Mit BitLocker

So erfüllen Sie die DSGVO-Vorgaben

09.04.2018 von James LaPalme
Würden Sie ohne Fallschirm aus einem Flugzeug springen oder ohne Gurt und Überrollbügel an einem Autorennen teilnehmen? Wahrscheinlich nicht. Doch im Tagesgeschäft werden Gefahren oft übersehen.

Drohende Gefahren sind beispielsweise Daten, die nicht ausschreitend geschützt werden, was die Existenz ganzer Unternehmen bedrohen kann. Mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) am Horizont kann das noch viel eher passieren - Strafen von bis zu 20 Millionen Euro sprechen eine klare Sprache. Und all das, obwohl gute Tools nur ein paar Klicks weit entfernt sind.

Daten-GAU vorprogrammiert

Die oben genannten Beispiele mögen zunächst drastisch klingen. Aber angesichts der wachsenden Bedeutung von Daten, können fehlende oder unausgereifte Schutzmechanismen schwerwiegende Konsequenzen haben. Denn Daten sind heute nicht mehr nur reine Informationen. Vielmehr entscheiden sie über das Wohl und Wehe von Unternehmen.

Derweil vergeht kaum eine Woche, ohne dass über Fälle von Datenlecks berichtet wird - und dabei handelt es sich nur um die wirklich großen Ereignisse. Über die täglichen Hacks und Sicherheitslücken, die häufig kleine und mittelständische Unternehmen betreffen, erfährt selbst der interessierteste Leser nichts. Dabei ereigneten sich allein 2016 laut des Jahresberichts des Identity Theft Ressource Centers rund 1.100 Datenlecks weltweit.

Gefahr unverschlüsselter USB-Sticks
USB-Sticks: Nützlich aber manchmal auch ein Datenleck
USB-Sticks: Universelle Medien zur Speicherung und zum Transport von Daten, die aber schnell zur Gefahr werden können, wie eine Studie von Kingston Technology zeigt. (Quelle: Kingston Technology)
USB Sticks in Gefahr
Virus- und Malware-Infektionen machen auch vor einem USB-Stick nicht halt.
Software-gestützte Verschlüssung auf (fast) allen Windows-Systemen.
Bitlocker To Go ist eine elegante Methode, USB-Sticks sicherer zu machen: Sie wird leider nur viel zu selten eingesetzt.
Bitlocker sichert den Zugriff
Kein Rankommen: Wurde der USB-Stick mit Bitlocker verschlüsselt, so muss der Nutzer zunächst das Passwort wissen oder die entsprechende Smartcard einsetzen, um den Inhalt zu entschlüsseln.
Bitlocker-Einsatz über GPO erzwingen
Administratoren können mit Hilfe eines Gruppenrichtlinien-Objekts (GPO) bindend festlegen, dass die Nutzer nur mittels Bitlocker verschlüsselte USB-Sticks verwenden dürfen.
Freeware Rohos Mini Drive
Rohos Mini Drive: Ein Beispiel für eine Freeware, die einen verschlüsselten Container auf einem USB-Stick anlegen kann.
Verschlüsselte Laufwerke einfach anlegen
Die Freeware Rohos Mini Drive ermöglicht es Nutzern mit wenigen Mausklicks Daten auf einem USB-Stick (bis zu 8 GByte in der freien Version) zu verschlüsseln.
Sicher wieder entschlüsseln
Rohos Mini Drive installiert eine ausführbare Datei auf dem USB-Stick, die dann das Entschlüsseln an jedem Windows-Rechner ermöglicht. Zudem bietet sie als Schutz vor Keylogger eine virtuelle Tastatur.
Prosoft SafeToGo 3.0
Ein gutes Beispiel für einen USB-Stick mit Hardware-Verschlüsselung mittels einen integrierten Onboard-CPU. (Quelle: ProSoft GmbH)
Hardware mit Tasten: Kingston Data Traveller 2000
Das Laufwerk wird mit einem Wort oder einer Nummernkombination über die alphanumerische Tastatur gesperrt. Der USB-Stick ist mit einer kompletten 256-Bit AES-Datenverschlüsselung im XTS-Modus ausgestattet. (Quelle Kingston Technology)
Zentrale Verwaltung der Kanguru-Sticks mittels Konsole
Wichtig für den professionellen Einsatz: Die verschlüsselten USB-Sticks können vom Administrator über eine zentrale Konsole verwaltet werden. (Quelle: Optimal Systemberatung GmbH)

Nicht nur angesichts der Werte, die Daten heutzutage zugrunde liegen - Facebook und Google wissen sehr wohl um ihren Wert - ist der sorglose Umgang mit ihnen verwunderlich. Berücksichtigt man besonders die bereits heute in vielen Firmen vorhandenen, aber nicht genutzten Datensicherheitslösungen, ist Aufklärung dringend geboten.

Lesetipp: eBook zum Thema DSGVO

Ein pominentes Beispiel ist die Verschlüsselungslösung. Die Software ist seit den Ultimate- und Enterprise-Versionen von Windows Vista sowie Windows 7 integraler Bestandteil dieser Betriebssysteme. Auch Windows 10 verfügt in der Pro-, Enterprise- sowie der Education-Version über das Datensicherheits-Tool - trotzdem wird es flächendeckend nicht eingesetzt.

Kostenlos und automatisch verfügbar

Die Situation ist alles andere als selten: Im November 2017 hatte Windows 10 einen Marktanteil von rund 32 Prozent; nur Windows 7 lag mit etwa 43 Prozent noch darüber. Demnach sind allein diese beiden Betriebssysteme bereits in drei Vierteln aller Rechner zu finden - und somit verfügen derzeit sehr viele Unternehmen schon über die darin kostenlos integrierte Version der nativen Verschlüsselungslösung BitLocker.

Zudem ist heute schon absehbar, dass das Tool in den kommenden Jahren noch einmal auf deutlich mehr Unternehmensrechnern zur Verfügung stehen wird: So prognostizieren die Analysten von Gartner, dass bis Ende 2017 rund 85 Prozent der Firmen zumindest mit dem Rollout auf Windows 10 begonnen haben werden.

Noch ein Stück weiter gehen die Experten von Dimensional Research und Ivanti. Ihnen zufolge dürfte die Quote der Firmen, die mit der Umstellung begonnen haben, sogar bei 91 Prozent liegen. Damit würden die allermeisten Unternehmen Anfang 2018 über die Möglichkeit verfügen, die leicht bedienbaren und umfangreichen Funktionen von BitLocker ungehindert zu nutzen.

Datensicherheit nach dem Sankt-Florian-Prinzip?

2015 wurde mit dem IT-Sicherheitsgesetz in Deutschland bereits eine Rechtslage geschaffen, die deutlich höhere Anforderungen an den Schutz von IT-Infrastrukturen stellt. Auch fordert das Gesetz mehr Transparenz bei der Kommunikation im Falle von Hacker-Angriffen und Datenlecks. Unter diesen Umständen hätten private sowie öffentliche Organisationen eigentlich ihre Sicherheitsmaßnahmen bereits anpassen müssen ­- geschehen ist allerdings nur wenig.

Zu viele Verantwortliche handelten bisher eher nach dem Sankt-Florian-Prinzip: "Verschon' mein Haus / Zünd' and're an!" Doch spätestens mit der anstehenden Datenschutz-Grundverordnung (DSGVO) muss ein Umdenken stattfinden. Denn die weitreichenden Vorgaben zum Datenschutz und zur Datensicherheit und die zu erwartenden Strafen bei Nichtbefolgung sind absolut ernst zu nehmen. Andernfalls riskieren Geschäftsführer, CEOs und IT-Fachleute, dass eigentlich gesunde Unternehmen ins Straucheln geraten. Daher sollten native Sicherheitslösungen wie BitLocker keineswegs außeracht gelassen werden.

Lesetipp: Infineon entwickelt Verschlüsselung, die auch Quantencomputer nicht knacken können

DSGVO-Compliance - nur ein paar Klicks entfernt

Mit der Eindeutigkeit von Rechtstexten ist es immer so eine Sache und die Datenschutz-Grundverordnung macht hier keine Ausnahme. Doch an einer Stelle überrascht die EU-Verordnung: In Artikel 32, Absatz 1, Punkt a werden die Pseudonymisierung sowie die Verschlüsselung ausdrücklich als "angemessenes Schutzniveau" bezeichnet.

Denn sind Daten verschlüsselt, gelten sie selbst bei einem Datenleck nicht als kompromittiert. Schließlich sind sie für den Datendieb wertlos. Angesichts des einfachen wie kostenlosen Zugangs zu BitLocker können so gerade kleine und mittlere Unternehmen (KMU) einen großen Schritt in Richtung DSGVO-Compliance tun. Bereits in der Standard-Einstellung erfolgt die Ende-zu-Ende-Verschlüsselung über BitLocker in sicheren 128 Bit - erweiterbar auf bis zu 256 Bit.

Unter Windows 10 bietet die Lösung zudem eine Zwei-Faktor-Authentifizierung für den Systemstart. Dieser erfolgt entweder mittels PIN oder eines Systemstartschlüssels in Form eines Wechseldatenträgers. Das sorgt für zusätzliche Sicherheit, insbesondere bei mobilen Geräten wie Laptops, die im schlimmsten Falle verloren gehen können.

Ist die Verschlüsselung von BitLocker aber erstmal aktiviert, sind die Daten auf der Festplatte vor dem Zugriff Unbefugter sicher geschützt. Und das denkbar einfach: Denn über die BitLocker-Verwaltung können Festplatten oder Datenträger mit wenigen Klicks einfach ausgewählt und verschlüsselt werden. Bei kleinen und mittleren Unternehmen ist das besonders einfach, wenn es sich nur um eine Handvoll Rechner handelt.

Komplexität mit intelligentem Key-Management begegnen

Steigt die Anzahl der Mitarbeiter und somit die Anzahl der zu verschlüsselnden Rechner, kann allerdings auch die einfache Handhabung von BitLocker zur echten Herausforderung werden. Immerhin wächst mit der Menge an Geräten - mehrere Windows-PCs mit zwei und mehr Festplattenpartitionen sowie unterschiedlichen Authentifizierungsleveln - auch die Anzahl an Passwörtern und Verschlüsselungs-Keys. Die Komplexität ist allerdings dank Management-Lösungen in den Griff zu bekommen. So ist es etwa möglich, die gesamte Verschlüsselungsumgebung von BitLocker über einen einzigen Endpoint zu steuern. Die sich daraus ergebenden Vorteile sind unter anderem:

Da homogene IT-Landschaften heutzutage eher Seltenheitswert haben, ermöglichen die Lösungen einiger Hersteller sogar verschiedene Verschlüsselungs-Techniken gemeinsam zentral zu steuern.
Foto: optimarc - shutterstock.com

Da homogene IT-Landschaften heutzutage eher Seltenheitswert haben, ermöglichen die Lösungen einiger Hersteller sogar verschiedene Verschlüsselungs-Techniken gemeinsam zentral zu steuern. Dann gelingt es auch, das Key-Management über unterschiedliche Geräte sowie verschiedene Betriebssysteme hinweg zu verwalten.

Heterogene IT-Landschaften oder BYOD-Modelle (Bring Your Own Device) stellen somit kein Hindernis mehr da, um Verschlüsselung über alle unternehmensinternen IT-Instanzen zu etablieren. Damit gelingt es beispielsweise neben BitLocker von Windows auch FileVault 2 für Mac OS X ganz bequem von einer zentralen Konsole aus zu managen.

Auf der sicheren (Daten-)Seite

Ein Datenleck ist schneller geschehen als viele sich das vorstellen können. Dabei muss die Ursache dafür auch nicht unbedingt von Hackern ausgehen. Es reicht völlig aus, wenn einem Mitarbeiter der Firmenlaptop entwendet wird. In Anbetracht solcher Szenarien und der kurz bevorstehenden Datenschutz-Grundverordnung wäre es fahrlässig, native Verschlüsselungslösungen wie BitLocker einfach nicht zu nutzen. Dabei ist es egal, ob es sich um eine kleine fünf-Mann-Firma handelt oder ein Unternehmen mit mehreren hundert Mitarbeitern.

CIOs, COOs und andere Verantwortliche müssen demnach nicht erst das Rad neu erfinden. Mit den richtigen Lösungen gelingen Verschlüsselung und Verwaltung gleichermaßen leicht - und ein entscheidender Schritt hin zur DSGVO-konformen Unternehmens-IT ist dann ebenfalls gemacht. (rw)

Lesetipp: Das kostenlose BitLocker-Toolkit von WinMagic