einer sicheren Datenbank. Der Helpdesk kann bei Problemen und Verlust der Zugangsdaten den Anwender produktiv unterstützen. Zudem ist eine periodische Änderung des TPM-PINs und der Passphrase einstellbar. Ein echter Mehrwert gegenüber. MBAM ist, dass BitTruster nach jeder Nutzung das Recovery Passwort standardmäßig ändert –  ein Feature, mit dem ein echter konzeptioneller Fehler des BitLocker beseitigt wird. Bei BitLocker ohne Management bleibt das Passwort zur Wiederherstellung nämlich auch nach dessen Einsatz unverändert – ist also „öffentlich“ geworden.

BitTruster arbeitet ohne Client auf den BitLocker Systemen. Die Overnight-Encryption kann die zeitintensive Erstverschlüsselung der Festplatten auf eine Zeit außerhalb der Geschäftszeiten verlegen. Über ein SelfHelp Portal können Anwender sicher PIN & Passwort erfragen bzw. ändern oder ein Notebook als gestohlen melden.

BitTruster arbeitet ohne Client auf den BitLocker Systemen. Die Overnight-Encryption kann die zeitintensive Erstverschlüsselung der Festplatten auf eine Zeit außerhalb der Geschäftszeiten verlegen. Über ein SelfHelp Portal können Anwender sicher PIN & Passwort erfragen bzw. ändern oder ein Notebook als gestohlen melden.

Wichtig: Nachweis ist Pflicht

Vor Audits oder nach einem Sicherheitsvorfall schlägt die Stunde der Nachweispflicht. Das gilt natürlich auch für die Festplattenverschlüsselung. Kommt ein Notebook abhanden ist das per se ein meldepflichtiger Sicherheitsvorfall, wenn man davon ausgeht, dass darauf fast immer schützenswerte Daten gespeichert oder darüber zugänglich sind. In diesem Fall muss nachgewiesen werden können, dass die Festplattenverschlüsselung aktiv war. Zusätzliche IT-Asset Angaben wie z.B. Anzahl der HDD/SSD oder Device-Name beschreiben und identifizieren das Endgerät eindeutig.

Damit kein falscher Eindruck entsteht:

Obwohl die Redaktion von ProBlog ein großer Verfechter von „Hardwareverschlüsselung“ ist, sehen wir in der Festplattenverschlüsselung BitLocker von Microsoft eine empfehlenswerte Software-basierte Lösung. BitLocker ist in das Betriebssystem implementiert und damit sehr sicher und schnell. Und kostenlos, zumindest, wenn Sie die Versionen Pro und Enterprise ab Windows 8 einsetzen. Diesen Vorteilen kann man sich nicht verschließen. Sie erfüllen damit laut BSI die entsprechenden IT-Grundschutz Anforderungen und haben eine entscheidende technisch-organisatorische Maßnahme (TOM) bei der Zugangskontrolle im Sinne des Art. 32 DSGVO erfüllt.

⚠ Notfall-Update: Cyberattacken auf Webbrowser #Chrome könnten bevorstehen https://t.co/RFN3vuYjsYhttps://t.co/KTvytXUnmg
Minor Release bei NetSupport DNA. IT-Asset Management / ITAM mit neuen Funktionen https://t.co/ebeqIVs5fJ
Forsa-Umfrage: 51 % der Befragten haben Sorge, dass Cyberangriffe zu Ausfällen bei kritischen Infrastrukturen führen. Klimawandel und Ukraine-Krieg sind die größten Sorgen der Deutschen. https://t.co/acuRXjLViJ https://t.co/Rf8qY3KUjv
Wenn IT-Security an Grenzen stößt: UEFI-BIOS teilweise mit Sicherheitslücken. Schwachstellen auch im TPM Firmware-Update https://t.co/4IMqUspl09 #BIOS #Firmware #TPM #Lenovo https://t.co/JFpAbAQKce
IT-Security-Experte #ProSoft überzeugt mit Partner #OPSWAT obere Bundesbehörde und gewinnt Ausschreibung https://t.co/9HWDLlTJjN https://t.co/JW0yAIWqwL
Durchschnittlich 277 Tage dauert es laut einer IBM Studie, bis IT-Angriff erkannt wird. https://t.co/xSNdgOOZNY https://t.co/cquotQRatV
ProSoft gewinnt Ausschreibung zur Implementierung eines Cybersicherheits-Pakets im öffentlichen Sektor https://t.co/GeQGtNDeMM #Pressemitteilung
Datenschutz-Folgenabschätzung richtig durchführen: So gehts https://t.co/FWz9jovkeI #DSGVO https://t.co/V9LEreyNsg
Erfolgreicher #ransomeware Angriff auf #mediamarkt Schaden 100 Millionen US $ https://t.co/K6LNm11zlU
Root-Lücke in F5 BIG-IP Appliances geschlossen https://t.co/hfajFN1A4L #F5 https://t.co/7fzK6BlXqL
Mobilfunk Netzausfälle in ganz Deutschland. Alle Provider betroffen. https://t.co/29N1r5pqsx
Mega Netzausfall bei fast allen Mobilfunk Anbietern https://t.co/29N1r5pYi5
#Phishing: MFA-Fatigue-Attacken ermüdet den Anwender und hebelt dadurch Mehrfaktor-Authentifizierung aus. MFA bleibt sicher, der Anwender nicht https://t.co/LfCwadP4Hu https://t.co/1uQ15sLNo5
@NetSupportNSM: For additional security, #NetSupportManager uses four levels of #Encryption:
#SmartCard support
#Remote login support
•Central logging of all #Connectivity and actions
•Full integration with #ActiveDirectory.
Try for free https://t.co/Woluh4JoWu https://t.co/5NOK5iLB2W
#backdoor Angriffe mit #DTrack auf 2 Chemie-Unternehmen identifiziert https://t.co/iWo3Am4g9C #Lazarus https://t.co/IodpAgu2A1
@heisec: Sicherheitsupdates: Angreifer könnten Firefox und Thunderbird crashen lassen https://t.co/FXWahu4hiG #Firefox107 #Patches
Gottenheimer Gemeindehomepage geht wegen Viren vom Netz https://t.co/KfZtUqlVtg https://t.co/NZzsCCFmVq
#BSI Lagebericht 2022 zur IT-Sicherheit in Deutschland. Die wichtigsten Fakten daraus finden Sie im ProBlog https://t.co/SInIguwAma https://t.co/9HSLVCKmmP

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This