ComputerBase Menü
Aktuelles

Laptop und PC Verschlüsseln

S

SauseBrauseAhoi

Cadet 3rd Year
Registriert
Sep. 2022
Beiträge
44
Hallo,

ich habe es jetzt bei bekannten erlebt, dass der Laptop aus dem Zu geklaut wurde.
Ich habe zwar viele Daten in meiner Own Cloud gesichert aber das schützt mich ja nicht, wenn meine privaten Informationen in Fremde Hände geraten.

Nun würde ich gerne meinen Laptop verschlüsseln. Da läuft Windows 11 Pro drauf.
Außerdem habe ich 2 nvme drinnen. Gerne beide nvme.

Allerdings habe ich nicht viel Erfahrung in dem Bereich.
1. Es gibt ja schon Daten darauf, geht es dann trotzdem?
2. VeraCrypt oder Bitlocker? Was davon ist jetzt "besser" ich habe dazu ziemlich viel gelesen aber keine fachliche MEinung dazu gebildet, weil es für beides einige für und wieder gibt.
3. Wie ist es mit externen Shares, wenn ich Ordner meines Laptops im Netzwerk freigebe, dann kann man darauf normal zugreifen, wenn der Rechner Entsperrt ist?
4. Gibt es Einschränkungen ?

Verzeiht die Frage, wurde sicherlich schon tausend und einmal gefragt aber bei "anderen" lesen trifft nicht immer auf die eigene Situation zu und ich bin mir da sehr unsicher.

Besten Dank
 
1. Ja, geht trotzdem.
2. Bei Windows 11 Pro würde ich Bitlocker nehmen. Einmal aktiviert bekommst du nichts mehr davon mit. Musst auch wegen des TPM kein extra Passwort eingeben.
3. Ja, der Betrieb wird von der Laufwerksverschlüsselung nicht eingeschränkt.
4. Du musst nur den Backup-Key sicher aufbewahren, sonst kann Datenverlust drohen. Backup sollte man so oder so zusätzlich haben.
 
  • Gefällt mir
Reaktionen: redjack1000, qiller, entest und 3 andere
1) Bei Bitlocker auf jeden Fall
2) Bitlocker (gerade wenn du nicht viel Erfahrung hast) - such einfach mal hier im Forum nach dem Begriff Veracrypt und wieviele Daten da schon abhanden gekommen sind
3) Netzwerkfreigaben haben da nicht viel mit zu tun. Bitlocker verschlüsselt in erster Linie deine SSD - eine Netzwerkfreigabe ist Quasi ein Server, der lokal auf deinem Notebook läuft.

4) Bitlocker bringt - in erster Linie - nur etwas, wenn deine Platte ausgebaut wird, da der Schlüssel mWn. im TPM Modul deines Notebooks gespeichert ist.
Du kannst allerdings auch den Bootloader über Bitlocker mit einem Passwort versehen, dass du eingeben musst, bevor Windows überhaupt startet - das würde dann hierbei helfen.
 
  • Gefällt mir
Reaktionen: qiller und Tr0nism
Und gleich mal über eine Backupstrategie nachdenken. Die Verschlüsselungen funktionieren, machst du einen Fehler, sperrst du dich aus. Passiert, wie man auch im Forum sieht, immer mal wieder. Das sollte vorher durchdacht werden.
 
  • Gefällt mir
Reaktionen: qiller
Nilson schrieb:
2. Bei Windows 11 Pro würde ich Bitlocker nehmen. Einmal aktiviert bekommst du nichts mehr davon mit. Musst auch wegen des TPM kein extra Passwort eingeben.
Zum Vergrößern anklicken....
Hiervon würde ich abraten. TPM+PIN sollte es schon sein.
TPM-only gibt mir kein gutes Gefühl nach einem Diebstahl oder am Flughafen, wenn mein Laptop plötzlich Kratzspuren hat.
 
  • Gefällt mir
Reaktionen: redjack1000, Marco01_809 und Der_Dicke82
@wirelessy Diese zusätzliche Stufe halte ich im privaten Umfeld für nicht wirklich wichtig. Das Gerät ist ja ohnehin gesperrt wenn es startet (resume/startup), ein zusätzlicher Pin macht es nur komplexer für die Enduser.
 
SauseBrauseAhoi schrieb:
2. VeraCrypt oder Bitlocker?
Zum Vergrößern anklicken....
Würde auch zu Bitlocker greifen, da es ja in deiner Windows Version so oder so integriert ist.
Und, für wirklich sensible Daten bietet OneDrive z.B. auch einen Tresor an, der zusätzlich verschlüsselt ist. Selbst wenn du jemanden dein entsperrtes Notebook in die Hand drückst, kommt er nicht (so schnell) an die Daten.

Was ich teilweise gemacht hatte, war eine extra Partition für OneDrive (oder jeder andere Cloud Service) der per extra Pin entsperrt werden musste. So konnte ich den auch an Vertrauenswürdige Personen (kurzzeitig) ausleihen, die trotzdem nicht an die wichtigsten Daten kommen.

Was wichtig ist: es gibt einen 48 stelligen Entsperrschlüssel, den man entweder ausdruckt oder in OneDrive sichern kann.
Bei reinen Offline Daten ein extrem wichtiger Punkt.
 
Das ist ein nobrainer: Bitlocker
Standard Login (inkl. „Abkürzung“ über PIN, Fingerprint, „FaceID“) zusammen mit TPM ist ausreichend sicher.
Der Entschlüsselung Key wird im MS Account abgelegt (der auf jeden Fall per MFA abgesichert sein sollte) und sollte nochmal „privat“ (z.B. USB Stick im Tresor oder auch ganz altmodisch ausgedruckt) gesichert werden.

Das ganze ist ziemlich ausgereift, trotzdem legt man sich natürlich VORHER ein „richtiges“ Backup an, es kann immer was schief gehen und Murphy lungert hinter jeder Ecke und wartet auf seine Chance…

Gerade weil das so einfach und unbemerkt abläuft, habe ich inzwischen alle Windows Rechner mit Bitlocker laufen und in der Firma ist es eh Pflicht.
 
  • Gefällt mir
Reaktionen: qiller und entest
Nilson schrieb:
2. Bei Windows 11 Pro würde ich Bitlocker nehmen. Einmal aktiviert bekommst du nichts mehr davon mit. Musst auch wegen des TPM kein extra Passwort eingeben.
Zum Vergrößern anklicken....

Und wie erkennt das TPM den Besitzer? Denn wenn der Dieb ebenfalls kein Passwort eingeben muss, ist das doch völlig sinnbefreit.
 
Über das Windows-Passwort bzw. über Windows-Hello.
 
Genau für diese ganzen Dinge ist das TPM (inkl. dem Software Framework drum herum) da!

Ohne TPM kein richtiges hello und auch kein Bitlocker (kann man den immer noch „hintenrum“ ohne TPM aktivieren?)

Viele Leute sehen Probleme, wo gar keine sind, bzw. die bereits lange gelöst sind. Man kann von MS halten was man, ganz blöd sind die aber doch nicht ;)
 
  • Gefällt mir
Reaktionen: entest
CoMo schrieb:
Das setzt voraus, dass das UEFI des Laptops transparente RAM-Verschlüsselung (TSME) unterstützt. Denn sonst liegt der Key im Klartext im RAM. Auch ohne Windows-Anmeldung.

Lektüre: https://de.wikipedia.org/wiki/Kaltstartattacke
Zum Vergrößern anklicken....

https://learn.microsoft.com/en-us/archive/blogs/motiba/locking-up-your-bitlocker . Die wenigsten Geräte heute haben überhaupt noch steckbaren RAM und wenn DAS dein Threatmodel als Privatmensch ist, hast du eh ganz andere Probleme :evillol:
 
entest schrieb:
Die wenigsten Geräte heute haben überhaupt noch steckbaren RAM
Zum Vergrößern anklicken....

Also mein vor ein paar Monaten neu gekauftes Lenovo Thinkpad P14s Gen3 hat 2 Steckplätze und da stecken Module drin und wenn ich auf das Metallteil drücke, hab ich die Module in der Hand. Ist das jetzt so ein ganz exotischer Edgecase?

entest schrieb:
@CoMo Hä? Die Partition wird vor dem Windowsstart vom Bootloader entsperrt, wie sonst?
Zum Vergrößern anklicken....

Eben. Automatisch. Ohne Passwort und ohne PIN. Zumindest, wenn wie hier vorgeschlagen

Nilson schrieb:
Einmal aktiviert bekommst du nichts mehr davon mit.
Zum Vergrößern anklicken....
 
  • Gefällt mir
Reaktionen: Marco01_809 und Der_Dicke82
@CoMo Das P14s nennt Lenovo "Mobile Workstation", das ist ja schon mal eine Nische aber ja, gibt noch Modelle im Prosegment mit steckbaren Modulen. Wie gesagt wenn das dein Threatmodel ist dann halt Pin (stand auch im Link). Ich denke aber totzdem das eine Kalstartattacke wohl für die meisten User etwas sehr weit hergeholt sein dürfte.
 
Beim Boot fragt der Windows-Bootloader das TPM nach dem Key. Das TPM gibt den Schlüssel aber nur preis, wenn es verifiziert hat, dass es tatsächlich der Windows-Bootloader ist, der da fragt und nicht z.B. ein Live-Linux von einem USB-Stick.
https://learn.microsoft.com/en-us/w...ndows-uses-the-tpm#bitlocker-drive-encryption

Ja, ein Angreife käme so bis zum Windows-Login-Screen, aber von dort kommt er auch nicht weiter. Und dem TE geht es ja um "Gelegenheitsdiebe" im Zug etc. Dafür halte ich das Verfahren für ausreichend.
 
  • Gefällt mir
Reaktionen: entest
Puh ganz schön viel Lektüre.
Ich finde es aber sehr spannend wie man sich trefflich über das Thema austauschen kann.
Also ja, mir geht es dabei eher darum, dass der Laptop Beine bekommt. Auch in Firmen kenne ich das Bitlocker eingesetzt wird.

Ich vermute mal, dass wenn jemand ganz speziell mich als Opfer aussucht habe ich mindestens ein Problem mehr :p

Aber ja, die Aspekte und Sichtweisen kann ich verstehen. Ich habe Sensible Daten auf meinem Laptop und möchte verhindern das diese in falsche Hände geraten. Egal ob jemand das Laptop für eine Packung Kippen tauscht oder jemand explizit an die Daten will.

Was natürlich auch nicht passieren darf ist das ich mich aussperre. Also besser das Bitlocker Passwort nicht vergessen bzw. Windows Passwort.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Bubba2k3
Windows 10 einzelnen Ordner verschlüsseln
2
Antworten
24
Aufrufe
958
Thorakon
T
humancore
VeraCrypt - wie optimal verschlüsseln?
Antworten
14
Aufrufe
1.545
Kristatos
K
Cinematic
Welche VM-Software für Linux auf einem x86-Mac? Und wie verschlüsseln?
Antworten
13
Aufrufe
723
BFF
BFF
S
Systempartition verschlüsseln mit VeraCrypt HP Desktop
Antworten
14
Aufrufe
868
SOMIT
S
R
Beste Art, langfristig ein externes Laufwerk zu verschlüsseln
Antworten
6
Aufrufe
806
Skudrinka
Skudrinka
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz