von Redaktion IT-A…
Lesezeit
3 Minuten
MBAM-Alternativen nach dessen End of life
Im Juli stellte Microsoft den Support für die Managementsoftware seiner Datenverschlüsselungslösung BitLocker "Microsoft Bitlocker Administration and Management", kurz MBAM genannt, ein. Zeit also, sich nach einer Alternative umzusehen, die Daten an Endpoints sicher und Compliance-konform verschlüsselt – und alte Schwächen von MBAM ausmerzt, darunter die unkomfortable Pre-Boot-Authentifizierung. Der Fachartikel erläutert, worauf IT-Verantwortliche hier achten sollten.
Als Alternative zu MBAM empfiehlt Microsoft unter anderem ein Schlüsselmanagement mit Azure, also eine cloudbasierten Lösung. Das birgt Security-Risiken und Compliance-Verstöße. Unternehmen, die hier auf der sicheren Seite sein wollen, müssen die volle Kontrolle über ihre Verschlüsselungs-Keys haben. Sie verwalten die Schlüssel folglich am besten innerhalb eigener IT-Ressourcen und on-premises. Es empfiehlt sich daher, native Verschlüsselungslösungen wie BitLocker mit einem robusten, leistungsstarken Key-Management-Layer zu kombinieren.
Das Support-Ende von MBAM ist ein idealer Zeitpunkt für Unternehmen, um die Sicherheit und die Compliance-Konformität ihrer Datenverschlüsselung zu prüfen und sich nach einer Alternative umzuschauen. Folgende vier Eigenschaften sollte eine Managementlösung für die Verschlüsselung von Daten mitbringen:
Serverbasiertes Key-Management on-premises
Die Verschlüsselungs-Keys sind on-premises in einer Datenbank auf einem separaten Key-Management-Server hinterlegt, niemals auf dem Endgerät. Der Key-Management-Server, auch KMS genannt, ist außerdem für die so genannte Pre-Boot-Authentifizierung der verschlüsselten Geräte und Arbeitsressourcen, etwa VMs, zuständig. Bei der Pre-Boot-Authentifizierung muss sich der Nutzer am Endgerät noch vor dem Booten gegenüber dem Key-Management-Server validieren. Erst dann werden die Verschlüsselungs-Keys geladen. Der KMS bedient sich dazu aus vorhandenen Regelwerken für die Netzwerknutzung, beispielsweise aus einer Active-Directory-Datenbank.
Mithilfe dieses automatischen Authentifizierungsmechanismus, bestehend aus einer zentralen Schlüsselverwaltung und einer automatisierten Pre-Boot-Validierung, verbessert sich die Sicherheit, vor allem, weil keine Verschlüsselungs-Keys im Arbeitsspeicher des Geräts gespeichert werden. Auf diese Weise abgesicherte Endpoints sind beispielsweise unempfindlich gegenüber sogenannten "Cold Boot Attacks", die die Schwachstelle "Schlüssel in der Hardware des Geräts gespeichert" ausnutzen.
Darüber hinaus müssen IT-Teams weniger Zeit für das Bereitstellen und das Zurücksetzen von Passwörtern verwenden – oder verschwenden. Wenn Geräte oder VMs heruntergefahren oder neu gestartet werden, befinden sich keinerlei Verschlüsselungs-Keys auf dem Gerät. Verlässt ein Mitarbeiter das Unternehmen, gehen mit seinem Nutzerprofil automatisch auch die Verschlüsselungs-Keys offline. Etwaig gespeicherte Daten sind nicht mehr lesbar.
Automatisierte Pre-Boot-Authentifizierung
Die Pre-Boot-Authentifizierung ist nichts Neues. Mit dieser Methode gibt es seit langem eine zuverlässige Möglichkeit, Speicherressourcen sicher zu ver- und entschlüsseln. Allerdings wird sie nicht konsequent umgesetzt. Bei BitLocker zum Beispiel müssen immer wieder kryptische Passwörter händisch eingegeben werden. Das ist extrem anstrengend für Endnutzer. Die Folge: Die Pre-Boot-Authentifizierung wird häufig einfach ausgeschaltet, obwohl bekannt ist, dass sich der verschlüsselte Speicher ohne Pre-Boot-Validierung sehr einfach hacken lässt, wie ein Versuch von Pulse Security unlängst gezeigt hat. Mithilfe von Hardware für weniger als 50 Euro und etwas Code-Wissen konnten die Forscher das TPM-Modul eines Rechners problemlos hacken und die verschlüsselten Daten auslesen.
Logische Konsequenz des Ganzen: Die Pre-Boot-Authentifizierung muss automatisch, quasi im Hintergrund erfolgen, und zwar nutzerbasiert, beispielsweise anhand vorhandener Active-Directory-Verzeichnisse. Das ermöglicht Endnutzern, schnell und komfortabel ihre Arbeit auf- oder wieder aufzunehmen. Und Administratoren sparen Arbeitszeit, indem sich das Policy-Management einfach importieren lässt und die Bereitstellung von Zugängen vollautomatisch abläuft.
Plattformübergreifende Verschlüsselung
MBAM konnte nur mit Ressourcen umgehen, die mithilfe von BitLocker verschlüsselt wurden. Windows-Workloads sind aber nur ein sehr kleiner Teil des Security-Universums. Auf Endpoint-Seite sind macOS-Plattformen sehr verbreitet und viele Server laufen nach wie vor unter Linux. Ganz zu schweigen von selbstverschlüsselnden Laufwerken und virtuellen Ressourcen wie VMs und Clouds. All diese Speicherressourcen fielen mit MBAM bisher ohnehin über den Tellerrand.
Unternehmen, die MBAM im Sommer 2019 ablösen müssen, sollten daher nach einer Managementlösung umschauen, die mit den nativen Verschlüsselungslösungen der Plattformhersteller umgehen kann, etwa FileVault von Apple oder Ubuntu für Linux. Zudem sollte solch eine Lösung auch Daten auf virtualisierten Endpoints wie VMs sicher verschlüsseln können.
Single Pane of Glass – alles in einer Oberfläche
"Single Pane of Glass", also "Alles auf einen Blick", ist für Managementwerkzeuge im Netzwerkbereich mittlerweile state-of-the-art, auch für die Datenverschlüsselung. Unternehmen, die MBAM ersetzen müssen, sollten sich nach einer Software umsehen, die sämtliche Endpoints monitoren und verwalten kann, und zwar nutzerbasiert, nicht nur gerätebezogen. Dazu sollten sich aktive, bestehende Nutzer und Nutzergruppen schnell und einfach importieren beziehungsweise in Echtzeit synchronisieren lassen. Nur so können IT-Verantwortliche sicher sein, dass Passwörter und Zugriffs-Policys stets auf dem aktuellsten Stand sind.
Fazit
Zusammen genommen bringen die vier hier ausgeführten Eigenschaften einer zentralisierten, automatisierten und plattformübergreifenden Managementsoftware für die Datenverschlüsselung drei große Vorteile mit sich: Weniger Komplexität für die Endnutzer, Zeitersparnis für das IT-Team und eine echte Ende-zu-Ende-Verschlüsselung sämtlicher Daten, was unerlässlich ist, wenn Unternehmen Compliance-Richtlinien entsprechen wollen.
ln/Garry McCracken, Vice President of Technology Partnerships bei WinMagic
Das Support-Ende von MBAM ist ein idealer Zeitpunkt für Unternehmen, um die Sicherheit und die Compliance-Konformität ihrer Datenverschlüsselung zu prüfen und sich nach einer Alternative umzuschauen. Folgende vier Eigenschaften sollte eine Managementlösung für die Verschlüsselung von Daten mitbringen:
Serverbasiertes Key-Management on-premises
Die Verschlüsselungs-Keys sind on-premises in einer Datenbank auf einem separaten Key-Management-Server hinterlegt, niemals auf dem Endgerät. Der Key-Management-Server, auch KMS genannt, ist außerdem für die so genannte Pre-Boot-Authentifizierung der verschlüsselten Geräte und Arbeitsressourcen, etwa VMs, zuständig. Bei der Pre-Boot-Authentifizierung muss sich der Nutzer am Endgerät noch vor dem Booten gegenüber dem Key-Management-Server validieren. Erst dann werden die Verschlüsselungs-Keys geladen. Der KMS bedient sich dazu aus vorhandenen Regelwerken für die Netzwerknutzung, beispielsweise aus einer Active-Directory-Datenbank.
Mithilfe dieses automatischen Authentifizierungsmechanismus, bestehend aus einer zentralen Schlüsselverwaltung und einer automatisierten Pre-Boot-Validierung, verbessert sich die Sicherheit, vor allem, weil keine Verschlüsselungs-Keys im Arbeitsspeicher des Geräts gespeichert werden. Auf diese Weise abgesicherte Endpoints sind beispielsweise unempfindlich gegenüber sogenannten "Cold Boot Attacks", die die Schwachstelle "Schlüssel in der Hardware des Geräts gespeichert" ausnutzen.
Darüber hinaus müssen IT-Teams weniger Zeit für das Bereitstellen und das Zurücksetzen von Passwörtern verwenden – oder verschwenden. Wenn Geräte oder VMs heruntergefahren oder neu gestartet werden, befinden sich keinerlei Verschlüsselungs-Keys auf dem Gerät. Verlässt ein Mitarbeiter das Unternehmen, gehen mit seinem Nutzerprofil automatisch auch die Verschlüsselungs-Keys offline. Etwaig gespeicherte Daten sind nicht mehr lesbar.
Automatisierte Pre-Boot-Authentifizierung
Die Pre-Boot-Authentifizierung ist nichts Neues. Mit dieser Methode gibt es seit langem eine zuverlässige Möglichkeit, Speicherressourcen sicher zu ver- und entschlüsseln. Allerdings wird sie nicht konsequent umgesetzt. Bei BitLocker zum Beispiel müssen immer wieder kryptische Passwörter händisch eingegeben werden. Das ist extrem anstrengend für Endnutzer. Die Folge: Die Pre-Boot-Authentifizierung wird häufig einfach ausgeschaltet, obwohl bekannt ist, dass sich der verschlüsselte Speicher ohne Pre-Boot-Validierung sehr einfach hacken lässt, wie ein Versuch von Pulse Security unlängst gezeigt hat. Mithilfe von Hardware für weniger als 50 Euro und etwas Code-Wissen konnten die Forscher das TPM-Modul eines Rechners problemlos hacken und die verschlüsselten Daten auslesen.
Logische Konsequenz des Ganzen: Die Pre-Boot-Authentifizierung muss automatisch, quasi im Hintergrund erfolgen, und zwar nutzerbasiert, beispielsweise anhand vorhandener Active-Directory-Verzeichnisse. Das ermöglicht Endnutzern, schnell und komfortabel ihre Arbeit auf- oder wieder aufzunehmen. Und Administratoren sparen Arbeitszeit, indem sich das Policy-Management einfach importieren lässt und die Bereitstellung von Zugängen vollautomatisch abläuft.
Plattformübergreifende Verschlüsselung
MBAM konnte nur mit Ressourcen umgehen, die mithilfe von BitLocker verschlüsselt wurden. Windows-Workloads sind aber nur ein sehr kleiner Teil des Security-Universums. Auf Endpoint-Seite sind macOS-Plattformen sehr verbreitet und viele Server laufen nach wie vor unter Linux. Ganz zu schweigen von selbstverschlüsselnden Laufwerken und virtuellen Ressourcen wie VMs und Clouds. All diese Speicherressourcen fielen mit MBAM bisher ohnehin über den Tellerrand.
Unternehmen, die MBAM im Sommer 2019 ablösen müssen, sollten daher nach einer Managementlösung umschauen, die mit den nativen Verschlüsselungslösungen der Plattformhersteller umgehen kann, etwa FileVault von Apple oder Ubuntu für Linux. Zudem sollte solch eine Lösung auch Daten auf virtualisierten Endpoints wie VMs sicher verschlüsseln können.
Single Pane of Glass – alles in einer Oberfläche
"Single Pane of Glass", also "Alles auf einen Blick", ist für Managementwerkzeuge im Netzwerkbereich mittlerweile state-of-the-art, auch für die Datenverschlüsselung. Unternehmen, die MBAM ersetzen müssen, sollten sich nach einer Software umsehen, die sämtliche Endpoints monitoren und verwalten kann, und zwar nutzerbasiert, nicht nur gerätebezogen. Dazu sollten sich aktive, bestehende Nutzer und Nutzergruppen schnell und einfach importieren beziehungsweise in Echtzeit synchronisieren lassen. Nur so können IT-Verantwortliche sicher sein, dass Passwörter und Zugriffs-Policys stets auf dem aktuellsten Stand sind.
Fazit
Zusammen genommen bringen die vier hier ausgeführten Eigenschaften einer zentralisierten, automatisierten und plattformübergreifenden Managementsoftware für die Datenverschlüsselung drei große Vorteile mit sich: Weniger Komplexität für die Endnutzer, Zeitersparnis für das IT-Team und eine echte Ende-zu-Ende-Verschlüsselung sämtlicher Daten, was unerlässlich ist, wenn Unternehmen Compliance-Richtlinien entsprechen wollen.
ln/Garry McCracken, Vice President of Technology Partnerships bei WinMagic
