Mit seiner nächsten Windows-Generation bringt Microsoft einige zusätzliche Funktionen, die das Betriebssystem sicherer machen sollen.

Hierzu zählt auch die bis vor kurzem unter der Bezeichnung "Secure Startup - Full Volume Encryption" geführte Technik Bitlocker, die Anwendern künftig das Verschlüsseln kompletter Festplatten ermöglicht. Bitlocker geht damit deutlich über das Encrypting File System (EFS) hinaus, das der Hersteller mit Windows 2000 und XP anbietet und das einzelne Dateien oder Ordner chiffriert.

Mit den erweiterten Krypto-Funktionen will Microsoft nach eigenen Angaben für den Fall vorsorgen, dass ein Laptop mit wichtigen Informationen gestohlen wird oder verloren geht. Dank der Festplattenverschlüsselung in Verbindung mit einem Trusted Platform Module (TPM) sollen die gespeicherten Daten in solchen Fällen vor unberechtigten Zugriffen geschützt sein. Das Verfahren geht zurück auf die umstrittene Sicherheitstechnik Palladium, die Microsoft später in Next Generation Secure Computing Base (NGSCB) umgetauft hat.

Technikeinsatz ohne Zwang

Bitlocker wird von Microsoft als Bestandteil der Vista-Versionen "Enterprise" und "Ultimate" sowie des "Longhorn"-Servers ausgeliefert. Um die TPM-Funktionalität nutzen zu können, muss auf dem Motherboard des jeweiligen Systems ein Security-Chip vorhanden sein, der der Spezifikation 1.2 der Trusted Computing Group (TCG) entspricht. Die Vista-Verschlüsselung ist nicht automatisch aktiviert, sondern muss von den Anwendern über die Systemsteuerung eingeschaltet werden. Nach Darstellung von Peter Biddle, Product Unit Manager für Bitlocker bei Microsoft, werden Kunden also keineswegs dazu gezwungen, Bitlocker zu nutzen. Sie müssen sich im Gegenteil sogar bewusst dafür entscheiden, die Krypto-Technik einzusetzen. Biddle kann sich jedoch vorstellen, dass Unternehmen ihre Rechner so konfigurieren werden, dass Bitlocker bei der Auslieferung von Vista an den Arbeitsplatz bereits aktiv ist. Die Mitarbeiter merken in diesem Fall kaum etwas von dem zusätzlichen Schutz, sondern arbeiten mit ihrem Rechner wie gewohnt.

Hardware + Software = Sicherheit

Nach dem Einschalten von Bitlocker verschlüsselt das Programm die Festplatte im Hintergrund, der Anwender muss nicht warten, bis der Vorgang abgeschlossen ist. Die Verschlüsselung erfolgt dabei mit Hilfe des Advanced Encryption Standard (AES) wahlweise mit 128 oder 256 Bit. Die zu knacken ist aus Sicht von Biddle ein "sehr großes Problem".

Das Chiffrieren der Daten selbst geschieht über die im Betriebssystem verankerte Bitlocker-Software, nicht über den TPM-Chip. Dieser wird lediglich beim Start des Rechners benötigt, unter anderem für die Integritätschecks. Bitlocker nutzt die Möglichkeit des TPM, Hash-Werte von Programmen zu bilden. Durch den Vergleich des aktuellen Hashes mit dem ursprünglich ermittelten Wert kann das Programm erkennen, ob das Bios oder die Loader-Files des Betriebssystems manipuliert wurden. "Bitlocker schützt Windows, wenn es nicht läuft", erläutert Biddle die Funktion.

Zudem nutzt Microsoft den TPM-Chip, um sicherzustellen, dass nur berechtigte Personen auf das System zugreifen können. Mehrere Szenarien sind dabei möglich:

• reiner TPM-Betrieb;

• TPM plus PIN;

• TPM plus Startup-Key (etwa einen USB-Stick);

• nur Startup-Key.

Beim reinen TPM-Betrieb erfolgt die Chiffrierung der Festplatteninhalte mit Hilfe eines bei der Aktivierung von Bitlocker erzeugten Schlüssels, der auf dem TPM hinterlegt ist. Wird der Rechner gestartet, liest das System den Schlüssel aus und ermöglicht dann den Zugriff auf die Informationen, was aus Sicht des Anwenders aber ohne sein Zutun alles transparent im Hintergrund geschieht. In diesem Szenario lassen sich bestimmte Zugriffe durch Externe entkräften. Es bringt dann beispielsweise nichts, das Laufwerk auszubauen und in einem anderen Rechner einzubauen, um so an die Daten zu gelangen.

USB-Stick sperrt Vista auf

Besser ist es, wenn der Schlüs- sel zusätzlich auf einem USB-Stick gespeichert wird. Beim Booten prüft das System dann, ob der Stick im Rechner steckt - nur wenn das der Fall ist, startet Vista.

Deutlich mehr Sicherheit bietet die zusätzliche Abfrage einer PIN. Solange die geheim bleibt, können nur Berechtigte auf die verschlüsselten Informationen zugreifen. Dabei kommt die "Anti-Hammering"-Funktion des TPM zum Tragen: Nach jeder falschen PIN-Eingabe verdoppelt sich die Zeit, bis ein erneuter Versuch gestartet werden kann. "Nach 20 erfolglosen Anläufen handelt es sich schon um mehrere Tage, die bis zu einer erneuten Möglichkeit abgewartet werden müssen", erläutert Biddle. Er hält die Kombination aus TPM plus PIN für eine "großartige Lösung", weil sie dem Anwender Sicherheit bietet, ohne dass dieser dafür extra einen Dongle mit sich tragen muss. Auch hier ist die Kombination mit einem USB-Dongle möglich. Ist dieser beim Start nicht in den Rechner eingesteckt, verweigert das System den Dienst.

Ohne TPM nicht empfehlenswert

Schließlich ist es auch möglich, Bitlocker ohne TPM zu nutzen und nur den USB-Dongle für die Speicherung des Krypto-Schlüssels zu verwenden. Diese Option ist vor allem interessant, wenn Vista auf einem Rechner installiert wird, der entweder keinen oder einen älteren TPM (vor Version 1.2) installiert hat. Dem Security-Experten Bruce Schneier zufolge ist dieses Szenario jedoch eher als Notlösung zu sehen, weil es nicht mit jeder Hardware funktioniert und das Bios zudem in der Lage sein muss, den USB-Stick zu erkennen.

Microsoft will mit Bitlocker eigenen Angaben zufolge vor allem Unternehmen ansprechen. In diesem Umfeld hält der Hersteller eine Lösung mit Dongle für "schwer umzusetzen", weil der Aufwand für die Verwaltung der Geräte zu groß ist. Hinzu kommt, dass ein verlorener Dongle ein Sicherheitsrisiko darstellt. Da aber konkrete Anfragen von Kunden vorlägen, werde auch die Dongle-Variante angeboten. "Wir glauben, dass die meisten Anwender Bitlocker im reinen TPM-Modus benutzen werden", erklärt Biddle.

Hilfe im Notfall

Falls der Rechner einen Defekt haben sollte und nicht mehr bootet, ist der Zugriff auf die verschlüsselten Daten mit Hilfe eines speziellen "Recovery Keys" möglich. Dabei handelt es sich um einen 48-stelligen numerischen Schlüssel, den das Programm erstellt. Mit diesem lassen sich die Daten jederzeit wiederherstellen. Wie Microsoft-Mann Biddle erklärt, lässt sich dieser Wert in Unternehmensumgebungen beispielsweise in ein Active Directory schreiben. Über Skripte sei es auch möglich, andere Verzeichnisse einzubinden.

Entfernt man beispielsweise ein Bitlocker-Laufwerk und baut es in einen anderen Rechner ein, erscheint ein Text-Screen und fordert zur Eingabe des Recovery-Keys auf. Da die Wiederherstellung auf der Bios-Ebene stattfindet, lassen sich nur die F1- bis F12-Tasten zuverlässig ansprechen. Microsoft hat diese daher mit den Zahlen null bis neun belegt und nutzt sie zur Eingabe des Schlüssels. Wahlweise lässt sich der Schlüssel aber ebenfalls auf einen USB-Stick schreiben.

PCs einfacher ausrangieren

Eine weitere Einsatzmöglichkeit von Bitlocker sieht Microsoft im "Secure Decommissioning", also dem sicheren Ausrangieren von Rechnern. Unabhängig vom Formfaktor funktioniert das mit Desktops, Laptops oder Servern und soll dabei helfen, die normalerweise zum Entfernen von sensiblen Daten auf den Maschinen benötigte Zeit zu reduzieren. Läuft beispielsweise ein Leasingvertrag aus und sind Rechner zurückzugeben, müssen normalerweise alle PCs durch das Überschreiben des Speicherplatzes mit Nullen einzeln gesäubert werden. Das kann bei einer Festplatte mit einem Fassungsvermögen von 80 oder 120 GB schon einige Zeit in Anspruch nehmen.

Ohne Schlüssel keine Daten

Mit Bitlocker soll es ausreichen, die Schlüssel zu vernichten, mit denen die Daten chiffriert wurden: "Wir tun das, indem wir die Binary Large Objects (Blobs), die wir für die Verschlüsselung nutzen, von der Festplatte löschen und das TPM neu initialisieren", so Biddle. Um diese Arbeit in Unternehmen zu erleichtern, stelle Microsoft spezielle Admin-Skripte bereit.

Weitere Hilfen für Administratoren sollen dazukommen: "Wir geben Anwendern mehr oder weniger alle Administrationswerkzeuge an die Hand, die sie für Bitlocker brauchen, beispielsweise, um das TPM zu initialisieren und zu verwalten", erläutert der Microsoft-Manager. Weitere Tools sollen dazu dienen, das Secure Decommissioning zu steuern oder Daten wiederherzustellen. Zunächst sollen professionelle Anwender die Technik einsetzen, doch mit der steigenden Benutzerfreundlichkeit will der Hersteller auch "zunehmende Akzeptanz durch Privatpersonen" erreichen.

Derzeit sind die Meinungen über Bitlocker jedoch eher gemischt. Norbert Pohlmann, Professor am Institut für Internet-Sicherheit (Ifis) der Fachhochschule Gelsenkirchen, begrüßt zwar generell, "dass Microsoft Sicherheitstechniken wie Bitlocker direkt in seine Produkte integriert". Wenn Zusatzlösungen verwendet werden, bestehe immer die Gefahr, dass es Probleme beim Zusammenspiel verschiedener Programme gibt und etwas schief läuft. "Diese Gefahr besteht nicht, wenn Microsoft die Technik selbst entwickelt und implementiert", so Pohlmann, dessen Institut das Open-Source-Projekt "Turaya" mitentwickelt hat, das unter anderem ein Modul für die TPM-gestützte Festplattenverschlüsselung unter Linux bietet.

Der Sicherheitsspezialist glaubt, dass das Thema vor allem für große Unternehmen, beispielsweise im Banken- und Versicherungsumfeld, wichtig ist, denn "dort verdienen ja auch die Pointsecs und Utimacos ihr Geld". Er geht daher davon aus, dass diese Hersteller durch das Microsoft-Angebot Marktanteile verlieren werden. Diese Auffassung teilen die Analysten der Yankee Group nicht ganz: In ihrem Report "Microsoft’s Vista won’t stop the Windows Security Aftermarket" prognostizieren sie, dass Vista/Bitlocker nur zu einem "leichten Rückgang" der Nachfrage nach entsprechenden Tools von Drittherstellern führen wird.

Das liegt vielleicht auch an den Beschränkungen, die Bitlocker zumindest in der ersten Phase noch hat. Nach Einschätzung von Richard Aufreiter, Product Manager Device Security bei Utimaco, "löst Bitlocker nicht alle Probleme und macht Produkte wie unsere daher auch nicht überflüssig". Die Lösung decke "einen Teil der Funktionen" ab, die Utimacos "Safeguard Easy" bietet. So lässt sich mit Bitlocker nur die Boot-Partition des jeweiligen Rechners verschlüsseln, auch zusätzliche externe Speichermedien werden nicht unterstützt. "Daher sehen wir diese Technik zumindest momentan noch relativ gelassen", so der Utimaco-Mann.

Alternativen weiter gefragt

Aus seiner Sicht besteht die Herausforderung für sein Unternehmen darin, "Bitlocker nicht zu bekämpfen, sondern in unser Security-Konzept einzubeziehen". Es gehe darum, Anwendern eine Lösung zu bieten, die ihnen einerseits das Verschlüsseln ihrer Peripheriegeräte erlaube, andererseits Bitlocker integriere.

Ähnlich sieht dies Bob Egner, Vice President Global Marketing bei Pointsec Mobile Technologies. Für ihn ist es "klar, dass Microsoft Bitlocker entwickelt hat, um seine eigenen Sicherheitsprobleme zu lösen". Viele Funktionen zielen aus seiner Sicht darauf ab, Schwachstellen im Betriebssystem zu beseitigen, greifen aber "für eine Unternehmenslösung zu kurz".

Sowohl Utimaco als auch Pointsec üben sich in Zweckoptimismus und sehen sich durch Microsofts Verschlüsselungsambitionen sogar in ihrer Position bestärkt. "Dadurch, dass Microsoft dieses Produkt entwickelt hat, ersparen wir uns viel Überzeugungsarbeit beim Kunden", freut sich Utimaco-Mann Aufreiter.

Für ihn stellt sich die Zukunft so dar, dass ein Anwender bei der Installation eines Produkts aus dem Hause Utimaco wie bisher zwischen verschiedenen Optionen wählen kann: "Er wird zusätzlich die Möglichkeit haben, zu entscheiden, ob er auf einem Vista-Rechner mit TPM die Bitlocker-Funktion nutzen möchte." Alles andere bleibe gleich, also beispielsweise die Behandlung von Wechselmedien. "Nur die Systemplatte wird dann eben mit einem anderen Verfahren verschlüsselt, das zufällig nicht von uns kommt, sich aber über die gleiche Konsole verwalten lässt." Die Arbeiten daran hätten bereits begonnen.