Mit Windows-Mitteln und Freeware verschlüssel
Sicherheit durch Krypto-Laufwerke
Microsoft stellt seit Vista die Laufwerkverschlüsselung Bitlocker zur Verfügung. Aber erst seit dem Erscheinen von Windows 7 können Anwender dieses Feature auch für alle Laufwerke einsetzen. Da diese Option doch immer noch nicht bei allen Versionen des Betriebssystems dazu gehört, nimmt LANline nicht nur Bitlocker unter die Lupe, sondern auch eine Freeware-Alternative.
Mit dem Erscheinen von Windows Vista hatte Microsoft angekündigt, alle Betriebssysteme
grundsätzlich sicherer zu gestalten und dies durch mitgelieferte Programme und Features zu
unterstützen. Zu diesen Programmen gehörte unter Windows Vista und auf dem Windows Server 2008 eine
erste Version von Bitlocker. Bitlocker Drive Encryption (BDE) wird in der deutschen Übersetzung zur
Bitlocker-Laufwerkverschlüsselung und kann die Festplatten eines Rechners so verschlüsseln, dass
ein unberechtigter Zugriff auf diese Daten deutlich erschwert wird.
Einschränkungen unter Vista und Neuerungen bei Windows 7
Die Laufwerkverschlüsselung setzte sich allerdings bei den Vista-Systemen schon deshalb nicht
durch, weil sie sehr große Einschränkungen aufwies: Nur eine einzige Partition, das Boot-Volumen
des Computers, konnte mit ihrer Hilfe geschützt werden. Erst mit dem Service Pack 1 für Vista und
dem Windows Server 2008 ergab sich die Möglichkeit, verschiedene Partitionen einschließlich lokaler
Datenträger zu verschlüsseln.
Unter Windows 7 und auf dem Windows Server 2008 R2 haben die Microsoft-Ingenieure dann endlich
auch eine Option integriert, um tragbare Datenträger wie Memory-Sticks und externe Festplatten zu
verschlüsseln. Dieses Feature heißt Bitlocker to Go (BTG). Dennoch gibt es Software nicht auf allen
Systemen: Wie schon unter Vista gehört sie nur bei den beiden Windows-7-Versionen Enterprise und
Ultimate und bei der R2-Version des Windows Servers zum Lieferumfang.
Auf diesen Systemen kann der Anwender mithilfe der Verschlüsselung sowohl alle Dateien auf dem
eigentlichen Windows-Laufwerk (dem Betriebssystemlaufwerk) wie auch auf allen eingebauten
Laufwerken wie beispielsweise den verschiedenen internen Festplatten schützen. Vielfach kommt es
noch zu Verwechselungen zwischen der Bitlocker-Funktionalität mit dem schon seit Windows 2000 zur
Verfügung stehenden verschlüsselnden Dateisystem (Encrypting File System, EFS), weshalb eine
Abgrenzung nötig ist: Mithilfe von EFS lassen sich nur Verzeichnisse und einzelne Dateien
verschlüsseln, während Bitlocker grundsätzlich dazu dient, ein gesamten Laufwerks zu
verschlüsseln.
Anwender können sich trotz der verschlüsselten Daten wie gewöhnlich anmelden und ohne
Einschränkungen mit ihren Dateien arbeiten. Baut ein Dieb aber beispielsweise das Laufwerk aus
einem gestohlenen Notebook aus, um so an die Daten zu gelangen, so ist der Zugriff darauf nur
schwer möglich, da alle Daten komplett verschlüsselt auf der Festplatte liegen. Das
Bitlocker-System arbeitet transparent, sodass neue Dateien beim Hinzufügen zu einem mit Bitlocker
verschlüsselten Laufwerk automatisch verschlüsselt werden. Sie bleiben verschlüsselt, so lange sie
sich auf einem verschlüsselten Laufwerk befinden. Kopiert der Anwender diese Daten dann auf ein
anderes Laufwerk oder auf einen anderen Computer, entschlüsselt das System sie ebenfalls
automatisch. Gleiches gilt für derart geschützte Daten, wenn sie sich auf einer Netzwerk-Freigabe
befinden. Sind die Dateien für andere Anwender freigegeben, dann sind sie solange verschlüsselt,
wie sie sich auf dem verschlüsselten Laufwerk befinden. Nutzer, die darauf direkt zugreifen wollen,
müssen autorisiert sei.
Durch den Einsatz von BDE lässt sich ein Windows-System aber noch auf eine weitere Weise vor
Angriffen schützen. Wer beispielsweise auf einem mobilen Rechner die System-Partition mit Bitlocker
verschlüsselt, kann ein Feature der Software nutzen, durch das sich die Integrität der Dateien
überprüfen lässt. Diese Automatik beurteilt den Status der beim Systemstart wichtigen Daten wie
BIOS, Master Boot Records (MBRs) und des NTFS-Boot-Sektors, bevor der eigentliche Systemstart
beginnt. Zeigt sich nun eine dieser Dateien verändert oder ein ist ein Schadcode vorhanden, wird
BDE dies feststellen und einen Systemstart verhindern. Diese Option steht jedoch nur den Systemen
zur Verfügung, die über einen so genannten TPM-Chip (Trusted Platform Module) in der Version 1.2
verfügen. Diese Art von Spezialchip ist heute in viele Motherboards integriert.
Bitlocker – Handhabung und Einsatz
Auf den Windows-7-Systemen ist die Laufwerkverschlüsselung unter "Systemsteuerung – System und
Sicherheit" zu finden. Dort kann der Anwender den Eintrag "Bitlocker-Laufwerkverschlüsselung"
auswählen und bekommt dann ein Menü angezeigt (Bild 1). Darin listet das System sowohl die
vorhandenen Festplattenpartitionen wie auch die mit dem System verbundenen mobilen Laufwerke
auf.
Ist der Eintrag "Bitlocker aktivieren" (Bild 1) neben einem der Laufwerke ausgewählt,
startet das System einen Bitlocker-Wizard, der durch die Einrichtung des verschlüsselten Laufwerks
führt. Dazu initialisiert das System zunächst einmal das ausgewählte Laufwerk und fragt dann nach
der Methode, die zum Entschlüsseln eingesetzt werden soll. Zwei Möglichkeiten stehen zur Wahl: ein
einfaches Kennwort oder ein geheimer Schlüssel, der auf einer Smart-Card abgelegt ist. Eine
Kombination der beiden Möglichkeiten ist ebenfalls möglich.
Das Programm fordert den Anwender anschließend auf, den 48-stelligen Wiederherstellungsschlüssel
direkt auszudrucken oder in einer Datei zu speichern. Der Administrator kann jedoch per
Gruppenrichtlinie festlegen, dass ein solcher Schlüssel direkt ins Active Directory wandert. So ist
eine Wiederherstellung im Firmennetzwerk auch ohne Eingriff des jeweiligen Nutzers möglich.
Anschließend beginnt das System nach einem Klick auf "Verschlüsselung starten" mit der
Verschlüsselung. Dies ist allerdings in der Regel ein sehr zeitraubender Prozess: Abhängig von der
Größe der Festplatte und der Leistungsstärke der eingesetzten CPU kann sich dieser Vorgang durchaus
einige Stunden hinziehen.
Dateisysteme und der Zugriff
von anderen Rechnern
Als neues Feature der Bitlocker-Software hat Microsoft auf den Windows-7-Systemen Bitlocker to
Go (BTG) eingeführt. Mit diesem Programmfeature kann der Anwender seine Daten beispielsweise auf
USB-Sticks und portablen Festplatten zu verschlüsseln. Auch dieser Teil der Software verwendet zur
Verschlüsselung standardmäßig AES 128-Bit (Advanced Encryption Standard) mit einem
Diffuser-Algorithmus. Durch eine entsprechende GPO-Einstellung (Group Policy Object –
Gruppenrichtlinien-Objekt) im Active Directory kann ein Administrator diesen Wert auch auf 256 Bit
heraufsetzen. Im Gegensatz zur Standardlaufwerkverschlüsselung kann diese Version der Software auch
auf solchen Laufwerken eingesetzt werden, die nicht als NTFS formatiert sind.
File-Systeme
Die Software kann nun auch auf Laufwerken mit FAT16-, FAT32- sowie solchen mit dem noch relativ
neuem exFAT-Dateisystem arbeiten. Dabei muss ein solches Laufwerk wenigstens noch 64 MByte freien
Speicherplatz zur Verfügung haben, damit es sich verschlüsseln lässt. Anlegen kann man ein solches
Laufwerk nur auf den zuvor erwähnten Windows-7-Versionen, dennoch sind andere Windows-7-Systeme in
der Lage, ein so verschlüsseltes und geschütztes Laufwerk zu öffnen und Daten von ihm zu lesen.
Doch wie sieht es mit den älteren Windows-Versionen aus?
Wenn Bitlocker ein portables Laufwerk verschlüsselt, kopiert das Betriebssystem eine
zusätzliche Datei automatisch dorthin. Sie heißt BitlockerToGo.exe und stellt sicher, dass sich die
Daten auf diesem Gerät auch von einem Vista- oder XP-System verwenden lassen. Wird ein derart
präpariertes Medium mit einem Windows-Vista- oder -XP-System verbunden, startet automatisch das so
genannte "Bitlocker To Go"-Lese-Tool und fordert den Anwender auf, das Kennwort einzugeben. Danach
entschlüsselt das Programm sämtlich Inhalte auf dem Datenträger und zeigt sie in einer Dialogbox
auf dem Bildschirm an (Bild 2). Dabei muss der Nutzer allerdings mit einer gravierenden
Einschränkung leben: Die Software erlaubt es nur, die Dateien vom Medium per Drag and Drop auf ein
Verzeichnis oder den Desktop des Rechners zu ziehen.
Sind die Dateien erst einmal dort, sind sie nicht mehr verschlüsselt und auch nicht mehr vor
Zugriffen geschützt. Auch das Ändern einer solchen Datei mit anschließendem Zurückkopieren auf das
externe Medium ist nicht möglich: Auf ein so geschütztes Laufwerk kann schreibend nur von den
Systemen aus zugegriffen werden, die unter einer der zuvor erwähnten Windows-7-Varianten oder einer
Version des Windows Servers 2008 R2 arbeiten.
Die Freeware-Alternative:
Truecrypt
Es gibt eine ganze Reihe von Programmen, die ähnliche Möglichkeiten der Verschlüsselung bieten.
Gerade für IT-Umgebungen, in denen noch nicht alle Systeme auf die aktuellen Windows-Versionen
umgestellt wurden, sind solche Alternativen interessant. Wir wollen deshalb zum Abschluss des
Artikels noch kurz eine Lösung aus dem Freeware-Bereich vorstellen, deren Einsatz sowohl auf allen
Windows-Versionen ab Windows XP sowie auch auf Linux- und Mac-OS-Systemen möglich ist: Truecrypt.
Die aktuelle Version 6.3a, die vollständig kompatibel zu Windows 7 ist, steht auf der Seite
www.truecrypt.org zum Download bereit.
"On the fly" verschlüsseln
Genau wie der Bitlocker unter Windows 7 bietet diese Software grundsätzlich die Möglichkeit der
so genannten "On the fly"-Verschlüsselung: Der Nutzer kann problemlos mit seinen Daten arbeiten,
die automatisch ver- und entschlüsselt werden, wenn er darauf zugreift. Die Entwickler von
Truecrypt heben besonders hervor, dass die Daten beim Einsatz ihrer Software grundsätzlich nur im
Hauptspeicher in entschlüsselter Form vorliegen und sich nie unverschlüsselt auf den Festplatten
befinden. Im Gegensatz zur Bitlocker-Laufwerkverschlüsselung kann diese Software noch eine ganze
Reihe anderer Verschlüsselungsalgorithmen einsetzen und bietet zudem auch unterschiedliche Wege der
Verschlüsselung an.
Der Anwender kann mithilfe von Truecrypt verschlüsselte virtuelle Laufwerke erstellen, die er
dann auf seinem Windows-System beliebig unter einem Laufwerksbuchstaben wieder einbinden kann (Bild
3). Die Software erlaubt es dabei, sowohl einzelne Verzeichnisse als auch ganze Festplatten,
externe Speichermedien und Betriebssystempartitionen zu verschlüsseln.
Mehr Einarbeitung nötig
Der Einarbeitungsaufwand ist bei einem derart flexiblen Werkzeug zunächst grundsätzlich höher,
als es bei der direkt in das Betriebssystem integrierten Bitlocker-Lösung der Fall ist. Aber auch
bei dieser Freeware-Alternative stehen dem Anwender Assistenten zur Verfügung (Bild 3), die ihn
durch das Anlegen der verschiedenen verschlüsselten Container leiten. Eine als "Traveller-Modus"
bezeichnete Einstellung ermöglicht es unter anderem auch, einen USB-Stick so zu konfigurieren, dass
er anschließend auch auf Systemen eingesetzt werden kann, auf denen die Truecrypt-Software nicht
installiert wurde. Schließlich bietet die Lösung noch die Möglichkeit an, innerhalb eines
virtuellen Laufwerks weitere verschlüsselte Partitionen oder gar ein zweites Betriebssystem so zu
installieren und zu verstecken, dass es für andere Anwender weder sichtbar noch zu finden ist.
Lesen Sie mehr zum Thema
