Wer verhindern möchte, dass Unbefugte bei Verlust oder Diebstahl die Daten des eigenen Rechners auslesen, sollte einzelne Laufwerke oder das gesamte System verschlüsseln. Gerade bei Firmendaten kann der Schaden durch Spionage oder Verletzung der Datenschutzbestimmungen immens sein. Selbst Privatanwender greifen inzwischen verstärkt auf die Windows-eigene BitLocker-Verschlüsselung zurück. Was dahintersteckt und wie Sie Ihre Daten mit wenigen Handgriffen wirksam schützen, erfahren Sie hier.
Es passiert schneller, als man denkt: Kurz nicht aufgepasst und schon hat die Aktentasche mit dem Firmen-Notebook einen neuen Besitzer gefunden. Ganz egal, ob durch eigene Unachtsamkeit oder absichtlichen Diebstahl: Niemand möchte, dass Geräte mit sensiblen Daten in fremde Hände geraten. Was Sie tun können, wenn Ihr Smartphone abhanden gekommen ist, haben wir Ihnen bereits an anderer Stelle hier im Blog erklärt. An dieser Stelle geht es nun um den wirksamen Datenschutz für (Windows-basierte) Notebooks und Desktop-PCs.
Zwar lässt sich Windows durch eine Passworteingabe beim Hochfahren gegen das unbefugte Einloggen sichern – doch Kriminelle bauen kurzerhand die Festplatte aus und haben im Handumdrehen Vollzugriff auf Ihre Daten. Gleiches gilt selbst dann, wenn Sie einen BIOS-Passwortschutz eingerichtet haben: Auf einem anderen Rechner oder nach einem BIOS-Reset lässt sich Ihre Festplatte weiterhin problemlos auslesen. Mit einer BitLocker-Verschlüsselung, wie sie Microsoft seit einigen Jahren in die Profi-Versionen von Windows integriert hat, sind Sie hingegen weitgehend auf der sicheren Seite.
Selbst wenn Ihr Rechner oder Ihr BIOS passwortgeschützt sein sollten: Die Daten auf Ihrer Festplatte sind es standardmäßig nicht. Ein Verschlüsselungs-System wie BitLocker ändert dies: Sämtliche Daten werden hierbei mit Hilfe eines zuvor von Ihnen festgelegten Schlüssels codiert. Ohne diesen Schlüssel sind Ihre Daten danach für Außenstehende wertlos.
Das BitLocker-System arbeitet mit einer AES ("Advanced Encryption Standard")-Verschlüsselung mit 128 oder 256 Bit Länge. Grundsätzlich gilt: Je länger der Verschlüsselungscode ist, umso sicherer ist das System gegen unbefugten Zugriff. Gleichzeitig leidet jedoch bei längerem Verschlüsselungscode im Alltag die Performance, da die Daten aufwändiger codiert und decodiert werden müssen. In der Praxis entscheiden sich die meisten Anwender daher für die 128-Bit-Variante.
Die Vorteile der BitLocker-Verschlüsselung für Windows-Systeme liegen auf der Hand:
Die Einrichtung ist mit Windows-Bordmitteln durchführbar und erfordert weder Fremdinstallationen noch die Anschaffung separater Hardware.
Nach Verlust oder Diebstahl sind die Daten ohne den Verschlüsselungscode praktisch nicht auslesbar.
Eine aktive Fernlöschung entfällt, da der Dieb oder Finder den Code in den seltensten Fällen erraten oder bestimmen kann.
Im Alltag fällt die Tatsache, dass die Festplatte verschlüsselt arbeitet, kaum ins Gewicht. Der Rechner arbeitet fast genauso schnell wie zuvor.
Verstöße gegen die Compliance und die DSGVO haben selbst beim Vorhandensein sensibler Daten weniger gravierende Auswirkungen, da diese nicht oder vermutlich nicht in fremde Hände geraten können.
Der Wiederherstellungscode kann sowohl auf einem externen Laufwerk, einem USB-Stick, als auch im Microsoft Active Directory gespeichert werden oder gar ausgedruckt werden und ist so im Fall der Fälle weiterhin griffbereit.
BitLocker aktivieren: So verschlüsseln Sie Ihr Windows-System
1. Ihre Windows-Version prüfen
Um ein komplettes System mit BitLocker zu verschlüsseln, prüfen Sie zunächst, ob Ihre Windows-Version diese Art von Verschlüsselung unterstützt. In folgenden Windows-Versionen ist BitLocker standardmäßig enthalten:
Windows Vista Ultimate und Enterprise
Windows 7 Ultimate und Enterprise
Windows 8 und 8.1 Pro und Enterprise
Windows 10 Pro und Enterprise
Windows Server 2008 oder neuer
Sollten Sie eine andere Windows-Version nutzen, führen Sie zunächst ein Upgrade Ihres Windows-Systems durch oder verwenden Sie die Software eines anderen Verschlüsselungsanbieters. Stellen Sie außerdem sicher, dass Sie auf dem Computer, den Sie verschlüsseln möchten, über Administratorrechte verfügen.
2. Klären, ob Ihr System TPM unterstützt
Rufen Sie das Startmenü auf und geben Sie dort "bitlocker" ein. Starten Sie die "BitLocker-Laufwerksverschlüsselung" durch Anklicken des Suchergebnisses oder aus der Systemsteuerung heraus. Wählen Sie nun das Systemlaufwerk aus und klicken Sie auf "BitLocker aktivieren".
Die BitLocker-Laufwerksverschlüsselung lässt sich mit nur einem Klick über die Systemsteuerung aktivieren.
Nun kann es vorkommen, dass Sie eine Fehlermeldung erhalten, die in etwa lautet "Auf diesem Gerät kann kein TPM (Trusted Platform Module) verwendet werden."
Das ist immer dann der Fall, wenn Ihr System-BIOS (also die Startfunktionen des Computers) über kein entsprechendes Modul verfügt oder dieses im BIOS nicht aktiviert wurde. Speziell ältere Systeme sind mit einer solchen Funktion selbst nach einem BIOS-Update nicht ausgestattet.
Das TPM dient dazu, beim Systemstart zu prüfen, ob die Hardware des Computers unverändert ist oder geändert wurde und gibt den Start entsprechend frei. Außerdem ist es in der Lage, einen Systemstartschlüssel zu speichern und eine PIN-Abfrage durchzuführen. Ohne TPM-Modul müssen Sie Ihren Rechner mit Hilfe eines USB-Sticks oder eines Kennworts, das Sie nicht verlieren sollten, starten. Anderenfalls sind Ihre Daten nach der Verschlüsselung ohne einen entsprechenden Wiederherstellungsschlüssel verloren.
Um die BitLocker-Verschlüsselung auch ohne TPM-Modul zu ermöglichen, drücken Sie die Windows-Taste und "R" zusammen und geben "gpedit.msc" ein. Navigieren Sie im Editor für lokale Gruppenrichtlinien zum Menüpunkt "Richtlinien für Lokaler Computer | Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | BitLocker-Laufwerksverschlüsselung | Betriebssystemlaufwerke".
In den Gruppenrichtlinien können Sie Systemen ohne TPM die Verschlüsselung erlauben.
Doppelklicken Sie hier auf den Menüpunkt "Zusätzliche Authentifizierung beim Start anfordern". Setzen Sie die Richtlinie auf "Aktiviert" und setzen Sie bei "BitLocker ohne kompatibles TPM zulassen" ein Häkchen. Klicken Sie anschließend auf "OK". Eventuell bitten Sie – speziell bei Firmengeräten – Ihren Systemadministrator, diese Einstellung für Sie durchzuführen.
Bei Systemen ohne TPM ist eine zusätzliche Authentifizierung beim Start erforderlich.
Starten Sie nun erneut die BitLocker-Laufwerksverschlüsselung. Die Fehlermeldung sollte nicht mehr erscheinen.
3. Die BitLocker-Verschlüsselung mit oder ohne TPM durchführen
Klicken Sie in der BitLocker-Laufwerksverschlüsselung neben der Systempartition (Laufwerk C:) gegebenenfalls erneut auf "BitLocker aktivieren". Klicken Sie nun mehrmals auf "Weiter", um das System vorzubereiten und anschließend zu verschlüsseln.
Im Laufe des Prozessvorbereitung wird Ihnen angeboten, ein Back-up des unverschlüsselten Systems vorzunehmen und dieses gegebenenfalls an einem sicheren Ort zu verwahren. Außerdem können Sie wählen, ob Sie zum Start des Rechners einen USB-Stick verwenden oder ein Kennwort eingeben wollen.
Der Vorteil des Startens von Windows mit einem USB-Stick ist, dass Sie nicht jedes Mal ein Kennwort eingeben müssen, bevor das System hochfährt. Nachteil dieses Vorgehens ist jedoch, dass ein Rechner, der inklusive USB-Stick abhanden kommt, genauso wie ein unverschlüsseltes Gerät einfach ausgelesen werden kann.
Sofern Sie sich für die Kennwort-Variante entscheiden, sollten Sie bedenken, dass Ihr Rechner Ihnen beim Hochfahren möglicherweise nur eine englische Tastaturvariante anbietet. Das bedeutet unter anderem, dass die Buchstaben "Z" und "Y" vertauscht sind und bestimmte Sonderzeichen nicht an ihrem gewohnten Platz sind. Verwenden Sie also beide Buchstaben sowie Sonderzeichen, die nicht bei beiden Tastaturen an derselben Stelle liegen, möglichst nicht für Ihr Kennwort.
Bei einer US-amerikanischen Tastaturbelegung können Passworteingaben zum Problem werden.
Wählen Sie anschließend aus, auf welche Art Sie den BitLocker-Wiederherstellungsschlüssel speichern wollen:
Jede dieser Speicherarten hat ihre eigenen Vor- und Nachteile, die Sie jeweils für Ihren Bedarf abwägen sollten. Sollten Sie bei aktiviertem TPM Änderungen an der Hardware Ihres Computers vornehmen oder Ihre Identität nicht anderweitig bestätigen können, kann es sein, dass Sie nach diesem Schlüssel gefragt werden.
Zum Schluss werden Sie noch gefragt, ob Sie "nur den verwendeten Speicherplatz" oder "das gesamte Laufwerk" verschlüsseln wollen. Im ersteren Fall werden neu hinzugefügte Dateien und Ordner automatisch beim Anlegen verschlüsselt – zuvor gelöschte Dateien allerdings nicht. Im letzteren Fall wird das gesamte Laufwerk verschlüsselt, was auch gelöschte, aber noch nicht überschriebene Dateien einschließt.
Bestätigen Sie nun noch, ob Sie (unter Windows 10) den nochmals verbesserten Datenträger-Verschlüsselungsmodus "XTS-AES" verwenden wollen. Er ist mit älteren Windows-Versionen allerdings nicht kompatibel, was bei austauschbaren Laufwerken zu Problemen führen kann. Nach einem Neustart, um die ordnungsgemäße Funktion der Verschlüsselung zu prüfen, wird Ihr Laufwerk endgültig verschlüsselt.
Wichtiger Hinweis: Sollten Sie auf Ihrem Rechner über mehrere Laufwerke oder Partitionen verfügen, so achten Sie unbedingt darauf, diese ebenfalls zu verschlüsseln. Wenn Ihre Systempartition (C:) aufwändig verschlüsselt ist, Ihr Datenlaufwerk (D:) jedoch nicht, liegen Ihre Daten auf diesem Laufwerk weiterhin unverschlüsselt auf dem Rechner und sind für Jedermann auslesbar.
Vodafone Cyber-Security-Services
Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.
Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.
So verschlüsseln Sie einen USB-Stick mit BitLocker To Go
Wenn Sie nicht das gesamte System verschlüsseln wollen oder können (beispielsweise, weil Ihr Computer an eine Gruppenrichtlinie angeschlossen ist) können Sie auch einzelne Laufwerke mit "BitLocker To Go" verschlüsseln. Das ist insbesondere bei USB-Sticks oder Festplatten sinnvoll, die an verschiedenen Computern betrieben werden sollen.
Stecken Sie zunächst einen leeren USB-Stick oder das Laufwerk, das verschlüsselt werden soll, in einen freien USB-Port am Computer ein. Rufen Sie anschließend die BitLocker-Verwaltung auf. Drücken Sie hierzu zunächst die "Start"-Taste und geben Sie "BitLocker" ein. Klicken Sie nun auf "BitLocker verwalten" oder rufen Sie den Menüpunkt "BitLocker-Laufwerksverschlüsselung" in der Systemsteuerung auf.
Im unteren Bildschirmbereich sollte nun das entsprechende Laufwerk angezeigt werden. Klicken Sie auf "BitLocker aktivieren", warten Sie gegebenenfalls, bis das Laufwerk initalisiert wurde und vergeben Sie anschließend ein Kennwort für die Verschlüsselung. Alternativ können Sie auch eine sogenannte SmartCard verwenden, um das Laufwerk später zu benutzen.
BitLocker To Go verschlüsselt auch USB-Sticks.
Whitepaper: Cyber Security
Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:
Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
Die BitLocker-Verschlüsselung deaktivieren (ein Laufwerk entschlüsseln)
Um ein mit BitLocker verschlüsseltes System dauerhaft zu entschlüsseln und somit die Verschlüsselung rückgängig zu machen, rufen Sie zunächst die BitLocker-Verwaltung auf. Drücken Sie zunächst die "Start"-Taste und geben Sie "BitLocker" ein. Klicken Sie nun auf "BitLocker verwalten" oder rufen Sie den Menüpunkt "BitLocker-Laufwerksverschlüsselung" in der Systemsteuerung auf.
Die Entschlüsselung des Laufwerks startet nun und dauert eine gewisse Zeit. Anschließend ist die Entschlüsselung beendet und es erscheint wieder der Hinweis, dass BitLocker für das Systemlaufwerk (C:) (oder das Laufwerk, das Sie entschlüsselt haben) deaktiviert ist.
Screenshots: Eigenkreationen / Pexels / Pixabay / Unsplash / Microsoft
Ransomware: So können Sie Ihr Unternehmen schützen
Das Szenario ist der Albtraum in jedem Unternehmen: Eines Morgens schalten die Mitarbeiter:innen ihre Computer ein. Doch statt des Startbildschirms erscheint nur ein Textfeld – mit der Aufforderung, umgehend einen großen Geldbetrag zu überweisen. Alle Firmendaten sind durch eine Schadsoftware verschlüsselt worden. Erst nach Zahlung des Lösegelds wollen die Erpresser:innen eine Anleitung für deren Entschlüsselung geben. Das Unternehmen wurde Opfer eines sogenannten Ransomware-Angriffs. Was nun?
Angriffe mit Ransomware sind aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine der größten Gefahren für die Cybersicherheit von Unternehmen. Sie richten sich häufig gegen kleine und mittlere Unternehmen, die unzureichend geschützt sind. Weltweit konnten Kriminelle nach Angaben des BSI rund 1,1 Milliarden US-Dollar durch Ransomware-Erpressungen erbeuten. Die Dunkelziffer dürfte jedoch deutlich höher liegen.
Was Ransomware ist, wie sie im Einzelnen funktioniert und wie Sie Ihr Unternehmen wirksam dagegen schützen, erfahren Sie in diesem Beitrag.
Eine Web Application Firewall (WAF) schützt Unternehmen vor Angriffen auf ihre Web-Anwendungen. Ohne eine WAF-Lösung könnten Cyberkriminelle über Schwachstellen in das gesamte Unternehmensnetzwerk eindringen. Erfahren Sie hier, was moderne WAFs alles können und warum Sie auch Ihre Web-Apps in die Sicherheitsstrategie mit einbeziehen müssen.
Unternehmen nutzen eine Vielzahl webbasierter Anwendungen, also interaktive Online-Dienste, die über den Browser abrufbar sind. Web-Apps sind sehr praktisch: Sie sind überall zugänglich und funktionieren plattformunabhängig auf vielen Geräten. Gleichzeitig sind Web-Anwendungen aber auch ein beliebtes Ziel von Hackern.
Ganz gleich, ob Sie als Unternehmen Ihre Webanwendungen nur im Intranet oder über öffentlich zugängliche Websites nutzen, sollten Sie den Webdatenverkehr kontinuierlich auf Bedrohungen überwachen. Web Application Firewalls wehren Internetbedrohungen ab und bieten in einigen Fällen auch KI, Automatisierung und Machine-Learning-Funktionen, um den sich ständig ändernden Angriffsmethoden noch effizienter zu begegnen.
Hackingattacken sind eine permanente Bedrohung für jeden Computer und somit auch für Ihr Unternehmen. Kriminelle finden immer neue Wege, um über das Internet in Firmennetze einzudringen, Geschäftsdaten zu stehlen oder auf anderem Weg Schaden anzurichten. Hier erfahren Sie, wie Sie erkennen, ob auch Ihre Computer von einer Hackingattacke betroffen sind – und wie Sie Angriffe abwehren, bevor es zu spät ist.
Über 200 Milliarden Euro verlieren deutsche Unternehmen nach einer Erhebung von Bitkom jährlich durch Diebstahl, Spionage und Sabotage. Laut Forrester Research waren im Jahr 2023 mit 58 Prozent mehr als die Hälfte der deutschen Unternehmen von Cyberattacken betroffen. Zunehmend führt Schadsoftware zu Ausfällen von Produktionssystemen und in Betriebsabläufen. Die Frage lautet längst nicht mehr, ob, sondern wann ein Unternehmen Opfer von Cyberkriminalität wird.
Doch was tun, wenn Ihre Systeme tatsächlich gehackt wurden? Und wie können Sie sich und Ihr Unternehmen künftig gegen Schadsoftware schützen?
Hybride Verschlüsselung erklärt – so kommunizieren Sie sicher in Datennetzen
Ohne Verschlüsselung keine sichere Datenübertragung im Internet. Doch welche Verfahren sind sicher genug für Ihre Firmendaten? Erfahren Sie hier, was eine hybride Verschlüsselung ist und welche Stärken und Schwächen sie hat.
E-Mails, Kundendaten und auch Ihre letzte Online-Bestellung beim Lieferanten: Im Internet werden jeden Tag viele Milliarden vertraulicher Daten versendet. Damit Passwörter und Codeschlüssel nicht in falsche Hände geraten, gibt es verschiedene Verschlüsselungsarten. Die hybride Verschlüsselung kombiniert gleich mehrere.
Allianz für Cyber-Sicherheit erklärt: Strategien und Maßnahmen
Know-how und Erfahrungsaustausch sind wichtig, damit deutsche Unternehmen gut gegen die wachsenden Bedrohungen durch Wirtschaftskriminalität und Cyberkrieg gewappnet sind. Die Allianz für Cyber-Sicherheit hat dafür eine kooperative Plattform geschaffen. Sie bietet neben aktuellen Informationen, Toolkits und Seminaren auch Beratung und Hilfe bei der Bewältigung von Sicherheitsvorfällen. Wie Ihr Unternehmen davon profitieren kann, erfahren Sie hier.
Die Allianz für Cyber-Sicherheit (ACS) ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sie wurde in Zusammenarbeit mit dem Branchenverband der deutschen Informations- und Telekommunikationsbranche BITKOM ins Leben gerufen. Ziel der ACS ist es, deutsche Unternehmen, Behörden und Organisationen besser vor Cyberangriffen zu schützen.
Ein Fokus der ACS liegt darauf, den Austausch und die Kooperation zwischen IT-Verantwortlichen zu fördern, das Sicherheitsbewusstsein in Unternehmen zu schärfen und dafür relevante Informationen zur Verfügung zu stellen. Zudem arbeitet die Allianz daran, globale Cyber-Bedrohungen besser zu verstehen, um diese abzuwehren. Dies betrifft auch Risiken, die Lieferketten mit sich bringen können.