Verschlüsselung meiner Festplatte, mein Nutzen und die Durchführung

Im Zuge der DSGVO ist jeder Unternehmer verpflichtet, bei etwaigem Verlust von persönlichen Kundendaten nachzuweisen, dass er sein möglichstes getan hat, um Unbefugten den Zugriff auf diese zu verwehren.

Die Verschlüsselung der Festplatte ist ein hilfreicher Faktor, um sich im schlimmsten Falle schadlos zu halten.

Warum sollte ich meine Festplatten verschlüsseln?

Festplatten sind Hardwareteile, welche von Laien mit einem Schraubenzieher innerhalb von Minuten entfernt werden können, dazu muss man sich nur physischen Zugriff zu Ihrem PC verschaffen.

Wie sollte jemand Zugriff auf meinen PC bekommen?

Eine Möglichkeit ist der Verlust bzw. Diebstahl eines Notebooks, oder Einbruch in Ihre Wohnung bzw. Betriebsstätte, welcher mit Diebstahl Ihres Computers endet.

Woher bekomme ich Verschlüsselungssoftware?

Windows enthält standardmäßig die Verschlüsselungssoftware BitLocker (Achtung: Bei Windows 10 nur in der Pro Version vorhanden!), diese hindert, je nach Art der der Verifizierung, Unbefugte am Zugriff auf Ihre Daten.

Welche Arten von Verifizierungen gibt es?

Grundsätzlich erlaubt BitLocker durch seine Voreinstellungen nur die Verschlüsselung per TPM (Trust Protection Module), dabei handelt es sich um einen Chip, der in dem Computer verbaut ist.

Dieser Chip weist eine einzigartige Kennung auf, welche verhindert, dass, falls Ihre Festplatte in einen anderen Computer eingebaut wird,  jemand Zugriff darauf erlangen kann.

Leider ist dieser Chip bei älteren Computermodellen nicht vorhanden, doch keine Sorge, dafür haben wir eine Alternative.

Die Verifizierung der Verschlüsselung mit einem Kennwort! Wie Sie auf diese Art Zugriff bekommen, darf ich ihnen heute näherbringen.

Vorwort zu unserer Anleitung

Um die Passwort-Verifizierung zu aktivieren, müssen Sie ein sogenanntes GPO (Group Policy Object) bearbeiten. Diese „Objekte“ definieren das Verhalten bzw. die Reaktionen Ihres Computers in verschiedenen Szenarien.

ACHTUNG: Falls Ihr Computer in einer AD Domäne (Active Directory Domain) Mitglied ist, sollte die Bearbeitung nur von Ihrem technischen Administrator erfolgen, da die GPO vom AD Server vorgegeben wird. Privatanwender bzw. EPUs/KMUs ohne große IT-Infrastruktur können unserer Anleitung problemlos folgen.

Die Einrichtung von BitLocker mit Passwort-Verifizierung

Um die Bearbeitungsoberfläche für GPOs zu öffnen, drücken Sie die Windows und R Tasten gleichzeitig, in dem Fenster, das sich öffnet, geben Sie dann „gpedit.msc“ ein und bestätigen mit der Enter Taste.

Innerhalb des Editors finden Sie in der Kategorie „Computerkonfiguration > Administrative Vorlagen > BitLocker-Laufwerksverschlüsselung > Betriebssystemlaufwerke“ den Unterpunkt „Zusätzliche Authentifizierung beim Start anfordern“.

Diesen rufen Sie bitte per Doppelklick auf:

Im nächsten Fenster müssen Sie den Kreis von „Nicht konfiguriert“ auf „Aktiviert“ setzen, danach sollte sich „BitLocker ohne kompatibles TPM zulassen“ selbstständig aktivieren.

Nun bestätigen Sie mit einem Klick auf OK, danach sollte die Passwort-Verifizierung in BitLocker verfügbar sein. Um sicherzugehen, dass diese Einstellungen übernommen wurden, empfehlen wir an diesem Punkt einen Computer-Neustart.

Um die BitLocker Verschlüsselung zu aktivieren, rechtsklicken Sie auf den zu verschlüsselnden Datenträger und wählen Sie „BitLocker aktivieren“ aus.

BitLocker will nun, für den Fall, dass Sie Ihr Passwort vergessen oder Ihr Computer einen Schaden erleidet, einen Wiederherstellungsschlüssel generieren, mit dem Sie Ihre Daten jederzeit entschlüsseln können.

Wir wählen an diesem Punkt die Möglichkeit Drucken aus, da Papier durch virtuelle Angriffe geschützt ist und nicht so leicht verloren geht wie ein USB Stick oder eine Datei.

Das ausgedruckte Dokument enthält den Bezeichner und Wiederherstellungsschlüssel.

Dieses Dokument sollten Sie für den Ernstfall sicher verwahren, da Sie damit Ihre Daten wiederherstellen können.

Ein feuerfester Tresor würde sich als Verwahrungsort anbieten.

Nun möchte BitLocker wissen, wie Ihr Laufwerk bei Systemstart entsperrt werden soll, per USB Stick, welcher die Verifizierungsdaten enthält oder per Passwort. Wir empfehlen, wie bei dem vorhergehenden Punkt, die Passwort-Verifizierung, da ein USB Stick – wie gesagt – leicht abhandenkommen kann.

BitLocker fordert Sie nun auf, ein Kennwort einzugeben und zu bestätigen, bitte achten Sie darauf ein sicheres und dennoch, für Sie, einfach merkbares Kennwort zu wählen.

Im nächsten Schritt möchte BitLocker wissen, welche Daten auf der Festplatte verschlüsselt werden sollen, der verwendete Speicherplatz oder das gesamte Laufwerk. Bei neuen Computern empfiehlt sich ersteres.
Für PCs und Laufwerke, die sich schon in Verwendung befunden haben, ist die zweite Option optimal.

Jetzt bietet BitLocker Ihnen die Möglichkeit den passenden Verschlüsselungsmodus für Ihren Laufwerkstyp zu wählen. Für verbaute Festplatten empfiehlt sich der neuere Verschlüsselungsmodus, für externe Festplatten und USB-Sticks der Kompatible-Modus.

In diesem Schritt müssen Sie nur noch Ihren Wunsch, die Festplatte zu verschlüsseln, mit einem Klick auf Weiter, bestätigen.

Ihr Computer muss nun, um mit dem Verschlüsselungsvorgang zu beginnen, neu starten.

Bei diesem Neustart wird Sie BitLocker, bevor Windows lädt, nun nach dem von Ihnen gewählten Passwort fragen, diese Art der Verifizierung wird nun vor jedem Systemstart stattfinden.

Nachdem Ihr Computer hochgefahren ist und Sie sich angemeldet haben, können Sie rechts unten in der Taskleiste den Verschlüsselungsprozess verfolgen.

Mit Doppelklick auf das Icon können Sie den Fortschritt des Prozesses näher einsehen.

Nachdem dies abgeschlossen ist, haben Sie die Daten auf dem gewählten Laufwerk verschlüsselt und einen großen Schritt gemacht, um den Zugriff für Unbefugte zu verweigern.

Damit haben Sie eine weitere Maßnahme gesetzt, um sich, im Falle des schlimmsten Szenarios, schadlos zu halten.

Deaktivierung von BitLocker

Für den Fall, dass Sie die Verschlüsselung Ihres Laufwerkes nicht mehr wünschen, da Sie z.B. mit Performanceeinbußen zu kämpfen haben, können Sie BitLocker jederzeit deaktivieren.

Dazu müssen Sie einfach nur auf Ihr Laufwerk rechtsklicken und „BitLocker Verwalten“ auswählen.

In dem Verwaltungsfenster können Sie nun die Option „BitLocker deaktivieren“ anklicken.

Mit einer Betätigung des Buttons „BitLocker deaktivieren“ in diesem Fenster wird die Entschlüsselung Ihres Laufwerks gestartet.

Wie bei der Verschlüsselung finden Sie nun in Ihrer Taskleiste links unten ein Symbol, welches bei Doppelklick nähere Auskunft über den Status der Entschlüsselung gibt.

Bei erfolgreicher Entschlüsselung werden Sie durch ein letztes Fenster informiert.

Nun sind Ihre Daten wieder ungeschützt und BitLocker belastet Ihr System nicht mehr.

Einrichtung von BitLocker mit Passwort-Verifizierung für mobile Datenträger

Mobile Datenträger, wie z.B. USB Sticks, Speicherkarten oder externe Festplatten können natürlich noch leichter in die Hände von unbefugten Dritten gelangen. Um Zugriff auf die von Ihnen gespeicherten Daten zu verhindern, bietet es sich an, BitLocker auf USB Sticks zu aktivieren.

Die Einrichtung gestaltet sich ähnlich wie bei Festplatten, nur wenige Details weichen von der oberen Anleitung ab. Für den Verschlüsselungsmodus wählen wir den „Kompatiblen Modus“. Computer-Neustart und die Passworteingabe beim Start fallen natürlich weg.

Bei Anschluss des USB-Sticks an einen Computer kommt nach der erfolgreichen Verschlüsselung die Aufforderung zur Passworteingabe.

Ohne gültiges Passwort sind die Daten auf dem Stick nicht einsehbar.

Für weitere Fragen und Anmerkungen steht Ihnen das KMU Center Team gerne zu Verfügung.