Navigation und Service


Hardwareunterstützte Verschlüsselung

PCs und Notebooks

Einige Computer, vor allem Notebook-Modelle für Geschäftskunden, sind mit einem Trusted Platform Module (TPM) ausgestattet. Dieser Chip kann als Schlüsselspeicher bei der Verschlüsselung von Daten dienen. Dies nutzt die Microsoft-Windows-Software Bitlocker Drive Encryption zur Verschlüsselung von Festplatten-Partitionen. Allerdings ist die Software nur in den Ultimate- und Enterprise-Versionen ab Windows Vista enthalten.

Bitlocker speichert bei der Verschlüsselung der Festplatte den zum Entschlüsseln notwendigen Schlüssel auf dem TPM. Gleichzeitig werden dort Informationen über die aktuelle Systemkonfiguration abgelegt. Ändert sich die Systemkonfiguration, scheitert das Entschlüsseln der Festplatte: Das TPM verweigert den Zugriff auf den Schlüssel. So soll sichergestellt sein, dass niemand die Festplatte einfach mit einem anderen Betriebssystem auslesen kann. Nur ein Wiederherstellungskennwort ermöglicht dann noch die Entschlüsselung. Dieses wird bei der Verschlüsselung gewählt und sollte unbedingt sicher verwahrt werden.

Mit Windows 7 (Ultimate/Enterprise) hat Microsoft außerdem "Bitlocker to go" eingeführt, mit dem sich externe Datenträger wie USB-Sticks verschlüsseln lassen. Entschlüsseln lassen sich die Sticks auch auf Windows-Rechnern ohne Bitlocker-Software. Dazu lässt sich Bitlocker direkt vom USB-Datenträger starten, wo es automatisch in einem unverschlüsselten Bereich abgelegt wird. Auf Computern mit Windows XP oder Windows Vista ist damit aber nur der Lesezugriff auf die Daten möglich.

Mehr Informationen über Bitlocker finden Sie in einem Leitfaden für Anwender, den das Fraunhofer-Institut für Sichere Informations-Technologie zusammen mit dem BSI entwickelt hat. Dieser richtet sich wie Bitlocker insgesamt vor allem an professionelle Anwender. Eine Anleitung zur Bitlocker-Laufwerksverschlüsselung für Windows 7 stellt Microsoft bereit, ebenfalls gedacht für IT-Profis. Das Magazin netzwelt.de stellt eine Anleitung für Bitlocker to go bereit.

Netzwerkspeicher (NAS)

Datenspeicher in lokalen Netzwerken, so genannte NAS-Geräte (Network Attached Storage), können je nach Modell die auf ihnen gespeicherten Daten verschlüsseln. Bei jedem Neustart des Gerätes muss der Anwender die Daten entschlüsseln lassen. Die Strategien der Hersteller sind dabei unterschiedlich: Bei manchen Geräten muss ein USB-Stick mit dem Schlüssel eingesteckt werden, bei anderen muss der Anwender ein Passwort in eine Web-Oberfläche eingeben. Es gibt auch die Variante, dass das Gerät den Schlüssel selbst speichert und beim Neustart automatisch zur Entschlüsselung heranzieht. Wird der Schlüssel dabei auf der Festplatte selbst abgelegt, ist dadurch allerdings der Sinn der Verschlüsselung ad absurdum geführt. Manche Geräte legen den Schlüssel stattdessen auf einem internen Speicherchip ab. So sind die Daten zumindest bei einem Diebstahl oder Austausch der Festplatte geschützt, nicht jedoch, wenn Fremde Zugriff auf das ganze Gerät erlangen.

Festplatten

Es gibt sowohl klassische Festplatten (HDD) wie auch solche ohne bewegliche Teile (SSD), die eine eingebaute Verschlüsselungsoption anbieten. Um Manipulationen vorzubeugen, sollte der Zugriff auf den Datenträger über das BIOS mit einem Passwort geschützt werden (ATA Security Feature Set). Dieses Passwort muss der Anwender dann bei jedem Systemstart eingeben. Für die eigentliche Verschlüsselung können verschiedene Verfahren zum Einsatz kommen. Alle großen Hersteller haben sich jedoch auf einen Standard für die Festplatten-Verschlüsselung geeinigt. Festplatten, die entsprechend ausgestattet sind, werden oft als Opal-Festplatten bezeichnet.

Externe Festplatten und Speichersticks

Gehäuse für externe Festplatten und USB-Speichermedien werden mitunter mit eingebauter Verschlüsselungstechnik verkauft. Die Festplatten-Gehäuse erlauben den Zugriff auf die Daten erst, nachdem sich der Nutzer als berechtigt erwiesen hat: etwa durch einen Fingerabdruck, durch Eingabe eines Codes auf der eingebauten Tastatur oder durch einen mitgelieferten Funkchip, der wie eine kontaktlose Schlüsselkarte funktioniert. USB-Flash-Speicher setzen dagegen oft auf eine Software, die auf dem Rechner gestartet werden muss und die dann ein Passwort abfragt.


Diese Seite:

© Bundesamt für Sicherheit in der Informationstechnik. All rights reserved