Donnerstag, 24. Januar 2019
20:39 Uhr
20:39 Uhr
Der verschlüsselte USB Stick oder mit Bitlocker To Go unter Windows Datenträger verschlüsseln
Manche Themen, wie auch Windows, sind hier im Blog tatsächlich etwas weniger präsent als Excel, SAP oder auch diverse andere Programme. Aber gerade im Rahmen der Einrichtung eines neuen Arbeitsplatzes kam neben den Datenschutzeinstellungen unter Windows 10 auch die Frage der Datensicherheit in Betracht.
Werbung
Sofern kein verschlüsselter Dateicontainer sondern ein USB Stick zum Austausch von Dokumenten ausserhalb der Cloud und nur unter Windows verwendet werden soll, kann ab Windows 10 Professional und Windows 7 Ultimate Bitlocker TO Go genutzt werden. Innerhalb des BSI Grundschutzhandbuch wird diese Software im Maßnahmenkatalog "M 4.422 Nutzung von BitLocker To Go ab Windows 7" im IT Grundschutzhandbuch (IT-Grundschutz-Kataloge) des Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen.
Die Verschlüsselung selbst kann nur in den erwähnten Windows Versionen angelegt werden, aber das verschlüsselte Speichermedium selbst (hier ein USB Stick) kann in den niedrigeren Windows Versionen (zum Beispiel Windows 10 Home) direkt geöffent werden.
Dadurch wird die Anwendung Bitlocker geladen
Der USB Stick darf während des folgenden Setup zur Bitlocker-Laufwerksverschlüsselung nicht entfernt werden.
Danach ist eine Methode zu wählen, wie die Verschlüsselung abgesichert werden soll.
Die flexibelste Methode ist wohl der Einsatz eines Passwort / Kennwort, das später nachdem der USB Stick eingesteckt wird, oder auf das Laufwerk zugegriffen werden soll eingetragen werden muss. Es empfiehlt sich zur Sicherheit das Passwort zum Beispiel in einen Passwortmanager oder an sicherer Stelle zu speichern. Die Alternative der Smartcard nebst Smartcard-Pin könnte wiederum interessant sein auch in Hinblick auf einer zwei Faktor Authentifizierung per Hardwarelösung.
Im Artikel "Zweistufige Anmeldung oder Zwei-Faktor-Authentifizierung (2FA) bei Onlinediensten (Datensicherheit und Datenschutz) bspw. per OTP (One-Time Password, Einmal-Passwort) App" bin ich darauf für Webdienste eingegangen.
Nachdem das Passwort gewählt worden ist kann auch ein Wiederherstellungsschlüssel gedruckt, als Textdatei gespeichert oder im Microsoft Konto hinterlegt werden.
Soll der USB Stick an unterschiedlichen Rechnern und nicht nur im eigenen PC genutzt werden und man nicht diesen wichtigen Schlüssel in der Cloud speichern wollen ist sicherlich der Ausdruck eine gute Alternative. Zu beachten ist, dass der Schlüssel nicht auf ein bereits verschlüsseltes Laufwerk gespeichert werden kann.
Nachdem der Wiederherstellungsschlüssel gespeichert worden ist kann mit Weiter die Verschlüsselungsform gewählt werden.
Sofern noch keine Daten am Datenträger vorhanden kann die Option "Nur verwendeten Speicher" verschlüsseln gewählt werden.Beim Hinzufügen von Daten werden diese automatisch verschlüsselt.
Anders verhält es sich wenn bereits Daten vorhanden sind. In diesen Fall sollte das gesamte Laufwerk verschlüsselt werden.
Danach ist der Modus der Verschlüsselung und das Format zu wählen.
Handelt es sich um ein eingebautes Laufwerk (Wechselfestplatte, Netzlaufwerk, ...) dass nur an diesen PC verwendet werden soll kann sicherlich die neuere Datenträger-Verschlüsselungsmethode XTS-AES verwendet werden. Soll der Rechner aber auch an anderen Rechnern eingesetzt werden (bspw. Windows 7) ist der Kompatibler Modus empfehlenswert. Da es sich bei mir um einen USB Stick handelt und ich mir unsicher bin welches die eingesetzten Systeme sind habe ich hier den zweiten Punkt gewählt und die Verschlüsselung gestartet.
Es erscheint eine Abfrage mit Zusammenfassung der Entsperrmethode und das Laufwerk kann gemeinsam mit allen vorhandenen Daten über die Schaltfläche "Verschlüsselung starten" abschließend gestartet werden. Nun läuft die Verschlüsselung und der Fortschritt ist beobachtbar.
Zwischendurch könnte die Verschlüsselung auch angehalten werden, aber sinnvoller ist es sicher die Geduld aufzubringen und Windows verschlüsseln zu lassen.
Lohn der Mühe ist dann, dass die Bitlocker-Laufwerksverschlüsselung erfolgreich abgeschlossen ist und das Kontextmenü sich um die Punkte BitLocker-Kennwort ändern und BitLocker verwalten erweitert hat.
Der erste Punkt ist selbsterklärend unter der Verwaltung kann der Punkt "Systeme und Sicherheit" mit den Unterpunkt "Bitlocker Verschlüsselung" in der Systemsteuerung aufgerufen werden.
Unter anderne kann hier eine Automatische Entsperrung eingerichtet werden, wenn der Stick beim aktiven User angesteckt wird. Ansonsten muss immer das Passwort eingegeben werden.
Beim Auswerfen des Datenträgers ist dieser auch wieder verschlüsselt. Wenn der USB Stick erneut angeschlossen wird ist eine Kennwort eingabe erforderlich.
Der große Vorteil hier ist, dass das Entschlüsseln und Einbinden des Datenträgers keine Administrationsrechte und keine Installation von lokaler Software erfordert, da Windows selbst den Zugriff auf verschlüsselte Medien unterstützt.
Das USB-Laufwerk an sich ist erst wieder nutzbar nachdem das Passwort eingegeben worden ist. Alternativ kann auch der Wiederherstellungsschlüssel eingetragen werden oder die Option "Auf diesem PC automatisch entsperren" gewählt werden, wenn dieser PC ohnehin geschützt ist und nur man selbst damit arbeitet. Letzterer Punkt kann ebenfalls unproblematisch wieder deaktiviert werden über die rechte Maustaste am entschlüsselten Datenträger und dort auf Bitlocker verwalten.
Das Laufwerk ist im entschlüsselten Zustand dann wie vorher problemlos verwendbar nur beim erstmaligen Verbinden ist dann stets die Kennwortangabe erforderlich (beim Herunterfahren des PC wird der USB Stick ebenfalls ausgeworfen).
Auf den einmal entsperrten Wechseldatenträger können dann auch Programme wie die portableApps Plattform gestartet werden. Letztere ermöglicht es einige Programme vom USB Stick laufen zu lassen. Dazu zählen Browser, Passwortverwaltung und auch ganze Arbeitsumgebung wie PDFToolkit oder Libre Office.
Hin und wieder kann es vorkommen, dass man mit den gewohnten Programmen an einen fremden Rechner arbeiten möchte. Hilfreich kann hier ein USB Stick sein, auf den alle regelmäßig genutzten Programm in einer portablen Variante installiert sind. Als Portable Software oder auch Stickware bezeichnet man Software, welche ohne vorherige Installation lauffähig ist. Auf der Seite portableapps.com/de kann eine Plattform für solche Programme ebenso wie eine Auswahl von fertigen Programmen heruntergeladen werden. Der Vorteil dieser Plattform ist, dass sie sich auch um Updates kümmert.
Unterteilt in die Kategorien:
Aber auch viele andere, meist auch opensource Anwendungen laufen direkt vom USB Stick und müssen dadurch nicht am lokalen Rechner extra installiert werden. So gibt es auch das im Artikel "Mindmapping und Sketchnotes im Beruf nutzen für Brainstorming oder Mind Mapping mit XMIND" vorgestellte XMIND oder FastStoneCapture (ein Screenshotprogramm) in einer portablen Version die problemlos lauffähig ist ohne dabei installiert zu sein.
Es ist allerdings ebenso wie bei Containern zu beachten, dass wenn das Laufwerk einmal entschlüsselt ist hier auch ein Zugriff erfolgen kann. Daher sollte die Arbeitsumgebung (Rechner) auch entsprechend beachtet werden und sich zum Beispiel beim Verlassen des Arbeitsplatzes abgemeldet werden.
Unter Windows ist die Tastenkombination
+ L = Computer sperren
dafür geeignet. Hierbei bleibt der aktive User noch angemeldet, es erscheint jedoch der aktuelle Anmeldebildschirm, so dass zum Weiterarbeiten ein erneutes Anmelden erforderlich ist.
Im Artikel "Hilfreiche Tastenkombinationen unter Windows" bin ich auch auf weitere hilfreiche Tastenkombinationen eingegangen die ebenfalls ein wenig Mehr an Sicherheit bieten. Tatsächlich ist mir hier positiv aufgefallen, dass ein Mehr an Sicherheit nicht sehr viel mehr an Aufwand verursacht.
Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionenzu finden. Mein Weiterbildungsangebot zu SAP Themen finden Sie auf unkelbach.expert.
Ausgangslage Warum Daten verschlüsseln?
Tatsächlich ist das Thema Verschlüsselung aus unterschiedlichen Gründen relevant. Neben einer Frage der eigenen IT Sicherheit ist gerade beim Einsatz von Cloudspeichern auch im privaten Bereich oftmals die Frage, ob hier wirklich alle Dateien so vertrauenswürdig wären, dass diese problemlos in die Öffentlichkeit gelangen können. Daher ist eine gewisse Sensibilität tatsächlich nicht fehl am Platz und an manchen Einsatzzwecken sogar vorgegeben. Neben einen Cloudspeicher dürfte aber auch der USB Stick als klassisches Datentransfermedium immer noch aktuell sein. Nur was passiert, wenn dieser irgendwo verloren geht und könnte hier nicht ein gewisser Schutz helfen. Manchmal kann dieser Schutz auch ganz nützlich sein, wenn mehr als eine Person Zugriff auf die eigene Arbeitsumgebung hat. Daher mag ich hier ein wenig auf die Möglichkeiten der Datenverschlüsselung auf Datenspeicher unter Windows eingehen und freue mich hier tatsächlich darüber, dass dieses unter Windows 10 Professionell wesentlich einfacher geworden ist als vor einigen Jahren noch unter Windows XP mit TrueCrypt und anderen Tools. Neben physischen Datenspeichern ist aber auch die Cloud ein wichtiges Thema und so gehe ich, wenn auch nur durch einen kurzen Hinweis, auf die Möglichkeiten der Verschlüsselung des eigenen Cloudspeichers ein.Boxcryptor und Cloudspeicher
Beim Einsatz eines Cloudspeicherplatzes (wie zum Beispiel Dropbox (Einladungslink)) stellt sich oftmals die Frage, wie hier auf einfache Weise Daten verschlüsselt gespeichert werden können. Ein passwortgeschütztes ZIP File hat den Nachteil, dass hier keine Daten direkt gespeichert werden können weswegen eine Lösung per App wie Boxcrypter für zwei Geräte eine Verschlüsselung auf Android, MacOS und Windows ermöglicht. Für mehrere Geräte ist dann eine Jahreslizenz erforderlich (ebenso bei der Nutzung von mehr als einen Cloudanbieter). Unter BoxCryptor.com/de/ ist diese Software näher vorgestellt und es können entsprechende Lizenzen erworben werden.Werbung
Verschlüsselte Datencontainer mit Truecrypt oder Veracrypt
Sofern der Zugriff auf bestimmte Dateien nur unter Windows bzw. einen Desktop Betriebssystem erfolgt besteht auch die Möglichkeit des Einsatzes von Truecrypt oder vielmehr der Nachfolge Veracrypt. Im Artikel "Truecrypt per Kommandozeile" bin ich näher darauf eingegangen und tatsächlich bietet es sich auch an mit VeraCrypt Portable diese als Stickware vom USB Stick laufen zu lassen. Die App selbst ist bei Heise Online Download unter Verschlüsselung > VeraCrypt näher vorgestellt.Sofern kein verschlüsselter Dateicontainer sondern ein USB Stick zum Austausch von Dokumenten ausserhalb der Cloud und nur unter Windows verwendet werden soll, kann ab Windows 10 Professional und Windows 7 Ultimate Bitlocker TO Go genutzt werden. Innerhalb des BSI Grundschutzhandbuch wird diese Software im Maßnahmenkatalog "M 4.422 Nutzung von BitLocker To Go ab Windows 7" im IT Grundschutzhandbuch (IT-Grundschutz-Kataloge) des Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen.
Die Verschlüsselung selbst kann nur in den erwähnten Windows Versionen angelegt werden, aber das verschlüsselte Speichermedium selbst (hier ein USB Stick) kann in den niedrigeren Windows Versionen (zum Beispiel Windows 10 Home) direkt geöffent werden.
Mobiler Datenspeicher mit Bitlocker ToGo verschlüsseln
Im Explorer kann der mobile Speicherträger oder das zu verschlüsselnde Laufwerk mit der rechten Maustaste angeklickt werden und die Funktion "Bitlocker aktivieren" wie in folgender Abbildung zu sehen aufgerufen werden.Dadurch wird die Anwendung Bitlocker geladen
Der USB Stick darf während des folgenden Setup zur Bitlocker-Laufwerksverschlüsselung nicht entfernt werden.
Danach ist eine Methode zu wählen, wie die Verschlüsselung abgesichert werden soll.
Die flexibelste Methode ist wohl der Einsatz eines Passwort / Kennwort, das später nachdem der USB Stick eingesteckt wird, oder auf das Laufwerk zugegriffen werden soll eingetragen werden muss. Es empfiehlt sich zur Sicherheit das Passwort zum Beispiel in einen Passwortmanager oder an sicherer Stelle zu speichern. Die Alternative der Smartcard nebst Smartcard-Pin könnte wiederum interessant sein auch in Hinblick auf einer zwei Faktor Authentifizierung per Hardwarelösung.
Im Artikel "Zweistufige Anmeldung oder Zwei-Faktor-Authentifizierung (2FA) bei Onlinediensten (Datensicherheit und Datenschutz) bspw. per OTP (One-Time Password, Einmal-Passwort) App" bin ich darauf für Webdienste eingegangen.
Nachdem das Passwort gewählt worden ist kann auch ein Wiederherstellungsschlüssel gedruckt, als Textdatei gespeichert oder im Microsoft Konto hinterlegt werden.
Soll der USB Stick an unterschiedlichen Rechnern und nicht nur im eigenen PC genutzt werden und man nicht diesen wichtigen Schlüssel in der Cloud speichern wollen ist sicherlich der Ausdruck eine gute Alternative. Zu beachten ist, dass der Schlüssel nicht auf ein bereits verschlüsseltes Laufwerk gespeichert werden kann.
Nachdem der Wiederherstellungsschlüssel gespeichert worden ist kann mit Weiter die Verschlüsselungsform gewählt werden.
Sofern noch keine Daten am Datenträger vorhanden kann die Option "Nur verwendeten Speicher" verschlüsseln gewählt werden.Beim Hinzufügen von Daten werden diese automatisch verschlüsselt.
Anders verhält es sich wenn bereits Daten vorhanden sind. In diesen Fall sollte das gesamte Laufwerk verschlüsselt werden.
Danach ist der Modus der Verschlüsselung und das Format zu wählen.
Handelt es sich um ein eingebautes Laufwerk (Wechselfestplatte, Netzlaufwerk, ...) dass nur an diesen PC verwendet werden soll kann sicherlich die neuere Datenträger-Verschlüsselungsmethode XTS-AES verwendet werden. Soll der Rechner aber auch an anderen Rechnern eingesetzt werden (bspw. Windows 7) ist der Kompatibler Modus empfehlenswert. Da es sich bei mir um einen USB Stick handelt und ich mir unsicher bin welches die eingesetzten Systeme sind habe ich hier den zweiten Punkt gewählt und die Verschlüsselung gestartet.
Es erscheint eine Abfrage mit Zusammenfassung der Entsperrmethode und das Laufwerk kann gemeinsam mit allen vorhandenen Daten über die Schaltfläche "Verschlüsselung starten" abschließend gestartet werden. Nun läuft die Verschlüsselung und der Fortschritt ist beobachtbar.
Zwischendurch könnte die Verschlüsselung auch angehalten werden, aber sinnvoller ist es sicher die Geduld aufzubringen und Windows verschlüsseln zu lassen.
Mit Bitlocker verschlüsselten (Wechsel-) Datenträger arbeiten
Lohn der Mühe ist dann, dass die Bitlocker-Laufwerksverschlüsselung erfolgreich abgeschlossen ist und das Kontextmenü sich um die Punkte BitLocker-Kennwort ändern und BitLocker verwalten erweitert hat.
Der erste Punkt ist selbsterklärend unter der Verwaltung kann der Punkt "Systeme und Sicherheit" mit den Unterpunkt "Bitlocker Verschlüsselung" in der Systemsteuerung aufgerufen werden.
Unter anderne kann hier eine Automatische Entsperrung eingerichtet werden, wenn der Stick beim aktiven User angesteckt wird. Ansonsten muss immer das Passwort eingegeben werden.
Auf verschlüsselten Datenträger zugreifen
Beim Auswerfen des Datenträgers ist dieser auch wieder verschlüsselt. Wenn der USB Stick erneut angeschlossen wird ist eine Kennwort eingabe erforderlich.
Der große Vorteil hier ist, dass das Entschlüsseln und Einbinden des Datenträgers keine Administrationsrechte und keine Installation von lokaler Software erfordert, da Windows selbst den Zugriff auf verschlüsselte Medien unterstützt.
Das USB-Laufwerk an sich ist erst wieder nutzbar nachdem das Passwort eingegeben worden ist. Alternativ kann auch der Wiederherstellungsschlüssel eingetragen werden oder die Option "Auf diesem PC automatisch entsperren" gewählt werden, wenn dieser PC ohnehin geschützt ist und nur man selbst damit arbeitet. Letzterer Punkt kann ebenfalls unproblematisch wieder deaktiviert werden über die rechte Maustaste am entschlüsselten Datenträger und dort auf Bitlocker verwalten.
Das Laufwerk ist im entschlüsselten Zustand dann wie vorher problemlos verwendbar nur beim erstmaligen Verbinden ist dann stets die Kennwortangabe erforderlich (beim Herunterfahren des PC wird der USB Stick ebenfalls ausgeworfen).
Persönliche (geschützte) Arbeitsumgebung am USB Stick
Gerade in Kombination mit persönlichen schützenswerten Daten oder auch mit portable Apps ist diese Möglichkeit eines verschlüsselten USB Stick tatsächlich ein Vorteil der hier sehr einfach mit Windows 10 Professional angelegt und genutzt werden kann. Natürlich funktioniert diese Verschlüsselung nur in der Windows Welt aber hat darin tatsächlich Vorzüge gerade in Hinblick darauf, ob man einen USB Stick unbedarft offen liegen lassen kann oder nicht.Auf den einmal entsperrten Wechseldatenträger können dann auch Programme wie die portableApps Plattform gestartet werden. Letztere ermöglicht es einige Programme vom USB Stick laufen zu lassen. Dazu zählen Browser, Passwortverwaltung und auch ganze Arbeitsumgebung wie PDFToolkit oder Libre Office.
Hin und wieder kann es vorkommen, dass man mit den gewohnten Programmen an einen fremden Rechner arbeiten möchte. Hilfreich kann hier ein USB Stick sein, auf den alle regelmäßig genutzten Programm in einer portablen Variante installiert sind. Als Portable Software oder auch Stickware bezeichnet man Software, welche ohne vorherige Installation lauffähig ist. Auf der Seite portableapps.com/de kann eine Plattform für solche Programme ebenso wie eine Auswahl von fertigen Programmen heruntergeladen werden. Der Vorteil dieser Plattform ist, dass sie sich auch um Updates kümmert.
Unterteilt in die Kategorien:
- Barrierefreier Zugang
- Bildung
- Entwicklung
- Grafik & Bildbearbeitung
- Internet
- Musik & Video
- Office
- Spiele
- Werkzeuge
Aber auch viele andere, meist auch opensource Anwendungen laufen direkt vom USB Stick und müssen dadurch nicht am lokalen Rechner extra installiert werden. So gibt es auch das im Artikel "Mindmapping und Sketchnotes im Beruf nutzen für Brainstorming oder Mind Mapping mit XMIND" vorgestellte XMIND oder FastStoneCapture (ein Screenshotprogramm) in einer portablen Version die problemlos lauffähig ist ohne dabei installiert zu sein.
Fazit
Zur Verschlüsselung von Dateien innerhalb eines Cloudspeichers wie Dropbox sind sicherlich Containerdateien oder extra Programme wie Boxcryptor besser geeignet, aber wenn es um die Nutzung von USB Sticks anbelangt dürfte auch der Einsatz der von Microsoft angebotenen Variante zur Laufwerksverschlüsselung per AES eine gute Lösung zu sein.Es ist allerdings ebenso wie bei Containern zu beachten, dass wenn das Laufwerk einmal entschlüsselt ist hier auch ein Zugriff erfolgen kann. Daher sollte die Arbeitsumgebung (Rechner) auch entsprechend beachtet werden und sich zum Beispiel beim Verlassen des Arbeitsplatzes abgemeldet werden.
Unter Windows ist die Tastenkombination
+ L = Computer sperren
dafür geeignet. Hierbei bleibt der aktive User noch angemeldet, es erscheint jedoch der aktuelle Anmeldebildschirm, so dass zum Weiterarbeiten ein erneutes Anmelden erforderlich ist.
Im Artikel "Hilfreiche Tastenkombinationen unter Windows" bin ich auch auf weitere hilfreiche Tastenkombinationen eingegangen die ebenfalls ein wenig Mehr an Sicherheit bieten. Tatsächlich ist mir hier positiv aufgefallen, dass ein Mehr an Sicherheit nicht sehr viel mehr an Aufwand verursacht.
ein Angebot von Espresso Tutorials
unkelbach.link/et.books/
unkelbach.link/et.reportpainter/
unkelbach.link/et.migrationscockpit/
Diesen Artikel zitieren:
Unkelbach, Andreas: »Der verschlüsselte USB Stick oder mit Bitlocker To Go unter Windows Datenträger verschlüsseln« in Andreas Unkelbach Blog (ISSN: 2701-6242) vom 24.1.2019, Online-Publikation: https://www.andreas-unkelbach.de/blog/?go=show&id=1008 (Abgerufen am 5.12.2024)
Keine Kommentare - Permalink - Windows
Artikel datenschutzfreundlich teilen
🌎 Facebook 🌎 Twitter 🌎 LinkedIn