DriveLock Blog | IT Sicherheit und Cyber Security

BitLocker Wiederherstellungsschlüssel zum Entsperren dringend benötigt

Geschrieben von DriveLock | Feb 2, 2022 1:00:00 PM

Das BSI empfiehlt Festplattenverschlüsselung als wirksame Maßnahme zum Schutz von Daten auf Desktop-Clients und Notebooks im Unternehmensumfeld. Viele Unternehmen greifen auf die von Microsoft zur Verfügung gestellte BitLocker Festplattenverschlüsselung zurück. Was tun, wenn man beim Hochfahren sein Kennwort vergessen hat oder die Hardware im Rechner ausgetauscht wurde und das System nicht mehr startet? Dann hilft nur noch der BitLocker Wiederherstellungsschlüssel weiter, sonst gelangt der Nutzer nicht mehr an seine Daten. DriveLock BitLocker Management verfügt für diesen Fall über einige wichtige Zusatzsicherheitsoptionen, damit dieser sensitive Schlüssel nicht missbraucht werden kann.

 

INHALT
  1. WAS IST DER BITLOCKER WIEDERHERSTELLUNGSSCHLÜSSEL UND WOFÜR WIRD ER BENÖTIGT?
  2. WO LIEGT DER BITLOCKER WIEDERHERSTELLUNGSSCHLÜSSEL?
  3. DIE 5 GRÖSSTEN VORTEILE VON BITLOCKER WIEDERHERSTELLUNGSSCHLÜSSEL
  4. NOTFALLSZENARIO: PASSWORT FÜR BITLOCKER WIEDERHERSTELLUNGSSCHLÜSSEL VERGESSEN – WAS TUN?
  5. DRIVELOCK BITLOCKER MANAGEMENT BIETET ZUSÄTZLICHE SICHERHEIT
  6. MEHR KOMFORT DURCH DIE DRIVELOCK PRE-BOOT AUTHENTICATION (PBA)

 

A. Was ist der BitLocker Wiederherstellungsschlüssel und wofür wird er benötigt?


Der BitLocker-Wiederherstellungsschlüssel ist ein Sicherheitsschlüssel, der von Microsoft BitLocker verwendet wird, um die Datenverschlüsselung auf einem Windows-basierten Computer oder Laufwerk zu schützen
. BitLocker ist eine Funktion, die in den Professional, Enterprise und Ultimate Editionen von Windows 7 und höher verfügbar ist.

Der Wiederherstellungsschlüssel ist ein auf einen bestimmten Computer bezogenes und nicht übertragbares numerisches 48-stelliges Passwort. Er wird benötigt, um Ihren Computer zu entsperren, wenn Sie, Ihr Administrator bzw. die IT-Abteilung die BitLocker Festplattenverschlüsselung auf Ihrem Computer eingerichtet hat und das System bei der (Pre-Boot-)Authentifizierung aus verschiedenen Gründen nicht entsperrt werden kann. Er ist quasi der Generalschlüssel zum Aufsperren der Festplatte und kommt beispielsweise in folgenden Fällen zum Einsatz:

  • Der User hat seine PIN bzw. sein Passwort für die Anmeldung vergessen.
  • Das System kann nach einem Hardwaretausch oder BIOS-Update nicht bestätigen, dass der Versuch auf die Festplatte zuzugreifen, berechtigt ist.

Wo steht der BitLocker Wiederherstellungsschlüssel?


Der BitLocker-Wiederherstellungsschlüssel wird normalerweise bei der Einrichtung von BitLocker generiert und kann an verschiedenen Orten gespeichert werden, je nachdem, wie BitLocker konfiguriert wurde
:

  1. Microsoft-Konto: Wenn BitLocker auf einem Microsoft-Konto aktiviert ist, wird der Wiederherstellungsschlüssel in Ihrem Microsoft-Konto online gespeichert. Sie können ihn von einem anderen Gerät abrufen, auf dem Sie auf dasselbe Microsoft-Konto zugreifen können.

  2. USB-Flash-Laufwerk: Sie haben möglicherweise die Option, den Wiederherstellungsschlüssel auf einem USB-Laufwerk zu speichern, wenn Sie BitLocker einrichten. In diesem Fall wird der Schlüssel in einer Datei auf dem Laufwerk gespeichert.

  3. Druck: Sie können den Wiederherstellungsschlüssel auch ausdrucken und an einem sicheren Ort aufbewahren.

  4. Active Directory: In Unternehmensumgebungen kann der Wiederherstellungsschlüssel in der Active Directory-Datenbank gespeichert werden, wenn BitLocker mit Active Directory integriert ist.

B. Wo liegt der BitLocker-Wiederherstellungsschlüssel?


Der Wiederherstellungsschlüssel sollte in Unternehmen an einer zentralen Stelle sicher gespeichert bzw. verwaltet werden:

  • Im Microsoft Active Directory zusammen mit dem Benutzer / Computer oder

  • In der Microsoft Azure Cloud bei in der Azure-Cloud liegenden Active Directory-Konten.

  • Beste Lösung: Verschlüsselt in der von DriveLock verwalteten Datenbank (falls DriveLock BitLocker Management genutzt wird).

 

C. Die 5 größten Vorteile des BitLocker-Wiederherstellungsschlüssels

  1. Datenrettung bei Systemproblemen: Wenn es zu Problemen mit dem Betriebssystem oder der Festplatte kommt und der Computer nicht normal gestartet werden kann, ermöglicht der BitLocker-Wiederherstellungsschlüssel den Zugriff auf die verschlüsselten Daten. Dadurch können wichtige Dateien und Informationen gerettet werden, selbst wenn das System nicht mehr ordnungsgemäß funktioniert.

  2. Vergessenes Kennwort: Falls das Kennwort für den Zugriff auf BitLocker-verschlüsselte Daten vergessen oder verloren wurde, kann der Wiederherstellungsschlüssel für den Zugriff auf die Daten verwendet werden. Dies ist besonders nützlich, wenn der Benutzer sein Kennwort nicht wiederherstellen oder zurücksetzen kann.

  3. Verlust oder Austausch von Hardware: Wenn ein Computer oder eine Festplatte verloren geht, gestohlen wird oder ausgetauscht werden muss, kann der BitLocker-Wiederherstellungsschlüssel verwendet werden, um die verschlüsselten Daten auf dem neuen Gerät wiederherzustellen. Dies gewährleistet die Sicherheit der Daten, selbst wenn das physische Gerät in falsche Hände gerät.

  4. Unternehmensverwaltung: In Unternehmensumgebungen, in denen mehrere Computer mit BitLocker verschlüsselt sind, kann der Wiederherstellungsschlüssel von Administratoren verwaltet und verwendet werden, um bei Bedarf den Zugriff auf die Daten zu ermöglichen. Dies erleichtert die zentrale Verwaltung und Kontrolle der Verschlüsselung in einer Organisation.

  5. Schutz vor unbefugtem Zugriff: Der BitLocker-Wiederherstellungsschlüssel ist eine zusätzliche Sicherheitsebene, die sicherstellt, dass nur autorisierte Benutzer auf die verschlüsselten Daten zugreifen können. Selbst wenn jemand das Kennwort für den Zugriff auf den Computer kennt, ist der Wiederherstellungsschlüssel erforderlich, um die Daten zu entschlüsseln.

Downloaden Sie eine Fallstudie, in der Sie erfahren, wie Bechtle das BitLocker Management von Dirvelock eingesetzt hat, um die Verwaltung der Verschlüsselung zu optimieren.

 

D. Notfallszenario: Passwort für BitLocker-Wiederherstellungsschlüssel vergessen - was tun?


Vergisst ein Nutzer seine BitLocker PIN, erscheint nach mehrmaligen (max. 3) Versuchen ein Windows-Dialog, der den Nutzer nach seinem Wiederherstellungsschlüssel fragt.

In solchen Fällen muss in größeren Unternehmen in der Regel ein Administrator verständigt werden, der die Berechtigung zur Anzeige des Wiederherstellungsschlüssels hat. Der Administrator kann sich mit Hilfe der Microsoft-Tools den Schlüssel anzeigen lassen und ihn an den Nutzer (z.B. per E-Mail auf ein anderes Device) verschlüsselt übermitteln oder telefonisch vorlesen. Aus technischer Sicht wird beim Verschlüsseln der Festplatte mit BitLocker ein sogenannter Protektor erzeugt. Der Wiederherstellungsschlüssel dient zum „Aufsperren“ dieses Protektors. Gibt der Nutzer den Wiederherstellungsschlüssel auf seinem Computer ein, wird der Protektor automatisch aufgesperrt und die Festplatte entschlüsselt.

BitLocker-PIN vergessen: Bei der reinen Microsoft BitLocker-Funktionalität (ohne Zusatzprodukte wie DriveLock BitLocker Management) ist der Wiederherstellungsschlüssel weiterhin gültig und nun dem Nutzer bekannt, was ein erhebliches Sicherheitsrisiko darstellt.

Lesen Sie, wie Sie Ihren Datenschutz verstärken können:

E. DriveLock BitLocker Management bietet zusätzliche Sicherheit

Nutzt ein Unternehmen DriveLock BitLocker Management, so hat es neben der zentralen Verwaltung aller Sicherheits-Features in EINER Management-Konsole folgende Vorteile, die zusätzliche Sicherheit bieten:

  • Lässt sich der Administrator bzw. die berechtigte Person den Wiederherstellungsschlüssel in der DriveLock-Konsole anzeigen, sendet der DriveLock-Agent an den Rechner den Befehl, nach dem nächsten Booten den alten Schlüssel gegen einen Neuen auszutauschen. DriveLock speichert den neuen Schlüssel automatisch zentral und sicher in der DriveLock Datenbank ab.

  • DriveLock BitLocker Management ermöglicht in regelmäßigen Zeitabständen (z.B. in 30/60/90 Tagen) einen Schlüsseltausch. Es wird ein neuer Protektor erzeugt, der zur Erstellung eines neuen Wiederherstellungsschlüssels führt. Das Risiko, dass ein Unbefugter über einen zuvor bekannten Wiederherstellungsschlüssel Zugriff auf die Festplatte erhält, kann somit deutlich gesenkt werden, weil jeder Schlüssel nur eine begrenzte Gültigkeitsdauer hat.

  • Im DriveLock Operations Center (DOC) kann nicht nur der Personenkreis eingeschränkt werden, der Zugriff auf den Wiederherstellungsschlüssel hat. Im Gegensatz zur Microsoft-Funktionalität können Sie mit DriveLock selbst Administratoren, welche bei Microsoft uneingeschränkte, globale Rechte haben, dieses Recht zur Ansicht des Wiederherstellungsschlüssels entziehen. Das gilt auch für DOC-Administratoren.

Finden Sie heraus, warum die BitLocker-Aktivierung allein nicht ausreicht.

F. Mehr Komfort durch die DriveLock Pre-Boot Authentication (PBA)

Nutzt das Unternehmen die DriveLock eigene Pre-Boot-Authentifizierung, so gibt es bei Verlust des Passwortes weitere Vorteile:

  • DriveLock nutzt ein Challenge Response-Verfahren für die sichere Schlüsselherausgabe. Der Nutzer übermittelt einen Challenge Code an den Administrator bzw. die berechtigte Person. Diese/r erzeugt die passende Antwort mit einem Freischaltcode. Der User nutzt den Code (Response) und meldet sich damit an der PBA an.

    Für diesen Vorgang wird der Wiederherstellungsschlüssel nicht benötigt und somit nicht herausgegeben, was zusätzliche Sicherheit bedeutet.

  • Das DriveLock Self Service Portal ermöglicht Benutzern mit Anmeldeproblemen bei BitLocker unter Nutzung zuvor eingerichteter alternativer und sicherer Anmeldungsmethoden, sich den Wiederherstellungsschlüssel selbst zu ermitteln und schicken zu lassen. Ein Administrator wird nicht mehr benötigt.

Lesen Sie mehr über DriveLock BitLocker Management und testen Sie es 30 Tage lang, ohne zu bezahlen!