BitLocker Wiederherstellungs-schlüssel verzweifelt gesucht!

Das BSI empfiehlt Festplattenverschlüsselung als wirksame Maßnahme zum Schutz von Daten auf Desktop-Clients und Notebooks im Unternehmensumfeld. Viele Unternehmen greifen auf die von Microsoft zur Verfügung gestellte BitLocker Festplattenverschlüsselung zurück. Was tun, wenn man beim Hochfahren sein Kennwort vergessen hat oder die Hardware im Rechner ausgetauscht wurde und das System nicht mehr startet? Dann hilft nur noch der BitLocker Wiederherstellungsschlüssel weiter, sonst gelangt der Nutzer nicht mehr an seine Daten. DriveLock BitLocker Management verfügt für diesen Fall über einige wichtige Zusatzsicherheitsoptionen, damit dieser sensitive Schlüssel nicht missbraucht werden kann.

Was ist der BitLocker Wiederherstellungsschlüssel und wofür wird er benötigt?

Der Wiederherstellungsschlüssel ist ein auf einen bestimmten Computer bezogenes und nicht übertragbares numerisches 48-stelliges Passwort. Er wird benötigt, um Ihren Computer zu entsperren, wenn Sie, Ihr Administrator bzw. die IT-Abteilung die BitLocker Festplattenverschlüsselung auf Ihrem Computer eingerichtet hat und das System bei der (Pre-Boot-)Authentifizierung aus verschiedenen Gründen nicht entsperrt werden kann - er ist quasi der Generalschlüssel zum Aufsperren der Festplatte und kommt beispielsweise in folgenden Fällen zum Einsatz:

• Der User hat seine PIN bzw. sein Passwort für die Anmeldung vergessen.
• Das System kann nach einem Hardwaretausch oder BIOS-Update nicht bestätigen, dass der Versuch auf die Festplatte zuzugreifen, berechtigt ist.

Wo liegt der BitLocker Wiederherstellungsschlüssel?

Der Wiederherstellungsschlüssel sollte in Unternehmen an einer zentralen Stelle sicher gespeichert bzw. verwaltet werden:

• Im Microsoft Active Directory zusammen mit dem Benutzer / Computer oder
• In der Microsoft Azure Cloud bei in der Azure-Cloud liegenden Active Directory-Konten
• Beste Lösung: Verschlüsselt in der von DriveLock verwalteten Datenbank (falls DriveLock BitLocker Management genutzt wird)
  
  

Nofallszenario: Kennwort für BitLocker-Entschlüsselung wurde vergessen – was tun?

Vergisst ein Nutzer seine BitLocker PIN, erscheint nach mehrmaligen (max. 3) Versuchen ein Windows-Dialog, der den Nutzer nach seinem Wiederherstellungsschlüssel fragt.

In solchen Fällen muss in größeren Unternehmen in der Regel ein Administrator verständigt werden, der die Berechtigung zur Anzeige des Wiederherstellungsschlüssels hat. Der Administrator kann sich mit Hilfe der Microsoft-Tools den Schlüssel anzeigen lassen und ihn an den Nutzer (z.B. per E-Mail auf ein anderes Device) verschlüsselt übermitteln oder telefonisch vorlesen. Aus technischer Sicht wird beim Verschlüsseln der Festplatte mit BitLocker ein sogenannter Protektor erzeugt. Der Wiederherstellungsschlüssel dient zum „Aufsperren“ dieses Protektors. Gibt der Nutzer den Wiederherstellungsschlüssel auf seinem Computer ein, wird der Protektor automatisch aufgesperrt und die Festplatte entschlüsselt.

Bei der reinen Microsoft BitLocker-Funktionalität (ohne Zusatzprodukte wie DriveLock BitLocker Management) ist der Wiederherstellungsschlüssel weiterhin gültig und nun dem Nutzer bekannt, was ein Sicherheitsrisiko darstellt.

DriveLock BitLocker Management bietet zusätzliche Sicherheit

Nutzt ein Unternehmen DriveLock BitLocker Management, so hat es neben der zentralen Verwaltung aller Sicherheits-Features in EINER Management-Konsole folgende Vorteile, die zusätzliche Sicherheit bieten:

• Lässt sich der Administrator bzw. die berechtigte Person den Wiederherstellungsschlüssel in der DriveLock-Konsole anzeigen, sendet der DriveLock-Agent an den Rechner den Befehl, nach dem nächsten Booten den alten Schlüssel gegen einen Neuen auszutauschen. DriveLock speichert den neuen Schlüssel automatisch zentral und sicher in der DriveLock Datenbank ab.
  
  
• DriveLock BitLocker Management ermöglicht in regelmäßigen Zeitabständen (z.B. in 30/60/90 Tagen) einen Schlüsseltausch. Es wird ein neuer Protektor erzeugt, der zur Erstellung eines neuen Wiederherstellungsschlüssels führt. Das Risiko, dass ein Unbefugter über einen zuvor bekannten Wiederherstellungsschlüssel Zugriff auf die Festplatte erhält, kann somit deutlich gesenkt werden, weil jeder Schlüssel nur eine begrenzte Gültigkeitsdauer hat.
  
  
• Im DriveLock Operations Center (DOC) kann nicht nur der Personenkreis eingeschränkt werden, der Zugriff auf den Wiederherstellungsschlüssel hat. Im Gegensatz zur Microsoft-Funktionalität können Sie mit DriveLock selbst Administratoren, welche bei Microsoft uneingeschränkte, globale Rechte haben, dieses Recht zur Ansicht des Wiederherstellungsschlüssels entziehen. Das gilt auch für DOC-Administratoren.

Mehr Komfort durch die DriveLock Pre-Boot Authentication (PBA)

Nutzt das Unternehmen die DriveLock eigene Pre-Boot-Authentifizierung, so gibt es bei Verlust des Passwortes weitere Vorteile:

• DriveLock nutzt ein Challenge Response-Verfahren für die sichere Schlüsselherausgabe. Der Nutzer übermittelt einen Challenge Code an den Administrator bzw. die berechtigte Person. Diese/r erzeugt die passende Antwort mit einem Freischaltcode. Der User nutzt den Code (Response) und meldet sich damit an der PBA an.
  Für diesen Vorgang wird der Wiederherstellungsschlüssel nicht benötigt und somit nicht herausgegeben, was zusätzliche Sicherheit bedeutet.
  
  
• Das DriveLock Self Service Portal ermöglicht Benutzern mit Anmeldeproblemen bei BitLocker unter Nutzung zuvor eingerichteter alternativer und sicherer Anmeldungsmethoden, sich den Wiederherstellungsschlüssel selbst zu ermitteln und schicken zu lassen. Ein Administrator wird nicht mehr benötigt.

Weitere Vorteile und Informationen zu DriveLock BitLocker Management finden Sie hier.