Windows Bitlocker.....ja oder nein?

[Orlando]

Hallo Forum,

als ich meinen ThinkPad P16 Gen. 2 (mit Windows 11 Pro.) ein paar Tage hatte, erfolgte u. a. ein automatisches Biosupdate über Lenovo Commerciel Vantage.
Beim anhängigen Neustart hatte ich einen "nicht zu vermeidenden Bluescreen" bzw. das System wollte einen Wiederherstellungsschlüssel wegen
aktiviertem Bitlock für die SSD-Laufwerke.

Das hatte ich so gar nicht auf dem Schirm weil mir nicht klar war, das meine Laufwerke ab Werk verschlüsselt (Bitlock) waren.

Nun, ich frage mich jetzt ob das überhaupt einen Sinn macht in meinem Fall.

Mein Laptop wird zu fast 100% nur in meinem eigenen Büro zu Hause verwendet.
Bitlock bietet ja keinen Schutz vor Hacker und sonst was wenn ich "online" bin, im Gegenteil es soll mittlweiler vorgekommen sein das sich Hacker "über" vorhandene Schwachstellen in der Bitlockverschlüsselung "eingehackt" haben und dann Forderungen finanzieller Art gestellt haben (so gelesen).

Nun meine Frage, wie geht ihr mit dem Bitlock um?

Ja oder nein.......habt ihr Bitlock aktiviert oder deaktiviert?

Mich würde mal interessieren wie das bei euch so gehändelt wird.

Ich bilde mir ein das mein System mit oder ohne Bitlock gleich schnell ist, ich merke keinen Nachteil wenn die Verschlüsselung aktiv ist aber auch keinen Vorteil wenn Bitlock deaktiviert ist.....gefühlt "gleich schnell".

Gruß Orlando

 

[Mornsgrans]

Den Sinn mancher Features erkennt man oft erst hinterher, z.B. wenn der Rechner gestohlen wurde...

Da bleibt es nicht aus, sich VORHER darüber Gedanken zu machen, besonders, wenn sensible Daten, wie z.B. Passwörter oder Zugangsdaten für Bank oder Webshops etc. auf dem Datenträger liegen.

 

[Orlando]

Den Sinn mancher Features erkennt man oft erst hinterher, z.B. wenn der Rechner gestohlen wurde...

Da bleibt es nicht aus, sich VORHER darüber Gedanken zu machen, besonders, wenn sensible Daten, wie z.B. Passwörter oder Zugangsdaten für Bank oder Webshops etc. auf dem Datenträger liegen.

Ja natürlich mache ich mir Gedanken...!

Wenn das "Gerät" mein Büro nicht verlässt, dann KEIN Bitlock.
Wenn das Gerät mein Büro verlässt (temporär) bzw. ich bin damit unterwegs, dann Bitlock (Verschlüsselung) der Laufwerke.

So werde ich das machen bzw. so mache ich das.

 

[Mornsgrans]

Wenn das "Gerät" mein Büro nicht verlässt,

Das ist schnell eine Fehleinschätzung: Du bist nicht der einzige, der den Rechner aus dem Büro "bringen" kann. Eine dauerhafte Verschlüsselung ist in Abhängigkeit zu den darauf abgelegten Daten immer sinnvoll.
Wichtig ist, den Bitlocker-Wiederherstellungsschlüssel nicht (nur) im Microsoftkonto, sondern auch offline aufzubewahren, denn wenn der Rechner "streikt", kommst Du nicht mehr an den Wiederherstellungsschlüssel im MS-Konto.

 

[mectst]

Rechner "streikt", kommst Du nicht mehr an den Wiederherstellungsschlüssel im MS-Konto.

Ich bin gerade etwas überfragt, daher frage ich mal genauer nach. Kommt man an den Schlüssel im MS-Konto nicht auch z.B. über das Handy ran? Oder steht der irgendwo "versteckt", so dass ihn nur der zugehörige Rechner (die zugehörige Windows-Lizenz??) auslesen kann?

Grüße Thomas

 

[Mornsgrans]

Du kommst mit einem anderen Gerät mit Sicherheit dran. Aber Du kennst sicher "Teufel" und "Eichhörnchen". - da reicht nur eine der Störungen bei MS nach einem verhunztem System-Update, wie im Juli ...

 

[fakiauso]

Bitlock bietet ja keinen Schutz vor Hacker und sonst was wenn ich "online" bin, im Gegenteil es soll mittlweiler vorgekommen sein das sich Hacker "über" vorhandene Schwachstellen in der Bitlockverschlüsselung "eingehackt" haben und dann Forderungen finanzieller Art gestellt haben (so gelesen).

Festplattenverschlüsselung jeglicher Art ist kein Schutz gegen die Übernahme eines laufenden Systems, sondern eben eine Festplattenverschlüsselung. Und die dient nun einmal dem Punkt, dass Festplatten bei gestohlenen Geräten oder ausgebauten Festplatten nicht von außen ausgelesen werden können. Ob das Läppi dann bei Dir daheim, im normalen Büro oder in freier Wildbahn unterwegs ist, spielt doch keine Rolle. Sollte der unwahrscheinliche Fall eintreten, dass die Kiste gestohlen wird oder verloren geht, hat schon mal niemand Zugriff auf Deine Daten. Mehr gibt es dazu eigentlich nicht zu sagen.

Was diese "Hacks" betrifft, so ist meines Wissens Bitlocker noch nicht (nie?) über eine bekannte Schwachstelle nativ und von außen übernommen worden. Die von Dir vermutlich gemeinten Verschlüsselungsattacken im laufenden und damit entschlüsselten System haben alle Schwachstellen im Betriebssystem oder in Drittsoftware ausgenutzt und das laufende System verschlüsselt für eine Lösegelderpressung. Das ist eine ganz andere Baustelle. Ein halbwegs aktuelles Backup macht auch diese Gefahr deutlich kleiner und geht u.U. mit dem Datenverlust weniger Stunden bis Tage einher. Viele der Angriffe wären bei upgedateten Systemen auch gar nicht mehr möglich gewesen.

 

[iks230]

Was diese "Hacks" betrifft, so ist meines Wissens Bitlocker noch nicht (nie?) über eine bekannte Schwachstelle nativ und von außen übernommen worden.

Wenn keine "Preboot authentication", z. B. mit einem PIN, genutzt wird, kann der Bitlocker-Key unter bestimmten Umständen aus dem TPM ausgelesen werden:

Bitlocker über TPM binnen 42 Sekunden mit Raspberry Pi Pico ermittelt

[English]Gute Nachrichten für Leute, die ihren Bitlocker-Schlüssel "irgendwie" verloren haben und nicht mehr an verschlüsselte Medien heran kommen. Schlechte Nachrichten für Leute, die meinen "mit Bitlocker verschlüsselt ist sicher". Ein YouTuber demonstriert, wie sich eine Schwachstelle in TPM...

www.borncity.com

Windows Bitlocker-Verschlüsselung trotz TPM ausgehebelt

[English]Bitlocker gilt ja als Goldstandard bei der Windows-Verschlüsselung von Daten auf Enterprise-Systemen. Und ein TPM-Modul soll das Ganze noch sicherer machen. Windows 11 macht daher TPM 2.0 sogar verpflichtend, um die Sicherheit zu gewährleisten. Nun haben Sicherheitsforscher gezeigt, wie...

www.borncity.com

 

[fakiauso]

Wenn keine "Preboot authentication", z. B. mit einem PIN, genutzt wird, kann der Bitlocker-Key unter bestimmten Umständen aus dem TPM ausgelesen werden:

Danke für die Links.

OT. Der Angriffspunkt ist ja in beiden Fällen das TPM, welches dazu missbraucht wird, den Schlüssel während des Übertragens an das Laufwerk auszulesen. Die Lösung ist eben die PIN als eine Art schlichte 2FA. Dazu gehört neben dem physischen Zugriff noch das Öffnen des Geräts, was bei einer gestohlenen Kiste natürlich kein Problem mehr ist. Aber ganz so trivial ist es eben auch nicht.

Der Kniff mit dem Austausch der utilman.exe durch die cmd.exe ist ja auch in anderen Fällen "nützlich" und hat mir auch schon geholfen, um im Bekanntenkreis bei vergessenen PIN oder Selbstaussperren wieder Zugriff auf´s System zu bekommen, allerdings dann halt ohne irgendwelche Verschlüsselung.

Das Fiese der zweiten Variante ist dann das verratzte Update KB5034441, mit welchem ich mich auch schon herumgeärgert habe. Dessen Installationsfehler wegen u.U. einer zu kleinen RE-Partiton verhindert dann das Fixen des Systems. Andererseits ist eben auch da zu sehen, dass Patchen trotzdem sinnvoller ist als ewig solche Lücken zu schieben und trotzdem ist das Nutzen von Sicherheitsfeatures sinnvoller als die Tür auszuhängen, weil eine Handvoll Cracker das Schloß knacken könnten;-)

 

[Mornsgrans]

Dessen Installationsfehler wegen u.U. einer zu kleinen RE-Partiton verhindert dann das Fixen des Systems.

Mit entsprechender Anleitung bei Deskmodder.de geht es recht entspannt. Man darf nur nicht den Fehler machen, die schwulstige MS-Anleitung zu verwenden.

 

[fakiauso]

Mit entsprechender Anleitung bei Deskmodder.de geht es recht entspannt. Man darf nur nicht den Fehler machen, die schwulstige MS-Anleitung zu verwenden.

Gibt ja mehrere Anleitungen und in einer reinen Windowsumgebung ist das auch alles easypeasy. In Dualbootsystemen kann das aber Ärger machen, aber das sind für das Eingangsproblem des TE ja Nebenschauplätze.

Die kurze Antwort auf dessen Problem ist: Bitlocker ja und dann eben noch den PIN setzen.

 

[der_ingo]

Beim anhängigen Neustart hatte ich einen "nicht zu vermeidenden Bluescreen" bzw. das System wollte einen Wiederherstellungsschlüssel wegen
aktiviertem Bitlock für die SSD-Laufwerke.

Was allerdings verwunderlich ist. Der Lenovo Flash-Updater hält Bitlocker normalerweise brav vor dem fürs Update notwendigen Neustart an.

Ja oder nein.......habt ihr Bitlock aktiviert oder deaktiviert?

Generell immer aktiviert, wenn die Hardware es möglich macht. Egal ob mobile oder stationäre Hardware. Diebe nehmen ggfs. auch einen kleinen Desktop mit.

Allerdings überall ohne Pre-Boot-PIN. Bitlocker ist für mich ein Schutz gegen neugierige Diebe. Dass jemand an der Hardware lötet, um das TPM zu belauschen, ist für mich aktuell kein relevanter Angriffsvektor.

 

[cuco]

Mein Laptop wird zu fast 100% nur in meinem eigenen Büro zu Hause verwendet.

Auch da können Diebe es entwenden. Und offenbar nimmst das Gerät doch mal mit (wenn auch selten)?

Bitlock bietet ja keinen Schutz vor Hacker und sonst was wenn ich "online" bin, im Gegenteil es soll mittlweiler vorgekommen sein das sich Hacker "über" vorhandene Schwachstellen in der Bitlockverschlüsselung "eingehackt" haben und dann Forderungen finanzieller Art gestellt haben (so gelesen).

Das wäre mir neu. Wo hast du denn das gelesen?

Ja oder nein.......habt ihr Bitlock aktiviert oder deaktiviert?

Ja, aktiviert.

Ich bilde mir ein das mein System mit oder ohne Bitlock gleich schnell ist, ich merke keinen Nachteil wenn die Verschlüsselung aktiv ist aber auch keinen Vorteil wenn Bitlock deaktiviert ist.....gefühlt "gleich schnell".

Das ist gut, dass die Hardware das inzwischen packt und mit BitLocker sich ähnlich (gleich) schnell anfühlt. In Wahrheit sind hier durchaus deutlich messbare (und zum Teil auch merkbare) Performanceeinbußen vorhanden. Teilweise -60 bis -70%.

Wenn das "Gerät" mein Büro nicht verlässt, dann KEIN Bitlock.
Wenn das Gerät mein Büro verlässt (temporär) bzw. ich bin damit unterwegs, dann Bitlock (Verschlüsselung) der Laufwerke.

Du willst als BitLocker erst anschalten, wenn du das Gerät mal mitnimmst? Ist das nicht total nervig, dann erst ggf. stundenlang auf die Fertigstellung der Verschlüsselung zu warten, bevor man das Gerät mitnehmen kann? Und dann wieder das Gegenteil, wenn man wieder zurück ist?

OT. Der Angriffspunkt ist ja in beiden Fällen das TPM, welches dazu missbraucht wird, den Schlüssel während des Übertragens an das Laufwerk auszulesen. Die Lösung ist eben die PIN als eine Art schlichte 2FA. Dazu gehört neben dem physischen Zugriff noch das Öffnen des Geräts, was bei einer gestohlenen Kiste natürlich kein Problem mehr ist. Aber ganz so trivial ist es eben auch nicht.

Sicherheit steht halt praktisch immer in einem Konflikt mit dem Komfort. Wenn wir also eine Verschlüsselung haben möchten, die sich vollautomatisch entsperrt und so arbeitet, dass der Nutzer praktisch nichts davon mitbekommt (BitLocker mit automatischer Entsperrung via TPM), dann ist es halt auch nur ein kleiner Sicherheitsgewinn bzw. entsprechend leicht zum umgehen. Wenn man stattdessen ein Passwort oder eine PIN zum Entschlüsseln eingeben muss, dann ist halt der Komfort eine Stufe schlechter, dafür die Sicherheit besser.

Der Kniff mit dem Austausch der utilman.exe durch die cmd.exe ist ja auch in anderen Fällen "nützlich" und hat mir auch schon geholfen, um im Bekanntenkreis bei vergessenen PIN oder Selbstaussperren wieder Zugriff auf´s System zu bekommen, allerdings dann halt ohne irgendwelche Verschlüsselung.

Genau, der hilft natürlich nur, wenn die Verschlüsselung aus ist. Gegen ein vergessenes Passwort bei der Verschlüsselung hilft nur noch der Wiederherstellungsschlüssel. Gegen einen Verlust von letzterem hilft nichts mehr.

Allerdings überall ohne Pre-Boot-PIN. Bitlocker ist für mich ein Schutz gegen neugierige Diebe. Dass jemand an der Hardware lötet, um das TPM zu belauschen, ist für mich aktuell kein relevanter Angriffsvektor.

Ist eben wie gesagt immer die Frage, wie sicher man es haben will und welchen Komfort man haben möchte. BitLocker mit TPM und ohne Passwort/PIN ist halt echt komfortabel und schützt schon gegen vieles. Wer es sicherer mag, der vergibt noch eine PIN bzw. ein Passwort. Wer den Komfort mag, lässt es weg und macht es wie du.

 

[ATh]

Überall deaktiviert. SVP und Festplattenpasswort reichen.

 

[TheGrey]

Überall deaktiviert. SVP und Festplattenpasswort reichen.

Kann man bei der Methode die Platte an einem anderen Gerät (welches kein oder ein anderes SVP hat) noch auslesen?
Bei Bitlocker wäre dies mit dem Wiederherstellungskey noch möglich.

 

[iks230]

Kann man bei der Methode die Platte an einem anderen Gerät (welches kein oder ein anderes SVP hat) noch auslesen?

Laut Wiki eher schwierig:

Ist die Festplatte mit einem HDD-Passwort versehen, gestaltet sich der Zugriff sehr schwierig. In ein USB-Laufwerksgehäuse eingebaut kann man die HDD nicht entsperren. - Man benötigt vorzugweise ein anderes Thinkpad, um die HDD bzw. SSD entsperren zu können. Die Kenntnis des HDD- und des Supervisor-Passworts werden vorausgesetzt.

HDD Passwort zurücksetzen – ThinkPad-Wiki

thinkwiki.de

 

[ebastler]

Was man bei Bitlocker noch bedenken muss - es hat einen enormen Performance-Impact. In meinem T14s G3A sinken die IOPS der Samsung 980 Pro von 800k auf 80k, so grob, wenn Bitlocker aktiv ist. Das System wird spürbar träger beim Öffnen großer Programme.

 

[der_bader]

Ja, Bitlocker ist bei mir selbstverständlich auf allen Rechnern aktiviert.

Da die Diskussion hier recht breit wird, auch noch ein Hinweis zum Thema „eigenes Büro“: Maßgeblich könnte, sofern es sich nicht um rein private Bürotätigkeiten handelt, auch die Maßgabe des Arbeitgebers sein, Daten vor dem unberechtigten Zugriff Dritter zu schützen.

Beispiel: Person A arbeitet im universitären Kontext am eigenen Laptop (Windows-Rechner, Pro-Version) im Homeoffice. Dabei werden auch personenbezogene Daten verarbeitet, zum Beispiel Namen und Matrikelnummern von Studierenden. Der Arbeitgeber/Dienstherr hat angeordnet, dass personenbezogene Daten mit zumutbaren Mitteln und ‚state of the art‘ geschützt werden müssen. Das bedeutet: Person A MUSS Bitlocker auf dem Rechner aktivieren. Tut sie es nicht und der Rechner kommt abhanden, ist das Handeln m.E. fahrlässig, der Arbeitgeber/Dienstherr könnte sogar (mit Recht) dienstrechtliche Schritte einleiten.

Das Beispiel könnte leicht zum Beispiel auf Lehrer*innen ausgeweitet werden, die meist ein privates Gerät für die Vorbereitung zu Hause verwenden werden und auf diesem Gerät in der Regel auch Daten von Schüler*innen verarbeiten – und seien es nur E-Mails mit Namen und Mail-Adressen und Teams-Nachrichten. Dass private Geräte, die dienstlich genutzt werden, ‚state of the art‘ gesichert sind, dürfte sich der Dienstherr in diesem Fall sogar schriftlich bestätigt haben lassen.

Da bei der Anfrage des TE nicht klar ist, was mit „Mein Laptop wird zu fast 100% nur in meinem eigenen Büro zu Hause verwendet.“ genau gemeint ist, könnte die Präzisierung die Eingangsfrage – Bitlocker: ja oder nein? – direkt beantworten.

 

[fb1996]

Was man bei Bitlocker noch bedenken muss - es hat einen enormen Performance-Impact.

Allerdings: https://www.tomshardware.com/news/windows-software-bitlocker-slows-performance

BitLocker mit Hardware- statt Softwareverschlüsselung zu verwenden, ist aber ein ziemlicher Krampf.

 

[ebastler]

Allerdings: https://www.tomshardware.com/news/windows-software-bitlocker-slows-performance

BitLocker mit Hardware- statt Softwareverschlüsselung zu verwenden, ist aber ein ziemlicher Krampf.

Hab ich schlussendlich gemacht - läuft jetzt über die HW Verschlüsselung meiner 980 Pro und Bitlocker. War maximal nervig das zum Laufen zu kriegen... Hab jetzt dafür volle SSD Performance und die Recovery Keys im Microsoft Konto hinterlegt wo ich sie nicht verschusseln kann.