Vergleich: Bitlocker versus Encrypting File System
Die Laufwerksverschlüsselung Bitlocker ist nicht nur eine der am lautesten beworbenen Funktionen unter Vista und Windows 7, sondern findet auch nahezu ausnahmslos Anklang bei der Fachpresse. Was in vielen Redaktionen übersehen wird: Microsoft rückt zu Testzwecken natürlich gerne Ultimate-Lizenzen heraus, es sollen ja möglichst alle Funktionen bekannt werden. Für Geschäftskunden stehen diese oft aber nicht zur Verfügung.
Bitlocker gibt es nur in den Versionen Enterprise und Ultimate. Erstere kann man nur in Verbindung mit Software Assurance (SA) erwerben, letztere dagegen gar nicht als Volumenlizenz. Unternehmen, die auf Windows 7 Professional als Client-System setzen, müssen sich für die Laufwerksverschlüsselung nach Alternativen umsehen.
EFS als Ersatz für Bitlocker unter Windows Professional?
Hier stellt sich natürlich die Frage, ob EFS als Verschlüsselungstechnik alleine nicht bereits ausreicht. Es ist für Windows 7 Professional verfügbar und benötigt keine Hardware-Voraussetzungen. Ein kurzer Überblick zeigt, dass es wichtige Unterschiede zwischen beiden Verfahren gibt:
| EFS | Bitlocker | |
|---|---|---|
| Leistung | Verschlüsselung | Verschlüsselung und Systemintegritätsprüfung |
| Verschlüsselungsebene | Datei | Datenträger |
| Voraussetzung | NTFS | TPM oder Schlüsseldatei auf externem Datenträger (dann aber keine Systemintegritätsprüfung) |
| Verwaltung | auf OS-Ebene mit Zertifikaten und Schlüsseln, im AD per GPO | auf Hardware-naher Ebene mit gerätespezifischen Schlüsseln, pro Gerät |
| Wiederherstellung im Fehlerfall | Recovery-Agent, per AD möglich | Wiederherstellungsmodus, Recovery-Schlüssel muss aus Datei per Tastatur am Gerät eingegeben werden |
Gegen Bitlocker sprechen also nicht nur lizenztechnische Gründe: Hat ein Computer kein TPM und die Richtlinien der Firma verbieten die Benutzung von Wechseldatenträgern, fällt es gleich aus der Wahl heraus. Auch sehr viel unhandlichere Verwaltung kann schnell schmerzhaft werden.
EFS offenbart Dateinamen und Verzeichnisstruktur
Was wiederum gegen EFS spricht, ist die Einsehbarkeit der gesamten Verzeichnisstruktur; die Verschlüsselung tritt erst beim Zugriff auf die Dateiinhalte in Aktion. Demgegenüber ist die Verwaltbarkeit sehr viel komfortabler – Administratoren können etwa per GPO die Verschlüsselung der Dokumentenordner und der Offline-Dateien erzwingen. Auch die Wiederherstellung per Recovery-Agent im AD ist sehr viel wünschenswerter als direkt am Gerät.
EFS und Bitlocker auch kombinierbar
EFS und Bitlocker dienen zwar prinzipiell dem gleichen Zweck, arbeiten aber nicht als zwei konkurrierende Techniken auf der gleichen, sondern auf unterschiedlichen Schichten. Sowohl bei den Anforderungen als auch beim praktischen Einsatz ist Bitlocker sehr viel hardwarenäher, was für die Entscheidung zusätzlich bedacht werden muss. Ist dies aber kein Problem und auch die Lizenzfrage geklärt, spricht nichts dagegen, auch beide Verfahren zu kombinieren.
Keine Kommentare
Kommentar hinzufügen