11. März 2008
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Fraunhofer-Institut für sichere Informationstechnologie (SIT) haben gemeinsam die Sicherheit der Windowsverschlüsselung BitLocker Drive Encryption analysiert. Die Ergebnisse sind in einem kostenlosen Leitfaden zusammengefasst, der sich an IT-Verantwortliche, Administratoren und Sicherheitsbeauftragte richtet und zahlreiche Empfehlungen zur richtigen Handhabung der Microsoft-Verschlüsselung gibt – von Planung und Inbetriebnahme bis hin zur Nutzung und Ausmusterung.
Die BitLocker Drive Encryption (BDE) verschlüsselt den Inhalt von Festplatten mithilfe des Advanced Encryption Standards (AES); enthalten ist die Software in den Windowsversionen Vista Enterprise, Ultimate und Server 2008. Zum sicheren Chiffrieren von Festplattenpartitionen nutzt BDE das so genannte Trusted Platform Module (TPM), eine zusätzliche Sicherheitshardware nach der Spezifikation der Trusted Computing Group, die in immer mehr modernen Computern eingebaut ist. Grob gesagt soll das TPM die benötigten Krypto-Schlüssel für BDE nur freigeben, wenn der Computer in einer festgelegten Art und Weise gestartet wurde. Erfüllt der Rechner diese Sicherheitsanforderungen nicht, weil beispielsweise tiefer gehende Manipulationen an Hard- oder Software vorgenommen wurden, soll die Freigabe der Schlüssel unterbleiben und die verschlüsselten Festplattenteile lassen sich nicht lesen.
Fazit der Experten: BitLocker schützt vertrauliche Daten gut vor physischen Angriffen und damit auch bei Verlust oder Diebstahl von Computern – aber nur, sofern die Software auch richtig eingesetzt wird. Wichtig ist dabei beispielsweise, dass Laptopnutzer keine Energiesparmodi verwenden, die physische Angriffe auf die Hardware ermöglichen, wie sie unlängst die Forscher der Princeton University beschrieben haben. Der Leitfaden will daher praktische Hilfestellung zum richtigen Einsatz geben, unter anderem zu unterschiedlichen Systemeinstellungen und der sicheren Hinterlegung von Schlüsselmaterial. Die Autoren erläutern zudem auch die Verwendung in Zusammenarbeit mit anderen Verschlüsselungswerkzeugen wie der kostenlosen Software TrueCrypt oder dem Windows Encrypting File System (EFS).