Tags: Windows 7, Sicherheit, Verschlüsselung
BitLocker gehört bereits seit Windows Vista zu den von der Fachpresse am meisten gefeierten Windows-Funktionen. Technisch sicherlich zu Recht, doch wird dabei oft übersehen, dass es die Laufwerksverschlüsselung nur für Windows Enterprise und Ultimate gibt – und damit im Unternehmensumfeld nur für Kunden mit Software Assurance (SA), da hier der Einsatz von Windows Ultimate nur bedingt zu empfehlen ist.
Gerade für Firmen-Notebooks ist der Einsatz einer Laufwerksverschlüsselung aber essentiell, damit im Falle eines Diebstahls oder Verlustes kein größerer Schaden als der der verlorenen Hardware zu verzeichnen ist. Je nach Größe des Unternehmens und des akzeptierten administrativen Aufwandes gibt es prinzipiell drei Varianten, um per Drittanbieter die Funktion verschlüsselter Laufwerke zu kommen.
McAfee Endpoint Encryption
McAfee Endpoint Encryption ist eine zentral gemanagte Lösung für große Unternehmen. Das Produkt gibt es nicht nur für lokale Dateien und Ordner, sonder auch für virtuelle Laufwerke und Mobilgeräte. Durch die Positionierung im Large-Enterprise-Bereich kommt es kaum für kleine und mittlere Unternehmen in Frage, für die der Verzicht auf SA und Windows-Enterprise-Volumenlizenzen Kostengründe hat, eher dann, wenn er aus strategischen Gründen erfolgte.
McAfee Endpoint Encryption kann auch auf Wechseldatenträge angewendet werden, außerdem gibt es eine spezielle Version für Dateien und Ordner, die sie auch beim Transport durch das LAN sichern, sowie für USB. Damit ersetzt McAfee Endpoint Encryption auch Bitlocker To Go.
Check Point Full Disk Encryption/ Media Encryption
Check Point Full Disk Encryption verschlüsselt Festplatten und bietet Pre-Boot-Authentication, während Media Encryption für Wechseldatenträger konzipiert ist mit der Besonderheit, dass diese nach Eingabe der Zugangsdaten auch ohne Installation eines Clients an Rechnern gelesen werden können, auf denen das Produkt nicht installiert ist. Check Point Full Disk Encryption kann ebenfalls zentral gemanagt werden und unterstützt außer Windows auch MacOS X und Linux (RedHat und Suse) als Client-Systeme; die Management-Console muss auf einem Windows-Rechner installiert werden.
Für kleine Unternehmen kann man durchaus das zugehörige Consumer-Produkt einer näheren Betrachtung unterziehen: Ist das zentrale Management verzichtbar, etwa weil die Verschlüsselung nur auf eine überschaubare Anzahl von Notebooks angewendet werden soll, steht ZoneAlarm Datalock auf dem gleichen technischen Fundament, allerdings nur für Windows. Zonealarm bietet für Datalock eine Password-Reset-Hotline an, eine Funktion, die bei BitLocker nicht einmal angedacht ist.
PGP Whole Disk Encryption
PGP ist ein Platzhirsch am Markt für Verschlüsselungssoftware. PGP Whole Disk Encryption gibt es entweder als Einzelprodukt oder als Komponente von PGP Universal Server. Das zentral management-fähige System unterstützt in der Workgroup-Version nur Windows, in den anderen Editionen auch MacOS X. Welche Edition für welche Unternehmensgröße konzipiert ist, stellt PGP in einer Übersicht hier dar. Zu beachten dabei ist, dass PGP Universal Server dezidierte Management-Hardware erfordert.
PGP Whole Disk Encryption macht keinen Unterschied zwischen lokalen und Wechseldatenträgern und kann deshalb als Ersatz für BitLocker To Go zum Einsatz kommen. Ein Auslesen von USB-Datenträgern an Rechenern ohne PGP Whole Disk Encryption ist nicht möglich; die Verschlüsselung ist jedoch zwischen MacOS X und Windows kompatibel.
Cryptzone Secured eDisk Protect
Cryptzone Secured eDisk Protect kann sowohl zentral im AD gemanagt als auch pro Einzel-Client konfiguriert werden. Sowohl für die Enterprise- als auch für die Einzel-Client-Variante sind Testversionen verfügbar. eDisk Protect beherrscht Pre-Boot-Authentifizierung und Single Sign-On. Für die Verschlüsselung von USB-Datenträgern als Ersatz von BitLocker To Go muss man allerdings das separate Secured eUSB erwerben. Andere Systeme als Windows werden nicht unterstützt.
Sophos SafeGuard
Bei Sophos SafeGuard Easy handelt es sich um die zentral verwaltbare Komplettverschlüsselung für Festplatten, während Sophos Private Disk Container als virtuelle Laufwerke bereitstellt, um nur bestimmte Daten zu verschlüsseln. In der Enterprise-Version verschlüsselt Sophos Private Disk Portable auch Wechseldatenträger.
Für größere Unternehmen interessant ist SafeGuard Device Encryption als Teil der Suite SafeGuard Enterprise. Die Komponente deckt sowohl den Bereich Festplatten- als auch Wechseldatenträgerverschlüsselung ab.
Truecrypt
Das Open-Source-Produkt ist in erster Linie für technisch versierte Benutzer interessant. Angewendet wird es auf den jeweiligen Rechner, ein zentrales Management fehlt hier. Beachtenswert für die Verwendung im Business ist insbesondere eine spezielle Funktion: Truecrypt kann so konfiguriert werden, dass erst nach Passwort-Eingabe das eigentliche, vorher versteckte Betriebssystem startet und bei keiner oder anderer Eingabe ein Alibi-System. Da Truecrypt-verschlüsselte Daten keine spezielle Signatur haben, ist nicht nachweisbar, dass sich auf einem PC ein weiteres bootfähiges System befindet.
Somit eignet sich Truecrypt für einzelne Notebooks, die in unsichere Umgebungen mitgenommen werden müssen, in denen man die eventuelle Erpressung von Zugangsdaten einkalkuliert – sei es durch kriminelle oder durch staatliche Akteure. Auch Truecrypt kann auf Wechseldatenträger angewendet werden und bietet damit eine Alternative für BitLocker To Go.
Täglich Know-how für IT-Pros mit unserem Newsletter
Andreas Kroschel ist Buchautor und Verfasser von Fachartikeln zu Hardware, Windows und Linux sowie IT-Sicherheit. Er arbeitete als Redakteur unter anderem für BYTE Deutschland und die PC-Welt.
Verwandte Beiträge
Weitere Links