Deprecated: wp_make_content_images_responsive ist seit Version 5.5.0 veraltet! Benutze stattdessen wp_filter_content_tags(). in /home/customer/www/winmagic.com/public_html/blog-de/wp-includes/functions.php on line 4774

BitLocker-konform oder praktisch? Microsoft ist sich auch nicht sicher

Einerseits sagt Microsoft, dass BitLocker mit Pre-Boot-Authentifizierung(TPM + PIN) die empfohlene Best Practice ist (siehe hier). Andererseits gibt Microsoft zu, dass BitLocker mit der nativen Pre-Boot-Authentifizierung „Anwender belästigt und die IT-Verwaltungskosten erhöht.“ Das ist keine eindeutige Aussage für IT-Experten, die für die Sicherheit und Compliance von Geräten sorgen müssen.

Im Folgenden erfahren Sie mehr über die Unzulänglichkeiten von BitLocker in Bezug auf die Compliance und wie sich diese handhaben lassen.

Der Aufstieg von Windows 10

Windows 10 kam erst vor drei Jahren, genau gesagt am 29. Juli 2015, auf den Markt und wurde so schnell wie kein anderes Betriebssystem von Unternehmen installiert. Bedrohungen sind heute ein großes Thema, und auch der gesetzliche Druck im Hinblick auf Datenschutz und Datensicherheit nimmt stetig zu. Neue gesetzliche Vorschriften gibt es laufend, darunter die EU-DSGVO. Andere bestehende Standards wie HIPAA, PCI DSS oder FISMA entwickeln sich kontinuierlich weiter und verweisen stets auf die Verschlüsselung als effiziente Kontrollmaßnahme für die Compliance.

Microsoft reagiert auf diesen zunehmenden Druck mit der Nutzung bereits vorhandener Tools wie BitLocker und MBAM (Microsoft BitLocker Administration and Monitoring). Diese reichen jedoch nicht aus, um Compliance-Vorgaben einzuhalten und für eine zuverlässige Sicherheit zu sorgen.

BitLocker

Seien wir mal ehrlich: Der Hauptgrund, aus dem Verschlüsselung zum Einsatz kommt, ist die Compliance. BitLocker ist hier ein guter Start. Die Lösung bietet eine schnelle, ins Betriebssystem integrierte Verschlüsselung, um den unerlaubten Datenzugriff auf gestohlenen oder verloren gegangenen Geräten zu verhindern. Aber reicht Microsoft BitLocker allein aus, um einen zuverlässigen Schutz zu erzielen? Ganz einfach: Nein. Ein großer Kunde von WinMagic im Bereich Finanzdienstleistungen hat BitLocker kürzlich einem Test unterzogen und kam zu dem Schluss, dass die Lösung selbst mit MBAM nicht den Sicherheitsanforderungen entspricht.

Hier die Ergebnisse:

Compliance-Lücken:

FIPS 140-2/PCI DSS

FIPS 140-2 ist der Standard der US-Regierung für zugelassene kryptografische Module. Wenn sich Unternehmen nach einer geeigneten Verschlüsselungslösung umtun, ist dies die erste Anforderung, die erfüllt werden muss. Mithilfe der Festplattenverschlüsselung werden die Daten auf der Festplatte geschützt. Sie ist aber nur dann wirksam, wenn der Verschlüsselungs-Key durch leistungsstarke Authentifizierung geschützt ist. BitLocker bietet mehrere Funktionen für die Authentifizierung, ist aber im Modus TPM + PIN bzw. TPM + Netzwerkentsperrung (siehe hier) nicht FIPS 140 2-konform. Die Alternative – nur TPM-Schutz ohne Benutzerauthentifizierung – entspricht nicht den Vorgaben von PCI DSS, da der logische Zugriff getrennt vom nativen Betriebssystem und Zugriffskontrollverfahren erfolgen muss (siehe hier).

„Ohne Pre-Boot-Authentifizierung steigt die Benutzerfreundlichkeit, und das System startet schneller. Allerdings wird so unser umfassender Schutz deutlich beeinträchtigt, und das wiederum wirkt sich negativ auf die Compliance aus.“ – Ergebnisse der Untersuchung eines großen Unternehmens

Starke Passwörter

Am einfachsten lässt sich die Sicherheit durch Passwortrichtlinien erhöhen. Damit Passwörter effizient sind, müssen sie stark sein und regelmäßig aktualisiert werden. BitLocker – mit oder ohne MBAM – kann eine PIN-Komplexität nicht durchsetzen, sondern lediglich die PIN-Länge. Noch schlimmer: BitLocker-PINs sind geräte- und nicht benutzerabhängig. Daher müssen Benutzer PINs untereinander austauschen und sich die PIN für jedes Gerät merken, auf das sie zugreifen können. Das ist nicht nur ein schlechter Umgang mit Passwörtern, sondern entspricht auch nicht Compliance-Anforderungen wie PCI DSS (siehe hier).

Berichterstellung und Audit

Wenn es um Compliance geht, brauchen Sie 1. Schutz und 2. Nachweise. Im Falle dieses Kunden gaben die BitLocker-Clients nur den aktiven Verschlüsselungsstatus zurück, wenn das System in MBAM eincheckte. Was ist mit den Bestandsdaten? So entstehen schwerwiegende Lücken in Bezug auf die Transparenz, da Geräte verschlüsselt sein können und – wie in den meisten Unternehmen der Fall – mehr als nur Echtzeit-Berichte für ein Audit benötigt werden. Es ist ein Nachweis erforderlich, der den Zeitraum von der Beschaffung bis zur Außerbetriebnahme des Geräts abdeckt.

„MBAM-Berichterstellung bietet nicht das nötige Assurance Level für den Verschlüsselungsstatus. “ – Ergebnisse der Untersuchung eines großen Unternehmens

Einzelnes Betriebssystem

BitLocker wurde natürlich speziell für Windows entwickelt und unterstützt ausschließlich Microsoft-Hosts. Ein zusätzliches Produkt für die Festplattenverschlüsselung und Schlüsselverwaltung muss in die sicherheitsbezogenen Kosten für macOS- und Linux-Systeme einkalkuliert werden. Wenn nicht nur Endpunkte betroffen sind, muss BitLocker über Skripte auf Servern und virtuellen Maschinen verwaltet werden. Es spielt keine Rolle, ob sich diese vor Ort befinden oder cloud-basiert sind. Das Ergebnis sind mehrere Silos in Bezug auf die Verschlüsselung und Lücken bei der Compliance-Transparenz.

„Die Nutzung von MBAM zur Verwaltung von BitLocker würde den Einsatz von mindestens zwei zusätzlichen unabhängigen Lösungen für macOS und Linux erfordern und sich auf unsere Compliance-Transparenz auswirken.“ – Ergebnisse der Untersuchung eines großen Unternehmens

Es wird noch schlimmer

Im Zuge der Weiterentwicklung der Bedrohungen müssen Unternehmen nicht nur die Risiken für ihre Daten, sondern auch die entsprechenden Schutzmaßnahmen berücksichtigen. BitLocker ist keine Ausnahme.

Schwachstellen der Pre-Boot-Authentifizierung

Microsoft sagt Folgendes über BitLocker: „Die Pre-Boot-Authentifizierung bietet eine ausgezeichnete Startup-Sicherheit, aber sie ist unbequem für Benutzer und erhöht die Kosten für das IT-Management“ (siehe hier). Daher entscheiden sich die meisten Unternehmen nur für TPM. Microsoft sagt aber auch, dass „eine Authentifizierung mit TPM alleine das niedrigste Datenschutzniveau bietet“, das „von potenziellen Schwachstellen in der Hardware oder in den frühen Boot-Komponenten betroffen sein kann“ (siehe hier). Welche Wahlmöglichkeiten haben Unternehmen also? Sie können entweder eine Beeinträchtigung der Benutzerfreundlichkeit in Kauf nehmen oder Schwachstellen durch Kaltstart- und Speicherremanenzangriffe zulassen. In diesem Fall wollte unser Kunde keine Kompromisse eingehen.

„Ohne Pre-Boot-Authentifizierung sind Compliance und Sicherheit ausschließlich vom zukünftigen Stand der Windows-Sicherheit und der spezifischen Hardware-Betriebsumgebung abhängig.“ – Ergebnisse der Untersuchung eines großen Unternehmens

Manipulation durch Benutzer/System-Updates

Wenn Unternehmen eine Sicherheitslösung einsetzen, erwarten sie, dass ihre Systeme und Daten jederzeit zuverlässig geschützt werden. BitLocker ermöglicht es jedoch jedem Benutzer bzw. jeder Anwendung mit entsprechend umfassenden Rechten, den Schlüsselschutz auszusetzen oder sogar das Laufwerk zu entschlüsseln. Benutzer können einfach auf die Systemsteuerung, die Eingabeaufforderung oder die Windows-PowerShell zugreifen, um den Verschlüsselungsstatus oder den Schlüsselschutz zu manipulieren. Bei diesem Kunden gibt es über 14.000 Benutzer mit lokalen Administratorrechten und häufige System-Updates. BitLocker alleine reichte schlichtweg nicht aus.

 „Die Tatsache, dass jeder Benutzer mit Administratorrechten die BitLocker-Verschlüsselung aussetzen kann, birgt ein erhebliches Risiko.“ – Ergebnisse der Untersuchung eines großen Unternehmens

Lücken mit SecureDoc schließen

Wir wissen, dass BitLocker nahtlos mit Windows funktioniert und eine schnelle Verschlüsselung bietet, die in die Windows-Lizenzen integriert ist. Wir wissen aber auch, dass Unternehmen nicht nur eine einzige Plattform nutzen und nicht jeder Benutzer Zugriff auf die für MBAM erforderlichen Lizenzierung hat. Selbst bei denjenigen, die diesen Zugriff haben, zeigt die Erfahrung, dass Unternehmen nicht nur nach „Administration und Überwachung“ suchen, sondern eine vertrauenswürdige Sicherheitskontrollebene und Compliance benötigen.

WinMagic hilft Unternehmen, BitLocker bestmöglich zu nutzen. Unsere Lösung verwaltet nicht nur BitLocker, sondern macht die Lösung intelligenter, einfacher und sicherer. Wir wissen, dass der Hauptgrund für den Einsatz von Verschlüsselung die Compliance und nicht die Benutzerproduktivität ist. Aber das Beste an SecureDoc ist, dass die Lösung so konzipiert ist, dass man auf beides nicht verzichten muss. Insbesondere bietet unsere benutzerbasierte Pre-Boot-Authentifizierung eine Authentifizierung nach Best Practices und marktführenden Manipulationsschutz für BitLocker. So sinkt das Risiko von Manipulationen durch Benutzer, und Unternehmen erhalten die notwendige Compliance-Sicherheit.

Weitere Informationen zu diesem Thema: https://www.winmagic.com/blog/2018/03/27/microsoft-really-claiming-pre-boot-authentication-full-disk-encryption-not-necessary/

Comments

comments

Vorheriger Beitrag
RSA Security Conference 2018
Nächster Beitrag
Darum dürfen unsere Mitarbeiter von Zuhause aus arbeiten

Related Posts

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü