Quo vadis BitLocker?

05.
Jul
2019
BitLocker-Management, MBAM

MBAM Mainstream Support endet im Juli 2019.
Microsoft hat MBAM (BitLocker Administration and Monitoring) abgekündigt. Der Mainstream Support für das Tool, mit dem die BitLocker Laufwerksverschlüsselung zentral für Gruppen definiert und verwaltet werden, endet im Juli 2019.

Ist das auch das Ende für BitLocker?

Eins vorab und damit kein falscher Eindruck entsteht: Um die Weiterentwicklung von BitLocker durch Microsoft müssen wir uns wohl erstmal keine Sorgen machen. Und Microsoft wird auch weiterhin kritische Sicherheitsupdates für MBAM liefern. Aber: Problematisch ist, dass durch die Abkündigung Administratoren im professionellen Umfeld die Verwaltungssoftware für das BitLocker Management verlieren.

Wozu braucht man ein Tool wie MBAM?

Wie bei vielen IT-Security Lösungen wird auch bei BitLocker das Passwort (Passphrase) oder die PIN zur Zugangskontrolle abgefragt. Schon beim Setup wird durch BitLocker ein statisches Recovery Passwort erstellt und zugewiesen. Ist die Festplattenverschlüsselung tatsächlich irgendwann fehlerhaft oder wird eine neue Hardware eingesetzt, kommt der Wiederherstellungsschlüssel zum Einsatz.

Ohne BitLocker Management wird dieser Schlüssel meistens als Datei gespeichert oder mittels Schema-Erweiterung relativ unsicher im Active Directory gespeichert. Jeder Admin mit entsprechender Berechtigung kann diese Daten auslesen.

MBAM (und vergleichbare Tools) schieben dem einen Riegel vor und sichern den Wiederherstellungsschlüssel in einer eigens geschützten Datenbank.

Wie kann man in Zukunft BitLocker in einem Netzwerk zentral und sicher administrieren?

Die Antwort ist einfach: Es gibt (kostenpflichtige und leistungsfähige) Alternativen. Dazu muss man vorausschicken, dass MBAM im Gegensatz zu BitLocker ohnehin nur für Organisationen verfügbar bzw. kostenlos war, die auch ein bezahltes Microsoft Enterprise oder Select Plus Agreement hatten. Neben den Kosten musste durch die Verteilung des MBAM Clients auch noch Zeit investiert werden.

Die jetzt entstehende Lücke wird von anderen Anbietern schon heute gefüllt, genannt sei hier zum Beispiel BitTruster. Auch diese Lösung speichert Zugangs- und Wiederherstellungsdaten in einer sicheren Datenbank. Der Helpdesk kann bei Problemen und Verlust der Zugangsdaten den Anwender produktiv unterstützen. Zudem ist eine periodische Änderung des TPM-PINs und der Passphrase einstellbar. Ein echter Mehrwert gegenüber. MBAM ist, dass BitTruster nach jeder Nutzung das Recovery Passwort standardmäßig ändert –  ein Feature, mit dem ein echter konzeptioneller Fehler des BitLocker beseitigt wird. Bei BitLocker ohne Management bleibt das Passwort zur Wiederherstellung nämlich auch nach dessen Einsatz unverändert – ist also „öffentlich“ geworden.

BitTruster arbeitet ohne Client auf den BitLocker Systemen. Die Overnight-Encryption kann die zeitintensive Erstverschlüsselung der Festplatten auf eine Zeit außerhalb der Geschäftszeiten verlegen. Über ein SelfHelp Portal können Anwender sicher PIN & Passwort erfragen bzw. ändern oder ein Notebook als gestohlen melden.

Zentrales BitLocker-Management macht den Datenschutz
ganz einfach. Mehr dazu im aktuellen Experten-Webinar.
→ Melden Sie sich jetz an

 

BitTruster arbeitet ohne Client auf den BitLocker Systemen. Die Overnight-Encryption kann die zeitintensive Erstverschlüsselung der Festplatten auf eine Zeit außerhalb der Geschäftszeiten verlegen. Über ein SelfHelp Portal können Anwender sicher PIN & Passwort erfragen bzw. ändern oder ein Notebook als gestohlen melden.

Wichtig: Nachweis ist Pflicht

Vor Audits oder nach einem Sicherheitsvorfall schlägt die Stunde der Nachweispflicht. Das gilt natürlich auch für die Festplattenverschlüsselung. Kommt ein Notebook abhanden ist das per se ein meldepflichtiger Sicherheitsvorfall, wenn man davon ausgeht, dass darauf fast immer schützenswerte Daten gespeichert oder darüber zugänglich sind. In diesem Fall muss nachgewiesen werden können, dass die Festplattenverschlüsselung aktiv war. Zusätzliche IT-Asset Angaben wie z.B. Anzahl der HDD/SSD oder Device-Name beschreiben und identifizieren das Endgerät eindeutig.

Damit kein falscher Eindruck entsteht:

Obwohl die Redaktion von ProBlog ein großer Verfechter von „Hardwareverschlüsselung“ ist, sehen wir in der Festplattenverschlüsselung BitLocker von Microsoft eine empfehlenswerte Software-basierte Lösung. BitLocker ist in das Betriebssystem implementiert und damit sehr sicher und schnell. Und kostenlos, zumindest, wenn Sie die Versionen Pro und Enterprise ab Windows 8 einsetzen. Diesen Vorteilen kann man sich nicht verschließen. Sie erfüllen damit laut BSI die entsprechenden IT-Grundschutz Anforderungen und haben eine entscheidende technisch-organisatorische Maßnahme (TOM) bei der Zugangskontrolle im Sinne des Art. 32 DSGVO erfüllt.

Redakteur und Technischer Support Manager

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 

Der ProBlog

ist ein Angebot der

ProSoft GmbH
Bürgermeister-Graf-Ring 10
82538 Geretsried

 

Kontakt und Support

Telefon +49 (0) 8171/405-0
Fax  + 49 (0) 8171/405-400
info@prosoft.de

Share This