computerwoche.de

Security

Vista-Verschlüsselung kein Allheilmittel

24.05.2006
Von Martin Seiler

Hilfe im Notfall

Falls der Rechner einen Defekt haben sollte und nicht mehr bootet, ist der Zugriff auf die verschlüsselten Daten mit Hilfe eines speziellen "Recovery Keys" möglich. Dabei handelt es sich um einen 48-stelligen numerischen Schlüssel, den das Programm erstellt. Mit diesem lassen sich die Daten jederzeit wiederherstellen. Wie Microsoft-Mann Biddle erklärt, lässt sich dieser Wert in Unternehmensumgebungen beispielsweise in ein Active Directory schreiben. Über Skripte sei es auch möglich, andere Verzeichnisse einzubinden.

Entfernt man beispielsweise ein Bitlocker-Laufwerk und baut es in einen anderen Rechner ein, erscheint ein Text-Screen und fordert zur Eingabe des Recovery-Keys auf. Da die Wiederherstellung auf der Bios-Ebene stattfindet, lassen sich nur die F1- bis F12-Tasten zuverlässig ansprechen. Microsoft hat diese daher mit den Zahlen null bis neun belegt und nutzt sie zur Eingabe des Schlüssels. Wahlweise lässt sich der Schlüssel aber ebenfalls auf einen USB-Stick schreiben.

PCs einfacher ausrangieren

Eine weitere Einsatzmöglichkeit von Bitlocker sieht Microsoft im "Secure Decommissioning", also dem sicheren Ausrangieren von Rechnern. Unabhängig vom Formfaktor funktioniert das mit Desktops, Laptops oder Servern und soll dabei helfen, die normalerweise zum Entfernen von sensiblen Daten auf den Maschinen benötigte Zeit zu reduzieren. Läuft beispielsweise ein Leasingvertrag aus und sind Rechner zurückzugeben, müssen normalerweise alle PCs durch das Überschreiben des Speicherplatzes mit Nullen einzeln gesäubert werden. Das kann bei einer Festplatte mit einem Fassungsvermögen von 80 oder 120 GB schon einige Zeit in Anspruch nehmen.

Ohne Schlüssel keine Daten

Mit Bitlocker soll es ausreichen, die Schlüssel zu vernichten, mit denen die Daten chiffriert wurden: "Wir tun das, indem wir die Binary Large Objects (Blobs), die wir für die Verschlüsselung nutzen, von der Festplatte löschen und das TPM neu initialisieren", so Biddle. Um diese Arbeit in Unternehmen zu erleichtern, stelle Microsoft spezielle Admin-Skripte bereit.