Hallo,
ich fasse das Ganze (soweit es sich überhaupt auf PCs bezog) eigentlich so zusammen wie oben schon: Konzeptionell ist es nicht komplett durchschaubar, die "kritischen" Kommentare haben auch bei dem Thema immer wieder Troll-Niveau und sind entweder grundsätzlicher Natur ("Alles, was nicht OS ist, KANN nicht sicher sein!") oder besteht aus Furcht vor "Denen". Aber einen Exploit, konkrete Bedrohungen oder dergleichen scheint es zumindest dann nicht zu geben, wenn die Bios-PW-Einbindung sorgfältig gemacht ist.
Natürlich ist das alles immer noch nicht vollständig sicher. Und gut möglich, daß eine Verknüpfung von Bitlocker oder Veracrypt mit FDE eine graduell bessere Sicherheit bringt (auch wenn ich mir nicht einmal eine Idee eines Urteils zutraue, wie viel besser).
Aber:
Ja rechtlich bestimmt o.k. - obwohl Stand der Technik ist ev. Bitlocker, und andererseits möchte man ja auch die Daten so gut wie möglich schützen.
Nein. Ich denke, das möchte man in der Regel eben nicht.
Denn das würde bedeuten, daß die verschlüsselten Daten auf einem Raid in einem nicht onlinefähigen Rechner in einem separaten Raum mit physischer Zugangskontrolle und direkter verschlüsselter Richtfunkverbindung zu einem Backup in einem Schweizer Bunker liegen.
Das mag in Einzelfällen nötig sein, aber pragmatisch ist es dann doch eher nicht.
Statt dessen, denke ich, möchte man seine Daten angemessen sicher haben, bezogen auf a.) den Aufwand und b.) das Bedrohungsszenario.
a.) Wenn jemand gern mit FDE und Bitlocker und der Integration bastelt, spricht sicher nichts dagegen, aber aufwendig ist das ja schon ein wenig.
b.) Mögliche Szenarien:
-Der Datenschutzbeauftragte des Kunden möchte eine Dokumentation haben, wie personenbezogene Daten auf dem Notebook geschützt sind. "128 bit aes mit Controllerzugriffskontrolle aus dem Bios" sollten da meiner laienhaften Einschätzung nach reichen.
-Das Notebook gerät versehentlich oder durch Diebstahl in fremde Hände. Da reicht möglicherweise schon das Bios-PW aus, weil ich hier nicht mit forensischen Maßnahmen rechnen würde.
-Nach drei Wochen Bergsteigen in den Alpen stolpert man völlig unrasiert in die Münchener Innenstadt und murmelt aus Versehen vor einer Kamera "Allahu akbar". Zack, will man mal testen, was das neue Polizeiaufgabenbgesetz kann. Möglich, daß der graduelle Unterschied zwischen den Lösungen hier ein paar Stunden Unterschied macht, bis sie die uralte Kopie des "anarchists cookbook" finden.
-Selbes Szenario, aber ersetze Alpen durch Montana und München durch Washington. In dem Fall isses egal, weil dann "SIE" kommen. Und "SIE" knacken ja sowieso alles in Sekunden und wenn nicht, stecken "SIE" so lange heiße, spitze Dinge mit Strom in Dich rein, bis Du das Paßwort verrätst.
Insgesamt scheint mir also weiterhin, wenn man nicht Vergnügen an der Bastelei hat, die FDE-und Bios-Lösung zumindest im Nutzen-Aufwand-Verhältnis die beste und für die geschilderte AUsgangslage auch ausreichend zu sein.
Gruß
Quichote
