Die vollständige Festplattenverschlüsselung eignet sich hervorragend, um den Zugriff zu verhindern, wenn das Gerät gestohlen wird. Lassen Sie uns den nativen Windows-BitLocker und seine Alternativen überprüfen.
Wissen Sie, was an dem gestohlenen Laptop des in West Virginia ansässigen Coplin Health Systems beängstigend ist, der Daten von 43.000 Patienten enthält?
Oder was ist schlimm daran, dass ein Bauunternehmer in Japan ein USB-Laufwerk mit den persönlichen Daten von 460.000 Einwohnern verliert?
Die Daten waren nicht verschlüsselt.
Ein schlechter Akteur könnte also leicht auf persönliche Daten im Darknet zugreifen und diese verkaufen.
Sie haben die Lektion auf die harte Tour gelernt. Aber das sollte nicht der Fall sein, wenn man weiß, wie einfach es ist, die Daten zu verschlüsseln.
In den folgenden Abschnitten werden die Festplattenverschlüsselung, die Vorgehensweise mit BitLocker und einige BitLocker-Alternativen behandelt.
Inhaltsverzeichnis
Vollständige Festplattenverschlüsselung
Full Disk Encryption (FDE) bezieht sich auf das Sperren der Laufwerke für Ihr System. Es verhindert den Zugriff auf die Daten auf kompromittierten Geräten und kann eine Überprüfung beim Booten für zusätzliche Sicherheit ermöglichen, wenn es auf Systemlaufwerken angewendet wird.
BitLocker
Windows Professional-, Enterprise- und Education-Versionen sind mit BitLocker-Geräteverschlüsselung vorinstalliert.
Mit BitLocker kann man die Laufwerke mit einem Passwort schützen, die normalerweise funktionieren, sobald man drinnen ist. Es gibt auch einen Wiederherstellungsschlüssel zum Zurücksetzen des Passworts, ohne den der Inhalt der Festplatte unlesbar ist.
Außerdem funktioniert dies plattformübergreifend. Beispielsweise bleibt ein unter Windows verschlüsseltes Laufwerk unter Linux sicher.
Dies schützt Sie insbesondere nicht, sobald das System entsperrt ist. Diese Verschlüsselungsmechanismen sind beispielsweise für Spyware nutzlos, die Ihre persönlichen Daten stiehlt, die Sie möglicherweise unwissentlich installiert haben. Ergo sind sie kein Ersatz für Antiviren- oder Anti-Spyware-Tools.
Geben Sie zunächst BitLocker in die Taskleistensuche ein und öffnen Sie BitLocker verwalten.
Wählen Sie nun den betreffenden Datenträger aus und klicken Sie auf BitLocker aktivieren.
Der nachfolgende Prozess unterscheidet sich für das Betriebssystemlaufwerk und Nicht-Systempartitionen, einschließlich tragbarer Datenträger.
BitLocker auf Systemlaufwerken
Dies verwendet standardmäßig den TPM-Sicherheitschip (Version 1.2 oder höher) zur Authentifizierung. Und die Maschine fährt hoch, sobald das TPM den Schlüssel zurückgibt.
Ein Trusted Platform Module (TPM) ist ein Chip, mit dem moderne PCs ausgeliefert werden. Dies ist ein separater Chip, der die Gesamtintegrität des Geräts gewährleistet. Aber Sie müssen dies möglicherweise aktivieren, wenn Ihr System TPM nicht erkennt, selbst nachdem Sie eines haben.
In solchen Fällen gibt es keine Pre-Boot-Authentifizierung, und jeder, der Ihren PC hat, kann ihn durch Brute Force durch das Windows-Anmeldekennwort einschalten.
Man kann jedoch die Pre-Boot-PIN im lokalen Gruppenrichtlinien-Editor aktivieren, um maximale Sicherheit zu genießen. Danach fragt der TPM-Chip nach dem Wiederherstellungsschlüssel und der PIN, bevor er die Maschine booten lässt.
Das Unterscheidungsmerkmal hier ist, dass diese Chips mit Brute-Force-Schutz ausgestattet sind. Der Angreifer hat also nur eine Handvoll Versuche, bevor er aufgibt.
Denken Sie daran, dies zu konfigurieren, bevor Sie die Verschlüsselung einleiten.
Der Prozess ist einfach genug. Öffnen Sie zuerst Windows Run, indem Sie ⊞+R drücken, geben Sie gpedit.msc ein und drücken Sie die Eingabetaste.
Navigieren Sie dann zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Geräteverschlüsselung > Betriebssystemlaufwerke:
Jetzt benötigt die BitLocker-Verschlüsselung vor dem Booten eine PIN oder ein voreingestelltes USB-Laufwerk als physische Authentifizierung.
Als nächstes fahren Sie mit dem Verschlüsseln des gesamten Laufwerks oder nur des verwendeten Speicherplatzes fort.
Alles zu verschlüsseln ist im Allgemeinen die bessere Idee für ältere Computer, da Sie möglicherweise Daten haben, die mit Windows-Datenwiederherstellungstools aus den leeren Sektoren abgerufen werden können.
Anschließend entscheiden Sie, ob Sie Neue Verschlüsselung oder einen kompatiblen Modus verwenden möchten. Sie können den neuen Verschlüsselungsmodus auswählen, da es sich um ein Betriebssystemlaufwerk handelt. Der kompatible Modus wäre besser für tragbare Laufwerke geeignet.
Abschließend wird empfohlen, die BitLocker-Systemprüfung im folgenden Fenster auszuführen, um zu sehen, ob alles einwandfrei funktioniert.
BitLocker auf Festplattenlaufwerken
Das Verschlüsseln dieser Partitionen und Laufwerke ist einfacher. Dadurch werden Sie aufgefordert, im Voraus ein Passwort festzulegen.
Sobald Sie darüber hinweg sind, ähnelt der Vorgang dem Verschlüsseln von Betriebssystemlaufwerken, wobei die BitLocker-Systemprüfungen gesperrt werden.
BitLocker ist zwar praktisch, aber für Benutzer von Windows Home-Varianten nicht verfügbar. Die zweitbeste kostenlose Option ist die Windows-Geräteverschlüsselung, sofern Ihr Gerät dies unterstützt.
Dies unterscheidet sich von BitLocker dadurch, dass es TPM-Anforderungen vorschreibt. Außerdem gibt es keine Möglichkeit der Pre-Boot-Authentifizierung.
Sie können die Verfügbarkeit mit Systeminformationen prüfen. Öffnen Sie Windows Run, geben Sie msinfo32 ein und drücken Sie die Eingabetaste. Scrollen Sie ganz nach unten und überprüfen Sie, ob die Meet-Voraussetzungen neben dem Device Encryption Support erwähnt werden.
Wenn dies nicht der Fall ist, unterstützt Ihr Gerät die Geräteverschlüsselung höchstwahrscheinlich nicht. Sie können sich jedoch an den Support des Herstellers wenden, um nach einer möglichen Lösung zu suchen.
Alternativ gibt es einige kostenlose und kostenpflichtige Tools zur vollständigen Festplattenverschlüsselung, die Sie verwenden können.
VeraCrypt
VeraCrypt ist eine kostenlose Open-Source-Verschlüsselungssoftware für Windows, Mac und Linux. Ähnlich wie bei BitLocker können Sie Systemlaufwerke, feste Datenlaufwerke und tragbare Laufwerke verschlüsseln.
Dies ist flexibler und bietet viele Optionen für Verschlüsselungsalgorithmen. Außerdem kann es auch on-the-fly verschlüsseln. Erstellen Sie also einen verschlüsselten Container und übertragen Sie Ihre Dateien, um sie zu verschlüsseln.
Darüber hinaus kann VeraCrypt verschlüsselte versteckte Volumes erstellen und unterstützt Pre-Boot-Authentifizierung wie BitLocker.
Die Benutzeroberfläche kann jedoch überwältigend sein, aber nichts, was ein YouTube-Tutorial nicht lösen kann.
BestCrypt
Sie können BestCrypt als eine benutzerfreundliche und kostenpflichtige Version von Veracrypt bezeichnen.
Dadurch erhalten Sie Zugriff auf verschiedene Algorithmen und eine Vielzahl von Optionen, um eine vollständige Festplattenverschlüsselung zu erreichen. Es unterstützt das Erstellen von verschlüsselnden Containern und Systemlaufwerken.
Außerdem können Sie ein passwortgeschütztes Booten bereitstellen.
BestCrypt ist ein plattformübergreifendes Verschlüsselungstool und wird mit einer 21-tägigen kostenlosen Testversion geliefert.
Kommerzielle BitLocker-Alternativen
Diese bestehen aus unternehmenstauglichen Lösungen auf Basis von Volumenlizenzen.
ESET
Die ESET-Festplattenverschlüsselung eignet sich hervorragend für die Fernverwaltung. Es gibt Ihnen Flexibilität mit Verschlüsselungslösungen vor Ort und in der Cloud.
Dies bietet den Schutz von Festplatten, tragbaren Laufwerken, E-Mails usw. mit der branchenüblichen 256-Bit-AES-Verschlüsselung.
Darüber hinaus können Sie damit einzelne Dateien mit File Level Encryption (FLE) verschlüsseln.
Sie können dies mit der interaktiven Demo oder einer 30-tägigen kostenlosen Testversion für eine vollständige praktische Anwendung ausprobieren.
Symantec
Symantec von Broadcom ist ein weiterer führender Anbieter von Verschlüsselungsfunktionen für Unternehmen. Diese vollständige Festplattenverschlüsselung unterstützt TPM, um den manipulationsfreien Zustand von institutionellen Geräten sicherzustellen.
Darüber hinaus erhalten Sie Pre-Boot-Checks, E-Mail und Verschlüsselung von Wechseldatenträgern.
Symantec hilft Ihnen beim Einrichten von Single Sign-On und kann auch Cloud-basierte Anwendungen schützen. Dies unterstützt Smartcards und verfügt über verschiedene Wiederherstellungsmethoden, wenn der Benutzer den Passcode vergisst.
Darüber hinaus verfügt Symantec über eine Verschlüsselung auf Dateiebene, einen Monitor für vertrauliche Dateien und verschiedene andere Funktionen, die es zu einer unwiderstehlichen End-to-End-Verschlüsselungslösung machen.
ZENworks
ZENworks von Microfocus ist die einfachste Art, die AES-256-Verschlüsselung in jeder Organisation zu handhaben.
Dies unterstützt eine optionale Pre-Boot-Authentifizierung mit Benutzername und Passwort oder eine Smartcard mit einer PIN. ZENworks verfügt über eine zentralisierte Schlüsselverwaltung, um Benutzern zu helfen, die bei der Boot-Anmeldung hängen bleiben.
Sie können Verschlüsselungsrichtlinien für Geräte erstellen und diese über eine standardmäßige HTTP-Webverbindung durchsetzen.
Schließlich können Sie die kostenlose Testversion ohne Kreditkarte nutzen, um es aus erster Hand zu sehen.
FDE gegen FLE
Manchmal lohnt es sich nicht, eine ganze Festplatte zu verschlüsseln. In solchen Fällen ist es ratsam, eine bestimmte Datei zu schützen, was zu File Level Encryption oder File Based Encryption (FBE) führt.
FLE ist häufiger, und wir verwenden es oft, ohne seine Anwesenheit anzuerkennen.
Zum Beispiel sind WhatsApp-Gespräche Ende-zu-Ende-verschlüsselt. Ebenso werden E-Mails, die über Proton Mail versendet werden, ebenfalls automatisch verschlüsselt und nur der Empfänger kann auf den Inhalt zugreifen.
Auf ähnliche Weise kann man eine Datei mit FLE mit Tools wie AxCrypt oder FolderLock schützen.
Ein deutlicher Vorteil von FBE gegenüber FDE besteht darin, dass alle Dateien unterschiedliche Verschlüsselungsschlüssel haben können. Ergo, wenn einer kompromittiert wird, bleiben die anderen sicher.
Dies bringt jedoch den zusätzlichen Aufwand mit sich, solche Schlüssel zu verwalten.
Fazit
Full Disk Encryption ist entscheidend, wenn Sie ein Gerät verlieren, das vertrauliche Informationen enthält.
Während jeder Benutzer einige wichtige Daten an Bord hat, sind es die Unternehmen, die Festplattenverschlüsselung mehr als alle anderen benötigen.
Persönlich ist BitLocker das beste Verschlüsselungstool für Windows-Benutzer. VeraCrypt ist eine weitere Option für jemanden, der eine veraltete Benutzeroberfläche ertragen kann.
Und die Organisationen sollten sich nicht auf das Urteil von jemandem verlassen, sondern die Tests durchführen, um das Beste für ihren Anwendungsfall auszuwählen. Das einzige, was ein Geschäftsinhaber vermeiden sollte, sind Anbietersperren.
PS: Sehen Sie sich unsere Verschlüsselung vs. Authentifizierungssoftware an, um die Grundlagen aufzufrischen.