Wer verhindern möchte, dass Unbefugte bei Verlust oder Diebstahl die Daten des eigenen Rechners auslesen, sollte einzelne Laufwerke oder das gesamte System verschlüsseln. Gerade bei Firmendaten kann der Schaden durch Spionage oder Verletzung der Datenschutzbestimmungen immens sein. Selbst Privatanwender greifen inzwischen verstärkt auf die Windows-eigene BitLocker-Verschlüsselung zurück. Was dahintersteckt und wie Sie Ihre Daten mit wenigen Handgriffen wirksam schützen, erfahren Sie hier.
Es passiert schneller, als man denkt: Kurz nicht aufgepasst und schon hat die Aktentasche mit dem Firmen-Notebook einen neuen Besitzer gefunden. Ganz egal, ob durch eigene Unachtsamkeit oder absichtlichen Diebstahl: Niemand möchte, dass Geräte mit sensiblen Daten in fremde Hände geraten. Was Sie tun können, wenn Ihr Smartphone abhanden gekommen ist, haben wir Ihnen bereits an anderer Stelle hier im Blog erklärt. An dieser Stelle geht es nun um den wirksamen Datenschutz für (Windows-basierte) Notebooks und Desktop-PCs.
Zwar lässt sich Windows durch eine Passworteingabe beim Hochfahren gegen das unbefugte Einloggen sichern – doch Kriminelle bauen kurzerhand die Festplatte aus und haben im Handumdrehen Vollzugriff auf Ihre Daten. Gleiches gilt selbst dann, wenn Sie einen BIOS-Passwortschutz eingerichtet haben: Auf einem anderen Rechner oder nach einem BIOS-Reset lässt sich Ihre Festplatte weiterhin problemlos auslesen. Mit einer BitLocker-Verschlüsselung, wie sie Microsoft seit einigen Jahren in die Profi-Versionen von Windows integriert hat, sind Sie hingegen weitgehend auf der sicheren Seite.
Selbst wenn Ihr Rechner oder Ihr BIOS passwortgeschützt sein sollten: Die Daten auf Ihrer Festplatte sind es standardmäßig nicht. Ein Verschlüsselungs-System wie BitLocker ändert dies: Sämtliche Daten werden hierbei mit Hilfe eines zuvor von Ihnen festgelegten Schlüssels codiert. Ohne diesen Schlüssel sind Ihre Daten danach für Außenstehende wertlos.
Das BitLocker-System arbeitet mit einer AES ("Advanced Encryption Standard")-Verschlüsselung mit 128 oder 256 Bit Länge. Grundsätzlich gilt: Je länger der Verschlüsselungscode ist, umso sicherer ist das System gegen unbefugten Zugriff. Gleichzeitig leidet jedoch bei längerem Verschlüsselungscode im Alltag die Performance, da die Daten aufwändiger codiert und decodiert werden müssen. In der Praxis entscheiden sich die meisten Anwender daher für die 128-Bit-Variante.
Die Vorteile der BitLocker-Verschlüsselung für Windows-Systeme liegen auf der Hand:
Die Einrichtung ist mit Windows-Bordmitteln durchführbar und erfordert weder Fremdinstallationen noch die Anschaffung separater Hardware.
Nach Verlust oder Diebstahl sind die Daten ohne den Verschlüsselungscode praktisch nicht auslesbar.
Eine aktive Fernlöschung entfällt, da der Dieb oder Finder den Code in den seltensten Fällen erraten oder bestimmen kann.
Im Alltag fällt die Tatsache, dass die Festplatte verschlüsselt arbeitet, kaum ins Gewicht. Der Rechner arbeitet fast genauso schnell wie zuvor.
Verstöße gegen die Compliance und die DSGVO haben selbst beim Vorhandensein sensibler Daten weniger gravierende Auswirkungen, da diese nicht oder vermutlich nicht in fremde Hände geraten können.
Der Wiederherstellungscode kann sowohl auf einem externen Laufwerk, einem USB-Stick, als auch im Microsoft Active Directory gespeichert werden oder gar ausgedruckt werden und ist so im Fall der Fälle weiterhin griffbereit.
BitLocker aktivieren: So verschlüsseln Sie Ihr Windows-System
1. Ihre Windows-Version prüfen
Um ein komplettes System mit BitLocker zu verschlüsseln, prüfen Sie zunächst, ob Ihre Windows-Version diese Art von Verschlüsselung unterstützt. In folgenden Windows-Versionen ist BitLocker standardmäßig enthalten:
Windows Vista Ultimate und Enterprise
Windows 7 Ultimate und Enterprise
Windows 8 und 8.1 Pro und Enterprise
Windows 10 Pro und Enterprise
Windows Server 2008 oder neuer
Sollten Sie eine andere Windows-Version nutzen, führen Sie zunächst ein Upgrade Ihres Windows-Systems durch oder verwenden Sie die Software eines anderen Verschlüsselungsanbieters. Stellen Sie außerdem sicher, dass Sie auf dem Computer, den Sie verschlüsseln möchten, über Administratorrechte verfügen.
2. Klären, ob Ihr System TPM unterstützt
Rufen Sie das Startmenü auf und geben Sie dort "bitlocker" ein. Starten Sie die "BitLocker-Laufwerksverschlüsselung" durch Anklicken des Suchergebnisses oder aus der Systemsteuerung heraus. Wählen Sie nun das Systemlaufwerk aus und klicken Sie auf "BitLocker aktivieren".
Die BitLocker-Laufwerksverschlüsselung lässt sich mit nur einem Klick über die Systemsteuerung aktivieren.
Nun kann es vorkommen, dass Sie eine Fehlermeldung erhalten, die in etwa lautet "Auf diesem Gerät kann kein TPM (Trusted Platform Module) verwendet werden."
Das ist immer dann der Fall, wenn Ihr System-BIOS (also die Startfunktionen des Computers) über kein entsprechendes Modul verfügt oder dieses im BIOS nicht aktiviert wurde. Speziell ältere Systeme sind mit einer solchen Funktion selbst nach einem BIOS-Update nicht ausgestattet.
Das TPM dient dazu, beim Systemstart zu prüfen, ob die Hardware des Computers unverändert ist oder geändert wurde und gibt den Start entsprechend frei. Außerdem ist es in der Lage, einen Systemstartschlüssel zu speichern und eine PIN-Abfrage durchzuführen. Ohne TPM-Modul müssen Sie Ihren Rechner mit Hilfe eines USB-Sticks oder eines Kennworts, das Sie nicht verlieren sollten, starten. Anderenfalls sind Ihre Daten nach der Verschlüsselung ohne einen entsprechenden Wiederherstellungsschlüssel verloren.
Um die BitLocker-Verschlüsselung auch ohne TPM-Modul zu ermöglichen, drücken Sie die Windows-Taste und "R" zusammen und geben "gpedit.msc" ein. Navigieren Sie im Editor für lokale Gruppenrichtlinien zum Menüpunkt "Richtlinien für Lokaler Computer | Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | BitLocker-Laufwerksverschlüsselung | Betriebssystemlaufwerke".
In den Gruppenrichtlinien können Sie Systemen ohne TPM die Verschlüsselung erlauben.
Doppelklicken Sie hier auf den Menüpunkt "Zusätzliche Authentifizierung beim Start anfordern". Setzen Sie die Richtlinie auf "Aktiviert" und setzen Sie bei "BitLocker ohne kompatibles TPM zulassen" ein Häkchen. Klicken Sie anschließend auf "OK". Eventuell bitten Sie – speziell bei Firmengeräten – Ihren Systemadministrator, diese Einstellung für Sie durchzuführen.
Bei Systemen ohne TPM ist eine zusätzliche Authentifizierung beim Start erforderlich.
Starten Sie nun erneut die BitLocker-Laufwerksverschlüsselung. Die Fehlermeldung sollte nicht mehr erscheinen.
3. Die BitLocker-Verschlüsselung mit oder ohne TPM durchführen
Klicken Sie in der BitLocker-Laufwerksverschlüsselung neben der Systempartition (Laufwerk C:) gegebenenfalls erneut auf "BitLocker aktivieren". Klicken Sie nun mehrmals auf "Weiter", um das System vorzubereiten und anschließend zu verschlüsseln.
Im Laufe des Prozessvorbereitung wird Ihnen angeboten, ein Backup des unverschlüsselten Systems vorzunehmen und dieses gegebenenfalls an einem sicheren Ort zu verwahren. Außerdem können Sie wählen, ob Sie zum Start des Rechners einen USB-Stick verwenden oder ein Kennwort eingeben wollen.
Der Vorteil des Startens von Windows mit einem USB-Stick ist, dass Sie nicht jedes Mal ein Kennwort eingeben müssen, bevor das System hochfährt. Nachteil dieses Vorgehens ist jedoch, dass ein Rechner, der inklusive USB-Stick abhanden kommt, genauso wie ein unverschlüsseltes Gerät einfach ausgelesen werden kann.
Sofern Sie sich für die Kennwort-Variante entscheiden, sollten Sie bedenken, dass Ihr Rechner Ihnen beim Hochfahren möglicherweise nur eine englische Tastaturvariante anbietet. Das bedeutet unter anderem, dass die Buchstaben "Z" und "Y" vertauscht sind und bestimmte Sonderzeichen nicht an ihrem gewohnten Platz sind. Verwenden Sie also beide Buchstaben sowie Sonderzeichen, die nicht bei beiden Tastaturen an derselben Stelle liegen, möglichst nicht für Ihr Kennwort.
Bei einer US-amerikanischen Tastaturbelegung können Passworteingaben zum Problem werden.
Wählen Sie anschließend aus, auf welche Art Sie den BitLocker-Wiederherstellungsschlüssel speichern wollen:
Jede dieser Speicherarten hat ihre eigenen Vor- und Nachteile, die Sie jeweils für Ihren Bedarf abwägen sollten. Sollten Sie bei aktiviertem TPM Änderungen an der Hardware Ihres Computers vornehmen oder Ihre Identität nicht anderweitig bestätigen können, kann es sein, dass Sie nach diesem Schlüssel gefragt werden.
Zum Schluss werden Sie noch gefragt, ob Sie "nur den verwendeten Speicherplatz" oder "das gesamte Laufwerk" verschlüsseln wollen. Im ersteren Fall werden neu hinzugefügte Dateien und Ordner automatisch beim Anlegen verschlüsselt – zuvor gelöschte Dateien allerdings nicht. Im letzteren Fall wird das gesamte Laufwerk verschlüsselt, was auch gelöschte, aber noch nicht überschriebene Dateien einschließt.
Bestätigen Sie nun noch, ob Sie (unter Windows 10) den nochmals verbesserten Datenträger-Verschlüsselungsmodus "XTS-AES" verwenden wollen. Er ist mit älteren Windows-Versionen allerdings nicht kompatibel, was bei austauschbaren Laufwerken zu Problemen führen kann. Nach einem Neustart, um die ordnungsgemäße Funktion der Verschlüsselung zu prüfen, wird Ihr Laufwerk endgültig verschlüsselt.
Wichtiger Hinweis: Sollten Sie auf Ihrem Rechner über mehrere Laufwerke oder Partitionen verfügen, so achten Sie unbedingt darauf, diese ebenfalls zu verschlüsseln. Wenn Ihre Systempartition (C:) aufwändig verschlüsselt ist, Ihr Datenlaufwerk (D:) jedoch nicht, liegen Ihre Daten auf diesem Laufwerk weiterhin unverschlüsselt auf dem Rechner und sind für Jedermann auslesbar.
Vodafone Cyber-Security-Services
Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.
Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.
So verschlüsseln Sie einen USB-Stick mit BitLocker To Go
Wenn Sie nicht das gesamte System verschlüsseln wollen oder können (beispielsweise, weil Ihr Computer an eine Gruppenrichtlinie angeschlossen ist) können Sie auch einzelne Laufwerke mit "BitLocker To Go" verschlüsseln. Das ist insbesondere bei USB-Sticks oder Festplatten sinnvoll, die an verschiedenen Computern betrieben werden sollen.
Stecken Sie zunächst einen leeren USB-Stick oder das Laufwerk, das verschlüsselt werden soll, in einen freien USB-Port am Computer ein. Rufen Sie anschließend die BitLocker-Verwaltung auf. Drücken Sie hierzu zunächst die "Start"-Taste und geben Sie "BitLocker" ein. Klicken Sie nun auf "BitLocker verwalten" oder rufen Sie den Menüpunkt "BitLocker-Laufwerksverschlüsselung" in der Systemsteuerung auf.
Im unteren Bildschirmbereich sollte nun das entsprechende Laufwerk angezeigt werden. Klicken Sie auf "BitLocker aktivieren", warten Sie gegebenenfalls, bis das Laufwerk initalisiert wurde und vergeben Sie anschließend ein Kennwort für die Verschlüsselung. Alternativ können Sie auch eine sogenannte SmartCard verwenden, um das Laufwerk später zu benutzen.
BitLocker To Go verschlüsselt auch USB-Sticks.
Whitepaper: Cyber Security
Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:
Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
Die BitLocker-Verschlüsselung deaktivieren (ein Laufwerk entschlüsseln)
Um ein mit BitLocker verschlüsseltes System dauerhaft zu entschlüsseln und somit die Verschlüsselung rückgängig zu machen, rufen Sie zunächst die BitLocker-Verwaltung auf. Drücken Sie zunächst die "Start"-Taste und geben Sie "BitLocker" ein. Klicken Sie nun auf "BitLocker verwalten" oder rufen Sie den Menüpunkt "BitLocker-Laufwerksverschlüsselung" in der Systemsteuerung auf.
Die Entschlüsselung des Laufwerks startet nun und dauert eine gewisse Zeit. Anschließend ist die Entschlüsselung beendet und es erscheint wieder der Hinweis, dass BitLocker für das Systemlaufwerk (C:) (oder das Laufwerk, das Sie entschlüsselt haben) deaktiviert ist.
Screenshots: Eigenkreationen / Pexels / Pixabay / Unsplash / Microsoft
So schützen Sie sich vor Advanced Persistent Threats (APTs)
Stellen Sie sich vor, Sie entwickeln ein neues Projekt in Ihrem Unternehmen und jemand stiehlt Ihnen heimlich sämtliche Informationen darüber. Oder jemand erpresst Sie mit Geschäftszahlen, die nur Ihrer Unternehmensleitung bekannt sein dürften. Dann sind Sie womöglich einem Advanced Persistent Threat (APT) ausgesetzt. Doch was macht diese besondere Form des Cyber-Angriffs so gefährlich?
Drei von vier Firmen in Deutschland wurden nach einer Umfrage des Branchenverbands Bitkom bereits Opfer von Hacker-Attacken. Advanced Persistent Threats gehören in diesem Zusammenhang zu den gefährlichsten Cyber-Bedrohungen, denen Unternehmen und andere Organisationen ausgesetzt sein können: Die Angriffe dienen gezielt dazu, Geschäftsdaten und Betriebsgeheimnisse dauerhaft und in großem Umfang auszuspähen. Dabei entsteht Schaden, der existenzbedrohend sein kann.
Wie APT-Angriffe funktionieren, welchen Hintergrund sie haben und was Sie dagegen tun können, erfahren Sie in diesem Beitrag.
Mal eben eine kostenlose Grafikanwendung aus dem Internet heruntergeladen, schon ist es passiert: Ein darin verstecktes Trojanisches Pferd spioniert Ihre Festplatte aus und gibt Ihre Bankdaten und Passwörter heimlich an Kriminelle weiter. Wie Sie Trojaner auf Ihrem Computer im Idealfall rechtzeitig erkennen, lesen Sie hier.
Seit Jahrzehnten treiben Viren, Trojaner und andere Schadprogramme ihr Unwesen in Computernetzen. Der Fachverband Bitkom schätzt die jährlichen Schäden durch Cybercrime allein in Deutschland auf über 200 Milliarden Euro. Vielleicht schlummert auch auf Ihrem Arbeitsplatz-Computer ein Trojaner, den Sie bisher noch nicht entdeckt haben.
DDoS-Angriffe: Was dahinter steckt und wie Sie sich wirksam vor Attacken schützen
Wie der DDoS-Attack-Report 2022 des IT-Sicherheitsdienstleisters Stormwall zeigt, ist ein Drittel aller Unternehmen jede Woche mit Distributed-Denial-of-Service-Angriffen (DDoS) konfrontiert. Insgesamt stieg die Zahl der DDoS-Angriffe weltweit im Jahr 2022 im Vergleich zum Vorjahr um 74 Prozent. Dabei beobachten Expert:innen verstärkt Angriffe auf Unternehmen und eine Verschärfung der Bedrohungslage.
Sowohl die bei DDoS-Attacken verwendete Bandbreite als auch die Komplexität der Vorgehensweise nehmen dabei ständig zu. Doch wie funktioniert eigentlich ein DDoS-Angriff und wie können Sie sich davor schützen? Das und mehr erfahren Sie an dieser Stelle.
Das Ziel von DDoS-Attacken ist es im Grunde immer, Server oder Webdienste durch Überlastung zum Ausfall zu bringen. Gelingt den Angreifer:innen die Blockade von Servern, Diensten oder Schnittstellen, fordern sie in der Regel Geldzahlungen (häufig in Kryptowährung), um die Blockade zu beenden. Gegebenenfalls stellen sie auch politische Forderungen oder wollen einfach nur Schaden verursachen.
Dabei stehen nicht nur populäre Dienstleister wie Amazon, Yahoo und eBay im Fokus der Angreifer. Häufig sind es auch kleinere Unternehmen und Behörden, deren Server und Dienstleistungen sie außer Gefecht setzen. Gerade solche IT-Infrastrukturen sind nicht immer optimal geschützt und stellen dadurch ein leichtes Angriffsziel dar.
Ransomware: So können Sie Ihr Unternehmen schützen
Das Szenario ist der Albtraum in jedem Unternehmen: Eines Morgens schalten die Mitarbeiter:innen ihre Computer ein. Doch statt des Startbildschirms erscheint nur ein Textfeld – mit der Aufforderung, umgehend einen großen Geldbetrag zu überweisen. Alle Firmendaten sind durch eine Schadsoftware verschlüsselt worden. Erst nach Zahlung des Lösegelds wollen die Erpresser:innen eine Anleitung für deren Entschlüsselung geben. Das Unternehmen wurde Opfer eines sogenannten Ransomware-Angriffs. Was nun?
Was Ransomware ist, wie sie im Einzelnen funktioniert und wie Sie Ihr eigenes Unternehmen wirksam dagegen schützen, erfahren Sie in diesem Beitrag.
Sie möchten Ihr Firmennetz vor Schadsoftware und Cyberattacken aus dem Internet schützen? Mit einer Firewall überwachen Sie Ihren Internetzugang und erkennen Angriffe, noch bevor Viren und Ransomware sich in Ihrem Firmennetz ausbreiten. Doch welche Firewall-Art passt zu Ihrem Netz?
Eine Firewall gehört zu den wichtigsten Werkzeugen gegen Cyberangriffe. Inzwischen gibt es eine Vielzahl unterschiedlicher Firewalls, die sich in Aufbau und Funktionsweise zum Teil erheblich unterscheiden.
Je nach Art Ihres Firmennetzes und Ihres anfallenden Datenverkehrs brauchen Sie eine andere Firewall-Lösung – oder auch eine Kombination aus mehreren Firewalls. Erfahren Sie hier, wie die einzelnen Firewall-Arten arbeiten und welche Stärken und Schwächen Sie im Einzelnen haben. Damit finden Sie die passende Lösung für Ihr Firmennetz.