Vergleich: Bitlocker versus Encrypting File System

    Teaser BitlockerDie Laufwerksverschlüsselung Bitlocker ist nicht nur eine der am lautesten beworbenen Funktionen unter Vista und Windows 7, sondern findet auch nahezu ausnahmslos Anklang bei der Fachpresse. Was in vielen Redaktionen übersehen wird: Microsoft rückt zu Testzwecken natürlich gerne Ultimate-Lizenzen heraus, es sollen ja möglichst alle Funktionen bekannt werden. Für Geschäftskunden stehen diese oft aber nicht zur Verfügung.

    Bitlocker gibt es nur in den Versionen Enterprise und Ultimate. Erstere kann man nur in Verbindung mit Software Assurance (SA) erwerben, letztere dagegen gar nicht als Volumenlizenz. Unternehmen, die auf Windows 7 Professional als Client-System setzen, müssen sich für die Laufwerks­verschlüsselung nach Alternativen umsehen.

    EFS als Ersatz für Bitlocker unter Windows Professional?

    Hier stellt sich natürlich die Frage, ob EFS als Verschlüsselungstechnik alleine nicht bereits ausreicht. Es ist für Windows 7 Professional verfügbar und benötigt keine Hardware-Voraussetzungen. Ein kurzer Überblick zeigt, dass es wichtige Unterschiede zwischen beiden Verfahren gibt:

     EFSBitlocker
    LeistungVer­schlüs­selungVerschlüsselung und Systemintegritätsprüfung
    Ver­schlüs­selungs­ebeneDateiDatenträger
    Voraus­setzungNTFSTPM oder Schlüsseldatei auf externem Datenträger (dann aber keine Systemintegritätsprüfung)
    Verwaltungauf OS-Ebene mit Zertifikaten und Schlüsseln, im AD per GPOauf Hardware-naher Ebene mit gerätespezifischen Schlüsseln, pro Gerät
    Wieder­her­stel­lung im Feh­ler­fallRecovery-Agent, per AD möglichWiederherstellungsmodus, Recovery-Schlüssel muss aus Datei per Tastatur am Gerät eingegeben werden

    Gegen Bitlocker sprechen also nicht nur lizenztechnische Gründe: Hat ein Computer kein TPM und die Richtlinien der Firma verbieten die Benutzung von Wechseldatenträgern, fällt es gleich aus der Wahl heraus. Auch sehr viel unhandlichere Verwaltung kann schnell schmerzhaft werden.

    EFS offenbart Dateinamen und Verzeichnisstruktur

    Was wiederum gegen EFS spricht, ist die Einsehbarkeit der gesamten Verzeichnisstruktur; die Verschlüsselung tritt erst beim Zugriff auf die Dateiinhalte in Aktion. Demgegenüber ist die Verwaltbarkeit sehr viel komfortabler – Administratoren können etwa per GPO die Verschlüsselung der Dokumentenordner und der Offline-Dateien erzwingen. Auch die Wiederherstellung per Recovery-Agent im AD ist sehr viel wünschenswerter als direkt am Gerät.

    EFS und Bitlocker auch kombinierbar

    EFS und Bitlocker dienen zwar prinzipiell dem gleichen Zweck, arbeiten aber nicht als zwei konkurrierende Techniken auf der gleichen, sondern auf unterschiedlichen Schichten. Sowohl bei den Anforderungen als auch beim praktischen Einsatz ist Bitlocker sehr viel hardwarenäher, was für die Entscheidung zusätzlich bedacht werden muss. Ist dies aber kein Problem und auch die Lizenzfrage geklärt, spricht nichts dagegen, auch beide Verfahren zu kombinieren.

    Keine Kommentare