Update für Windows 11: Good News - Bitlocker für alle!
Bitlocker kommt unter Windows 11 mit dem Update 24H2 für alle. Good News? Auf dem Papier schon, aber wie immer gibt es Fallstricke.
Bislang hat Microsoft den Verschlüsselungsdienst Bitlocker in der Version von Windows versteckt, aber das soll sich ändern: Ab Windows 11 23H2 wurde das Feature für alle Nutzer freigegeben und ab 24H2 wird es auch standardmäßig aktiviert sein. Bestandssysteme dürften nicht betroffen sein, aber bei Neuinstallationen ist dann automatisch alles verschlüsselt. Das gilt für Windows 11 Pro wie für Windows 11 Home.
Bei vorinstallierten Systemen hängt es dann vom Anbieter ab, denn der muss auch im UEFI das entsprechende Flag setzen. Wer seinen Rechner selbst baut, hat letztlich selbst Kontrolle darüber, ob er Bitlocker nutzen will oder nicht, sollte aber darüber im Bilde sein, wie er Windows 11 installieren will.
Für die meisten Nutzer ist der größte Bonus wohl, dass man Bitlocker in allen Versionen auch für externe Laufwerke nutzen kann und so keine Drittwerkzeuge benötigt. Windows-Systeme kommen mit solchen Laufwerken auch ohne Zusatzsoftware beim Auslesen klar.
Backups sind immer wichtig
Während eine Verschlüsselung des Systemlaufwerks wohl ohne Frage aus Sicherheitsgründen zu begrüßen ist, so geht das doch auch mit Fallen einher. Insbesondere dann, wenn es Probleme gibt. Die Laufwerke lassen sich nicht mehr so einfach auslesen und man verlegt auch besser nicht seine Zugangsdaten. Das kann speziell die Nutzer teuer zu stehen kommen, die am meisten profitieren - die Durchschnittstypen. Auch denen sei an dieser Stelle geraten: kein Backup, kein Mitleid - auch für den Bitlocker-Schlüssel für Notfälle; den sollte man sicher verwahren.
Spiele besser nicht verschlüsseln
Außerdem wird es empfohlen, dass man Performance-relevante Operationen, die nicht verschlüsselt sein müssen, auch nicht verschlüsselt. Das Gaming-Laufwerk etwa. Denn keine Operation gibt es umsonst und es gibt Messszenarios, wo Bitlocker bis zu 45 Prozent Transferleistung und generell auch etwas Rechenleistung kostet.
Wie finden Sie die Maßnahme? Nutzen Sie die Kommentarfunktion und teilen Sie uns Ihre Meinung mit. Zum Kommentieren müssten Sie auf PCGH.de oder im Extreme-Forum eingeloggt sein. Sollten Sie noch keinen Account haben, könnten Sie über eine Registrierung nachdenken, die viele Vorteile mit sich bringt. Beachten Sie beim Kommentieren aber bitte die gültigen Forenregeln.
Quelle: Deskmodder
Bitlocker gilt allerdings im Gegensatz zu z.B. LUKS im Fall von Linux oder VeraCrypt für Windows als ziemlich komplett nutzlose Fake-Sicherheit:
Microsofts BitLocker in unter einer Minute mit Raspberry Pi ausgehebelt
[Ins Forum, um diesen Inhalt zu sehen]
Worauf er nicht oder nur sehr kurz und oberflächlich eingeht:
Das nicht näher spezifizierte Lenovo X1 Carbon scheint relativ alt zu sein. Zumindest hat es einen Sticker für Windows 8 auf der Unterseite. Baujahr müsste also zwischen 2012 und 2015 liegen. Es ist also schon um die 10 Jahre alt und nutzt ein externes TPM 1.0 oder 1.2 Modul. Windows 11 würde auf diesem Gerät also nicht laufen.
Heutige PCs verwenden, wie auch kurz in dem Video angesprochen, fTPM. Das TPM-Modul ist also in die CPU integriert, sodass der gezeigte Angriff durch mitschneiden des Datentransfers nicht möglich ist.
Angriffe gegen fTPM sind deutlich schwieriger. Erfolgreich waren, soweit ich weiß, nur MITM Angriffe auf den RAM bzw. das einfrieren des RAM-Moduls mit anschließendem auslesen in einem externen Gerät. Dagegen gibt es Mittlerweile aber auch Schutzmechanismen, bei dem der Bitlocker Key selbst nur verschlüsselt im RAM abgelegt wird.
Auch sehe ich hier den nächsten Schritt das System zu schließen. Account zwang und TPM waren die ersten schritte und mit den Bitlocker wird der Weg weiter verfolgt. Es könnte nicht mehr lange dauern bis Microsoft Store zu Pflicht wird, um Programm zu Installieren. Oder der Bitlocker ist Fest verankert und lässt sich nicht mehr deaktivieren. Nur so meine Befürchtungen.
Auch deine Utopie "Es könnte nicht mehr lange dauern bis Microsoft Store zu Pflicht wird, um Programm zu Installieren." ist bereits, bis auf Linux, überall der Standard und keinen kümmert es!
Ich sehe dagegen auch für den Normal-Benutzer Vorteile. Notebooks (die auch als solche benutzt werden, also mobil sind) können immer verloren gehen oder gestohlen werden. Genau wie Smartphones.
Bei defekten PCs oder auch einzelnen Laufwerken ist es mit Verschlüsselung kein Problem mehr, sie an den Hersteller/Händler zu geben, ohne befürchten zu müssen, dass die privaten Fotos, etc. irgendwo im Internet auftauchen.
Auch den alten PC bei eBay zu verkaufen, mit Datenträger, ist kein Problem mehr. Zumindest PCs von OEMs wird mittlerweile beim vollständigen zurücksetzten von Windows auch der Bitlocker-Key gelöscht. Ein Wiederherstellen der Daten ist dann faktisch nicht mehr möglich.
Ich setzte daher auf allen meinen Laufwerken Bitlocker ein!
Datensicherung ist gerade für Privatnutzer ein Fremdword weil es kann ja angeblich nie etwas passieren und wenn es dann doch passsiert dann ist das Geschrei mehr als groß. Kein Backup, kein Mitleid gehört seit Jahren zu meinem Wortschatz und auch wenn ich damit sehr oft Kunden vor den Kopf stosse sag ich es ihnen.
Vor defekten Laufwerken oder einem Verschlüsselungstrojaner hilft eine unverschlüsselte Festplatte herzlich wenig.
Klar verstehe ich dein Problem, aber nur für den Fall eines Defektes auf alle Sicherheitsfunktionen zu verzichten fände ich falsch!
Ich bin da der selben Meinung wie [Ins Forum, um diesen Inhalt zu sehen] :
Kein Backup, kein Mitleid.
Und selbst wenn eine halbwegs aktuelle SSD mehr als 20% an Leistung verliert, wird man das nur in Benchmarks merken. Wie schnell ist eine durchschnittlich M.2 SSD zur Zeit? 4000 MB/s? Selbst beim spielen wird man den Unterschied zwischen 3000MB/s und 4000MB/s nicht merken...
Ich bin selbst mal in diese Falle getappt, in der Anfangszeit, wo ich ein BIOS-Update machte und das System nicht mehr nutzbar war, einmal und nie wieder.
Aus meiner Erfahrung ist es am Besten, das BIOS-Update über eine Windows-Executable zu machen.
Wenn der Hersteller des Mainboards/BIOS seine Arbeit gemacht hat, teils der Updater Windows mit, dass es ein BIOS/TPM-Update macht. Darauf reagiert Windows dann und kann, wenn nötig, auch für die Zeit des Updates Bitlocker deaktivieren.
Viele OEM verteilen ihre BIOS-Updates daher auch bereits per Windows Update.
[Ins Forum, um diesen Inhalt zu sehen]
Habe ich auch schon gemacht. Funktioniert einwandfrei. Natürlich bleibt da halt immer der plötzliche Stromverlust als Risiko. Das einzige was da nicht funktioniert ist es beim laufenden System zu machen.
Aber auch Bitlocker hat da so sein Risiko.
[Ins Forum, um diesen Inhalt zu sehen]
BitLocker in Kombination mit TPM, und vor allem wenn dieses als alleinige Entsperrmethode eingestellt ist, hat alle Nachteile verschlüsselter Datenträger, ohne die Vorteile mitzunehmen. Mit jeder Hardware-Änderung oder sogar einem bloßen UEFI-Update muss der Recovery-Key herausgekramt werden, der eigentlich genau nicht dafür da sein sollte (weshalb die Keys bei mir auch an einem Ort hinterlegt sind, wo man nicht mal eben herankommt); und wer physischen Zugriff auf die Hardware hat, kann den Schutz aushebeln.
An der Stelle ein bisschen (Halb-)Off-Topic:
BitLocker mit TPM schützt nur davor, dass jemand die Platte aus dem Rechner entfernt und auf einem anderen Gerät auszulesen versucht. Wenn man aber wie ich in seinem Threat Model hat, dass die Strafverfolgungsbehörden jederzeit mit Durchsuchungsbefehl vor der Tür stehen, geht man davon aus, dass sie die gesamte Hardware mitnähmen. An alle, die mich jetzt als Paranoiker bezeichnen wollen und meinen, sie hätten ja nichts zu verbergen, weil sie nichts Verbotenes täten: Findet ihr das wirklich so abwegig? So viel gehört ja wohl nicht dazu, wenn es schon ausreicht, auf Ex-Twitter zu schreiben, dass der Hamburger Innensenator ein πmmel oder die Chatkontroll-Innenministerin eine Muシ ist, bzw. nur jemanden zu kennen, der das getan hat. Oder kommt mal jemandem dumm und der gibt der Polizei einen anonymen „Hinweis“, ihr hättet Bildchen mit kleinen als Streichhölzer verkleideten Menschen auf dem Rechner; da heißt es dann noch meistens „Gefahr im Verzug“, sodass der Staatsanwalt nicht einmal mehr die richterliche Genehmigung braucht, die er aber auch sonst sowieso bekäme, weil die Ablehnung zu begründen zu viel Aufwand wäre.
Und zum Thema „nichts verbergen/nichts Verbotenes tun“: A) Seit wann entscheidet ihr denn, dass ihr nichts verbergt und nichts Verbotenes tut; und B) wer oder was garantiert euch, dass das für dasselbe Verhalten morgen immer noch gilt? Ganze EU-Regierungen versuchen, (Ende-zu-Ende-)verschlüsselte Kommunikation zu kriminalisieren, die ihr derzeit täglich benutzt, remember?
Nur um mal zu klären, wozu der Ottonormalo eine Datenträgerverschlüsselung gebrauchen kann. Die Frage, ob ich sensible Daten auf meinem Rechner habe, stellt sich für mich überhaupt nicht. Alle Daten, die ich auf meinen Geräten habe, sind aus meiner Sicht per Definition vertraulich und gehen erst mal niemanden was an. Nicht ich muss mich dafür rechtfertigen, meine Grundrechte der informationellen Selbstbestimmung sowie des Post- und Fernmeldegeheimnisses zu beanspruchen, sondern die Einschränkung muss begründet und gerechtfertigt sein, und das ist immer häufiger nicht mehr der Fall.
Was uns zurück zum Thema führt:
So wie BitLocker standardmäßig konfiguriert und somit auch von den meisten genutzt wird, ist es denkbar ungeeignet, ein System abzusichern. Entsperrung per TPM ist nicht nur leicht knackbar:
Hier also nun eine Anleitung, wie man BitLocker „richtig“ (d. h. durchsuchungssicher) benutzt:
1. TPM, ob Hardware oder fTPM, im UEFI deaktivieren. TPMs halten ihr Sicherheitsversprechen nicht ein und sind ein weiterer Weg, dem User noch mehr Kontrolle über das Gerät wegzunehmen.
2. BitLocker so konfigurieren, dass es ohne TPM eingerichtet werden kann: „Strg + R -> gpedit.msc -> Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke -> Zusätzliche Authentifizierung beim Start anfordern“, aktivieren und den Haken bei „BitLocker ohne kompatibles TPM zulassen“ setzen.
3. BitLocker aktivieren und als Entsperrmethode ein starkes Kennwort festlegen.
4. Wiederherstellungsschlüssel als Textdatei ausgeben lassen. BitLocker lässt idiotischerweise nicht zu, diese Textdatei auf einem verschlüsselten Laufwerk zu speichern, dafür braucht es also einen unverschlüsselten Wechseldatenträger. Nach der Einrichtung gilt diese Einschränkung nicht mehr, dann die txt.-Datei auf einen anderen verschlüsselten Datenträger schieben, Hauptsache, sie liegt nicht auf dem Laufwerk, das sie ja gerade entsperren soll.
(Wenn ihr davon ausgeht, dass Microsoft euer System in Echtzeit überwacht, zieht vorher noch das LAN-Kabel.)
Wenn die Verschlüsselung abgeschlossen ist, habt ihr ein BitLocker-verschlüsseltes Betriebssystem, das weder bei Hardware-Wechseln, noch bei UEFI-Updates den Recovery-Key braucht, und Letzterer liegt auch nicht in der Cloud für Microsoft und Behörden abrufbereit. Die Kennwort-Methode ist denkbar unbequem, weil ihr euch nun euer BitLocker-Kennwort merken und dieses bei jedem Systemstart eingeben müsst, und man hat ein Sicherheitsproblem bei Computern, die von mehreren Personen genutzt werden, weil von denen dann jeder das Kennwort wissen muss. Eine automatische Entsperrung geht absichtlich nicht, weil hierfür entweder das TPM oder ein präparierter USB-Stick notwendig wäre, und wir wollten ja gerade vermeiden, dass es nur ein Stück Hardware braucht, um Zugang zu bekommen. Das Kennwort ist der einzige Schlüssel, den ihr nicht rausgeben müsst, weil niemand gezwungen werden darf, sich selbst zu belasten (außer, ihr haltet euch in Unrechtsstaaten wie z. B. Großbritannien auf), und wenn ihr die Anforderungen an ein gutes Kennwort eingehalten habt, ist die Verschlüsselung auf dem Weg auch nicht zu knacken – sofern der Recovery-Key nicht irgendwo greifbar rumliegt. Bei weiteren internen Datenträgern spricht wenig dagegen, sie in Kombination mit dieser OS-Installation automatisch entsperren zu lassen, sofern man darüber nicht die Passwörter vergisst bzw. die Recovery-Keys verlegt. Alle Datenträger, ob System oder anderweitig, bleiben für euch trotzdem zugänglich, wenn ihr sie aufgrund anderer defekter Hardware auf einem anderen System auslesen müsst, um eure Daten sichern zu können.
Es gibt also Wege, BitLocker sinnvoll einzusetzen, sie erfordern aber eine gewisse Einarbeitung, und ihr könnt euch sicher denken, wie viele sich am Ende damit auseinandersetzen (wollen) und es tatsächlich so machen, dass es ihnen etwas bringt und sie die genannten Fallstricke umgehen. Die Regel infolge eines BitLocker-Zwangs, wie Microsoft hier plant, werden eher frustrierte Kunden sein, mit denen sich Reparaturdienste rumschlagen müssen, weil Erstere ihren BitLocker-Zugang verlegt/versperrt und kein Backup gemacht und Letztere daher keine Möglichkeit zur Datenrettung haben, und dazu ein falsches Gefühl von Sicherheit, das für das eine oder andere böse Erwachen sorgen dürfte.
Und natürlich hilft auch die korrekte BitLocker-Konfiguration nicht gegen die Annahme, dass in BitLocker oder Windows Hintertüren vorhanden sind. Bei Ersterem muss man sich halt doch mit VeraCrypt behelfen, und wenn man von Letzterem ausgeht, ist man mit seinem Sicherheitsbedürfnis beim falschen Betriebssystem (ist man je nach Betrachtung bei Windows sowieso per Definition).
Ich mache es bei all meinen Windows-Rechnern und Festplatten, die unter Windows erkennbar sein sollen und damit NTFS-formatiert sind, wie beschrieben und fahre damit sehr gut. Die Performance-Unterschiede gegenüber unverschlüsselten Systemen sind in den meisten meiner Anwendungsszenarien vernachlässigbar und werden heute durch performantere Hardware wieder auf ein erträgliches Niveau kompensiert. Was bei BitLocker wirklich unschlagbar genial ist, ist die In-Place-Verschlüsselung, also Verschlüsselung, ohne dass eine komplette Neuformatierung nötig ist, die VeraCrypt nur bei NTFS-Laufwerken und LUKS gar nicht beherrscht, weil die Implementation erstens sehr aufwendig ist und zweitens ein Sicherheitsrisiko besteht, wenn jemand im Verschlüsselungsvorgang den Stecker zieht. Da Linux seit längerem mit BitLocker-Laufwerken umgehen kann, ist es außerdem gerade für USB-Sticks, die plattformübergreifend eingesetzt werden sollen, sehr attraktiv. VeraCrypt ist dafür wegen der Hidden Volumes noch cooler, die einem auch in Szenarien helfen, wo man gezwungen ist, ein Passwort zu verraten, sei es durch faschistoide Gesetze oder durch Folter.