Bundesamt für Sicherheit in der Informationstechnik

G 3.98 Verlust von BitLocker-verschlüsselten Daten

BitLocker Drive Encryption (BDE) ist ein Programm zum Verschlüsseln von Partitionen auf Datenträgern.

Für die Entschlüsselung der Windows-Partition durch BDE während des Startvorgangs des Betriebssystems kann der Administrator unterschiedliche Verfahren zur Authentisierung sowie Kombinationen daraus konfigurieren:

  • TPM-Nutzung ohne Benutzer-Authentisierung (setzt ein Trusted Platform Modul, TPM, voraus)
    BDE startet in dieser Konfiguration ohne Interaktion durch den Benutzer, dieser muss sich nicht gegenüber BDE authentisieren. Der Startvorgang wird nur abgebrochen, wenn der Zugriff auf das TPM nicht möglich ist ( z. B. wenn das TPM deaktiviert oder defekt ist).
  • Authentisierung mittels eines Schlüssels auf einem USB -Stick
    Es besteht die Gefahr, dass der Benutzer den USB -Stick verliert oder das der Stick defekt ist. Als Folge wird der Startvorgang von Windows nicht fortgesetzt.
  • Authentisierung mittels einer PIN (setzt den TPM-Chip des IT -Systems voraus)
    Es besteht die Gefahr, dass der Benutzer die PIN vergisst. Ohne Eingabe der korrekten PIN setzt das Betriebssystem den Startvorgang nicht fort.
  • Authentisierung mittels PIN und USB -Stick

Wenn das TPM für die Nutzung durch BitLocker konfiguriert wurde, kann Windows den Startvorgang des IT -Systems aus verschiedenen Gründen abbrechen:

  • Bei Veränderungen am BIOS der Hauptplatine
  • Bei einer Beschädigung des TPM
  • Wenn der Master Boot Record (MBR) der Festplatte modifiziert wurde
  • Wenn die frühen Bootkomponenten des Betriebssystems geändert wurden
  • Wenn weitere von BitLocker überwachte Dateien modifiziert wurden.

Veränderungen am BIOS treten beispielsweise durch ein Firmwareupdate auf, Dateien können durch Softwareupdates geändert werden. Der Abbruch des Startvorgangs hat in jedem Fall zur Folge, dass der Benutzer das IT-System nicht nutzen kann. Die durch BDE geschützten Daten bleiben verschlüsselt.

Als Absicherung für die geschilderten Fälle dient ein numerisches Wiederherstellungskennwort oder ein Wiederherstellungsschlüssel. Dieser liegt im Binärformat vor, während das Kennwort auch als Papierausdruck aufbewahrt werden kann. Zu den unterstützten digitalen Ablageorten für das Wiederherstellungskennwort und den Wiederherstellungsschlüssel zählen Active Directory und Dateien, die entweder lokal oder auf externen Laufwerken wie USB-Sticks abgelegt sein können.

Insbesondere wenn das Wiederherstellungskennwort auf Papier ausgedruckt oder auf einem USB-Stick gespeichert wird, besteht die Gefahr des Zugangs durch Unbefugte und in der Folge ein Vertraulichkeitsverlust der durch BitLocker verschlüsselten Daten.

Des Weiteren besteht die Gefahr, dass das Wiederherstellungskennwort oder der Wiederherstellungsschlüssel ebenfalls verloren gehen. In diesem Fall kann der Benutzer das IT-System nicht mehr nutzen. Die verschlüsselten Daten bleiben dauerhaft verschlüsselt.

In der Folge kann auch der Zugang zu den mit EFS (Encrypting File System) verschlüsselten Daten gefährdet sein, wenn der EFS-Schlüssel in einer durch BDE verschlüsselten Partition abgelegt wurde.

Ab Windows 7 und Windows Server 2008 R2 können Benutzer ohne Administrator-Berechtigungen kritische Daten auf internen und externen Laufwerken durch BitLocker To Go verschlüsseln. Zur Authentisierung können die Benutzer standardmäßig ein beliebiges Kennwort oder eine Smartcard nach eigener Wahl verwenden. Wird BitLocker To Go genutzt, sind die Daten auf dem Medium für die Institution nicht mehr verfügbar, falls der Ersteller des verschlüsselten Datenträgers das Kennwort vergisst oder die Herausgabe verweigert.

Stand: 13. EL Stand 2013