Bundesamt für Sicherheit in der Informationstechnik

Hardwareunterstützte Verschlüsselung

PCs und Notebooks

Einige Computer, vor allem Notebook-Modelle für Geschäftskunden, sind mit einem Trusted Platform Module (TPM) ausgestattet. Dieser Chip kann als Schlüsselspeicher bei der Verschlüsselung von Daten dienen. Dies nutzt die Microsoft-Windows-Software Bitlocker Drive Encryption zur Verschlüsselung von Festplatten-Partitionen. Allerdings ist die Software nur in den Professional- und Enterprise-Versionen ab Windows 7 enthalten.

Bitlocker speichert bei der Verschlüsselung der Festplatte den zum Entschlüsseln notwendigen Schlüssel auf dem TPM. Gleichzeitig werden dort Informationen über die aktuelle Systemkonfiguration abgelegt. Ändert sich die Systemkonfiguration, scheitert das Entschlüsseln der Festplatte: Das TPM verweigert den Zugriff auf den Schlüssel. So soll sichergestellt sein, dass niemand die Festplatte einfach mit einem anderen Betriebssystem auslesen kann. Nur ein Wiederherstellungskennwort ermöglicht dann noch die Entschlüsselung. Dieses wird bei der Verschlüsselung gewählt und sollte unbedingt sicher verwahrt werden. Wer Bitlocker unter Windows 10 nutzt, sollte beachten, dass das Wiederherstellungskennwort automatisch im OneDrive-Konto des Nutzers, also in einem Cloud-Dienst von Microsoft, speichert.

Mit Windows 7 (Ultimate/Enterprise) hat Microsoft außerdem "Bitlocker to go" eingeführt, mit dem sich externe Datenträger wie USB-Sticks verschlüsseln lassen. Entschlüsseln lassen sich die Sticks auch auf Windows-Rechnern ohne Bitlocker-Software. Dazu lässt sich Bitlocker direkt vom USB-Datenträger starten, wo es automatisch in einem unverschlüsselten Bereich abgelegt wird.

Festplatten

Es gibt sowohl klassische Festplatten (HDD) wie auch solche ohne bewegliche Teile (SSD), die eine eingebaute Verschlüsselungsoption anbieten. Um Manipulationen vorzubeugen, sollte der Zugriff auf den Datenträger über das BIOS mit einem Passwort geschützt werden (ATA Security Feature Set). Dieses Passwort muss der Anwender dann bei jedem Systemstart eingeben. Für die eigentliche Verschlüsselung können verschiedene Verfahren zum Einsatz kommen. Alle großen Hersteller haben sich jedoch auf einen Standard für die Festplatten-Verschlüsselung geeinigt. Festplatten, die entsprechend ausgestattet sind, werden oft als Opal-Festplatten bezeichnet. Für Festplattenpasswörter wird jedoch nicht immer zwangsläufig eine Verschlüsselung implementiert, sondern über das Passwort nur der Zugriff auf die ansonsten unverschlüsselt abgelegten Daten verhindert. Dies stellt bereits einen Basisschutz, etwa für den Fall eines Diebstahls, dar.

Externe Festplatten und Speichersticks

Gehäuse für externe Festplatten und USB-Speichermedien werden mitunter mit eingebauter Verschlüsselungstechnik verkauft. Die Festplatten-Gehäuse erlauben den Zugriff auf die Daten erst, nachdem sich der Nutzer als berechtigt erwiesen hat: etwa durch einen Fingerabdruck, durch Eingabe eines Codes auf der eingebauten Tastatur oder durch einen mitgelieferten Funkchip, der wie eine kontaktlose Schlüsselkarte funktioniert. USB-Flash-Speicher setzen dagegen oft auf eine Software, die auf dem Rechner gestartet werden muss und die dann ein Passwort abfragt.

Netzwerkspeicher (NAS)

Datenspeicher in lokalen Netzwerken, so genannte NAS-Geräte (Network Attached Storage), können je nach Modell die auf ihnen gespeicherten Daten verschlüsseln. Bei jedem Neustart des Gerätes muss der Anwender die Daten entschlüsseln lassen. Die Strategien der Hersteller sind dabei unterschiedlich: Bei manchen Geräten muss ein USB-Stick mit dem Schlüssel eingesteckt werden, bei anderen muss der Anwender ein Passwort in eine Web-Oberfläche eingeben. Es gibt auch die Variante, dass das Gerät den Schlüssel selbst speichert und beim Neustart automatisch zur Entschlüsselung heranzieht. Wird der Schlüssel dabei auf der Festplatte selbst abgelegt, ist dadurch allerdings der Sinn der Verschlüsselung ad absurdum geführt. Manche Geräte legen den Schlüssel stattdessen auf einem internen Speicherchip ab. So sind die Daten zumindest bei einem Diebstahl oder Austausch der Festplatte geschützt, nicht jedoch, wenn Fremde Zugriff auf das ganze Gerät erlangen.

Wer solche Netzwerkspeicher für seine Daten verwendet, sollte neben der Verschlüsselung seiner Daten auch die Sicherheit des entsprechenden Netzwerkes im Blick haben.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK