Verschlüsselung ?

Hallo,

ich fasse das Ganze (soweit es sich überhaupt auf PCs bezog) eigentlich so zusammen wie oben schon: Konzeptionell ist es nicht komplett durchschaubar, die "kritischen" Kommentare haben auch bei dem Thema immer wieder Troll-Niveau und sind entweder grundsätzlicher Natur ("Alles, was nicht OS ist, KANN nicht sicher sein!") oder besteht aus Furcht vor "Denen". Aber einen Exploit, konkrete Bedrohungen oder dergleichen scheint es zumindest dann nicht zu geben, wenn die Bios-PW-Einbindung sorgfältig gemacht ist.
Natürlich ist das alles immer noch nicht vollständig sicher. Und gut möglich, daß eine Verknüpfung von Bitlocker oder Veracrypt mit FDE eine graduell bessere Sicherheit bringt (auch wenn ich mir nicht einmal eine Idee eines Urteils zutraue, wie viel besser).
Aber:

Ja rechtlich bestimmt o.k. - obwohl Stand der Technik ist ev. Bitlocker, und andererseits möchte man ja auch die Daten so gut wie möglich schützen.

Nein. Ich denke, das möchte man in der Regel eben nicht.
Denn das würde bedeuten, daß die verschlüsselten Daten auf einem Raid in einem nicht onlinefähigen Rechner in einem separaten Raum mit physischer Zugangskontrolle und direkter verschlüsselter Richtfunkverbindung zu einem Backup in einem Schweizer Bunker liegen.
Das mag in Einzelfällen nötig sein, aber pragmatisch ist es dann doch eher nicht.
Statt dessen, denke ich, möchte man seine Daten angemessen sicher haben, bezogen auf a.) den Aufwand und b.) das Bedrohungsszenario.

a.) Wenn jemand gern mit FDE und Bitlocker und der Integration bastelt, spricht sicher nichts dagegen, aber aufwendig ist das ja schon ein wenig.
b.) Mögliche Szenarien:
-Der Datenschutzbeauftragte des Kunden möchte eine Dokumentation haben, wie personenbezogene Daten auf dem Notebook geschützt sind. "128 bit aes mit Controllerzugriffskontrolle aus dem Bios" sollten da meiner laienhaften Einschätzung nach reichen.
-Das Notebook gerät versehentlich oder durch Diebstahl in fremde Hände. Da reicht möglicherweise schon das Bios-PW aus, weil ich hier nicht mit forensischen Maßnahmen rechnen würde.
-Nach drei Wochen Bergsteigen in den Alpen stolpert man völlig unrasiert in die Münchener Innenstadt und murmelt aus Versehen vor einer Kamera "Allahu akbar". Zack, will man mal testen, was das neue Polizeiaufgabenbgesetz kann. Möglich, daß der graduelle Unterschied zwischen den Lösungen hier ein paar Stunden Unterschied macht, bis sie die uralte Kopie des "anarchists cookbook" finden.
-Selbes Szenario, aber ersetze Alpen durch Montana und München durch Washington. In dem Fall isses egal, weil dann "SIE" kommen. Und "SIE" knacken ja sowieso alles in Sekunden und wenn nicht, stecken "SIE" so lange heiße, spitze Dinge mit Strom in Dich rein, bis Du das Paßwort verrätst.

Insgesamt scheint mir also weiterhin, wenn man nicht Vergnügen an der Bastelei hat, die FDE-und Bios-Lösung zumindest im Nutzen-Aufwand-Verhältnis die beste und für die geschilderte AUsgangslage auch ausreichend zu sein.

Gruß

Quichote
 
Generell schön zusammengefasst, aber die Sache hat einen Haken: das Gerät hat höchstwahrscheinlich keine Disk, die FDE-fähig ist. Und nur deswegen jetzt zusätzliche Hardware zu kaufen, ist eigentlich Unsinn. Denn pragmatisch wäre es dann eher, einfach das zu nutzen was sowieso da ist. Also Bitlocker.

BIOS so konfigurieren, dass nur über die interne Disk gebootet werden kann. Admin-Passwort fürs BIOS einrichten, damit es keiner ändert. PXE-Boot deaktivieren.
Dann Bitlocker an. Auf Wunsch Bitlocker mit Boot-Passwort konfigurieren - ist aber m.E. schon übertrieben und bringt nicht mehr Sicherheit, nur mehr Nerv-Faktor.
Der Zugang zum Gerät ist dann über die entsprechende Windows-Anmeldung (PIN, Passwort, Fingerprint, FIDO2-Token, Smartcard) abgesichert.
 
Quichote schrieb es oben doch ganz passend, dass es verschiedene Szenarien gibt. Ich denke mal, 99,9% der Nutzer hier wollen ihre Daten gegenüber Zugriff bei eher zufälligem Diebstahl des Gerätes schützen. Kein Dieb wird mit aufwändigen Attacken versuchen, den Schutz auszuhebeln.
Ich gehe nicht davon aus, dass irgendjemand hier ernsthaft mit (ausländischen) Geheimdiensten in Konflikt steht und tatsächlich Gefahr läuft, seine für die nationale Sicherheit wichtigen Daten an "den Feind" zu verlieren. Und das wurde ja ebenfalls oben schon geschrieben: die haben dann auch andere Methoden.
 
Und wieder eine Nachricht zu der Sache:
https://www.golem.de/news/ssd-forsc...verschluesselten-festplatten-1811-137527.html

Ausgerechnet zwei der dort getesteten SSDs habe ich selbst auch hier, benutze unter Linux aber standardmässig LUKS. Viel schwerwiegender erscheint mir da, das Windows 10 mit Bitlocker per Standard der Hardwareverschlüsselung von der SSD vertraut und ein eigentlicher Schutz damit quasi nicht mehr gegeben ist. Gibt es für Windows 10 denn noch Alternativen zu Bitlocker, welche komplette (Boot-)Partitionen softwareseitig verschlüsselt?
 
Viel schwerwiegender erscheint mir da, das Windows 10 mit Bitlocker per Standard der Hardwareverschlüsselung von der SSD vertraut und ein eigentlicher Schutz damit quasi nicht mehr gegeben ist.
Es gab hier verschiedene Threads, in denen sich Leute drüber ausgelassen haben, dass Windows das eben gerade nicht tut und man OPAL SSDs relativ umständlich einrichten musste, damit Windows nicht die Softwareverschlüsselung nutzt. In den meisten Fällen wird Bitlocker also ganz normal die eigenen Funktionen nutzen.
 
So ist es. Bei OPAL-only-SSDs benutzt Windows immer die Softwareverschlüsselung. Bei eDrive-fähigen SSDs kann Windows die Hardwareverschlüsselung nutzen, aber einfach ist das nicht - wenn man sich nicht drum kümmert, wird hier in der Regel auch die softwarebasierte Lösung benutzt.
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben