Anleitung zum Troubleshooting bei Problemen mit der Festplattenverschlüsselung

Inhaltsverzeichnis:

1. Was ist Festplattenverschlüsselung?
2. Hardwareverschlüsselung im Vergleich zu Softwareverschlüsselung
3. Was ist TPM?
4. Full Disk Encryption (FDE)
5. Was ist BitLocker?
6. Verschlüsselung von Festplattenlaufwerken mit Advanced Format (512e)
7. Festplatte wird von der Verschlüsselungssoftware nicht erkannt
8. Probleme vor dem Start
9. System wird nach dem Hinzufügen von Verschlüsselungssoftware eines Drittanbieters nicht gestartet.
10. Verschlüsselung und Neuinstallationen des Betriebssystems
11. Verlorene Kennwörter oder Verschlüsselungscodes

1. Was ist Festplattenverschlüsselung?

Festplattenverschlüsselung ist ein Vorgang, bei dem Daten auf der Festplatte oder dem gesamten Laufwerk mit mathematischen Algorithmen in nicht lesbaren Code umgewandelt wird, sodass nicht autorisierte Benutzer nicht auf sie zugreifen können. NutzerInnen müssen für den Zugriff auf ein verschlüsseltes Laufwerk ein Kennwort oder einen Fingerabdruck eingeben oder über eine SmartCard verfügen. Die Verschlüsselung lässt sich mithilfe von Software- oder Hardware-Mechanismen durchführen. In der Client-Welt haben wir die meiste Zeit mit Software-Verschlüsselung zu tun. Die Verschlüsselung kann auf Dateiebene oder für die gesamte Festplatte erfolgen.

Zurück zum Anfang

2. Vergleich der Hardwareverschlüsselung mit der Softwareverschlüsselung

Der wesentliche Unterschied zwischen Software- und Hardware-Verschlüsselung besteht darin, dass das Master-Startverzeichnis mit einem Software-Verschlüsselungsmechanismus nicht verschlüsselt werden kann. Dell Client-Computer verwenden Wave Trusted Drive Manager als Teil der Suite Dell Data Protection oder Dell ControlPoint Security Manager mit dem TPM-Chip für softwarebasierte Verschlüsselung. Enterprise-KundInnen können Dell Data Protection Encryption und ein DDPE-Beschleunigermodul in einem Steckplatz auf der Hauptplatine verwenden, indem die Mini-Karte für Laptops oder eine PCIe-Karte für Desktop-Computer verwendet wird. Die Hardware-Verschlüsselung ist sicherer, da sie das Laufwerk von der CPU und vom Betriebssystem isoliert, sodass dieses weit weniger anfällig für Angriffe ist.

Zurück zum Anfang

3. Was ist TPM?

Ein TPM (Trusted Platform Module) ist ein kryptografischer Mikroprozessor an der Hauptplatine, der die Verschlüsselungscodes für das Laufwerk speichert und authentifiziert und der auch das Laufwerk mit dem Computer verbindet. Dies bedeutet, dass wenn die verschlüsselte Festplatte aus dem Computer gestohlen und in einen anderen Computer eingebaut wird, kein Zugriff auf das Laufwerk möglich ist. Der TPM-Chip fungiert als ein „Zugang“ zum Laufwerk. Der Hauptnachteil der Verwendung des TPM-Chips in einem Verschlüsselungsschema besteht darin, dass wenn die Hauptplatine ersetzt werden muss, NutzerInnen möglicherweise nicht mehr auf das Laufwerk zugreifen können. Allerdings mildert Wave Trusted Drive Manager dieses Problem dadurch ab, dass es auch die Verschlüsselungscodes auf der Festplatte aufbewahrt. (Dies ist ähnlich wie bei RAID-Arrays, die nicht verloren gehen, wenn eine Hauptplatine ausgetauscht wird. Die Array-Informationen werden auf dem Stripe des Laufwerks und im RAID-Controller-EPROM aufbewahrt.)

Weitere Informationen: So beheben Sie häufig auftretende Problemen mit TPM und BitLocker

Zurück zum Anfang

4. Full Disk Encryption (FDE)

Full Disk Encryption bedeutet einfach, dass das gesamte Laufwerk (jeder Sektor) verschlüsselt werden kann und nicht nur Dateien, Ordner oder Dateisysteme. FDE-Festplatten werden in Laptops aufgrund des höheren Risikos von Diebstahl oder Verlust des Computers immer mehr zum Standard. Der Begriff „Full Disk Encryption“ wurde ursprünglich von Seagate geprägt, ist jedoch jetzt eine Branchenbezeichnung für alle Festplatten, die voll verschlüsselt werden können. Die FDE-Festplattensicherheitsfunktionen sind immer eingeschaltet und verhalten sich wie bei einer normalen Festplatte, bis die Sicherheitsrichtlinien implementiert werden.

Oft wird gefragt, ob sich die Wave Trusted Drive Manager-Verschlüsselungssoftware zur Verschlüsselung der gesamten Festplatte auch dann verwenden lässt, wenn die Festplatte keine FDE-Festplatte ist. Die Antwort lautet nein. Wave Trusted Drive Manager erfordert ein FDE-Laufwerk. Sie können Software-Verschlüsselungsmechanismen wie z. B. Windows BitLocker verwenden, um Datenträger auf Nicht-FDE-Laufwerken mit dem TPM-Chip oder einem USB-Stick zu verschlüsseln, aber nicht den Bootstrap des Betriebssystems (Startsektor) der Festplatte.

Für den Zugriff auf Inhalte einer mit Wave Trusted Drive Manager vollständig verschlüsselten Festplatte wird die vor dem Start stattfindende Authentifizierung verwendet, damit auf die Sektoren zugegriffen werden kann, die das Betriebssystem und die Benutzerdaten enthalten. Auf Client-Computern, die DDPA verwenden, wird die Einrichtung der vor dem Start stattfindenden Authentifizierung durch die Wave-Software innerhalb von DDPA\DCPSM übernommen.

Zurück zum Anfang

5. Was ist BitLocker?

BitLocker ist eine Funktion für die vollständige Datenträgerverschlüsselung in Windows 7, die jedoch nur in den Editionen Ultimate und Enterprise verfügbar ist. Mit BitLocker To Go können Sie leichter alle auf Wechsellaufwerken gespeicherten Dateien schützen (wie z. B. auf externen Festplatten oder USB-Flash-Laufwerken).

Im Unterschied zu Trusted Drive Manager brauchen diese Laufwerke keine FDE-Laufwerke zu sein. Allerdings kann BitLocker nur Datenträger verschlüsseln, nicht jedoch das Boot-Volume. Mit BitLocker verschlüsselte Laufwerke können vor dem Start durch Verwendung eines Kennworts oder einer SmartCard mit TPM entsperrt werden. Für den Zugriff auf BitLocker mit einem Mechanismus vor dem Start muss das BIOS in der Lage sein, beim Start einen USB-Stick zu lesen, und es müssen 2 Partitionen vorhanden sein, wobei die Computerlaufwerk-Partition mindestens 100 MB umfassen und als die aktive Partition eingestellt sein muss. Die Betriebssystem-Partition wird verschlüsselt und die Systempartition bleibt unverschlüsselt, sodass Ihr Computer starten kann.

TPM ist für BitLocker zwar nicht erforderlich, wird jedoch für mehr Sicherheit vor dem Start dringend empfohlen. Windows-Updates erfordern keine Deaktivierung von BitLocker, aber andere Updates erfordern möglicherweise seine Deaktivierung. Wie bei anderen Verschlüsselungsanwendungen wird empfohlen, einen Wiederherstellungsschlüssel (PIN) auf einem Wechseldatenträger oder an einem anderen sicheren Ort aufzubewahren. Wenn der Benutzer nicht über seine Wiederherstellungs-PIN verfügt, es ist unmöglich, das Laufwerk zu entsperren. Wenn der Computer nicht gestartet werden kann, um die BitLocker-Wiederherstellungskonsole aufzurufen, oder wenn die Festplatte ausgefallen ist, kann das BitLocker-Reparatur-Tool heruntergeladen und für die Wiederherstellung der Daten auf dem Laufwerk auf einen startfähigen Datenträger oder eine startfähige CD extrahiert werden. Sie müssen für den Zugriff auf die Daten über die PIN verfügen.

Wenn NutzerInnen sich in einer Domäne befinden, die das Active Directory verwendet, und wenn die Administration BitLocker eingerichtet hat, wurde die PIN möglicherweise im Active Directory gespeichert – wenden Sie sich an Ihre IT-Abteilung.

Weitere Informationen: So beheben Sie häufig auftretende Problemen mit TPM und BitLocker

Zurück zum Anfang

6. Verschlüsselung von Festplattenlaufwerken mit Advanced Format (512e).

Ein Festplattenlaufwerk mit Advanced Format (512e 4 K) bedeutet einfach, dass die einzelnen Sektoren des Laufwerks von 512 zu 4.096 Byte geändert wurden. Die erste Generation von Festplattenlaufwerken mit Advanced Format erreicht dies, indem sie 8 Sektoren mit 512 Byte-zu einem einzigen mit 4.096 Byte zusammenfasst. Auf Dell Computern geht der Begriff „512e“ (Emulation) auf die Verwendung von Konvertierungsmechanismen in der Firmware auf der Festplatte zurück, mit denen für ältere Komponenten und Softwareprogramme, die 512-Byte-Sektoren erwarten, eine Darstellung als 4.096-Byte-Sektor simuliert wird. Alle Lese-/Schreibvorgänge auf einem Festplattenlaufwerk mit Advanced Format (512e) erfolgen in Schritten von je 512 Byte, aber bei einem Lesezyklus werden die gesamten 4.096 Byte in den Speicher geladen. 512e-Laufwerke müssen daher ausgerichtet werden. Wenn die Laufwerksausrichtung nicht erfolgt, kann die Leistung des Laufwerks erheblich beeinträchtigt werden. Aktuelle Festplattenlaufwerke, die mit einem Dell Computer erworben wurden, sind bereits ausgerichtet.

Um zu ermitteln, ob der Computer über ein Festplattenlaufwerk mit Advanced Format (512e) verfügt, laden Sie das Advanced Format HDD Detection Tool herunter. 

Eine Ausrichtung der Partition ist bei älteren Betriebssystemen erforderlich. Bei neuen Betriebssystemen wird sie empfohlen, um richtige Festplattenleistung zu gewährleisten und um Imaging zwischen Laufwerken mit unterschiedlichen Sektorgrößen zu ermöglichen.

Die Laufwerksausrichtung kann mit einer Reihe von Tools erfolgen, die Sie von der Dell Support-Webseite Treiber und Downloads für Ihren Computer im Abschnitt SATA-Laufwerke herunterladen können.

Zurück zum Anfang

7. Festplatte wird von der Verschlüsselungssoftware nicht erkannt.

Für Wave Trusted Drive Manager muss das Laufwerk ein FDE-Laufwerk (Full Drive Encryption) sein, und für ATA\AHCI\IRRT muss SATA-Betrieb eingestellt werden und nicht RAID On\RAID. Dies kann bei Verschlüsselungsprogrammen von Drittanbietern der Fall sein.

Wenden Sie sich hinsichtlich der Anforderungen an die BIOS-Einstellung an den Lieferanten.

Überprüfen Sie die Laufwerksausrichtung, falls ein Betriebssystem-Image verwendet wird, insbesondere bei Windows XP. Stellen Sie sicher, dass vor der Verschlüsselung alle Updates auf das Abbild angewendet wurden.

Wenn Verschlüsselungssoftware von Drittanbietern verwendet wird, wenden Sie sich an den Lieferanten, um sicherzustellen, dass die Software mit der Hardware Ihres Computers sowie mit dem UEFI-BIOS funktioniert.

Zurück zum Anfang

8. Probleme vor dem Start

• Wenn NutzerInnen Probleme mit der Authentifizierung vor dem Start haben, überprüfen Sie, welcher Authentifizierungsmechanismus verwendet wird: Kennwort, Fingerabdruck oder SmartCard.
• Stellen Sie bei Kennwörtern sicher, dass das richtige Kennwort verwendet wird, und überprüfen Sie die richtige Einstellung der Tasten und .
• Stellen Sie bei Verwendung von Fingerabdrücken sicher, dass diese mit dem richtigen Finger und nicht zu schnell eingelesen werden. Drei ungültige Wischvorgänge führen zur Kennworteingabeaufforderung.
• Überprüfen Sie bei SmartCards, ob die richtige Karte verwendet wird, ob diese richtig eingelegt ist und keine Schäden aufweist. Versuchen Sie es mit einer anderen Karte, falls möglich.
• Wenn sich NutzerInnen in einer Domäne befinden, stellen Sie sicher, dass sie nicht auf lokale Anmeldung umgeschaltet haben. Sie müssen dieselben Anmeldeinformationen verwenden wie bei Einführung der Verschlüsselung.
• Wenn NutzerInnen angeben, dass die Authentifizierung vor dem Start nicht bei einem Neustart funktioniert, prüfen Sie das BIOS, um sicherzustellen, dass die Kennwortumgehung nicht aktiviert ist. Diese Funktion war in frühen BIOS-Versionen nicht aktiv, was jedoch seither behoben wurde. Stellen Sie sicher, dass KundInnen das neueste BIOS verwenden.
• Wenn der Benutzer sein Kennwort verloren hat oder das Kennwort nicht mehr verwendet wird, hat Dell bei Trusted Drive Manager-Verschlüsselung keine Möglichkeit, dieses wiederzufinden. Wenden Sie sich bei Drittanbieter-Anwendungen an den jeweiligen Hersteller.

Zurück zum Anfang

9. System wird nach dem Hinzufügen von Verschlüsselungssoftware eines Drittanbieters nicht gestartet.

Schalten Sie den Computer ein und drücken Sie dann während des Systemstarts die Taste F12, um das BIOS-Startmenü aufzurufen. Möglicherweise müssen Sie die Taste während des Startvorgangs mehrmals drücken, damit das BIOS die Taste zum richtigen Zeitpunkt erkennt. Wählen Sie mit der Nach-oben- bzw. Nach-unten-Taste im Menü <Diagnose> aus und drücken Sie die Eingabetaste.

Die Enhanced Preboot System Assessment-Diagnose (ePSA) wird ausgeführt, um sicherzustellen, dass sich das Laufwerk nicht in einem fehlerhaften Status befindet und dass es keine Fehler meldet. Wenn Sie über ein Festplattenlaufwerk mit Advanced Format (512e) verfügen, stellen Sie sicher, dass das Laufwerk ordnungsgemäß ausgerichtet ist, bevor die Verschlüsselung durchgeführt wird.

Wenden Sie sich für Wiederherstellungsoptionen an den Drittanbieter. Die meisten Unternehmen verfügen über ein Hilfsprogramm zur Wiederherstellung, das der Benutzer auf einen startfähigen Schlüssel oder eine startfähige CD laden kann. Suchen Sie auch auf der Website des Herstellers nach Problemen der Computerplattform, falls Probleme mit dieser speziellen Software auf diesem Computermodell auftreten.

Zurück zum Anfang

10 Verschlüsselung und Neuinstallationen des Betriebssystems

Wenn das Betriebssystem auf einer verschlüsselten Festplatte beschädigt wird und neu installiert werden muss, erkennt die Windows-Installations-CD das Laufwerk möglicherweise nicht, da sich die Festplatte in einem gesperrten Zustand befindet. Mit Wave Trusted Drive Manager verschlüsselte Laufwerke müssen vor der Neuinstallation des Betriebssystems entsperrt werden.

Weitere Informationen finden Sie in den Support-Dokumenten auf der Website von Wave: Hier wird erklärt, wie sich das Laufwerk vor einer Neuinstallation entsperren lässt.

Fragen Sie bei Verschlüsselungssoftware von Drittanbietern den Hersteller nach dem richtigen Verfahren vor der Neuinstallation.

Zurück zum Anfang

11 Verlorene Kennwörter oder Verschlüsselungscodes

Für den Fall, dass NutzerInnen ein vor dem Start einzugebendes Kennwort oder einen Verschlüsselungscode verloren oder dass EndnutzerInnen das Unternehmen verlassen haben, bieten die meisten Anbieter von Verschlüsselungsanwendungen einen Failsafe-Mechanismus für die Wiederherstellung. Aufgrund von Datenschutzrichtlinien der Branche muss der Wiederherstellungsmechanismus durch KundInnen initiiert werden. Dies erfolgt gewöhnlich durch Speichern des Kennworts/Schlüssels auf Wechselmedien oder an einem Speicherort im Netzwerk. Wenn Full Disk Encryption implementiert wurde und der Benutzer sein Kennwort/seinen Schlüssel verloren hat, kann Dell ihm nicht helfen, sein Kennwort/seinen Schlüssel für das Laufwerk wiederzufinden. NutzerInnen müssen in diesem Fall die Festplatte ersetzen. Dieses Problem fällt nicht unter den Service-Umfang, da die Verschlüsselung wie vorgesehen funktioniert und die Daten vor Angriffen schützt. Die Kosten für den Austausch des Laufwerks muss der Benutzer selbst tragen. Bei Problemen mit dem Nutzernamen kann Wave behilflich sein. NutzerInnen müssen über das Kennwort verfügen, damit Wave bei vergessenen Nutzernamen helfen kann. Wenn NutzerInnen das Kennwort vergessen, verloren oder nicht zur Hand haben, kann Wave leider nicht helfen.

Wenn die oben genannten Schritte das Problem nicht lösen, rufen Sie den Technischen Support von Dell, um weitere Unterstützung zu erhalten.

Zurück zum Anfang

Empfohlene Artikel

Hier sind einige empfohlene Artikel zu diesem Thema, die für Sie von Interesse sein könnten.

• Dell Full Disk Encryption Systemanforderungen
• BIOS-Option zum Festlegen eines Festplattenkennworts auf dem M.2-SSD-Laufwerk
• Automatische Windows-Geräteverschlüsselung oder BitLocker auf Dell Computer