Fachartikel

MBAM-Alternativen nach dessen End of life

Im Juli stellte Microsoft den Support für die Managementsoftware seiner Datenverschlüsselungslösung BitLocker "Microsoft Bitlocker Administration and Management", kurz MBAM genannt, ein. Zeit also, sich nach einer Alternative umzusehen, die Daten an Endpoints sicher und Compliance-konform verschlüsselt – und alte Schwächen von MBAM ausmerzt, darunter die unkomfortable Pre-Boot-Authentifizierung. Der Fachartikel erläutert, worauf IT-Verantwortliche hier achten sollten.
Verschlüsselung ist die eine Sache – ein durchdachtes Sclüsselmanagement im Unternehmen die andere.
Als Alternative zu MBAM empfiehlt Microsoft unter anderem ein Schlüsselmanagement mit Azure, also eine cloudbasierten Lösung. Das birgt Security-Risiken und Compliance-Verstöße. Unternehmen, die hier auf der sicheren Seite sein wollen, müssen die volle Kontrolle über ihre Verschlüsselungs-Keys haben. Sie verwalten die Schlüssel folglich am besten innerhalb eigener IT-Ressourcen und on-premises. Es empfiehlt sich daher, native Verschlüsselungslösungen wie BitLocker mit einem robusten, leistungsstarken Key-Management-Layer zu kombinieren.

Das Support-Ende von MBAM ist ein idealer Zeitpunkt für Unternehmen, um die Sicherheit und die Compliance-Konformität ihrer Datenverschlüsselung zu prüfen und sich nach einer Alternative umzuschauen. Folgende vier Eigenschaften sollte eine Managementlösung für die Verschlüsselung von Daten mitbringen:

Serverbasiertes Key-Management on-premises
Die Verschlüsselungs-Keys sind on-premises in einer Datenbank auf einem separaten Key-Management-Server hinterlegt, niemals auf dem Endgerät. Der Key-Management-Server, auch KMS genannt, ist außerdem für die so genannte Pre-Boot-Authentifizierung der verschlüsselten Geräte und Arbeitsressourcen, etwa VMs, zuständig. Bei der Pre-Boot-Authentifizierung muss sich der Nutzer am Endgerät noch vor dem Booten gegenüber dem Key-Management-Server validieren. Erst dann werden die Verschlüsselungs-Keys geladen. Der KMS bedient sich dazu aus vorhandenen Regelwerken für die Netzwerknutzung, beispielsweise aus einer Active-Directory-Datenbank.

Mithilfe dieses automatischen Authentifizierungsmechanismus, bestehend aus einer zentralen Schlüsselverwaltung und einer automatisierten Pre-Boot-Validierung, verbessert sich die Sicherheit, vor allem, weil keine Verschlüsselungs-Keys im Arbeitsspeicher des Geräts gespeichert werden. Auf diese Weise abgesicherte Endpoints sind beispielsweise unempfindlich gegenüber sogenannten "Cold Boot Attacks", die die Schwachstelle "Schlüssel in der Hardware des Geräts gespeichert" ausnutzen.

Darüber hinaus müssen IT-Teams weniger Zeit für das Bereitstellen und das Zurücksetzen von Passwörtern verwenden – oder verschwenden. Wenn Geräte oder VMs heruntergefahren oder neu gestartet werden, befinden sich keinerlei Verschlüsselungs-Keys auf dem Gerät. Verlässt ein Mitarbeiter das Unternehmen, gehen mit seinem Nutzerprofil automatisch auch die Verschlüsselungs-Keys offline. Etwaig gespeicherte Daten sind nicht mehr lesbar.
Automatisierte Pre-Boot-Authentifizierung
Die Pre-Boot-Authentifizierung ist nichts Neues. Mit dieser Methode gibt es seit langem eine zuverlässige Möglichkeit, Speicherressourcen sicher zu ver- und entschlüsseln. Allerdings wird sie nicht konsequent umgesetzt. Bei BitLocker zum Beispiel müssen immer wieder kryptische Passwörter händisch eingegeben werden. Das ist extrem anstrengend für Endnutzer. Die Folge: Die Pre-Boot-Authentifizierung wird häufig einfach ausgeschaltet, obwohl bekannt ist, dass sich der verschlüsselte Speicher ohne Pre-Boot-Validierung sehr einfach hacken lässt, wie ein Versuch von Pulse Security unlängst gezeigt hat. Mithilfe von Hardware für weniger als 50 Euro und etwas Code-Wissen konnten die Forscher das TPM-Modul eines Rechners problemlos hacken und die verschlüsselten Daten auslesen.

Logische Konsequenz des Ganzen: Die Pre-Boot-Authentifizierung muss automatisch, quasi im Hintergrund erfolgen, und zwar nutzerbasiert, beispielsweise anhand vorhandener Active-Directory-Verzeichnisse. Das ermöglicht Endnutzern, schnell und komfortabel ihre Arbeit auf- oder wieder aufzunehmen. Und Administratoren sparen Arbeitszeit, indem sich das Policy-Management einfach importieren lässt und die Bereitstellung von Zugängen vollautomatisch abläuft.

Plattformübergreifende Verschlüsselung
MBAM konnte nur mit Ressourcen umgehen, die mithilfe von BitLocker verschlüsselt wurden. Windows-Workloads sind aber nur ein sehr kleiner Teil des Security-Universums. Auf Endpoint-Seite sind macOS-Plattformen sehr verbreitet und viele Server laufen nach wie vor unter Linux. Ganz zu schweigen von selbstverschlüsselnden Laufwerken und virtuellen Ressourcen wie VMs und Clouds. All diese Speicherressourcen fielen mit MBAM bisher ohnehin über den Tellerrand.

Unternehmen, die MBAM im Sommer 2019 ablösen müssen, sollten daher nach einer Managementlösung umschauen, die mit den nativen Verschlüsselungslösungen der Plattformhersteller umgehen kann, etwa FileVault von Apple oder Ubuntu für Linux. Zudem sollte solch eine Lösung auch Daten auf virtualisierten Endpoints wie VMs sicher verschlüsseln können.

Single Pane of Glass – alles in einer Oberfläche
"Single Pane of Glass", also "Alles auf einen Blick", ist für Managementwerkzeuge im Netzwerkbereich mittlerweile state-of-the-art, auch für die Datenverschlüsselung. Unternehmen, die MBAM ersetzen müssen, sollten sich nach einer Software umsehen, die sämtliche Endpoints monitoren und verwalten kann, und zwar nutzerbasiert, nicht nur gerätebezogen. Dazu sollten sich aktive, bestehende Nutzer und Nutzergruppen schnell und einfach importieren beziehungsweise in Echtzeit synchronisieren lassen. Nur so können IT-Verantwortliche sicher sein, dass Passwörter und Zugriffs-Policys stets auf dem aktuellsten Stand sind.

Fazit
Zusammen genommen bringen die vier hier ausgeführten Eigenschaften einer zentralisierten, automatisierten und plattformübergreifenden Managementsoftware für die Datenverschlüsselung drei große Vorteile mit sich: Weniger Komplexität für die Endnutzer, Zeitersparnis für das IT-Team und eine echte Ende-zu-Ende-Verschlüsselung sämtlicher Daten, was unerlässlich ist, wenn Unternehmen Compliance-Richtlinien entsprechen wollen.
7.08.2019/ln/Garry McCracken, Vice President of Technology Partnerships bei WinMagic

Nachrichten

Bildungseinrichtungen häufig Opfer von Cyberattacken [18.09.2019]

Der Bildungsbereich ist die am stärksten von Cyberangriffen betroffene Branche. Untersuchungen von EfficientIP und IDC haben ergeben, dass 86 Prozent der Befragten im Bildungswesen 2018 Erfahrungen mit Domain Name System (DNS)-Attacken gemacht haben. Nur der Regierungssektor ist noch häufiger Opfer derartiger Angriffe. [mehr]

Virtuelle Sicherheit für Verschlüsselungs-Keys [18.09.2019]

nCipher Security stellt nShield as a Service vor. Hierbei handelt es sich um einen Cloud-basierten Service, der es Unternehmen unter Einsatz von Hardware-Sicherheitsmodulen ermöglicht, sensible Daten und Anwendungen zu schützen. [mehr]

Tipps & Tools

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Jetzt buchen: Training "vSphere Best Practices und Troubleshooting" [12.08.2019]

Die Virtualisierungsinfrastruktur ist heutzutage in den meisten Unternehmen die Basis des IT-Betriebs. Läuft sie nicht optimal oder steht gar komplett still, fallen zahlreiche IT-Dienste aus. Daher sind gerade für VMware vSphere Best Practices gefragt, die helfen, das System mit größtmöglicher Leistung zu betreiben und proaktiv auf mögliche Störungen zu überwachen. Wie dabei vorzugehen ist, zeigt unser Training ebenso wie das Troubleshooting im Fehlerfall. [mehr]

Buchbesprechung

Windows Server 2019

von Peter Kloep, Karsten Weigel, Kevin Momber, Raphael Rojas und Annette Frankl

Anzeigen