Windows 11

    Zitat von Mira_Belle

    Wofür brauchst Du eine lokale Verschlüsselung, wenn es gar keinen lokalen Datenträger mehr gibt?
    Aber wir "reden hier wahrscheinlich aneinander vorbei!
    Natürlich müssen die Daten in der Cloud eigentlich verschlüsselt sein.
    Werden sie denn aktuell automatisch verschlüsselt?

    Lokale Datenträger werden immer von Nöten sein. Irgendwo müssen die Daten ja (zwischen) gespeichert werden, wenn sie lokal verarbeitet werden und sei es nur als Cachevariante. Ansonsten müssten die Endgeräte ja weit über 64GB RAM haben. Die meisten mobilen Endgeräte mit cloudbasierten Systemen (ChromeOS, Android) haben aber nur bis zu durchschnittlich 8GB-16GB RAM und lokalen Datenfestspeicher bis zu 256GB verbaut. Die meisten neuen Smartphones haben dabei nicht mal mehr die Möglichkeit eine SD-Karte einzusetzen. Es soll alles in der Cloud stattfinden. Zudem sollen sich ja auch viele Leute Geräte leisten können. Ergo dürfen die Geräte hardwaretechnisch nicht extrem teuer werden.

    Zumindest in allen mir bekannten relevanten Clouds wird verschlüsselt. Apple, Microsoft 365/OneDrive, Google Drive/Google One und Amazon. Apple und Google sind dabei, so denke ich mal sind auf diesem Gebiet keine neuen Mitspieler, sondern alte Vertreter der Cloud-Lösungen mit entsprechenden Erfahrungen. Aber auch Microsoft und Amazon dürften sich da nicht hinter verstecken und sind wichtige Mitspieler auf diesem Gebiet. Gerade Amazon mit ihrer globalen Netz-Infrastruktur.

    HP Chromebook 15a-nb0225ng, i3N-305, 8 GB LPDDR5-4800 MHz RAM (integriert), 256GB UFS, - chromeOS 132 (Stable Channel) - Linux Debian Bookworm: Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

    Zitat von Sören Hentzschel

    Eine solche Unterscheidung ergibt keinen Sinn. Entweder sieht man das als sinnvolles Sicherheits-Feature oder nicht. Das macht auf einem „mobilen Gerät“ nichts anderes als auf einem Desktop-Gerät.

    Éine Unterscheidung macht alleine schon deshalb Sinn weil es an mobile und stationäre Geräte ganz verschiedene Anforderungen gibt. Es war nicht die Frage ob es grundsätzlich sinnvoll ist und Teil eines Sicherheitskonzept für digitale Geräte sein sollte.

    Zitat von Sören Hentzschel

    Was auch immer für Nachteile das sein sollen. Man kann nämlich Dual-Boot plus Bitlocker nutzen, wie eine kurze Recherche ergeben hat.

    Wird ein alternatives Betriebssystem (z.B. Linux) installiert, wird häufig der Bootloader (z.B. GRUB) verändert. BitLocker erkennt dies als Manipulation am Bootprozess und verlangt beim nächsten Start von Windows oft den Wiederherstellungsschlüssel.

    Auch Updates oder Änderungen am GRUB-Bootloader können dazu führen, dass BitLocker erneut den Schlüssel verlangt, da sich der Hash im TPM ändert. Liegen beide Betriebssysteme auf derselben Festplatte und teilen sich die EFI-Partition, kommt es besonders häufig zu Problemen: Schon das Wechseln zwischen den Systemen kann dazu führen, dass BitLocker bei jedem Start den Wiederherstellungsschlüssel verlangt.

    Backups und Wiederherstellungen (z.B. mit Macrium Reflect) sind zwar möglich, aber nur, wenn BitLocker korrekt unterstützt wird. Kommt es zu Fehlern oder ist der Wiederherstellungsschlüssel nicht verfügbar, kann der Zugriff auf das System verloren gehen.

    Die Performance von BitLocker ist in der Regel kein Problem, aber die Kompatibilität mit anderen Verschlüsselungslösungen (z.B. LUKS unter Linux) ist eingeschränkt.

    BitLocker verschlüsselt ganze Partitionen, nicht einzelne Dateien oder Ordner. Das kann im Dual-Boot-Kontext zu weiteren Einschränkungen führen, da der Zugriff auf einzelne Daten nicht flexibel steuerbar ist.


    Auf einem Rechner auf dem ausschließlich MS Windows als Betriebssystem gestartet wird ist es bedeutend unkomplizierter BitLocker zu verwenden. Auf solchen Computern ist es auch die bevorzugte Lösung andere Betriebssystem in einer virtuellen Maschine zu installieren da ein Dual-Boot System auch seine Nachteile hat. Das ist in Mac OS oder Linux bezogen auf den Aufwand und die jeweilige Betriebssystem spezifische Verschlüsselung bestimmt ähnlich im Betzug auf den Aufwand.

    Zitat von Foxxiator

    Ich sage nur TPM; dort liegt der Key nämlich....

    Oder in der CPU, wenn die CPU ein Firmware-TPM enthält. Das ist ein weiterer Punkt auf den beim Wechsel der Hhardware oder nach einer Reparatur eines Mainboard im Notebook geachtet werden sollte.

    2 Mal editiert, zuletzt von TPD-Andy (17. April 2025 um 14:07) aus folgendem Grund: Ein Beitrag von TPD-Andy mit diesem Beitrag zusammengefügt.

    Umso mehr ein Grund auch gerätexterne Datensicherungen zu haben. Entweder per Cloud oder externe Medienträger.

    HP Chromebook 15a-nb0225ng, i3N-305, 8 GB LPDDR5-4800 MHz RAM (integriert), 256GB UFS, - chromeOS 132 (Stable Channel) - Linux Debian Bookworm: Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

    Zitat von Mira_Belle

    Bitlocker dürfte gar nicht aktiv werden, wenn es nur eine lokale Installation ohne MS Konto ist!

    Wieso sollte Bitlocker bei einer „lokale[n] Installation ohne MS Konto“ nicht aktiviert sein? Da besteht ja mal überhaupt kein Zusammenhang. :/

    Zitat von Mira_Belle

    Und wieder ein Blick in die Zukunft!
    Wofür brauchst Du eine lokale Verschlüsselung, wenn es gar keinen lokalen Datenträger mehr gibt?

    Nochmal: Du sprichst hier von einem Szenario, welches nicht existiert. Was auch immer du für ganz persönliche Zukunfts-Phantasien hast, für diese Diskussion ist das irrelevant, da das nicht auf Tatsachen basiert.

    Zitat von Mira_Belle

    Sören Hentzschel Apropos Zitat: "Es ist Microsofts Verantwortung und moralische Pflicht, ...".
    Ja, zum Teil schon, z.B. durch Patches, die Sicherheitslücken schließen.
    Aber pampern gehört m.M. nicht dazu!

    Ich musste im Duden nachschlagen, was „pampern“ bedeuten soll, weil ich das Wort noch nie zuvor gehört habe. Ich kann aber ehrlich gesagt keine Definition nach Duden in einen logischen Zusammenhang zum Thema bringen.

    Jedenfalls liegst du gewaltig daneben, wenn du wirklich meinst, dass Sicherheit alleine durch das Reagieren auf vorhandene Sicherheitslücken gewährleistet werden könnte. Es wäre im Gegenteil fatal, wenn dem tatsächlich so wäre. Man möchte logischerweise so viele Bedrohungen wie möglich von Anfang an verhindern. Sicherheitslücken, die erst im Nachhinein geschlossen werden müssen, sind der Worst Case. Denn an dem Punkt angekommen, besteht die Möglichkeit, dass die jeweilige Schwachstelle bereits ausgenutzt worden ist. Das Schließen von Sicherheitslücken sollte im Normalfall nur einen Bruchteil der tatsächlichen Sicherheits-Arbeit ausmachen. Ansonsten hat man ein ernsthaftes Problem.

    Sicherheit beginnt schon sehr viel früher, und zwar bei der grundlegenden System-Architektur. Und natürlich auch beim Zugriffsschutz auf die Daten, wofür eine Verschlüsselung naheliegende Vorteile bringt. Geschlossene Sicherheitslücken sind das, was man mitbekommt, weil diese greifbar sind und auch öffentlich kommuniziert werden. Wie viele Bedrohungen durch die zahlreichen kleinen wie auch größeren Sicherheits-Stellschrauben des Systems von Anfang an verhindert werden, bekommt man gar nicht mit. Aber genau da liegt die Hauptarbeit, wenn es darum geht, eine sichere Anwendung bereitzustellen. Sicherheitslücken sind schlicht und ergreifend Programmierfehler. Wenn aber bereits das Fundament bröckelt, wirst du mit dem Schließen von Sicherheitslücken nicht mehr hinterherkommen. Schon gar nicht, wenn das Produkt ein paar hundert Millionen Nutzer oder wie Windows gar im Milliardenbereich hat, was entsprechend viele, die auch die notwendigen Fähigkeiten haben, dazu motiviert, das Produkt anzugreifen. Das macht es nur umso wichtiger, das Fundament zu stärken. Und dafür sind Themen wie TPM oder Bitlocker Bausteine, die ihren Teil zum Gesamtkonzept beitragen.

    Also nein, ganz klarer Widerspruch: Microsofts Verantwortung und moralische Pflicht liegt mal ganz sicher nicht nur im Schließen von Sicherheitslücken.

    Zitat von TPD-Andy

    Éine Unterscheidung macht alleine schon deshalb Sinn weil es an mobile und stationäre Geräte ganz verschiedene Anforderungen gibt. Es war nicht die Frage ob es grundsätzlich sinnvoll ist und Teil eines Sicherheitskonzept für digitale Geräte sein sollte.

    Du schreibst zwar, dass eine Unterscheidung Sinn ergeben würde, aber einen Grund lese ich keinen heraus. Nur die vage Aussage, es würde andere Anforderungen geben. Ich bleibe dabei, dass diese Unterscheidung keinen Sinn ergibt, weil Festplattenverschlüsselung am Desktop genau das Gleiche wie am Smartphone bedeutet. Ich sehe den Punkt nicht, wieso ich mobil sagen könnte, dass das gut ist, aber gleichzeitig am Desktop dagegen sein könnte. Ich behaupte sogar, dass Windows und macOS das nicht beide standardmäßig aktiviert hätten, wenn es dafür nicht auch am Desktop sehr gute Gründe geben würde. Ansonsten wäre es sicher attraktiv, zu Gunsten besserer Benchmark-Zahlen das nicht standardmäßig zu aktivieren. Immerhin ist Performance traditionell das bessere „Verkaufsargument“ als Sicherheit. Und doch haben sich die zwei größten und wichtigsten Betriebssystem-Hersteller für eine standardmäßige Aktivierung dieses Sicherheits-Features entschieden.

    "pampern" kommt von Pampers. Sowas wie "in Watte packen". Hat aber überhaupt nichts mit der Thematik Bitlocker zu tun. Es wurde doch wiederholt dargestellt, wann Bitlocker aktiv ist oder wird. Wer es nicht will, schaltet es vorher oder hinterher ab. Muss das denn schon wieder in endloses und subjektives Gesülze ausarten, weil mal wieder das allgemeine Verständnis fehlt? Mozilla macht es doch nicht viel anders. Nur weil ein Nutzer ein spezielles Feature nicht mag oder haben will, wird es ganz sicher nicht für 200 Millionen umgesetzt, weil es ganz anders schätzen.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 94.

    Zitat von .DeJaVu

    "pampern" kommt von Pampers. Sowas wie "in Watte packen"

    Ich kenne den Begriff wie gesagt nicht. Das heißt, ich richte mich nach dem Duden. Der stellt die folgenden Definitionen bereit:

    Zitat

    - mit lukrativen Sonderangeboten und -konditionen vertraglich [an einen Verein] zu binden suchen
    - unterstützen, verwöhnen

    Ich denke, wir sind uns einig, dass die erste Definition definitiv nicht gemeint sein kann. Aber weder „unterstützen“ noch „verwöhnen“ passen für mich inhaltlich zu dem, was Mira_Belle ganz offensichtlich aussagen wollte. Denn Nutzer zu unterstützen oder zu verwöhnen, klingt erstmal eher positiv und sie hat es nach meinem Verständnis ganz klar negativ gemeint. Deine Interpretation des Wortes geht vermutlich tatsächlich in die gedachte Richtung (was Fragen über ihr Verständnis von Sicherheit aufwirft, was aber zumindest zum Rest des Beitrags passt). Das Problem ist halt: Wenn man selbst zu Interpretationen kommen muss, die nicht einmal der Duden hat, ist das nicht zielführend. 🤷‍♂️

    Zitat von Sören Hentzschel

    Du schreibst zwar, dass eine Unterscheidung Sinn ergeben würde, aber einen Grund lese ich keinen heraus. Nur die vage Aussage, es würde andere Anforderungen geben.

    Dazu habe ich doch schon Gründe genannt warum es manchmal wie in meinem Fall nicht sinnvoll ist alle Datenträger zu verschlüsseln. Ich verwende verschiedene Linux-Kernel von denen einige nicht digital signiert sind was eine der Voraussetzungen für das Chain-Loading mit Grub-Bootloader und BitLocker sind. Und das hat nichts damit zu tun das Verschlüsselung generell oder für andere Anwender von Nutzen ist.

    Zitat von Sören Hentzschel

    Wieso sollte Bitlocker bei einer „lokale[n] Installation ohne MS Konto“ nicht aktiviert sein?

    Hallo Sören :)

    weil der Key mit einem MS-Konto in der MS-Cloud gespeichert wird. Das funktioniert mit einem lokalen Konto selbstverständlich nicht. Wie ich oben schrieb, ist Bitlocker laut dem MS-Artikel vielleicht genau deswegen bei OEM-Installationen und einem lokalen Konto standardmäßig nicht aktiviert.

    Gruß Ingo

    Und das laut Aussage von Sören ja auch überhaupt nichts mit BitLocker zu tun.
    Nur blöd, wenn man von dem Key gar nichts weiß und MS einem die Daten weggeschlossen hat.

    Aber das gibt es ja so gar nicht, schreiben hier so einige!

    Mit <3lichem Gruß

    Mira

    Zitat von Sören Hentzschel

    Das kann man sich doch aussuchen

    Hallo Sören :)

    richtig, Bitlocker kann man explizit und ganz bewusst aktivieren. Es ging mir aber darum, dass es gemäß dem oben genannten Artikel, zumindest bei OEM-Installationen, mit einem lokalen Konto nicht standardmäßig aktiviert ist.

    Zitat von MSFT

    Der Schutz ist jedoch nur aktiviert (scharfgestellt), nachdem sich Benutzer mit einem Microsoft-Konto oder einem Azure Active Directory-Konto angemeldet haben. Bis dahin ist der Schutz ausgesetzt und Daten sind nicht geschützt. Die automatische Geräteverschlüsselung von BitLocker ist nicht für lokale Konten aktiviert. In diesem Fall kann BitLocker mithilfe der BitLocker-Systemsteuerung manuell aktiviert werden.

    Mit einem MS-Konto ist es ab 24H2 dagegen standardmäßig aktiviert.

    Zitat von Foxxiator

    mit ausschließlich lokalem Konto des Desktoprechners nie gesehen, als BL ungefragt sämtliche lokalen Datenträger verschlüsselt hat

    Das heißt, Du hast Windows mit einem lokalen Konto installiert und Bitlocker wurde dabei automatisch aktiviert? Dann gilt der Artikel wirklich nur für OEM-Installationen.

    Gruß Ingo

    Zitat von TPD-Andy

    Und wie ging das Ganze weiter für dich?

    Ich habe das mit der Verschlüsselung eher zufällig gesehen und das umgehend rückgängig gemacht.....

    Zitat von schlingo

    Das heißt, Du hast Windows mit einem lokalen Konto installiert und Bitlocker wurde dabei automatisch aktiviert?

    Genauso; saubere Neuinstallation 24H2 mit lokalem Konto. Ich habe das zum Anlass genommen und einen harten Schnitt gemacht, weil die Änderungen am Unterbau zur 23H2 doch recht gravierend sind.