Praxistest Bitlocker vs. Drivelock
USB-Sticks per Software verschlüsseln
Wer Daten auf USB-Sticks verschlüsselt speichern und dafür nicht auf Spezialhardware zurückgreifen will, kann zu Softwarelösungen greifen. Wir haben uns mit Microsoft Bitlocker To Go und Centertools Drivelock zwei Kandidaten angesehen.
Klein und praktisch, das sind USB-Sticks für viele Anwender. IT-Verantwortliche betrachten diese portablen Speichermedien jedoch mit gemischten Gefühlen, da sie sich nicht nur bequem zum Austausch von Dokumenten nutzen, sondern auch zum leichten Diebstahl wertvoller Geschäftsdaten zweckentfremden lassen. Ähnliches Unbehagen bereiten Vorfälle, bei denen Mitarbeiter USB-Sticks verlieren oder ihnen diese gestohlen werden.
Die verschlüsselte Speicherung auf USB-Sticks kann zumindest diese Risiken minimieren. Unternehmen, die sich zu diesem Zweck aber keine spezialisierten Speicherstifte mit hardwarebasierter Verschlüsselung anschaffen möchten, können reguläre USB-Sticks mit einem Softwareschutz versehen. Auf diese Weise werden Daten auf herkömmlichen portablen Flash-Speichern in chiffrierter Form abgelegt. Für Diebe, denen solche Informationen in die Hände fallen, sind diese dann nicht mehr im Klartext lesbar und daher nutzlos.
Neuere Versionen der Microsoft-Betriebssysteme bewerkstelligen die verschlüsselte Speicherung von Daten auf Festplatten- und Flash-Speichern bereits mit Bordmitteln, also ohne separate Software.
Microsoft Bitlocker To Go
Das Stichwort in diesem Zusammenhang lautet Bitlocker, das seit Windows Vista zur Serienausstattung gehört. Da dieses Verfahren zur Verschlüsselung kompletter Partitionen respektive Laufwerke dient und somit eine FDE (Full Disk Encryption) durchführt, ist auch von der "Bitlocker-Laufwerksverschlüsselung" die Rede. Beherbergt die Hauptplatine ein TPM (Trusted Platform Module), was in der Regel aber nur auf Business-Desktops und -Notebooks zutrifft, kann Bitlocker diesen Chip zur manipulationssicheren Aufbewahrung der Kryptographieschlüssel heranziehen. Die Kombination mit dem Active Directory erlaubt eine zentrale Ablage von Kryptographie- und Notfall-Wiederherstellungsschlüssel im zentralen Verzeichnis des Unternehmens.
Das von der ursprünglichen Bitlocker-Technik abgeleitete Bitlocker To Go erlaubt es, die auf USB-Sticks und anderen Wechseldatenträgern abgelegten Daten verschlüsselt zu speichern. Allerdings muss dafür die richtige Edition zum Einsatz kommen. Denn Bitlocker To Go ist nur in den Windows-7-Editionen Enterprise und Ultimate enthalten, nicht aber in der von Unternehmen ebenfalls gerne eingesetzten Professional-Ausführung. Bei Windows 8 hat Microsoft nachgelegt und dieses Feature sowohl in der Enterprise- als auch der Pro-Edition implementiert.
Einfache Nutzung
In der Praxis lässt sich Bitlocker To Go denkbar einfach anwenden: Nach Auswahl des Eintrags "Bitlocker-Laufwerkverschlüsselung" in der Systemsteuerung oder "Bitlocker verwalten" aus dem Startbildschirm werden im Abschnitt "Wechseldatenträger - Bitlocker To Go" die mit dem PC verbundenen USB-Sticks aufgelistet. Durch Anklicken von "Bitlocker aktivieren" konfiguriert die Software die verschlüsselte Speicherung auf dem gewünschten Speicherstift. Dazu ist das zur Entschlüsselung des USB-Sticks erforderliche Kennwort festzulegen, sofern dafür keine Smartcard samt PIN zum Einsatz kommt. Außerdem muss der Anwender den Wiederherstellungsschlüssel, der bei Abhandenkommen des Entschlüsselungskennworts von Bedeutung ist, beispielsweise in einer Datei speichern. Wenige Mausklicks später legt das Betriebssystem die auf dem USB-Stick residierenden Dateien dort nur noch in Bitlocker-verschlüsselter und somit geschützter Form ab.
Nach dem erneuten Anstecken dieses Speicherstifts an den PC erwartet Windows die Eingabe des richtigen Entschlüsselungskennworts. Erst danach gestattet das Betriebssystem den Zugriff auf die Inhalte des USB-Sticks. Auf Wunsch kann der PC den verschlüsselten Speicherstift automatisch freigeben, sodass der Benutzer das Entschlüsselungskennwort nicht jedes Mal einzugeben braucht. Weitere Schritte entfallen, sodass der Benutzer den verschlüsselten USB-Stick genauso wie einen unverschlüsselten einsetzen kann.
Centertools Drivelock
Den Unternehmen, die weitergehende Anforderungen an den Laufwerksschutz stellen, bleibt der Griff ins Zubehörregal. Dort findet sich die Software Drivelock des deutschen Herstellers Centertools. Vereinfacht ausgedrückt handelt es sich hier um eine Lösung zur umfassenden Absicherung von Laufwerkszugriffen. Allen voran gehört dazu eine Geräte- und Schnittstellenkontrolle, um zum Beispiel Modems oder Firewire-Controller zu blockieren. Der vom Anbieter Cyren stammende Virenschutz ermöglicht es unter anderem, den Zugriff auf Wechselmedien erst dann freizugeben, wenn diese laut Malware-Prüfung frei von Schadsoftware sind. Die Drivelock-Funktionen lassen sich von zentraler Stelle aus konfigurieren und verwalten. Sinnvollerweise erfolgt die Verteilung der Einstellungen an Clients per Gruppenrichtlinien bequem über das Active Directory des Unternehmens und somit über dieselben Mechanismen, mit denen Microsoft seine Konfigurationseinstellungen verteilt.
Centertools bietet Drivelock für Windows in verschiedenen Varianten an, die Standard, Premium und Executive heißen. Die Festplattenverschlüsselung ist aber nur Bestandteil der Premium-Variante - die es verwirrenderweise jedoch gleich zweimal gibt, nämlich als "Edition" und als "Suite". Der Unterschied zwischen beiden Ausbaustufen liegt in der Unterstützung der verschlüsselten Speicherung von Daten auf externen Datenträgern wie beispielsweise USB-Sticks und SD-Cards: Diese Funktion ist nur in den Suite-Varianten enthalten. Unternehmen, die sowohl Festplatten als auch Wechseldatenträger schützen möchten, müssen also die teure Premium-Suite-Ausführung kaufen. Je nach Anzahl der Lizenzen, von denen mindestens fünf zu erwerben sind, schlagen diese mit einem Betrag zwischen 49,28 und 112 Euro zu Buche. Alternativ bietet Centertools die Festplattenverschlüsselung einzeln an, eine Software zur Verschlüsselung von USB-Sticks bis zum Ende unseres Tests hingegen nicht.
Aufwändiger
Die Komplexität des Centertools-Produkts setzt sich auch in der Praxis fort. Das ist zweifelsohne nicht zuletzt dem großen Funktionsumfang geschuldet, der - wie es die Versionsnummer 7.6.5 der von uns getesteten Ausführung erahnen lässt - recht umfangreich ausfällt. Der Administrator hat zunächst eine Reihe von Softwarekomponenten zu installieren, ehe er Einstellungen vornehmen kann. Das Reporting benötigt zudem eine Datenbanksoftware. Falls eine solche im Unternehmensnetz nicht existiert, installiert das Setup-Programm automatisch Microsoft SQL Server Express 2008 R2. Außerdem muss auf jedem zu schützenden Client eine Agent-Software aufgespielt werden. Diese läuft im Hintergrund und setzt dabei die zuvor festgelegten Drivelock-Vorgaben auf dem jeweiligen Computer um.
Im Startmenü erstellt die Software eine ganze Reihe von Einträgen: Nicht nur für Tools und Hilfedateien, sondern auch für Grundfunktionen existieren eigene Kacheln. In Summe kamen in auf unserem Test-PC für Administratoren und Benutzer 30 (!) Startmenü-Einträge zusammen, was der Übersichtlichkeit nicht zuträglich ist. Dieser Eindruck setzt sich bei der Dokumentation fort. So befinden sich auf der Installations-CD neben vier Handbüchern mit insgesamt über 700 Seiten Inhalt mehrere Whitepaper sowie eine Schnellstartanleitung. Gerade Letztere erscheint auch angebracht, denn was in welcher Reihenfolge wofür zu installieren und zu konfigurieren ist, erschließt sich nicht von selbst. Bis die Software läuft und das verrichtet, was sie soll, ist trotz zahlreicher Assistenten eine gewisse Einarbeitungszeit erforderlich. Zudem ist das Handling von Drivelock zur verschlüsselten Speicherung von Daten auf USB-Sticks komplizierter als bei Bitlocker To Go. Im Gegensatz zu Microsoft erlaubt es das Centertools-Produkt in seiner aktuellen Version nicht, einen kompletten USB-Stick zu verschlüsseln.
Stattdessen führt der Hersteller neben zusätzlichen Tools eine eigene Nomenklatur ein, die es den Benutzern ebenso zu vermitteln gilt wie die daraus resultierenden Vorgehensweisen. So gibt es den Begriff des Containers, hinter dem sich jedoch kein Ordner oder Verzeichnis, sondern eine einzelne Datei verbirgt. Diese lässt sich zum Beispiel auf einem USB-Stick speichern und muss in Windows als zusätzliches, verschlüsseltes Laufwerk eingebunden werden, um Inhalte in chiffrierter Form aufnehmen zu können. Derlei Flexibilität geht jedoch zulasten der Bedienerfreundlichkeit. Denn der Benutzer muss wissen, wie und mit welchen Tools er welche Drivelock-Funktionen nutzen kann.
Ordner-Verschlüsselung
Alternativ unterstützt Drivelock die Verschlüsselung von Ordnern, die sich auf dem USB-Stick befinden. Solche Ordner werden mit einem Schlüsselsymbol versehen, das auf den kryptografischen Charakter aufmerksam macht. Beide Drivelock-Verfahren zur Container- und Ordnerverschlüsselung lassen sich parallel nutzen.
Fazit: Microsoft komfortabler, Centertools Drivelock mächtiger
Im direkten Vergleich der beiden Kontrahenten zur softwarebasierten Verschlüsselung auf USB-Sticks gespeicherter Dateien erweist sich das ohne Aufpreis direkt mit Windows zur Verfügung stehende Bitlocker To Go als komfortabler. Dazu trägt auch bei, dass die Verschlüsselung für den kompletten USB-Stick erfolgt und sich der Benutzer keine Gedanken darum machen muss, dass er schützenswerte Dateien nur auf bestimmten Laufwerken oder in speziellen Ordnern speichern darf. Das Microsoft-Feature punktet zudem mit der nahtlosen Integration in das Windows-Betriebssystem, sodass keinerlei Zusatzsoftware erforderlich ist, um den Inhalt von USB-Sticks zu verschlüsseln.
Das kostenpflichtige Centertools Drivelock hingegen ist sehr umfangreich, um sich auf verschiedenartigste Szenarien anpassen zu lassen. Es wartet mit einem enormen Funktionsumfang und komplexen, granular konfigurierbaren Optionen auf, deren Bandbreite sich an dieser Stelle nur ansatzweise darstellen ließ. Auch für die Verschlüsselung von USB-Sticks bietet das Centertools-Produkt weitreichende Möglichkeiten - wobei just dieses Merkmal explizit die teurere Executive-Variante voraussetzt. Auf unsere Rückfrage stellte Centertools in Aussicht, die Lizenzstruktur von Drivelock ab Mitte 2015 zu vereinfachen, was Kaufinteressenten in jedem Fall begrüßen dürften.
Positiv ist zum Beispiel die Option, den Zugriff auf Container nach Eingabe einer bestimmten Anzahl falscher Kennwörter zeitweise oder dauerhaft zu sperren - eine nützliche Funktion angesichts heutiger Möglichkeiten, softwarebasierte Verschlüsselung zu knacken (siehe Kasten links oben). Allerdings würden dem Centertools-Produkt mehr Übersichtlichkeit und Stringenz gut zu Gesicht stehen. Denn Verwirrung stiftet neben dem Lizenzdickicht die Begriffsvielfalt. Weniger wäre hier mehr.
Eric Tierling, Master in Information Systems Security Management./wg
Der Autor auf LANline.de: Eric Tierling
Info: MicrosoftTel.: 0800/8088014Web: www.microsoft.de
Lesen Sie mehr zum Thema
