Bundesamt für Sicherheit in der Informationstechnik

G 3.97 Vertraulichkeitsverletzung trotz BitLocker-Laufwerksverschlüsselung ab Windows Vista

Die BitLocker-Laufwerksverschlüsselung (engl. BitLocker Drive Encryption, BDE) ist ein Programm zur Verschlüsselung von Partitionen auf Datenträgern. BitLocker erfordert mindestens zwei Partitionen: eine unverschlüsselte Systempartition, typischerweise S:\, die nicht im Explorer erscheint, sowie die eigentliche Windows-Partition, typischerweise C:\, auf der das Betriebssystem installiert ist.

BDE verschlüsselt die Windows-Partition vollständig, mit Ausnahme des Bootsektors und eines Bereichs mit BitLocker-Metadaten. Weitere Partitionen auf internen Festplatten, wie eine Datenpartition, lassen sich durch BDE erst ab Windows Vista mit dem Service Pack 1 verschlüsseln. Bei Windows 7 und Windows Server 2008 R2 enthält BDE die Funktion BitLocker To Go zur Verschlüsselung externer und virtueller Datenträger.

Ein Benutzer von Windows Vista ohne Service Pack 1 kann fälschlicherweise annehmen, dass BDE alle Daten auf einer Festplatte verschlüsselt, einschließlich den Daten in einer zusätzlichen Datenpartition. Dadurch können Vertraulichkeitsverletzungen von Benutzerdaten begünstigt werden, wenn diese entgegen der Annahme des Benutzers unverschlüsselt gespeichert sind.

BDE verhält sich bei einem laufenden Windows-System vollkommen transparent. Während des Startvorgangs entschlüsselt BDE nach Eingabe der korrekten Zugangsdaten oder biometrischen Kennung die Partitionen. Diese bleiben während der gesamten Laufzeit des IT -Systems entschlüsselt. Für diesen Zeitraum besteht kein Schutz der Vertraulichkeit durch BDE. Somit schützt BDE insbesondere nicht gegen Vertraulichkeitsverletzungen durch Schadcode.

Die BDE-Konfiguration lokaler Festplatten erfordert administrative Berechtigungen. Auf mobilen und virtuellen Datenträgern genügen normale Benutzerberechtigungen. Verfügt ein Benutzer oder ein Schadprogramm über administrative Berechtigungen oder Benutzerrechte, so können diese zur unbefugten Deaktivierung von BDE, zum Hinzufügen zusätzlicher, eigener Schlüssel sowie zur Löschung von Schlüsselmaterial verwendet werden.

Die Folge der Deaktivierung oder des unbefugten Hinzufügens eigener Schlüssel ist der Verlust der Vertraulichkeit. Das Löschen von Schlüsselmaterial der Systempartition führt zum Verlust der Verfügbarkeit des Gesamtsystems.

Die Deaktivierung von BDE oder das ungewollte Löschen von Schlüsselmaterial kann, administrative Berechtigungen vorausgesetzt, auch das Ergebnis einer fehlerhaften Bedienung der mit dem System ausgelieferten Wartungswerkzeuge manage-bde.wsf oder manage-bde.exe sein.

Eine Vertraulichkeitsverletzung trotz BitLocker Drive Encryption droht auch, wenn Unbefugte den Wiederherstellungsschlüssel (Recovery Key) kennen. Mit diesem lässt sich eine BDE-verschlüsselte Partition wieder entschlüsseln. Dies gilt unabhängig von einem Trusted Platform Module (TPM), da der Wiederherstellungsschlüssel die Entschlüsselung insbesondere im Fall eines defekten TPM ermöglichen soll.

Die BDE-Konfigurationswerkzeuge erlauben es zu Wartungszwecken, die Verschlüsselung von Festplatten-Partitionen temporär zu deaktivieren, ohne die Daten zu entschlüsseln. Die Daten bleiben dann zwar verschlüsselt, aber es wird ein offener Startschlüssel (engl. Clear Key) ungeschützt auf dem Laufwerk gespeichert. Die Integritätsprüfung beim Startvorgang wird ebenfalls ausgeschaltet. Das System kann in diesem Zustand ohne Authentisierung gestartet werden, auch auf anderer Hardware, und erlaubt ungehinderten Datenzugriff. Es kann kopiert und der Clear Key kann ausgelesen werden. Ein Angreifer könnte dies nutzen und versuchen, geschütztes Schlüsselmaterial zu extrahieren, um damit später auch die Datenverschlüsselung zu umgehen.

Stand: 13. EL Stand 2013