computerwoche.de

Security

Vista-Verschlüsselung kein Allheilmittel

24.05.2006
Von Martin Seiler
Die von Microsoft angekündigte "Bitlocker"-Technik zum Verschlüsseln von Festplatten ist für den Unternehmenseinsatz interessant, macht jedoch andere Krypto-Lösungen nicht überflüssig.

Mit seiner nächsten Windows-Generation bringt Microsoft einige zusätzliche Funktionen, die das Betriebssystem sicherer machen sollen.

Hier lesen Sie ...

  • was Bitlocker ist;

  • wie das Verfahren funktioniert;

  • welche Beschränkungen Anwender beachten müssen;

  • was andere Hersteller von Microsofts Lösungen halten.

Microsoft bietet die Möglichkeit, die verschlüsselte Boot-Partition mit Hilfe einer Kombination aus TPM-Chip, USB-Stick und PIN zu sichern.
Microsoft bietet die Möglichkeit, die verschlüsselte Boot-Partition mit Hilfe einer Kombination aus TPM-Chip, USB-Stick und PIN zu sichern.

Hierzu zählt auch die bis vor kurzem unter der Bezeichnung "Secure Startup - Full Volume Encryption" geführte Technik Bitlocker, die Anwendern künftig das Verschlüsseln kompletter Festplatten ermöglicht. Bitlocker geht damit deutlich über das Encrypting File System (EFS) hinaus, das der Hersteller mit Windows 2000 und XP anbietet und das einzelne Dateien oder Ordner chiffriert.

Mit den erweiterten Krypto-Funktionen will Microsoft nach eigenen Angaben für den Fall vorsorgen, dass ein Laptop mit wichtigen Informationen gestohlen wird oder verloren geht. Dank der Festplattenverschlüsselung in Verbindung mit einem Trusted Platform Module (TPM) sollen die gespeicherten Daten in solchen Fällen vor unberechtigten Zugriffen geschützt sein. Das Verfahren geht zurück auf die umstrittene Sicherheitstechnik Palladium, die Microsoft später in Next Generation Secure Computing Base (NGSCB) umgetauft hat.

Technikeinsatz ohne Zwang

Bitlocker wird von Microsoft als Bestandteil der Vista-Versionen "Enterprise" und "Ultimate" sowie des "Longhorn"-Servers ausgeliefert. Um die TPM-Funktionalität nutzen zu können, muss auf dem Motherboard des jeweiligen Systems ein Security-Chip vorhanden sein, der der Spezifikation 1.2 der Trusted Computing Group (TCG) entspricht. Die Vista-Verschlüsselung ist nicht automatisch aktiviert, sondern muss von den Anwendern über die Systemsteuerung eingeschaltet werden. Nach Darstellung von Peter Biddle, Product Unit Manager für Bitlocker bei Microsoft, werden Kunden also keineswegs dazu gezwungen, Bitlocker zu nutzen. Sie müssen sich im Gegenteil sogar bewusst dafür entscheiden, die Krypto-Technik einzusetzen. Biddle kann sich jedoch vorstellen, dass Unternehmen ihre Rechner so konfigurieren werden, dass Bitlocker bei der Auslieferung von Vista an den Arbeitsplatz bereits aktiv ist. Die Mitarbeiter merken in diesem Fall kaum etwas von dem zusätzlichen Schutz, sondern arbeiten mit ihrem Rechner wie gewohnt.