Top 10 der Gründe für BitLocker auf dem Server

Teaser BitlockerMicrosoft bewirbt BitLocker hauptsächlich für den Client-Einsatz unter Windows 7. Marketingtechnisch gesehen ist das einleuchtend: Im Consumer-Markt möchte man möglichst viele Ultimate-Kunden gewinnen, die bei oder nach dem Erwerb eines PCs mit einem eigentlich bereits vorhandenen Betriebssystem einen Aufpreis zu zahlen bereit sind.
Bei Business-Kunden hofft Microsoft offensichtlich dadurch, dass die Funktion nur in Windows 7 Enterprise enthalten ist, diese zum Abschluss einer Software Assurance (SA) zu bewegen. Als Werbeargument für Windows Server 2008 und Windows Server 2008 R2 hört man BitLocker selten an vorderer Stelle, dabei gibt es unter technischen Gesichtspunkten genügend Argumente, die Laufwerksverschlüsselung auch dort einzusetzen.

TechNet-Blogger Tanu Mutreja hat die wichtigsten 10 Gründe zusammen­getra­gen, die BitLocker insbesondere für Server in Zweigstellen interessant machen. Einige davon sind offensichtlich, andere zeigen interessante Aspekte auf, die dadurch, dass andere Sicherheitsmaßnahmen überflüssig oder weniger wichtig werden, die Administration und das Deployment vereinfachen können.

  1. Kosten von gestohlenen Daten

    Der Verlust geschäftlicher Informationen nutzt unmittelbar den Wettbewerbern, schadet dem Ansehen auf dem Markt und führen zu Umsatz- und Gewinneinbußen. Gestohlene Mitarbeiter-Datensätze wie Versicherungs-, Steuer- oder Gehaltsinformationen ziehen außerdem zivil- und strafrechtliche Folgen mit hohen Zusatzkosten nach sich.

  2. Einhaltung von Anforderungen der Regulierungsbehörden

    Die Anforderungen von Behörden an die IT-Compliance von Firmen steigen ständig und beschränken sich nicht auf Großkonzerne. Für Unternehmen mit Sitz in den USA sind etwa Gesetze wie der Sarbanes-Oxley Act (SOX), der Health Insurance Portability and Accountability Act (HIPAA) und der Gramm-Leach-Bliley Act (GLBA) relevant, in Europa der Europäische Datenschutzbeauftragte, dazu kommen noch jeweils die Bestimmungen der nationalen Behörden.

  3. Diebstahl auch von nicht mobilem Equipment

    Versicherungsvertretungen, Tankstellen oder Filialgeschäfte sind Beispiele für einbruchsgefährdete Server-Standorte, bei denen keine physische Absicherung wie im Mutter-Konzern besteht, auf denen jedoch die gleichen sensible Daten abgerufen werden können. Vom Administrationsaufwand her ist der Einsatz von BitLocker hier eventuell sogar einfacher als die Verwendung des für das gleiche Szenario entwickelten Read-only Domain Controller (RODC).

  4. Datenträgerdiebstahl trotz physischer Absicherung

    Erfahrungen haben gezeigt, dass auch aus physisch abgesicherten Rechenzentren von kriminellen Mitarbeitern Datenträger entwendet werden, die im Strom der Ausmusterung, Neuanschaffung und legalen Außer-Haus-Verbringung (etwa bei Reparaturen oder Outsourcing) verborgen werden. Deshalb sollten die Datenträger selbst am besten gar keine unverschlüsselten Daten mehr enthalten.

  5. Sichere Ausmusterung und Umwidmung von Datenträgern

    Mit BitLocker verschlüsselte Datenträger können ohne Bedenken und aufwendige Maßnahmen ausgemustert oder innerhalb der Firma neu zugeordnet werden. Für Letzteres ist es lediglich notwendig, alle Schlüssel zu zerstören, auch den Recovery-Schlüssel.

  6. Sicherer Transport konfigurierter Datenträger

    Bei der Ausrüstung von Zweigstellen oder Unternehmensteilen kann der Datenträger inklusive seines kompletten Inhaltes sicher transportiert werden.

  7. Server-Integrität gewährleisten

    BitLocker gewährleistet auch die Boot-Integrität eines damit ausgerüsteten Servers und kann so gewährleisten, dass auch in schlecht kontrollierbaren Zweigstellen nur autorisierte Eingriffe vorgenommen werden. Durch die Kombination von TPM mit einer optionalen PIN kann man außerdem einschränken, wer den Server starten darf; per USB-Schlüssel funktioniert dies auch mit Servern, die ohne Bildschirm (headless) betrieben werden.

  8. Integration ins Active Directory

    BitLocker ist ins Active Directory integriert, so dass etwa alle Recovery-Schlüssel gesichert werden oder die BitLocker-Parameter per Gruppenrichtlinien mit wenig Aufwand für alle Server konfiguriert werden können.

  9. Bereits im System enthalten

    BitLocker ist Bestandteil der 64-Bit-Editionen von Windows Server 2008 und Windows Server 2008 R2 und kann als Feature installiert werden. Zusammen mit dem gleichzeitig enthaltenen Hyper-V ergibt sich hier ein Weg, günstig Konsolidierung und Sicherheit zu kombinieren und etwa Windows-2000/2003-Server zu virtualisieren und deren VHDs auf verschlüsselten Datenträgern zu speichern.

  10. Einmaliger Aufwand pro Datenträger

    Während die Erstverschlüsselung eines Datenträgers ein längerer Prozess ist, bleibt er doch einmalig; danach hat der Einsatz von BitLocker praktisch keine Auswirkungen, da er transparent arbeitet. Unter Produktionslast sollte der Server allerdings während des Vorganges nicht stehen.

Keine Kommentare

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht angezeigt. Wenn mit Ihrer angegebenen Mail-Adresse ein Gravatar verknüpft ist, dann wird dieser neben Ihrem Kommentar eingeblendet.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.
  • Mail-Adressen werden im Seitenquelltext unkenntlich gemacht, um sie vor dem automatischen Erfassen durch Spammer zu schützen.

Weitere Informationen über Formatierungsoptionen