Bundesamt für Sicherheit in der Informationstechnik

M 4.422 Nutzung von BitLocker To Go ab Windows 7

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer, IT-Sicherheitsbeauftragter

Mit BitLocker To Go können Benutzer mit den Windows 7 Versionen Enterprise und Ultimate Partitionen auf Wechseldatenträgern wie USB-Sticks, externen Festplattenlaufwerken oder virtuellen Laufwerken (Virtual Hard Drives, VHD) verschlüsseln. Falls ein verschlüsselter Datenträger verloren geht oder gestohlen wird, sind die Daten darauf geschützt, da die Entschlüsselung nur mithilfe eines Passwortes, einer Smartcard oder den Wiederherstellungsinformationen möglich ist. Über das Kontextmenü des jeweiligen Laufwerkssymbols wird BitLocker To Go über die Option "BitLocker aktivieren..." eingeschaltet. Dazu sind keine administrativen Benutzerrechte erforderlich. Die Verwaltung von verschlüsselten Wechseldatenträgern erfolgt in der Systemsteuerung unter Bitlocker-Laufwerksverschlüsselung.

Vor dem Einsatz von BitLocker To Go wird empfohlen, B 1.7 Kryptokonzept anzuwenden. Weiterhin sollte in den Sicherheitsrichtlinien gemäß M 2.401 Umgang mit mobilen Datenträgern und Geräten und M 2.309 Sicherheitsrichtlinien und Regelungen für die mobile IT-Nutzung ergänzt werden, in welchen Szenarien welche Personengruppen Verschlüsselung einsetzen müssen, dürfen oder nicht dürfen. Zu beachten ist, dass mit BitLocker To Go keine einzelnen Dateien verschlüsselt werden können, sondern nur eine Partition eines Datenträgers.

Die größte Herausforderung besteht im sorgsamen Umgang mit dem kryptographischen Schlüsselmaterial durch die Benutzer (M 2.46 Geeignetes Schlüsselmanagement). Gelangt es in unbefugte Hände, ist die Vertraulichkeit der Daten nicht mehr gewährleistet. Der Schutzbedarf hinsichtlich Vertraulichkeit und Verfügbarkeit der Schlüssel ist mindestens so hoch einzustufen, wie der der unverschlüsselten Daten selbst. Sobald mehrere Benutzer BitLocker To Go verwenden, sollte ein zentral gesteuertes Schlüsselmanagement, zum Beispiel mittels Active Directory, verwendet werden.

BitLocker To Go ist standardmäßig aktiviert. Falls der Einsatz von BitLocker To Go jedoch nicht ausdrücklich vorgesehen ist (siehe M 2.325 Planung der Sicherheitsrichtlinien für Windows XP, Windows Vista und Windows 7), sollte es per Gruppenrichtlinie deaktiviert werden, da es sonst zu Gefahren wie in G 3.98 Verlust von BitLocker-verschlüsselten Daten und G 3.97 Vertraulichkeitsverletzung trotz BitLocker Drive Encryption kommen kann.

Die im Folgenden beschriebenen Einstellungen für BitLocker To Go befinden sich in der Gruppenrichtlinie:

Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | BitLocker Laufwerksverschlüsselung | Wechseldatenträger.

Art des Schlüssels

Nach Aufruf des Befehls "Bitlocker aktivieren..." hat der Benutzer die Möglichkeit, ein Verschlüsselungskennwort zu vergeben oder eine Smartcard mit Verschlüsselungszertifikat einzulegen. Der öffentliche Teil dieses Zertifikats wird unverschlüsselt auf dem mobilen Datenträger abgelegt und könnte bei Verlust des Datenträgers Informationen über die genutzte Zertifikatsinfrastruktur (PKI) preisgeben. Ist der Schutzbedarf der PKI hinsichtlich der Vertraulichkeit hoch, sollte überlegt werden, den Datenträger nur mittels Kennwort zu verschlüsseln oder gesonderte Zertifikate zu verwenden. Bei hohem Schutzbedarf hinsichtlich der Vertraulichkeit der zu verschlüsselnden Daten ist die einfache Kennwort-Authentisierung nicht ausreichend. Hierfür sollten Smartcard-Systeme mit einer eigenen Multifaktor-Authentisierungslösung verwendet werden.

Die Länge des Verschlüsselungskennnworts ist gemäß M 2.11 Regelung des Passwortgebrauchs festzulegen. Die Einstellung Kennwortkomplexität anfordern sollte ebenfalls gesetzt sein (erfordert M 4.48 Passwortschutz unter NT-basierten Windows-Systemen).

Verschlüsselungsstärke

Bei sehr hohem Schutzbedarf hinsichtlich der Vertraulichkeit der Daten sollte die Verschlüsselungsstärke von 128-Bit AES mit Diffuser auf 256-Bit AES mit Diffuser erhöht werden (Gruppenrichtlinie Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen). Der Verschlüsselungsvorgang kostet dadurch jedoch erheblich mehr Rechenzeit und kann auf einem langsamen Rechner möglicherweise nicht stabil betrieben werden.

Verschlüsselte Datenträger ohne BitLocker To Go öffnen

Verschlüsselte Datenträger können mit Hilfe des Tools Bitlockertogo.exe auch von Windows Versionen ab Windows XP ohne BitLocker gelesen werden, sofern sie mit dem FAT-Dateisystem formatiert sind. Ein Schreibzugriff auf das Medium ist nicht möglich. Für alternative Betriebssysteme wie Mac OS oder Linux existiert kein Programm zum Lesen von mit BitLocker To Go verschlüsselten Datenträgern.

Per Gruppenrichtlinie kann festgelegt werden, dass Bitlockertogo.exe automatisch auf jedem neu verschlüsselten FAT-Datenträger unverschlüsselt gespeichert werden soll. Die Applikation unterstützt keine Zugriffsberechtigungen und keine Smartcard-Authentisierung und ist daher in der Regel für den internen Gebrauch ungeeignet. In einer Sicherheitsrichtlinie für den verschlüsselten Datenaustausch mit Dritten sollte festgelegt werden, welche Personen zur Datenweitergabe autorisiert sind und auf welchen IT-Systemen verschlüsselte FAT-Datenträger erstellt werden dürfen.

Unverschlüsseltes Schreiben unterbinden

Es ist anhand des Kryptokonzepts zu entscheiden, ob und für welche IT-Systeme das Schreiben auf externe unverschlüsselte Datenträger per Gruppenrichtlinie verboten wird. Die entsprechende GPO lautet: Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind. Mit dieser Einstellung lässt sich sicherstellen, dass Daten auf externen Datenträgern immer verschlüsselt sind.

Wird diese Einstellung genutzt, müssen in der Praxis in den meisten Fällen Ausnahmen konfiguriert und den Benutzern bekannt gegeben werden, sodass auch bei schwierigen Anwendungsfällen eine regelkonforme und nachvollziehbare Verschlüsselungsstrategie umgesetzt werden kann.

Die häufigsten Gründe dafür sind Präsentationsgeräte, die einen USB-Stift lesen sollen sowie die gezielte Weitergabe von externen Datenträgern an externe Stellen. Eine Möglichkeit besteht darin, einige USB-Sticks gut sichtbar als "öffentlich" zu kennzeichnen und sie von der Verschlüsselung auszuschließen. Unverschlüsselte Datenträger sollten nur von dazu autorisierten Personen herausgegeben und verwendet werden. Restriktivere organisatorische Maßnahmen, zum Beispiel Protokollierung der Herausgabe von USB-Sticks, sind je nach Schutzbedarf hinsichtlich der Vertraulichkeit der Daten in Betracht zu ziehen. Alle benötigten Ausnahmen müssen in der Sicherheitsrichtlinie für den Datenaustausch beziehungsweise im Kryptokonzept geregelt werden. Auf technischer Ebene lässt die oben genannte Gruppenrichtlinie Ausnahmen für bestimmte Datenträger zu, denen vorher eine ID gegeben wurde. Genaue Anweisungen für das Konfigurieren der IDs sind direkt in der Gruppenrichtlinie zu finden. Die Anwender müssen im Umgang mit verschlüsselten und unverschlüsselten Datenträgern geschult werden.

Wiederherstellung verschlüsselter Wechseldatenträger im Notfall

Wiederherstellungskennwörter und -schlüssel ermöglichen einem Administrator oder Benutzer das Wiederherstellen verschlüsselter Daten, falls der Benutzer das Verschlüsselungskennwort oder die Smartcard verloren hat. Beim ersten Verschlüsseln des Datenträgers generiert der Assistent ein 48-stelliges Zufallskennwort für die Wiederherstellung. Es sollte übernommen und kann ausgedruckt oder als Textdatei gespeichert werden. Es sollten gemäß M 2.22 Hinterlegen des Passwortes genaue Anweisungen für Benutzer erstellt werden, wie mit Wiederherstellungskennwörtern zu verfahren ist. Sie müssen genauso vertraulich und sorgsam behandelt werden wie das Verschlüsselungskennwort oder die Smartcard.

So muss gemäß M 4.86 Sichere Rollenteilung und Konfiguration der Kryptomodule geregelt werden, ob und wie Wiederherstellungskennwörter und -schlüssel zentral abgelegt werden sollen und wer auf diese zwecks Wiederherstellung der Daten zugreifen darf. Um die Vertraulichkeit der Wiederherstellungsinformationen besser zu schützen und die Wiederherstellung im Notfall zu beschleunigen, ist es empfehlenswert, dass diese Informationen ohne Benutzereingriff automatisch im Active Directory hinterlegt werden. In jedem Fall ist der geeignete Umgang mit Wiederherstellungskennwörtern und -schlüsseln sicherzustellen. Hierzu dient die Gruppenrichtlinie Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können. Zusätzlich sind die Schritte, Personen und Ressourcen, die zur Wiederherstellung benötigt werden, genau zu definieren.

Wenn das Wiederherstellungskennwort manuell gewählt oder nachträglich geändert wird, müssen triviale Formen vermieden werden (entsprechend M 2.11 Regelung des Passwortgebrauchs ). Wenn das Wiederherstellungskennwort aus Effizienzgründen für verschiedene Datenträger gleich gewählt wird, dann gilt die Vermeidung trivialer Formen umso dringender.

Besteht der Verdacht, dass ein Kennwort, eine Smartcard oder ein Schlüssel kompromittiert worden ist, muss der entsprechende Schlüssel neu gesetzt werden. Dies erfolgt in Verbindung mit dem Wiederherstellungskennwort oder dem Wiederherstellungsschlüssel.

Mittels Gruppenrichtlinie kann für jeden verschlüsselten Datenträger ein 256-Bit-Wiederherstellungsschlüssel erzeugt werden. Dieser ermöglicht den Zugriff auf den Datenträger, wenn die ursprünglichen Authentisierungsmittel nicht mehr zur Verfügung stehen. Er ist nicht druckbar und es ist nicht möglich, ihn mündlich, zum Beispiel am Telefon, weiterzugeben. Dies erhöht den Schutz der Vertraulichkeit der Daten, verzögert andererseits im Notfall die Datenwiederherstellung. Diese Wiederherstellungsschlüssel können nur auf einem zusätzlichen USB-Stick oder im Active Directory gespeichert werden. Auf Systemen, mit denen Daten mit sehr hoher Vertraulichkeitsanforderung verschlüsselt werden, sollten nur Wiederherstellungsschlüssel, aber keine Kennwörter zugelassen werden.

Zusätzlich kann vom Administrator ein Datenwiederherstellungsagent installiert werden (Gruppenrichtlinien-Snap-in | Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Richtlinien für öffentliche Schlüssel | BitLocker). Er ist der öffentliche Teil eines universellen Wiederherstellungsschlüssels und wird einheitlich auf allen BitLocker-Clients installiert. Der dazu passende private Schlüssel kann die verschlüsselten Datenträger entschlüsseln und sollte sich nicht im Besitz des Administrators befinden. Datenwiederherstellungsagenten erfordern prinzipiell einen besonders hohen Schutz gegen Missbrauch und ihr Austausch ist im Falle einer Kompromittierung sehr aufwendig. Der Datenwiederherstellungsagent ist kein Ersatz für Wiederherstellungskennwörter oder -schlüssel, sondern nur ein zusätzlicher Schutz vor Datenverlust für Benutzer, die nicht am zentralen Schlüsselmanagement teilnehmen. Vor- und Nachteile des Datenwiederherstellungsagenten müssen vor dem Einsatz abgewogen werden.

Vernichtung des Schlüsselmaterials

Sobald ein verschlüsselter Datenträger ausgesondert wird oder verloren gegangen ist, müssen alle Schlüssel und Kennwörter in Verbindung mit diesem Datenträger unverzüglich vernichtet werden. Bei zentral gespeicherten Schlüsseln sollte über die Vernichtung ein revisionssicheres Protokoll geführt werden, sofern die verschlüsselten Daten noch als vertraulich eingestuft sind.

Schulung der Benutzer

Durch die einfache Bedienung und starke Präsenz der BitLocker To Go-Verschlüsselungsfunktion für den Benutzer entsteht oft das in G 3.44 Sorglosigkeit im Umgang mit Informationen beschriebene Fehlverhalten.

Benutzer müssen darin unterrichtet werden, wie die Ablage der Wiederherstellungskennwörter und -schlüssel zu erfolgen hat und welche Schritte und Ansprechpartner bei Verlust von Kennwörtern, sonstigen Schlüsseln und verschlüsselten Datenträgern für sie gelten.

Benutzer, die BitLocker To Go ohne zentrales Schlüsselmanagement verwenden, sind häufig Führungspersonen oder Geheimnisträger innerhalb des Informationsverbunds. Sie sollten in regelmäßigen Gesprächen für die Gefahren sensibilisiert werden. Dazu gehört auch, sie für die Regelungen zum Erstellen und Aufbewahren von Datenträgern und Schlüsseln sowie zur Vorgehensweise bei Verlust und Aussonderung zu schulen.

Abgrenzung der Eignung von BitLocker To Go

Die Verschlüsselung mit BitLocker To Go schützt Daten auf mobilen oder virtuellen Datenträgern nur bei Verlust oder Diebstahl. Der Schutz ist nicht wirksam, während der Datenträger mit dem System verbunden ist und sich der Nutzer erfolgreich authentisiert hat. BitLocker To Go bietet keinen Schutz gegen unerlaubtes Kopieren von Daten oder Einschleusen von Schadsoftware während des Betriebs.

Prinzipbedingt sind bei tragbaren Medien, bei denen Sicherheitsmechanismen direkt in die Hardware integriert sind, die Verschlüsselungs- und Authentisierungsvorgänge weniger anfällig für Manipulation des Betriebssystems. Sie sind für Anwendungen mit besonders hohem Schutzbedarf hinsichtlich der Vertraulichkeit zu empfehlen.

BitLocker-Werkzeuge

  • Der Recovery Password Viewer dient zur Verwaltung von Wieder-herstellungsschlüsseln im Active Directory (siehe Knowledge-Base-Artikel 958830).
  • Das Kommandozeilentool repair-bde.exe dient der Datensicherung aus beschädigten Volumes, die durch BitLocker verschlüsselt worden sind.
  • Das Tool Bitlockertogo.exe wird je nach Konfiguration automatisch auf einen mit BitLocker To Go verschlüsselten Datenträger kopiert. Das Tool erlaubt lesenden Zugriff auf verschlüsselte Datenträger unter Windows XP und Windows Vista, wenn der Datenträger das Dateisystem FAT nutzt.

Prüffragen:

  • Verwenden Benutzer unter Windows 7 ein geeignetes Verschlüsselungskennwort oder -zertifikat?

  • Ist sichergestellt, dass nur Befugte Zugriff auf das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel von Windows BitLocker To Go haben?

  • Ist die Nutzung von BitLocker To Go in der Sicherheitsrichtlinie für den Einsatz von Windows geregelt?

  • Werden Benutzer, die ihre Wechseldatenträger ohne zentrales Schlüsselmanagement verschlüsseln, regelmäßig bezüglich Windows BitLocker To Go geschult?

  • Ist der Einsatz von BitLocker und BitLocker To Go im Kryptokonzept berücksichtigt?

  • Wird das Schlüsselmaterial von Windows BitLocker To Go vernichtet, wenn Datenträger verloren gehen oder ausgesondert werden?

Stand: 13. EL Stand 2013