[nextpage title=“im Überblick“]Der Microsoft BitLocker bringt neuen Schwung in die Verschlüsselungsbranche, da Windows Benutzer ab der Pro Version die BitLocker Verschlüsselungsfunktion im Betriebssystem vorinstalliert haben und auf Knopfdruck nutzen können. In dem externen Beitrag von Netzwelt habe ich einen guten Überblick über die Editionen gefunden. Da die Pro Version in der Regel nur Unternehmen nutzen, möchte ich in diesem Artikel speziell auf die Anforderungen von öffentlichen und privaten Organisationen eingehen.
Entscheidungshilfe Full-Disk-Encryption – oder warum setzen Unternehmen aber auf den BitLocker?
In der folgenden Übersichtsgrafik sieht man die Vorteile, aber auch mögliche Nachteile der integralen Windows Verschlüsselung vs. Drittprodukte.
In den folgenden Seiten werde ich die angeführten Vor- und Nachteile beschreiben und können als Entscheidungshilfe für einen Produkteinsatz genutzt werden.
[nextpage title=“Support & Treiber“]
Integrale Verschlüsselung mit Microsoft Support seit 10 Jahren
Wichtiger Punkt der für den BitLocker spricht ist der direkte Microsoft Support für die Verschlüsselung, da seit Windows Vista der BitLocker direkt unterstützt ist. Damit gibt es keine Diskussionen bei möglichen BlueScreens oder Treiberkonflikten mehr, wie: „da ist sicher die Verschlüsselungslösung des Drittherstellers schuld“.
Im Betriebssystem integrierter Treiber mit AES-NI Hardware Verschlüsselung
Den BitLocker Verschlüsselungstreiber, der ebenfalls viel enger im Betriebssystem liegt als eine 3rd Party Verschlüsselung das anbieten kann, sehe ich auf jeden Fall als Vorteil für den BL. Microsoft muss bei der eigenen Verschlüsselung eben keine Applikations-Schnittstellen nutzen, um die Sektoren zu entschlüsseln, sondern können die Entschlüsselung in den nativen Harddisk-Treibern lösen. Das geschieht übrigens mit AES-NI Hardware Verschlüsselung.
[nextpage title=“Unterstützung und Funktionen“]
Keine Hardware Abhängigkeiten, sofern ein aktueller TPM Chip verbaut ist
Beim BitLocker muss man sich auch nicht um die Hardwareunterstützung neuer Notebooks, Tablets und Convertibles Gedanken machen, da jede neue Hardware das aktuellste Windows Betriebssystem unterstützt und somit auch den BitLocker. Wichtig ist nur ein aktueller TPM-Chip am Motherboard, der Chip ist heute aber bereits bei Notebooks der 400€ Klasse verbaut.
Große Funktionsvielfalt für Security, Management, Helpdesk
Bei der Funktionsvielfalt ist der BitLocker den Drittprodukten oft deutlich unterlegen. Typische Kundenanforderungen, die nicht erfüllt werden, sind ein Multi-User-Betrieb für die Verschlüsselung, Single Sign-on nach der Pre-Boot-Authentisierung für das Betriebssystem und 802.1X Netzwerkauthentisierung in der Pre-Boot-Phase. Speziell auch die fehlende X.509 Zertifikats- und PKI/Smartcard-Unterstützung vermissen Firmenkunden die seit Jahren auf digitale Identitäten und eine Unternehmens-Smartcard setzen. Fehlende Funktionen spüren Kunden auf jeden Fall beim Rollout, bei der Unterstützung von Zwei-Faktoren Authentisierung und bei der Verwaltung.
[nextpage title=“Vertrauen“]
Vertrauen in amerikanische Verschlüsselung
Die Frage, ob eine amerikanische Verschlüsselung vertrauenswürdig ist, hängt von den Schutzzielen eines Unternehmens ab. Dieselbe Frage kann man sich auch für israelische, russische, asiatische Produkte und sogar Schweizer Produkte stellen.
Vertrauen in Closed-Source Software
Die Grundsatzfrage ob Closed-Source oder Open-Source stellt sich bei der Client-Verschlüsselung im Prinzip nicht. Alle Produkte die umfangreiche Funktionen bieten sind Closed-Source. Im Unterschied zu einigen kommerziellen Verschlüsselungslösungen sind die Sicherheitseigenschaften des Microsoft BitLockers sehr gut dokumentiert und kryptographisch belegbar. Wer dennoch die Open-Source Alternative VeraCrypt einsetzen möchte, für den habe ich auch einige Tipps in meinem VeraCrypt Beitrag anzubieten.
[nextpage title=“Kosten und die Chefetage“]
In der Regel kostenneutral für Firmenkunden
Kosten gibt es für Firmenkunden ab der Windows 10 Pro Version für die Microsoft Verschlüsselung nicht. Einzige Ausnahme sind Kunden die Win7 Professional haben, bei der Edition ist der BitLocker nicht dabei.
Im aktuellen Windows 10 Rollout planen Firmenkunden die BitLocker Verschlüsselung oft mit ein. Aber Achtung: ohne gute Planung und zusätzliche User-Helpdesk Prozesse wird das Projekt schnell zu einer Kostenfalle durch erhöhten Administrations- und Helpdesk-Aufwand.
Gut auf Vorstandebene zu argumentieren
Zu guter Letzt muss das Management auch von einer Verschlüsselung überzeugt werden. Da Cybersecurity aber ständig in unseren Medien ist und der BitLocker direkt vom wichtigsten Infrastrukturlieferanten kommt, gibt es für die Microsoft Technologie kaum Diskussionen um Budget und Lieferantenauswahl.
Der Beitrag geht nicht auf die Unterschiede der Windows-Versionen ein, offenbar wird nur Windows 8 und 10 betrachtet. Da Windows 7 immer noch einen Marktanteil von beinahe 50% hat, sollte denke ich der Vollständigkeit halber angemerkt werden, dass BitLocker kein Bestandteil von Windows 7 Professional ist, unter Windows 7 wird hierfür eine Enterprise oder Ultimate-Edition benötigt. Erst mit Windows 8/8.1 und 10 steht BitLocker auch in der Professional-Edition zur Verfügung.
Sorry – hatte nicht begriffen, dass dieser Blog-Beitrag mehrseitig ist und mit den Links zur nächsten Kategorie „weitergeht“. Mein Einwand bezüglich Win7 ist auf der letzten Seite ohnehin behandelt.
Hallo Gunnar,
je leider ist die Menüführung bei meinen mehrseitigen Blog-Beiträgen visuell nicht optimal erkennbar. Vielleicht finde ich da noch mal ein besseres Plug-in. Bis dahin werde ich versuchen meine Beiträge auf eine Seite zu packen auch wenn das Mausrad dann zu glühen beginnt.
Sichere Grüße, Andreas