Verschlüsselung von mobilen Endgeräten

Aufgrund der erhöhten Verlustgefahr von mobilen Endgeräten müssen diese verschlüsselt werden, wenn sie dienstliche Daten beinhalten. Dies betrifft neben den üblichen tragbaren PCs auch Smartphones, PDAs oder Tablets. Mobile Endgeräte werden daher bei der Ersteinrichtung durch die IVV mit einer aktivierten Verschlüsselung versehen, um der "Regelung zur Verschlüsselung von mobilen Endgeräten und Datenträgern" der Universität Münster nachzukommen. Die Regelung wurde nach Vorgaben des Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) erstellt und gilt für alle Endgeräte, auf denen dienstliche Daten verarbeitet werden.

Weiterführende Informationen

LDI-NRW - Verschlüsselung

IT-Sicherheit - Mobile Sicherheit

IT-Sicherheit - Regelung zur Verschlüsselung von mobilen Endgeräten und Datenträgern

 

  • Bitlocker-Laufwerksverschlüsselung unter Windows

    Auf jedem dienstlich genutzten mobilen Windows-Endgerät wird durch die IVV bei der Einrichtung die proprietäre Festplattenverschlüsselung "BitLocker" von Microsoft aktiviert. Die BitLocker-Laufwerksverschlüsselung ist ein in das Betriebssystem integriertes Feature, das Daten vor Bedrohungen durch Datendiebstahl oder durch Offenlegung verlorener, gestohlener oder nicht ordnungsgemäß außer Betrieb gesetzter Computer schützt.

    Bitlocker-PIN

    BitLocker fordert Sie zur Eingabe einer achtstelligen Authentifizierungs-PIN beim Starten, Neustarten oder Aufwecken aus dem Ruhezustand Ihres Endgerätes auf, welche Sie von der IVV bei der Abholung des Endgerätes erhalten. Die PIN-Anforderung soll verhindern, dass ein Angreifer, der physischen Zugriff auf das Endgerät hat, zur Windows-Anmeldung gelangt. Dies macht es dem Angreifer praktisch unmöglich, auf Benutzerdaten und Systemdateien zuzugreifen oder diese zu ändern. Das Anfordern der PIN beim Systemstart ist eine nützliche Sicherheitsfunktion, da es als zweiter Authentifizierungsfaktor fungiert (eine zweite Information, die man kennen muss). Die PIN kann auch auf Ihren Wunsch geändert werden, damit sie leichter zu merken ist.

    Bitlocker-Wiederherstellungsschlüssel

    BitLocker ist so konzipiert, dass das verschlüsselte Laufwerk ohne die erforderliche Authentifizierung nicht wiederhergestellt werden kann! Falls die BitLocker-PIN verloren geht, kann im Wiederherstellungsmodus der benötigte Wiederherstellungsschlüssel eingegeben werden, um das verschlüsselte Laufwerk zu entsperren. Sie erhalten den Wiederherstellungsschlüssel auf Anfrage von der IVV oder aber Sie nutzen das BitLocker-Selfservice-Portal, um diesen selbstständig anzufordern.

    Bitlocker-Überwachung

    Der Status der Bitlocker-Verschlüsselung auf mobilen Endgeräten wird durch die Systeme der IVV überwacht und auf Konformität mit festgelegten Regeln überprüft. Sollte die Verschlüsselung durch Sie oder Dritte deaktiviert werden, so werden Sie automatisch durch ein Bitlocker-Konfigurationsfenster dazu aufgefordert, den Schutz durch die Eingabe einer neuen PIN wiederherzustellen. Nach Eingabe der PIN wird das Laufwerk des Endgerätes wieder verschlüsselt und die PIN als Authentifizierungsfaktor für den Endgerätstart gesetzt.

  • Bitlocker-PIN ändern

    Natürlich kann die Bitlocker-PIN auch geändert werden, damit sie beispielsweise leichter zu merken ist. Sie muss allerdings ausreichend komplex sein und darf nicht einfach aus aneinandergereihten Ziffern (1-8) bestehen.

    Folgende Änderungsmöglichkeiten für die PIN bestehen:
    1. Die PIN wird mit Ihnen zusammen noch in den Räumlichkeiten der IVV bei der Ausgabe des Endgerätes neu gesetzt, damit sie Ihren Wünschen entspricht. Sprechen Sie uns hierzu einfach an.
    2. Die PIN wird mit Ihnen zusammen durch eine/n Mitarbeiter/in der IVV neu gesetzt, indem per Fernsteuerung (z.B. Teamviewer) auf Ihr Endgerät zugegriffen wird. Melden Sie sich hierzu einfach beim IVV-Support.
    3. Sie besitzen Administrationsrechte auf Ihrem Endgerät und können die PIN in der Systemsteuerung unter dem Punkt "Bitlocker-Laufwerksverschlüsselung" und darunter durch "PIN ändern" selbstständig ändern.

  • Bitlocker-Wiederherstellungsschlüssel anfordern - Bitlocker-Selfservice-Portal

    Sollten Sie Ihre Bitlocker-PIN vergessen bzw. verloren haben, können Sie das Endgerät im Wiederherstellungsmodus dennoch mit dem sogenannten Wiederherstellungsschlüssel starten. Dieser wird automatisiert in den Systemen der IVV hinterlegt und kann einerseits von der IVV ausgehändigt oder andererseits über das BitLocker-Selfservice-Portal selbstständig angefordert werden.

    Bitlocker-Selfservice-Portal
    1. Rufen Sie das BitLocker-Selfservice-Portal über folgende URL in einem Internet-Browser auf: https://wiwi-bitlocker.uni-muenster.de/selfservice
    2. Sie werden aufgefordert sich zu authentifizieren. Bitte nutzen Sie hier die WIWI-Kennung, mit welcher das Endgerät zuletzt verwendet wurde. Im Regelfall ist es Ihre persönliche WIWI-Kennung.
    3. Bestätigen Sie die angezeigten Hinweise mit dem Haken "Ich habe die o. a. Mitteilung gelesen und verstanden" und klicken Sie anschließend auf "Fortsetzen".
    4. Geben Sie mind. die ersten acht Stellen der Wiederherstellungsschlüssel-ID unter Punkt 1 ein. Die ID wird Ihnen im Wiederherstellungsmodus auf Ihrem Endgerät angezeigt.
    5. Geben Sie im Dropdown-Feld den Grund an, weshalb der Wiederherstellungsschlüssel abgerufen wird.
    6. Mit einem Klick auf den Button "Schlüssel abrufen" sollte Ihnen nun der Wiederherstellungsschlüssel unter Punkt 2 angezeigt werden.
    7. Geben Sie den Wiederherstellungsschlüssel in Ihrem Endgerät ein und schließen Sie den Wiederherstellungsmodus ab.
    8. Das Endgerät sollte nun wie gewohnt starten.
    9. Falls Ihnen die Bitlocker-PIN weiterhin unbekannt ist, können Sie diese in der Systemsteuerung unter dem Punkt "Bitlocker-Laufwerksverschlüsselung" ändern. Voraussetzung hierfür sind administrative Berechtigungen auf Ihrem Endgerät. Wenden Sie sich alternativ an den Support der IVV.

  • FileVault unter MacOS

    Mobile Endgeräte von Apple mit dem Betriebssystem MacOS werden bei der Ersteinrichtung durch die IVV mit der Apple FileVault-Verschlüsselung verschlüsselt. Neuere Endgeräte mit integriertem T2-Sicherheitschip von Apple werden bereits automatisch verschlüsselt. Hier kann die Einrichtung von FileVault die Sicherheit weiter erhöhen, da für das Entschlüsseln der Daten die Eingabe eines Anmeldepassworts erforderlich ist. Sollte das Anmeldepasswort verloren gehen, können als Wiederherstellungsoptionen entweder das iCloud-Konto oder ein vorher festgelegter Wiederherstellungsschlüssel verwendet werden. Bei der Einrichtung durch die IVV wird immer ein Wiederherstellungsschlüssel gesetzt, der Ihnen bei der Übergabe des Endgerätes ausgehändigt wird.

    Weiterführende Informationen:

    Apple.com - Verschlüsseln der Mac-Daten mit FileVault

  • Verschlüsselung von Smartphones

    Werden dienstliche oder auch private Smartphones für die Verarbeitung von dienstlichen Daten verwendet, beispielsweise für die Einbindung des persönlichen E-Mail-Postfachs, so muss das Smartphone ebenfalls zwingend verschlüsselt werden. Ob und welches Verschlüsselungsverfahren auf Smartphones verfügbar ist, ist allerdings hersteller- und versionsabhängig. Die IVV kann daher leider keine expliziten Anleitungen für die Verschlüssung Ihres Smartphones bereitstellen. In der Regel finden Sie diese Informationen beim Hersteller des Smartphones. Zudem werden viele Smartphones schon im Auslieferungszustand mit einer Verschlüsselung ausgeliefert. Dies gilt es jedoch gesondert in den Einstellungen des Smartphones zu prüfen.

    Weiterführende Informationen:

    BSI - Verschlüsselung auf mobilen Geräten

    BSI - Cyber-Sicherheit - Videoserie zum Thema Smartphone-Sicherheit