Wer verhindern möchte, dass Unbefugte bei Verlust oder Diebstahl die Daten des eigenen Rechners auslesen, sollte einzelne Laufwerke oder das gesamte System verschlüsseln. Gerade bei Firmendaten kann der Schaden durch Spionage oder Verletzung der Datenschutzbestimmungen immens sein. Selbst Privatanwender greifen inzwischen verstärkt auf die Windows-eigene BitLocker-Verschlüsselung zurück. Was dahintersteckt und wie Sie Ihre Daten mit wenigen Handgriffen wirksam schützen, erfahren Sie hier.
Es passiert schneller, als man denkt: Kurz nicht aufgepasst und schon hat die Aktentasche mit dem Firmen-Notebook einen neuen Besitzer gefunden. Ganz egal, ob durch eigene Unachtsamkeit oder absichtlichen Diebstahl: Niemand möchte, dass Geräte mit sensiblen Daten in fremde Hände geraten. Was Sie tun können, wenn Ihr Smartphone abhanden gekommen ist, haben wir Ihnen bereits an anderer Stelle hier im Blog erklärt. An dieser Stelle geht es nun um den wirksamen Datenschutz für (Windows-basierte) Notebooks und Desktop-PCs.
Zwar lässt sich Windows durch eine Passworteingabe beim Hochfahren gegen das unbefugte Einloggen sichern – doch Kriminelle bauen kurzerhand die Festplatte aus und haben im Handumdrehen Vollzugriff auf Ihre Daten. Gleiches gilt selbst dann, wenn Sie einen BIOS-Passwortschutz eingerichtet haben: Auf einem anderen Rechner oder nach einem BIOS-Reset lässt sich Ihre Festplatte weiterhin problemlos auslesen. Mit einer BitLocker-Verschlüsselung, wie sie Microsoft seit einigen Jahren in die Profi-Versionen von Windows integriert hat, sind Sie hingegen weitgehend auf der sicheren Seite.
Selbst wenn Ihr Rechner oder Ihr BIOS passwortgeschützt sein sollten: Die Daten auf Ihrer Festplatte sind es standardmäßig nicht. Ein Verschlüsselungs-System wie BitLocker ändert dies: Sämtliche Daten werden hierbei mit Hilfe eines zuvor von Ihnen festgelegten Schlüssels codiert. Ohne diesen Schlüssel sind Ihre Daten danach für Außenstehende wertlos.
Das BitLocker-System arbeitet mit einer AES ("Advanced Encryption Standard")-Verschlüsselung mit 128 oder 256 Bit Länge. Grundsätzlich gilt: Je länger der Verschlüsselungscode ist, umso sicherer ist das System gegen unbefugten Zugriff. Gleichzeitig leidet jedoch bei längerem Verschlüsselungscode im Alltag die Performance, da die Daten aufwändiger codiert und decodiert werden müssen. In der Praxis entscheiden sich die meisten Anwender daher für die 128-Bit-Variante.
Die Vorteile der BitLocker-Verschlüsselung für Windows-Systeme liegen auf der Hand:
Die Einrichtung ist mit Windows-Bordmitteln durchführbar und erfordert weder Fremdinstallationen noch die Anschaffung separater Hardware.
Nach Verlust oder Diebstahl sind die Daten ohne den Verschlüsselungscode praktisch nicht auslesbar.
Eine aktive Fernlöschung entfällt, da der Dieb oder Finder den Code in den seltensten Fällen erraten oder bestimmen kann.
Im Alltag fällt die Tatsache, dass die Festplatte verschlüsselt arbeitet, kaum ins Gewicht. Der Rechner arbeitet fast genauso schnell wie zuvor.
Verstöße gegen die Compliance und die DSGVO haben selbst beim Vorhandensein sensibler Daten weniger gravierende Auswirkungen, da diese nicht oder vermutlich nicht in fremde Hände geraten können.
Der Wiederherstellungscode kann sowohl auf einem externen Laufwerk, einem USB-Stick, als auch im Microsoft Active Directory gespeichert werden oder gar ausgedruckt werden und ist so im Fall der Fälle weiterhin griffbereit.
BitLocker aktivieren: So verschlüsseln Sie Ihr Windows-System
1. Ihre Windows-Version prüfen
Um ein komplettes System mit BitLocker zu verschlüsseln, prüfen Sie zunächst, ob Ihre Windows-Version diese Art von Verschlüsselung unterstützt. In folgenden Windows-Versionen ist BitLocker standardmäßig enthalten:
Windows Vista Ultimate und Enterprise
Windows 7 Ultimate und Enterprise
Windows 8 und 8.1 Pro und Enterprise
Windows 10 Pro und Enterprise
Windows Server 2008 oder neuer
Sollten Sie eine andere Windows-Version nutzen, führen Sie zunächst ein Upgrade Ihres Windows-Systems durch oder verwenden Sie die Software eines anderen Verschlüsselungsanbieters. Stellen Sie außerdem sicher, dass Sie auf dem Computer, den Sie verschlüsseln möchten, über Administratorrechte verfügen.
2. Klären, ob Ihr System TPM unterstützt
Rufen Sie das Startmenü auf und geben Sie dort "bitlocker" ein. Starten Sie die "BitLocker-Laufwerksverschlüsselung" durch Anklicken des Suchergebnisses oder aus der Systemsteuerung heraus. Wählen Sie nun das Systemlaufwerk aus und klicken Sie auf "BitLocker aktivieren".
Die BitLocker-Laufwerksverschlüsselung lässt sich mit nur einem Klick über die Systemsteuerung aktivieren.
Nun kann es vorkommen, dass Sie eine Fehlermeldung erhalten, die in etwa lautet "Auf diesem Gerät kann kein TPM (Trusted Platform Module) verwendet werden."
Das ist immer dann der Fall, wenn Ihr System-BIOS (also die Startfunktionen des Computers) über kein entsprechendes Modul verfügt oder dieses im BIOS nicht aktiviert wurde. Speziell ältere Systeme sind mit einer solchen Funktion selbst nach einem BIOS-Update nicht ausgestattet.
Das TPM dient dazu, beim Systemstart zu prüfen, ob die Hardware des Computers unverändert ist oder geändert wurde und gibt den Start entsprechend frei. Außerdem ist es in der Lage, einen Systemstartschlüssel zu speichern und eine PIN-Abfrage durchzuführen. Ohne TPM-Modul müssen Sie Ihren Rechner mit Hilfe eines USB-Sticks oder eines Kennworts, das Sie nicht verlieren sollten, starten. Anderenfalls sind Ihre Daten nach der Verschlüsselung ohne einen entsprechenden Wiederherstellungsschlüssel verloren.
Um die BitLocker-Verschlüsselung auch ohne TPM-Modul zu ermöglichen, drücken Sie die Windows-Taste und "R" zusammen und geben "gpedit.msc" ein. Navigieren Sie im Editor für lokale Gruppenrichtlinien zum Menüpunkt "Richtlinien für Lokaler Computer | Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | BitLocker-Laufwerksverschlüsselung | Betriebssystemlaufwerke".
In den Gruppenrichtlinien können Sie Systemen ohne TPM die Verschlüsselung erlauben.
Doppelklicken Sie hier auf den Menüpunkt "Zusätzliche Authentifizierung beim Start anfordern". Setzen Sie die Richtlinie auf "Aktiviert" und setzen Sie bei "BitLocker ohne kompatibles TPM zulassen" ein Häkchen. Klicken Sie anschließend auf "OK". Eventuell bitten Sie – speziell bei Firmengeräten – Ihren Systemadministrator, diese Einstellung für Sie durchzuführen.
Bei Systemen ohne TPM ist eine zusätzliche Authentifizierung beim Start erforderlich.
Starten Sie nun erneut die BitLocker-Laufwerksverschlüsselung. Die Fehlermeldung sollte nicht mehr erscheinen.
3. Die BitLocker-Verschlüsselung mit oder ohne TPM durchführen
Klicken Sie in der BitLocker-Laufwerksverschlüsselung neben der Systempartition (Laufwerk C:) gegebenenfalls erneut auf "BitLocker aktivieren". Klicken Sie nun mehrmals auf "Weiter", um das System vorzubereiten und anschließend zu verschlüsseln.
Im Laufe des Prozessvorbereitung wird Ihnen angeboten, ein Backup des unverschlüsselten Systems vorzunehmen und dieses gegebenenfalls an einem sicheren Ort zu verwahren. Außerdem können Sie wählen, ob Sie zum Start des Rechners einen USB-Stick verwenden oder ein Kennwort eingeben wollen.
Der Vorteil des Startens von Windows mit einem USB-Stick ist, dass Sie nicht jedes Mal ein Kennwort eingeben müssen, bevor das System hochfährt. Nachteil dieses Vorgehens ist jedoch, dass ein Rechner, der inklusive USB-Stick abhanden kommt, genauso wie ein unverschlüsseltes Gerät einfach ausgelesen werden kann.
Sofern Sie sich für die Kennwort-Variante entscheiden, sollten Sie bedenken, dass Ihr Rechner Ihnen beim Hochfahren möglicherweise nur eine englische Tastaturvariante anbietet. Das bedeutet unter anderem, dass die Buchstaben "Z" und "Y" vertauscht sind und bestimmte Sonderzeichen nicht an ihrem gewohnten Platz sind. Verwenden Sie also beide Buchstaben sowie Sonderzeichen, die nicht bei beiden Tastaturen an derselben Stelle liegen, möglichst nicht für Ihr Kennwort.
Bei einer US-amerikanischen Tastaturbelegung können Passworteingaben zum Problem werden.
Wählen Sie anschließend aus, auf welche Art Sie den BitLocker-Wiederherstellungsschlüssel speichern wollen:
Jede dieser Speicherarten hat ihre eigenen Vor- und Nachteile, die Sie jeweils für Ihren Bedarf abwägen sollten. Sollten Sie bei aktiviertem TPM Änderungen an der Hardware Ihres Computers vornehmen oder Ihre Identität nicht anderweitig bestätigen können, kann es sein, dass Sie nach diesem Schlüssel gefragt werden.
Zum Schluss werden Sie noch gefragt, ob Sie "nur den verwendeten Speicherplatz" oder "das gesamte Laufwerk" verschlüsseln wollen. Im ersteren Fall werden neu hinzugefügte Dateien und Ordner automatisch beim Anlegen verschlüsselt – zuvor gelöschte Dateien allerdings nicht. Im letzteren Fall wird das gesamte Laufwerk verschlüsselt, was auch gelöschte, aber noch nicht überschriebene Dateien einschließt.
Bestätigen Sie nun noch, ob Sie (unter Windows 10) den nochmals verbesserten Datenträger-Verschlüsselungsmodus "XTS-AES" verwenden wollen. Er ist mit älteren Windows-Versionen allerdings nicht kompatibel, was bei austauschbaren Laufwerken zu Problemen führen kann. Nach einem Neustart, um die ordnungsgemäße Funktion der Verschlüsselung zu prüfen, wird Ihr Laufwerk endgültig verschlüsselt.
Wichtiger Hinweis: Sollten Sie auf Ihrem Rechner über mehrere Laufwerke oder Partitionen verfügen, so achten Sie unbedingt darauf, diese ebenfalls zu verschlüsseln. Wenn Ihre Systempartition (C:) aufwändig verschlüsselt ist, Ihr Datenlaufwerk (D:) jedoch nicht, liegen Ihre Daten auf diesem Laufwerk weiterhin unverschlüsselt auf dem Rechner und sind für Jedermann auslesbar.
Vodafone Cyber-Security-Services
Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.
Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.
So verschlüsseln Sie einen USB-Stick mit BitLocker To Go
Wenn Sie nicht das gesamte System verschlüsseln wollen oder können (beispielsweise, weil Ihr Computer an eine Gruppenrichtlinie angeschlossen ist) können Sie auch einzelne Laufwerke mit "BitLocker To Go" verschlüsseln. Das ist insbesondere bei USB-Sticks oder Festplatten sinnvoll, die an verschiedenen Computern betrieben werden sollen.
Stecken Sie zunächst einen leeren USB-Stick oder das Laufwerk, das verschlüsselt werden soll, in einen freien USB-Port am Computer ein. Rufen Sie anschließend die BitLocker-Verwaltung auf. Drücken Sie hierzu zunächst die "Start"-Taste und geben Sie "BitLocker" ein. Klicken Sie nun auf "BitLocker verwalten" oder rufen Sie den Menüpunkt "BitLocker-Laufwerksverschlüsselung" in der Systemsteuerung auf.
Im unteren Bildschirmbereich sollte nun das entsprechende Laufwerk angezeigt werden. Klicken Sie auf "BitLocker aktivieren", warten Sie gegebenenfalls, bis das Laufwerk initalisiert wurde und vergeben Sie anschließend ein Kennwort für die Verschlüsselung. Alternativ können Sie auch eine sogenannte SmartCard verwenden, um das Laufwerk später zu benutzen.
BitLocker To Go verschlüsselt auch USB-Sticks.
Whitepaper: Cyber Security
Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:
Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
Die BitLocker-Verschlüsselung deaktivieren (ein Laufwerk entschlüsseln)
Um ein mit BitLocker verschlüsseltes System dauerhaft zu entschlüsseln und somit die Verschlüsselung rückgängig zu machen, rufen Sie zunächst die BitLocker-Verwaltung auf. Drücken Sie zunächst die "Start"-Taste und geben Sie "BitLocker" ein. Klicken Sie nun auf "BitLocker verwalten" oder rufen Sie den Menüpunkt "BitLocker-Laufwerksverschlüsselung" in der Systemsteuerung auf.
Die Entschlüsselung des Laufwerks startet nun und dauert eine gewisse Zeit. Anschließend ist die Entschlüsselung beendet und es erscheint wieder der Hinweis, dass BitLocker für das Systemlaufwerk (C:) (oder das Laufwerk, das Sie entschlüsselt haben) deaktiviert ist.
Screenshots: Eigenkreationen / Pexels / Pixabay / Unsplash / Microsoft
Datenschutz für Unternehmen: Alles Wichtige im Überblick
Datenschutz ist für Unternehmen ein wichtiges Thema. Denn kein Geschäftsbetrieb ohne Daten – doch viele davon müssen besonders geschützt werden. Wie Sie Datenschutz in Ihrem Unternehmen sicher und effizient umsetzen und was Gummienten damit zu tun haben, erfahren Sie hier.
Seit 2018 wird in der EU die Datenschutzgrundverordnung (DSGVO) angewendet. Sie regelt unter anderem, welche Kundendaten Sie als Unternehmer:in erfassen dürfen, welche Firmendaten welchen Schutzstatus haben oder wie und wie lange Sie die digitalen Personalakten Ihrer Mitarbeiter:innen speichern dürfen.
Von der Zeiterfassung in der Produktion über die IoT-Überwachungskamera auf Ihrem Firmengelände bis zum Fotomaterial in Ihrer Imagebroschüre: Fast jeder Unternehmensbereich und fast jede Tätigkeit in Ihrem Unternehmen berührt in der einen oder anderen Form auch den Datenschutz.
Überall dort können Ihren Mitarbeiter:innen aber auch Datenschutzpannen unterlaufen, für die Sie und Ihr Unternehmen im Zweifel haften müssen. Grund genug also, sich mit dem Thema Datenschutz näher zu befassen.
Papier hat in vielen Büros ausgedient: Immer mehr Unternehmen speichern Daten ausschließlich in digitaler Form. Mit einer geeigneten Datensicherungsstrategie können Sie sicher sein, dass die wichtigsten Daten nicht verloren gehen. Doch was bedeutet eigentlich der Begriff der Datensicherung, welche Daten sind betroffen und was müssen Unternehmen dabei beachten?
Jedes Jahr am 31. März ist „World Backup Day“ – der Tag der Datensicherung. Viele Betriebe erkennen erst, wie wichtig es ist, Daten umfassend zu sichern, wenn sie keinen Zugriff mehr darauf haben. Während sich Daten von Betriebssystemen, Programmen oder Anwendungen meist schnell wiederherstellen lassen, kann Sie der Verlust von Anwendungsdateien, individuellen Konfigurationen und Kommunikationsdaten wie E-Mails im schlimmsten Fall die Existenz kosten.
Eine Datensicherungsstrategie sollte also gut durchdacht sein und zum Beispiel mobile Geräte der Mitarbeitenden oder die Cloud-Infrastructure-as-a-Service einbeziehen, sofern Sie diese nutzen. Wie das geht und vieles mehr erfahren Sie hier.
Jeder Windows-Computer hat heute eine eigene Software-Firewall an Bord. Warum also noch im Firmennetz zusätzlich eine Hardware-Firewall einrichten? Und was unterscheidet eine Hardware-Firewall überhaupt von Software-Lösungen? Mehr dazu erfahren Sie in diesem Beitrag.
Wer im Internet unterwegs ist, sollte Computer und Netzwerk unbedingt mit einer Firewall schützen. Denn Cyberkriminelle greifen meist schon innerhalb der ersten Sekunden jedes neue Endgerät an, das sich mit dem Internet verbindet.
Viele Firmen setzen für den Schutz ihres Unternehmensnetzes auf leistungsfähige Hardware-Firewalls – zusätzlich zu den Software-Firewalls, die auf den meisten Büro-Computern vorhanden sind. Warum diese scheinbare Doppelung sinnvoll ist, erfahren Sie hier.
Cross-Site-Scripting (XSS): Wenn Ihre Website plötzlich Schadcode verbreitet
Beim Cross-Site-Scripting (XSS) kombinieren Kriminelle scheinbar harmlose Webseitenaufrufe mit gefährlichem Schadcode. Haben Sie schon geprüft, ob Ihr eigener Internetauftritt gegen derartige Attacken geschützt ist? Erfahren Sie hier, wie trickreich die Angreifer:innen beim Cross-Site-Scripting vorgehen und mit welchen Maßnahmen Sie Ihre Website wirksam schützen.
Während Sicherheitsexpert:innen regelmäßig vor neuen Viren, Trojanern und Ransomware warnen, gehört das Cross-Site-Scripting (XSS) zu den unterschätzten Cybergefahren. Dabei ist es bis heute eine sehr effiziente Hackingtechnik.
Weltweit sind nach Schätzungen mehrere Millionen Websites unzureichend gegen XSS gesichert. Bei vielen bekannten Anbietern und Plattformen im Internet wie Facebook, ebay, Amazon oder WhatsApp wurden schon XSS-Lücken in deren Internetauftritten gefunden. Besonders gravierende Sicherheitslücken schaffen es regelmäßig in die Berichte des Fachforums Open Worldwide Application Security Project (OWASP). Doch wie genau funktioniert XSS und warum schützen viele Unternehmen und Organisationen ihre Websites nicht ausreichend?
So schützen Sie sich vor Advanced Persistent Threats (APTs)
Stellen Sie sich vor, Sie entwickeln ein neues Projekt in Ihrem Unternehmen und jemand stiehlt Ihnen heimlich sämtliche Informationen darüber. Oder jemand erpresst Sie mit Geschäftszahlen, die nur Ihrer Unternehmensleitung bekannt sein dürften. Dann sind Sie womöglich einem Advanced Persistent Threat (APT) ausgesetzt. Doch was macht diese besondere Form des Cyber-Angriffs so gefährlich?
Drei von vier Firmen in Deutschland wurden nach einer Umfrage des Branchenverbands Bitkom bereits Opfer von Hacker-Attacken. Advanced Persistent Threats gehören in diesem Zusammenhang zu den gefährlichsten Cyber-Bedrohungen, denen Unternehmen und andere Organisationen ausgesetzt sein können: Die Angriffe dienen gezielt dazu, Geschäftsdaten und Betriebsgeheimnisse dauerhaft und in großem Umfang auszuspähen. Dabei entsteht Schaden, der existenzbedrohend sein kann.
Wie APT-Angriffe funktionieren, welchen Hintergrund sie haben und was Sie dagegen tun können, erfahren Sie in diesem Beitrag.