BitLocker-Management bei Windows 8

Bis zu 399 US-Dollar betragen die Gesamtbetriebskosten pro Nutzer einer Lösung zur Festplattenverschlüsselung, so die Ponemon-Studie "The Total Cost of Ownershipfor Full Disk Encryption". Den größten Kostenblock stellt dabei der Aufwand für Administration und Betrieb dar, nicht etwa Lizenz und Wartung.

Wer die Aufwände für Full Disk Encryption (FDE) verringern möchte, sollte also nach einer passenden Administrationslösung Ausschau halten. Nutzer von Windows 8 werden bei der neuen Version 2.0 von MBAM (Microsoft BitLocker Administration and Management) fündig, die Teil des Microsoft Desktop Optimization Pack (MDOP) ist.

Weniger Supportfälle durch vergessene PIN

Zu den häufigsten Supportfällen bei Festplattenverschlüsselung gehört der Verlust des Schlüssels. Die zuvor erwähnte Ponemon-Studie hat für den deutschen Markt Gesamtkosten von mehr als 14 US-Dollar pro Nutzer und Jahr für das Zurücksetzen des Passwortes ermittelt, die durch den entsprechenden Aufwand auf Seiten der Administratoren und durch die Wartezeit der Nutzer entstehen.

Anders sieht es aus, wenn den Nutzern wie beim Einsatz von MBAM 2.0 und Windows 8 ein Self-Service-Portal zur Verfügung steht, mit dem sie selbst den Schlüssel für die verschlüsselte Festplatte zurücksetzen und einen neuen beantragen können.

Einfachere Durchsetzung der Verschlüsselung

Der Aufwand bei der Verschlüsselung von Festplatten und mobilen Speichermedien lässt sich durch MBAM 2.0 weiter reduzieren, indem spezielle Gruppenrichtlinien zur Verschlüsselung definiert und bei den Geräten mit BitLocker-Unterstützung zentral und automatisiert umgesetzt werden. In Verbindung mit Windows 8 ist das Trusted Platform Module (TPM) eines Endgerätes automatisch in die Verschlüsselung einbeziehbar. Besondere Einstellungen durch den Nutzer sind nicht erforderlich.

Mit MBAM 2.0 lassen sich beispielsweise Richtlinien zur Länge des Schlüssels einheitlich vorgeben - dadurch ist die Laufwerksverschlüsselung per se zu erzwingen. Die Richtlinien lassen sich bei Bedarf auf bestimmte Endgeräte beschränken. Je nach Schutzbedarf können bei definierten Endgeräten die Vorgaben zum Beispiel zur Schlüssellänge verschärft werden. Gerade bei mobilen Endgeräten und Speichermedien kann dies sinnvoll sein, um die darauf befindlichen Daten bei einem möglichen Geräteverlust durch eine starke Verschlüsselung zu schützen.

Schneller zur Verschlüsselung

Über 22 US-Dollar pro Jahr und Nutzer kostet die Wartezeit, bis ein Laufwerk erstmals mit einer Lösung im Bereich Full Disk Encryption verschlüsselt ist, so die eingangs erwähnte Studie des Ponemon-Instituts. Auch dieser Aufwand kann mit MBAM 2.0 und Windows 8 verringert werden.

Administrative Integration
MBAM 2.0 kann im System Center Configuration Manager integriert werden. Administratoren können dadurch die Verschlüsselung verwalten, ohne eine weitere Konsole nutzen zu müssen.

MBAM 2.0: Hilfreiche Funktionen
Microsoft BitLocker Administration and Management (MBAM) 2.0 bietet eine Reihe von hilfreichen Funktionen für die Steuerung der Festplattenverschlüsselung z.B. bei Windows 8-Geräten, darunter ein Self Service Portal bei Verlust der PIN für Laufwerke, die mit BitLocker verschlüsselt wurden.

Neues Self-Service-Portal
Mit dem neuen Self-Service-Portal bei MBAM 2.0 können Nutzer einen Ersatzschlüssel (Recovery Key) selbst generieren lassen, wenn sie ihren Schlüssel für mit BitLocker verschlüsselte Festplatten vergessen haben. Das erspart Unternehmen in der Regel zahlreiche Supportfälle.

Zentrales Management
Die Laufwerksverschlüsselung mit BitLocker kann zentral vorgeschrieben werden. Die Nutzer werden bei der Wahl geeigneter Schlüssel unterstützt, zum Beispiel durch Vorgabe einer Mindestlänge für Schlüssel.

Gerätespezifische Policies
MBAM 2.0 unterstützt die Definition von speziellen Gruppenrichtlinien für Endgeräte, die eine BitLocker-Laufwerksverschlüsselung anbieten.

Pflichtvorgaben
Mit MBAM 2.0 kann zum Beispiel die Pflicht zur Verschlüsselung, das Verschlüsselungsverfahren und die Mindestlänge der Schlüssel für die BitLocker-Verschlüsselung vorgeschrieben werden.

Admin-Reports
Vordefinierte und individuell definierbare Berichte zum Stand der BitLocker-Verschlüsselung lassen sich für das ganze Unternehmen, aber auch für einzelne Geräte erzeugen. Dies erleichtert die Compliance-Prüfungen zur Verschlüsselung.

MBAM 2.0 unterstützt nicht nur Used Disk Space Only Encryption - ein Verschlüsselungsverfahren, bei dem nicht die ganze Festplatte, sondern nur die genutzten Bereiche verschlüsselt werden. Zusätzlich können auch die Vorteile der Encrypted Hard Drives von Windows 8-Geräten genutzt werden. Diese spezialisierten Laufwerke übernehmen die eigentliche Verschlüsselungsarbeit und reduzieren so den Zeitaufwand. MBAM 2.0 und BitLocker kümmern sich in diesem Fall nur noch um das Schlüsselmanagement.

Schlüssel sicher aufbewahren

Die sichere Aufbewahrung der Schlüssel stellt eine weitere Herausforderung dar, die mit MBAM 2.0 angegangen werden kann. Recovery Keys werden in einer zentralen, verschlüsselten Datenbank vorgehalten. Zugriffe auf diese Datenbank lassen sich über Berechtigungen steuern und innerhalb von Zugriffsprotokollen nachvollziehen. Ein separater Schlüssel-Manager ist nicht erforderlich.

Verschlüsselungsmanagement integrieren

Im Gegensatz zur Vorgängerversion MBAM 1.0 kann die Version 2.0 von Microsoft BitLocker Administration and Management auch in eine bestehende Infrastruktur wie den System Center Configuration Manager (SCCM) 2007 und 2012 integriert werden. Die Administratoren müssen zur Konfiguration und Absicherung der Endgeräte, die die BitLocker-Laufwerksverschlüsselung unterstützen, also nicht mehr zwischen verschiedenen Konsolen wechseln. Die Administration unter einer Oberfläche hilft ebenfalls bei der Verringerung der Aufwände und Betriebskosten für die Verschlüsselung.

Stand der Verschlüsselung zentral prüfen

Wie es um die Verschlüsselung von Laufwerken im Unternehmen oder bei einem bestimmten Endgerät steht, kann direkt mit MBAM 2.0 überprüft werden. Dafür stehen vordefinierte Berichte zur Verfügung. Es ist aber auch möglich, mit SQL Server Reporting Services Tools individuelle Berichte zur Umsetzung von BitLocker zu definieren und zu erzeugen.

Wie die Ponemon-Studie "The Total Cost of Ownershipfor Full Disk Encryption" zeigt, enthalten mehr als ein Drittel der gestohlenen oder verlorenen Computer unverschlüsselte Daten. Kommt ein Endgerät abhanden, kann mit MBAM 2.0 nachvollzogen werden, ob eine automatische Verschlüsselung aktiv war. MBAM 2.0 verringert somit nicht nur die Aufwände für interne Sicherheitsaudits, sondern beschleunigt auch die notwendigen Prüfungen im Ernstfall eines Geräteverlustes.

Bessere Reports zur Verschlüsselung

Im Gegensatz zu MBAM 1.0 bewertet die neue Version 2.0 den Status der Verschlüsselung eines Gerätes nicht nach dem einfachen Schwarz-Weiß-Prinzip. Bei Version 1.0 entsprach eine Verschlüsselung auch dann nicht den Vorgaben (Bewertung "non-compliant"), wenn die Verschlüsselung stärker war als gefordert. Diese mögliche Verwirrung gibt es nun bei MBAM 2.0 nicht mehr. Nun darf eine Verschlüsselung sicherer sein als gefordert, ohne eine Warnung im Bericht nach sich zu ziehen. Nur eine Unterschreitung der Anforderungen wird in den vordefinierten Berichten gemeldet. Mit einem neuen Dashboard bietet MBAM 2.0 zudem eine schnelle, grafische Übersicht über die Laufwerksverschlüsselung mit BitLocker im Unternehmen.

Fazit: Auch wenn sich selbst ein größerer Aufwand bei der Verschlüsselung lohnt, um vertrauliche Daten zu schützen: Mit MBAM 2.0 und Windows 8 können der Verschlüsselungsaufwand gesenkt und die wirtschaftlichen Vorteile einer Verschlüsselung noch erhöht werden. (sh)