Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Bitlocker oder Veracrypt unter Win10? Was ist hinsichtlich Performance, Sicherheit, Backup und Kompatibilität besser?

Mitglied: Pluwim

Pluwim (Level 1) - Jetzt verbinden

15.07.2019 um 09:32 Uhr, 434 Aufrufe, 23 Kommentare

Guten Morgen,

bei mir wird demnächst eine neue Platte fällig, weil ich mein Win7-System auf Win10 umstellen will. D.h. ich starte auf dem Desktop-PC mit einer leeren Platte unter Windows 10 (Pro) ganz neu.

Bisher nutze ich Diskcryptor unter Win7, aber das Ding scheint ja nicht mehr fortentwickelt zu werden. Bitlocker wäre zwar die einfachste Lösung, aber ist sie auch die beste?

Ich frage mich das insbesondere hinsichtlich der Performance. Der Rechner hat einen i5, d.h. AES hat Hardware-Unterstützung. Ich weiß nicht genau, wie Bitlocker im Vergleich zu Veracrypt arbeitet, aber vermutlich schenkt sich das nicht viel von der benötigten Leistung für die Verschlüsselung im Hintergrund.

Hinsichtlich Sicherheit hege ich jedoch bei Bitlocker prinzipielle Bedenken, weil MS (NSA) nicht zu trauen ist. Oder kann man davon ausgehen, dass das tatsächlich genausowenig zu knacken ist wie Veracrypt bei einem vernünftigen Passwort (und solange Quantencomputer noch nicht alle Passworte knacken können)? Kann es in Bitlocker prinzipbedingt theoretisch Hintertüren geben?

Auch möchte ich weiterhin regelmäßige Backup-Abbilder der gesamten Platte erstellen. Mit Programmen wie Backup-Manager ging das bisher nicht wegen der Diskcryptor-Verschlüsselung, mit Drive-Snapshot hingegen schon, aber Drive-Snapshot will ich gerne loswerden.

Kann mir wer eine Empfehlung aussprechen, was ich wählen sollte und warum? Also entweder Bitlocker oder Veracrypt oder noch was ganz anderes? Vielen Dank!
Mitglied: SlainteMhath
15.07.2019 um 12:00 Uhr
Moin,

Kann mir wer eine Empfehlung aussprechen
darf ich fragen gegen was du dich mit der FDE schützen willst (ich nehme an es geht um einen Privatrechner)?

weil MS (NSA) nicht zu trauen ist.
Warum arbeitest du dann überhaupt Windows? Steig um auf Linux und gut.

lg,
Slainte
Bitte warten ..
Mitglied: Pluwim
15.07.2019 um 12:22 Uhr
darf ich fragen gegen was du dich mit der FDE schützen willst (ich nehme an es geht um einen Privatrechner)?

Gegen Diebstahl? Beschlagnahmung? Veränderung der Daten durch Dritte? Weil ich Kundendaten auf dem Rechner habe, DSGVO? Und weil ich ein Recht auf Privatsphäre habe?

weil MS (NSA) nicht zu trauen ist.
Warum arbeitest du dann überhaupt Windows? Steig um auf Linux und gut.

Weil ich es muss. Neben MS Office verwende ich eine Videoschnitt-SW, diverse DTP-Programme, Grafikbearbeitung und anderes, was es nur unter Windows gibt. Ja, ich weiß, es gibt auch unter Linux manches davon, aber ich will und kann nicht mal eben nebenbei alles neu lernen, um dann irgendwann (mit teilweise Krücken) weiterarbeiten zu können.

Ich habe zwar gewisse Kenntnisse in und Erfahrung mit Linux, aber die ist zu gering, um mir im Falle eines Problems dann selbst helfen zu können. Daher bleibt leider keine Zeit für Linux-"Spielereien". Für Dich und andere mag das anders sein.

Aber ich möchte jetzt bitte möglichst keine Grundsatzdebatte Linux-Windows haben hier, meine Fragestellung ist doch klar formuliert, oder?
Bitte warten ..
Mitglied: SlainteMhath
15.07.2019 um 12:31 Uhr
Ok, wenn die Antwort gleich mal auf dem Aggro-Level ausfällt, bin ich mal raus aus dem Thread
Bitte warten ..
Mitglied: Bem0815
15.07.2019, aktualisiert um 12:33 Uhr
Zitat von Pluwim:
Ich frage mich das insbesondere hinsichtlich der Performance. Der Rechner hat einen i5, d.h. AES hat Hardware-Unterstützung. Ich weiß nicht genau, wie Bitlocker im Vergleich zu Veracrypt arbeitet, aber vermutlich schenkt sich das nicht viel von der benötigten Leistung für die Verschlüsselung im Hintergrund.

Kann man nicht pauschal sagen wie die Performance ist. Grundsätzlich ist die relativ gut wenn man einen TPM Chip hat, da dieser dann hauptsächlich die Arbeit zum Verschlüsseln und Entschlüsseln erledigt.

Ob du so einen TPM Chip hast kann dir hier ohne Hardwareinfos niemand sagen.

Hinsichtlich Sicherheit hege ich jedoch bei Bitlocker prinzipielle Bedenken, weil MS (NSA) nicht zu trauen ist. Oder kann man davon ausgehen, dass das tatsächlich genausowenig zu knacken ist wie Veracrypt bei einem vernünftigen Passwort (und solange Quantencomputer noch nicht alle Passworte knacken können)? Kann es in Bitlocker prinzipbedingt theoretisch Hintertüren geben?

Dir ist aber schon klar, dass bei einer Laufwerksverschlüsselung das vom Arbeitsprinzip keinerlei Unterschied macht.
Was Microsoft an Telemetriedaten abgreift machen die aus dem Arbeitsspeicher im laufenden Betrieb.

Wie dein Laufwerk dann Verschlüsselt ist, ist hier komplett egal. An die Telemetriedaten kommen die trotzdem dran.
Wenn dich das stört musst du auf ein anderes OS setzen.

Ist dir Grundsätzlich klar wozu denn eine Laufwerksverschlüsselung überhaupt gut ist?

Eine Laufwerksverschlüsselung soll ja primär dagegen schützen, dass jemand z.B. bei Diebstahl deine HDD ausbaut und dann deine Daten auslesen kann. Also z.B. einem Notebook, speziell wenn das Gerät auch noch geschäftlich genutzt wird und da Kundendaten drauf sind, da hat man sonst schnell mal einen Meldepflichtigen DSGVO Vorfall. Natürlich ist das auch bei privaten Daten hier sinnvoll wenn das Gerät leicht geklaut werden kann.

Aber für einen Desktop PC der bei dir zuhause steht und an den niemand fremdes physikalischen Zugriff hat macht eine Laufwerksverschlüsselung kaum Sinn, außer du hast Angst das ein Einbrecher kommt und deinen kompletten Rechner mitnimmt.

Lies dir bitte am besten erst mal durch wozu eine FDE wirklich gut ist:
https://de.wikipedia.org/wiki/Festplattenverschl%C3%BCsselung
Bitte warten ..
Mitglied: Pluwim
15.07.2019 um 12:35 Uhr
Wieso Aggro? Du hast leider überhaupt nicht auf meine Frage geantwortet, was soll ich denn sonst dazu schreiben? Ich will Windows 10 installieren und Du sagst, ich soll Linux nehmen. Toll.

Wenn Du meine Antwort als Angriff verstanden hast, tut es mir leid. Nur ganz ehrlich: Ich frage hier, welche der beiden Apfelmussorten die bessere ist und Du antwortest "nimm halt Pflaumenmus". Wie sinnvoll ist das denn?
Bitte warten ..
Mitglied: Pluwim
15.07.2019, aktualisiert um 12:45 Uhr
Ob du so einen TPM Chip hast kann dir hier ohne Hardwareinfos niemand sagen.

Ist kein TPM vorhanden.

Dir ist aber schon klar, dass bei einer Laufwerksverschlüsselung das vom Arbeitsprinzip keinerlei Unterschied macht.
Was Microsoft an Telemetriedaten abgreift machen die aus dem Arbeitsspeicher im laufenden Betrieb.

Ja, ist klar. Aber mir geht es darum: Wenn Bitlocker eine (bekannte oder absichtliche) Lücke hat, dann haben bestimmte Leute darauf Zugriff und evtl. ist es damit möglich, den entwendeten Rechner so zu entschlüsseln. Ich denke da nicht an "Standard-Diebe", sondern z.B. an staatliche Stellen oder solche, die mit ähnlicher Autorität agieren.

Aber für einen Desktop PC der bei dir zuhause steht und an den niemand fremdes physikalischen Zugriff hat macht eine Laufwerksverschlüsselung kaum Sinn, außer du hast Angst das ein Einbrecher kommt und deinen kompletten Rechner mitnimmt.

Darum geht es mir. Ich kann und werde Kundendaten nicht unverschlüsselt rumliegen lassen und meine eigenen auch nicht. Außerdem ist mein Win7 schon immer verschlüsselt, siehe oben.

Zunächst mal Danke natürlich für die Antworten, aber ich möchte nicht wirklich in die Debatte, ob und warum Verschlüsselung vielleicht nicht sinnvoll ist, einsteigen, denn Verschlüsselung ist für mich Pflicht. Es ist die Voraussetzung meiner Frage.

Wir können gerne in einem anderen Faden sowohl über den Sinn von Verschlüsselung diskutieren, was auch bezüglich der Möglichkeiten durch Quantencomputer interessant ist (in ca. 5-10 Jahren hilft keine heutige Verschlüsselung mehr) , als auch über mögliche Alternativen wie Linux. Aber hier im Faden soll es bitte nur um die Fragestellung gehen.
Bitte warten ..
Mitglied: Bem0815
15.07.2019, aktualisiert um 13:08 Uhr
Zitat von Pluwim:

Ja, ist klar. Aber mir geht es darum: Wenn Bitlocker eine (bekannte oder absichtliche) Lücke hat, dann haben bestimmte Leute darauf Zugriff und evtl. ist es damit möglich, den entwendeten Rechner so zu entschlüsseln. Ich denke da nicht an "Standard-Diebe", sondern z.B. an staatliche Stellen oder solche, die mit ähnlicher Autorität agieren.

Staatliche Stellen?
Gibt es denn Anlass dazu? Wir leben ja hier nicht in einem Schurkenstaat in dem man schon Angst haben muss, dass der Rechner beschlagnahmt wird wenn man etwas Regierungskritisches sagt, sondern gewöhnlich nur bei Straftaten.

Aber auch hier sollte dir bewusst sein, dass dir eine Laufwerksverschlüsselung nur etwas bringt, wenn dein PC z.B. bei einer Stürmung durch das SEK entweder ausgeschaltet oder gesperrt ist. Wenn der vor sich hin läuft und du währenddessen in der Küche dir einen Kaffee machst bringt dir die beste Laufwerksverschlüsselung auch nichts.

Das weiß auch das SEK und versucht genau deshalb bei Beschlagnahmungen ganz bewusst immer die Leute so zu erwischen, dass der PC bei der Stürmung entsperrt ist. Soviel also dazu.

Bei den Sicherheitslücken ist das so eine Sache. TPM hatte z.B. mal eine Lücke, die betraft dann alle Laufwerksverschlüsselungen die TPM benutzen, die Lücke konnte man mit einem Firmwareupdate beheben. Ebenso gab es wohl mal in gewissen SSDs eine Schwachstelle die Bitlocker (und auch andere Laufwerksverschlüsselungen) quasi ausgehebelt hat.

Auch in Bitlocker selbst werden sicher noch Lücken sein und immer mal wieder auftauchen, genauso wie in anderen Verschlüsselungen, da Bitlocker aber einen sehr hohen Marktanteil hat, werden hier die Lücken denke ich meist schneller als bei der Konkurrenz erkannt und geschlossen. Voraussetzung ist schlichtweg, dass du grundsätzlich dein System mit Patches aktuell hältst.

Ich würde also sagen Bitlocker kann man hier durchweg nehmen, ich selbst setze es auf zig Notebooks im Unternehmenseinsatz ein, damit unsere Außendienstler unbesorgt damit außer Haus gehen können.
Bitte warten ..
Mitglied: Pluwim
15.07.2019 um 14:44 Uhr
Auch in Bitlocker selbst werden sicher noch Lücken sein und immer mal wieder auftauchen, genauso wie in anderen Verschlüsselungen, da Bitlocker aber einen sehr hohen Marktanteil hat, werden hier die Lücken denke ich meist schneller als bei der Konkurrenz erkannt und geschlossen. Voraussetzung ist schlichtweg, dass du grundsätzlich dein System mit Patches aktuell hältst.

Das ist mir schon klar. Aber wenn Du mal gelesen hast, was der bekannte Herr Snowden dazu veröffentlichte, siehst Du das etwas anders. Da werden entdeckte Sicherheitslöcher nicht etwa dem Herstellen gemeldet und geschlossen, sondern heimlich genutzt. Von staatlichen Institutionen.


Ich würde also sagen Bitlocker kann man hier durchweg nehmen, ich selbst setze es auf zig Notebooks im Unternehmenseinsatz ein, damit unsere Außendienstler unbesorgt damit außer Haus gehen können.

Danke.
Hast Du schon mal Veracrypt eingesetzt und hast Vergleichserfahrungen? Insbesondere von der Performance würde mich das interessieren, ob das spür- oder messbar ist. Denn wenn sich Veracrypt diesbezüglich im Vergleich zu Bitlocker unauffällig verhält, würde ich lieber auf Veracrypt setzen.
Bitte warten ..
Mitglied: Bem0815
15.07.2019 um 15:59 Uhr
Zitat von Pluwim:
Das ist mir schon klar. Aber wenn Du mal gelesen hast, was der bekannte Herr Snowden dazu veröffentlichte, siehst Du das etwas anders. Da werden entdeckte Sicherheitslöcher nicht etwa dem Herstellen gemeldet und geschlossen, sondern heimlich genutzt. Von staatlichen Institutionen.

Ist bekannt, nur was soll mir das jetzt sagen? Die Aussage ist vollkommen richtig, bringt aber gar nichts.
Denn diese Aussage kann auf wirklich jede Software zutreffen, egal ob die von Microsoft ist oder nicht.

Die Frage ist hier, was du in diesem Fall persönlich für sicherer hältst. Open Source oder Closed Source. Beides hat was die Sicherheit betrifft seine Vor- und Nachteile. Bei Veracrypt werden sicher mehr den Quellcode gesehen haben, kann gut sein, kann schlecht sein. Ich weiß nicht ob Veracrypt ein Bug Bounty Programm hat, falls nicht kann es gut sein, dass gefundene Bugs nicht gemeldet sondern verkauft werden. Microsoft hat auf jeden Fall ein Bug Bounty Programm.

Und trotzdem braucht man zum Knacken erst mal physischen Zugriff und muss dann noch die Schwachstellen kennen. Sehr unwahrscheinliches Szenario. Speziell bei Privatpersonen, warum sollte das BKA oder andere Institutionen soviel Zeit in deinen Rechner investieren? Solange du da nicht gerade Streng geheime US Dokumente drauf hast oder eine Bauanleitung für einen Cold Fusion Reaktor wird sich niemand für deinen Rechner so sehr interessieren, dass er versucht eine vorhandene Verschlüsselung zu knacken.

Der Aufwand rechtfertigt dann einfach das Ergebnis nicht.

Hast Du schon mal Veracrypt eingesetzt und hast Vergleichserfahrungen? Insbesondere von der Performance würde mich das interessieren, ob das spür- oder messbar ist. Denn wenn sich Veracrypt diesbezüglich im Vergleich zu Bitlocker unauffällig verhält, würde ich lieber auf Veracrypt setzen.

Wenn du nur AES nutzt sind beide grob vergleichbar. Es arbeiten dann auch beide Programme sehr ähnlich was die Verschlüsselung betrifft, wenn du unter Veracrypt aber AES + Twofisch verwendest wirst du mit starken Performanceeinbrüchen rechnen müssen.
Bitte warten ..
Mitglied: Pluwim
15.07.2019 um 16:10 Uhr
Solange du da nicht gerade Streng geheime US Dokumente drauf hast oder eine Bauanleitung für einen Cold Fusion Reaktor wird sich niemand für deinen Rechner so sehr interessieren, dass er versucht eine vorhandene Verschlüsselung zu knacken.

Psssst! ;)

Wenn du nur AES nutzt sind beide grob vergleichbar. Es arbeiten dann auch beide Programme sehr ähnlich was die Verschlüsselung betrifft, wenn du unter Veracrypt aber AES + Twofisch verwendest wirst du mit starken Performanceeinbrüchen rechnen müssen.

Nur AES. Also da ich eh keinen TMP auf dem Board habe, wäre dann Veracrypt doch die schlauste Lösung in diesem Fall, wenn das rechentechnisch quasi vergleichbar ist. Denn klar ist mir open source hier vertrauenserweckender und mit Truecrypt hatte ich früher auch gute Erfahrungen gemacht. Dachte nur, dass Bitlocker möglicherweise deutliche Vorteile hat, weil es halt schon in Windows integriert ist.

Mich würde nur noch interessieren, ob es Erfahrungswerte mit Veracrypt unter Win10 gibt. Falls da jemand was zu sagen kann, gern.
Bitte warten ..
Mitglied: n.o.b.o.d.y
15.07.2019 um 16:31 Uhr
Hallo,

Zu deiner Frage bezüglich Performance. Ich habe bei meinem Notebook neulich die Partitionen mit BitLocker verschlüsselt. Da die Kiste schon was älter ist, habe ich keinen kompatibelen TPM Chip. Es ist natürlich eine SSD drin. Ich habe es nicht mit der Stopuhr nachgemessen, aber gefühlt habe ich null Unterschied festgestellt.

Was das Vertrauen angeht, kannst Du beiden gleich wenig trauen, da dir von beiden nicht die Quellcodes etc. vorliegen. Da Win10 eh schon sehr gesprächig ist, warum sollte MS da noch Backdoors in den BL bauen. Wenn die Kiste läuft, könnte MS in aller Seelenruhe die Daten absaugen...
Bitte warten ..
Mitglied: Pluwim
15.07.2019 um 16:37 Uhr
Danke. Also mit Bitlocker merkst Du keinen Unterschied, wenn ich Dich richtig verstehe. Jetzt würde mich nur noch interessieren, ob das auch bei Veracrypt so ist.

Bei Veracrypt ist der Code öffentlich. Wer was davon versteht, kann ihn einsehen.
Bitte warten ..
Mitglied: Bem0815
15.07.2019 um 16:58 Uhr
Zitat von Pluwim:

Bei Veracrypt ist der Code öffentlich. Wer was davon versteht, kann ihn einsehen.

...und auch für böse Zwecke nutzen wenn er im Quellcode schon eine Sicherheitslücke findet.
Bei Closed Source kann ein Angreifer Lücken dagegen nur durch ausprobieren solche Lücken finden und nicht schon im Quellcode.

Wie gesagt, hat beides seine Vor- und Nachteile.
Bitte warten ..
Mitglied: UweGri
15.07.2019 um 20:16 Uhr
BL bereitet Bedenken, das ist klar. Sollte aber die NSA einen Hauptschlüssel haben, MUSS das geheim bleiben. Deshalb dürfte der nur bei den sogenannten Terroristen (also die Leute, die sich gegen US Angriffe in ihrem EIGENEM Land wehren) eingesetzt werden. Die NSA dürfte den BND und Co nicht verraten.

Hardware macht keine Unterschiede.

Sicherer Umgang macht nur in einer Kette Sinn! Also, beim verlassen des PC runterfahren. BL und Co schützt nur bei abgeschalteten ! PC! EFS auch bei gesperrten PC. BL sollte immer mit EFS zusammen genutzt werden! Uwe
Bitte warten ..
Mitglied: Pluwim
15.07.2019 um 23:31 Uhr
Vielen Dank. Du würdest also Bitlocker (bzw. Veracrypt) für die Platte und zusätzlich EFS für die Datenordner einsetzen? Wird das System dann nicht aber wirklich deutlich langsamer?

Mich würde noch interessieren, inwiefern EFS bei gesperrtem PC die Daten tatsächlich sicher macht, denn Du hast völlig Recht mit "Sicherer Umgang macht nur in einer Kette Sinn".

Las eben davon, dass es vor wenigen Monaten jemand mit wenig Aufwand schaffte, den Bitlocker Wiederherstellungsschlüssel aus dem TPM auszulesen (https://www.zdnet.com/article/new-bitlocker-attack-puts-laptops-storing- ...).
Bitte warten ..
Mitglied: Bem0815
16.07.2019, aktualisiert um 12:51 Uhr
Zitat von UweGri:

BL bereitet Bedenken, das ist klar. Sollte aber die NSA einen Hauptschlüssel haben, MUSS das geheim bleiben. Deshalb dürfte der nur bei den sogenannten Terroristen (also die Leute, die sich gegen US Angriffe in ihrem EIGENEM Land wehren) eingesetzt werden. Die NSA dürfte den BND und Co nicht verraten.

Ist das jetzt reine Spekulation oder Halbwissen? Jedenfalls ist das Unsinn was du hier schreibst.
Sowohl Bitlocker als auch Veracrypt verwenden AES, das ist ein offender Standard und somit gibt es hier keine Backdoors mit Hauptschlüssel für die NSA, das ist technisch in AES nicht möglich. Genau deshalb sollte man auch bei Verschlüsselungen nur Programme benutzen die mit öffentlich einsehbaren Verschlüsselungsalgorythmen arbeiten wie AES.

Hardware macht keine Unterschiede.

Sicherer Umgang macht nur in einer Kette Sinn! Also, beim verlassen des PC runterfahren. BL und Co schützt nur bei abgeschalteten ! PC! EFS auch bei gesperrten PC. BL sollte immer mit EFS zusammen genutzt werden! Uwe

Das macht nicht grundsätzlich Sinn, sonst verlangsamst du dein System hier unnötig. EFS kann man zusätzlich bei besonders sensiblen Daten einsetzen. Für ganze Laufwerke finde ich das im Bezug auf den Performanceverlust sinnfrei. Dieser ist hier nämlich deutlich.
Bitte warten ..
Mitglied: Bem0815
16.07.2019 um 12:50 Uhr
Zitat von Pluwim:

Vielen Dank. Du würdest also Bitlocker (bzw. Veracrypt) für die Platte und zusätzlich EFS für die Datenordner einsetzen? Wird das System dann nicht aber wirklich deutlich langsamer?

Ja wird es, deshalb nur für einzelne Dateien/Ordner die besonders sensibel sind zusätzlich verwenden.

Mich würde noch interessieren, inwiefern EFS bei gesperrtem PC die Daten tatsächlich sicher macht, denn Du hast völlig Recht mit "Sicherer Umgang macht nur in einer Kette Sinn".

Las eben davon, dass es vor wenigen Monaten jemand mit wenig Aufwand schaffte, den Bitlocker Wiederherstellungsschlüssel aus dem TPM auszulesen (https://www.zdnet.com/article/new-bitlocker-attack-puts-laptops-storing- ...).

Da der Trick auf den TPM abzielt und nicht auf Bitlocker selbst ist der Beitrag so nicht richtig. Der betrifft dann auch wieder jede Verschlüsselung die einen TPM Chip verwendet, nicht nur Bitlocker, Veracrypt wäre hier genauso betroffen.

Da du keinen TPM hast trifft das hier nicht einmal auf dich zu.

Es gibt aber noch andere Möglichkeiten wie man Laufwerksverschlüsselungen unter gewissen Idealbedingungen knacken kann. Z.b. wenn das Gerät noch eingeschaltet ist und man direkten Zugriff auf das Gerät selbst und auf die Hardware hat gibt es auch einen Trick mit Eisspray um Daten durch Kühlung im RAM zu halten.

Wenn man Angst davor hat, dass die eigene Wohnung gestürmt und genau dieser Trick angewendet wird hilft es nur den Rechner dann rechtzeitig Hart auszuschalten.
Bitte warten ..
Mitglied: Pluwim
16.07.2019 um 12:51 Uhr
Danke für die Erläuterung.

Wenn ich Bitlocker mit PIN bzw. Veracrypt aktiviert habe, ist der Rechner im Aus-Zustand ja erstmal sicher. Aber was ist, wenn er im Standby oder gelockt ist, kommt man da mit einfachen Mitteln ran und wie kann man sich da bei einem Notebook schützen? Ich habe (hier im Faden) zwar keines, sondern einen Desktop, aber die Frage zielt auf einen Bekannten ab, der ein neues Notebook eingerichtet bekommt.
Bitte warten ..
Mitglied: Bem0815
16.07.2019 um 12:55 Uhr
Zitat von Pluwim:

Danke für die Erläuterung.

Wenn ich Bitlocker mit PIN bzw. Veracrypt aktiviert habe, ist der Rechner im Aus-Zustand ja erstmal sicher. Aber was ist, wenn er im Standby oder gelockt ist, kommt man da mit einfachen Mitteln ran und wie kann man sich da bei einem Notebook schützen? Ich habe (hier im Faden) zwar keines, sondern einen Desktop, aber die Frage zielt auf einen Bekannten ab, der ein neues Notebook eingerichtet bekommt.

Im Sleep kommt man ggfs. an den Schlüssel ran (Eisspray Methode).
Schützen kann man sich in dem man das Notebook entweder komplett ausschaltet oder alternativ Standby im Modus S4 verwendet (Suspend to Disk). Dann sind keine Daten im RAM beim Sleep und das Gerät kann auch ohne Strom diesen Zustand halten.
Bitte warten ..
Mitglied: Pluwim
16.07.2019 um 12:59 Uhr
Also wenn es nur mittels Eisspray geht, halte ich das für relativ unwahrscheinlich. Ich meinte nur, mal gelesen zu haben, dass der Zugriff mittels USB-Stick-Hack möglich wäre, wenn ein Notebook noch an ist (Standby oder gelockt). Oder war das auch nur so ein Spezialfall?
Bitte warten ..
Mitglied: Bem0815
16.07.2019 um 13:43 Uhr
Zitat von Pluwim:

Also wenn es nur mittels Eisspray geht, halte ich das für relativ unwahrscheinlich. Ich meinte nur, mal gelesen zu haben, dass der Zugriff mittels USB-Stick-Hack möglich wäre, wenn ein Notebook noch an ist (Standby oder gelockt). Oder war das auch nur so ein Spezialfall?

Ich denke das sind hier zwei unterschiedliche Angriffsverfahren. Die Variante aus deinem Link funktioniert ja wie gesagt nur mit TPM und ich denke falls noch nicht geschehen wird das bald von den Herstellern mit einem Firmwareupdate gepatched werden.

Dafür muss man halt selbst dann ein BIOS Update einspielen was bedeutet, dass bei vielen Personen das schlichtweg ungepatched bleiben wird.

Das mit dem Eisspray benötigt keinen TPM, beim Herunterfahren wird wohl technisch Bedingt der Key kurz in den RAM geladen und nach dem Neustart gewiped, durch das Eisspray kann man wohl diesen Zeitraum verlängern und über UEFI vor dem Wipe die Daten auslesen.

Per USB die Daten einfach auszulesen geht denke ich nicht wenn das im Standby oder gelockt ist, hab davon zumindest noch nichts gehört.
Bitte warten ..
Mitglied: Pluwim
16.07.2019 um 13:52 Uhr
Danke, dann heißt das, ein Dektop-PC oder ein Notebook ist per Bitlocker oder Veracrypt allein schon ausreichend genug gesichert. Die Eisspray-Methode fällt bei Desktop-Beschlagnahmung weg, weil das Ding dabei ja vom Strom getrennt wird. Beim Notebook ist es theoretisch denkbar, aber ziemlich aufwendig und daher relativ unwahrscheinlich.

Tendierst Du eher zu Bitlocker oder Veracrypt bzw. hast Du evtl. Vergleichserfahrung?
Bitte warten ..
Mitglied: ipzipzap
16.07.2019, aktualisiert um 14:29 Uhr
Hallo,

Nur kurz zur Info und auch falls in der Zukunft jemand diesen Thread findet.

Zitat von Bem0815:
Grundsätzlich ist die relativ gut wenn man einen TPM Chip hat, da dieser dann hauptsächlich die Arbeit zum Verschlüsseln und Entschlüsseln erledigt.

Ein TPM ver- oder entschlüsselt erstmal GAR NICHTS!

Ein Trusted Platform Module (TPM) stellt nur die Plattformintegrität sicher und verwaltet die Schlüssel. Es stellt grundlegende Sicherheitsfunktionen hardwarebasiert zur Verfügung und kann Kryptographieschlüssel erzeugen, sicher speichern oder deren Einsatz kontrollieren.

Die eigentliche Verschlüsselung erfolgt NICHT durch das TPM, das erledigt die CPU. Also wird es durch ein TPM nicht schneller, nur sicherer.

cu,
ipzipzap
Bitte warten ..
Ähnliche Inhalte
Windows 10
Win10: UNC Hardening und Sicherheit
gelöst Frage von NetzwerkDudeWindows 1010 Kommentare

Mahlzeit, bin hier immer noch am vorbereiten von W10 Clients für die Domain - heute mal ein neuen Problem: ...

Windows 10
Veracrypt-Datei schreibgeschützt
Frage von achkleinWindows 102 Kommentare

Hallo, ich habe einen PC von Windows 7 auf Windows 10 aktualisiert. Auf dem PC gibt es einen Ordner, ...

Verschlüsselung & Zertifikate
Verschlüsselung Notebook VeraCrypt
Frage von LauchheimerVerschlüsselung & Zertifikate27 Kommentare

Tag Leute, Wir müssen absofort unsere Notebooks verschlüsseln. Dazu wurde mir VeraCrypt empfohlen. Hat damit jemand bereits Erfahrung? Muss ...

Verschlüsselung & Zertifikate
Veracrypt FDE und Token
Frage von Fr33l4nc3rVerschlüsselung & Zertifikate8 Kommentare

Hallo Freunde der Computertechnik, zur Zeit bin ich auf der Suche meine Systeme per Verschlüsselung abzusichern. Dazu möchte ich ...

Neue Wissensbeiträge
Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Tipp von Snowbird vor 14 StundenHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Humor (lol)

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 1 TagHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 1 TagHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 1 TagWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Heiß diskutierte Inhalte
Router & Routing
Deinstalliertes Geräte wird in FritzBox noch immer als verbundenes Gerät angezeigt
gelöst Frage von imebroRouter & Routing18 Kommentare

Hallo, in meiner FritzBox 7490 wird im Bereich "Funknetz" ein Gereät bei den verbundenen Geräten angezeigt, wobei ich nicht ...

Batch & Shell
PowerShell - Text an HTMLbody übergeben mit UTF-8 Kodierung
Frage von Pat.batBatch & Shell14 Kommentare

Hallo zusammen, ich stoße momentan auf folgendes Problem. Ich möchte mit meinem Skript E-Mails versenden. Text und Signatur samt ...

Sonstige Systeme
Ist es möglich ein ISDN-Telefon an einen analogen Anschluss anzuschließen?
Frage von cramtroniSonstige Systeme14 Kommentare

Also anders herum geht es ja, da gibt es ja diese Adapter von RJ11 auf TAE-F, aber gibt es ...

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von LochkartenstanzerHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...