Hi,

ich habe mal eine Frage an die Spezialisten hier.
Habe eine externe USB 3.0 SSD. Die verwende ich als Backup. (paar persönliche Unterlagen/Fotos und sowas)

Diese externe ist mit 128 Bit vom Bitlocker verschlüsselt. Wenn ich das richtig verstanden habe kommt niemand an die Daten ran sollte sie mal gestohlen werden. Oder doch?
Meinem Verständniss nach müsste man doch jedesmal wenn man draufzugreift (egal an welchen PC/Laptop) das Passwort eingeben richtig?

Wie verhält sich das jetzt eigentlich mit dem Virenschutz?
Wenn die Platte am PC hängt aber nicht entschlüsselt ist kann sie dann trotzdem noch gefährdet sein? Oder ist das durch die Verschlüsselung unmöglich?:confused:

Meinem Verständniss nach müsste man doch jedesmal wenn man draufzugreift (egal an welchen PC/Laptop) das Passwort eingeben richtig?
das Passwort eingeben macht das TPM Modul auf deinem Mainboard für dich automatisch


Wie verhält sich das jetzt eigentlich mit dem Virenschutz?
Wenn die Platte am PC hängt aber nicht entschlüsselt ist kann sie dann trotzdem noch gefährdet sein? Oder ist das durch die Verschlüsselung unmöglich?:confused:
formatierung oder ähnliches wäre dennoch möglich...

das Passwort eingeben macht das TPM Modul auf deinem Mainboard für dich automatisch



Also bei mir nicht.

Ich muss jedesmal wenn drauf zugreifen will das PW eingeben. Würde das automatisch gehen wäre die Sicherheit doch gleich 0 falls sich jemand Zugang zum PC verschafft.
Wo wäre denn da der Sicherheitsgewinn? :confused:

Man kann Bitlocker auch mit TPM ohne PIN einrichten. Wenn nicht per GUI, dann aber auf jeden Fall über CMD oder Powershell.

Sicherheitsgewinn? Dann kommt der Dieb nur bis zur Windows-Anmeldemaske und nicht weiter. Setzt aber auch voraus, dass ein UEFI-Passwort gesetzt ist, die Bootreihenfolge nicht geändert werden kann und Secureboot aktiviert ist. Sonst könnte ein Angreifer die Windows-Anmeldemaske umgehen.

Aber soweit ich mal gelesen habe, wäre es tatsächlich sicherer (MS empfiehlt es auch), dass man TPM mit PIN benutzt.

Warum sollte es mit TPM sicherer sein? Das TPM ändert ja nicht die Funktion oder erhöht die Verschlüsselung.

TPM macht es eigentlich unsicherer weil TPM ein weiterer Angriffspunkt ist.

True Crypt mit password fertig is.

TPM ist deswegen sicherer, weil der Schlüssel im TPM Chip gespeichert ist und dort nicht raus kann. Du brauchst also immer beides, den physischen Zugang zu der Maschine mit dem TPM und die PIN um den TPM zu entsperren.

Der Key verlässt auch niemals den TPM, weswegen es auch bei einem komplett gehackten Rechner nicht möglich ist den Key zu stehlen (wohl aber natürlich die Daten, die der Key schützt). Nachteil: Wenn der TPM mit dem Rechner in Flammen aufgeht, ist auch der Key weg und die Daten damit unbrauchbar.

TPM macht es eigentlich unsicherer weil TPM ein weiterer Angriffspunkt ist.

So ein Quatsch. Das ist, als würdest Du sagen 2FA unsicherer ist als Passwort alleine, weil du dann neben dem Passwort noch einen weiteren Angriffspunkt hast.

Du bekommst die Daten aber nur wenn du *beide* Faktoren geknackt hast. Selbst wenn du das TPM knacken könntest um den Key zu extrahieren (was, nebenbei gesagt, niemand tun wird, weil https://xkcd.com/538/), nützt dir das nichts, weil du immer noch die PIN zusätzlich zum entschlüsseln brauchst.

True Crypt mit password fertig is.

Wenn dann VeraCrypt. TrueCrypt wurde 2014 eingestellt und hat mittlerweile diverse bekannte offene Sicherheitslücken.

Bitlocker ist ja Windowas schon dabei. Und vor allem benutzerfreundlich wie ich finde.

Wenn ich das jetzt richtig verstanden habe sind meine Daten also sicher.
Selbst wenn die Platte angestöpselt ist könnten im schlimmsten Fall keie Viren und co. irgendwelchen Schadcode ausführen.

TPM ist deswegen sicherer, weil der Schlüssel im TPM Chip gespeichert ist und dort nicht raus kann. Du brauchst also immer beides, den physischen Zugang zu der Maschine mit dem TPM und die PIN um den TPM zu entsperren.

Der Key verlässt auch niemals den TPM, weswegen es auch bei einem komplett gehackten Rechner nicht möglich ist den Key zu stehlen (wohl aber natürlich die Daten, die der Key schützt). Nachteil: Wenn der TPM mit dem Rechner in Flammen aufgeht, ist auch der Key weg und die Daten damit unbrauchbar.

Hier geht es um ein externes Medium. Der Schlüssel muss also, in diesem Fall, außerhalb des TPM existieren. Daher fällt dieser Sicherheitsaspekt weg.

Bitlocker ist ja Windowas schon dabei. Und vor allem benutzerfreundlich wie ich finde.

Wenn ich das jetzt richtig verstanden habe sind meine Daten also sicher.
Selbst wenn die Platte angestöpselt ist könnten im schlimmsten Fall keie Viren und co. irgendwelchen Schadcode ausführen.

Sobald die Platte am System angestöpselt und entsperrt ist, kann da jeder Virus drauf wüten wie er will. Da ist das TMP sogar kontraproduktiv, da der Datenträger beim anstöpseln direkt & automatisch entschlüsselt wird.
Verschlüsselungen sind generell nicht zum Schutz gegen Viren gedacht. Das solltest Du nicht vermischen. Schutz vor Viren bieten regelmäßige Backups. Verschlüsselungen bieten nur Schutz gegen Zugriff auf die Daten.

Wenn dann VeraCrypt. TrueCrypt wurde 2014 eingestellt und hat mittlerweile diverse bekannte offene Sicherheitslücken.
Ich meinte VeraCrypt das war Gewohnheit

So ein Quatsch. Das ist, als würdest Du sagen 2FA unsicherer ist als Passwort alleine, weil du dann neben dem Passwort noch einen weiteren Angriffspunkt hast.

Du bekommst die Daten aber nur wenn du *beide* Faktoren geknackt hast. Selbst wenn du das TPM knacken könntest um den Key zu extrahieren (was, nebenbei gesagt, niemand tun wird, weil https://xkcd.com/538/), nützt dir das nichts, weil du immer noch die PIN zusätzlich zum entschlüsseln brauchst.

https://arstechnica.com/gadgets/2021/08/how-to-go-from-stolen-pc-to-network-intrusion-in-30-minutes/
Dann lieber VeraCrypt mit ordentlichem Passwort.

Bei Bitlocker mit forciertem PIN (das ist nicht standardsetting) ist man aus irgendeinem Grund auf 20 Zeichen beschränkt.

Dazu ist noch ein Ryzen Pro Sinnvoll welcher den Ram verschlüsselt

Sobald die Platte am System angestöpselt und entsperrt ist, kann da jeder Virus drauf wüten wie er will. Da ist das TMP sogar kontraproduktiv, da der Datenträger beim anstöpseln direkt & automatisch entschlüsselt wird.
Verschlüsselungen sind generell nicht zum Schutz gegen Viren gedacht. Das solltest Du nicht vermischen. Schutz vor Viren bieten regelmäßige Backups. Verschlüsselungen bieten nur Schutz gegen Zugriff auf die Daten.
Also da komme ich nicht ganz mit.

Wenn ich bei mir auf die externe zugreifen will muss ich jedesmal erst das PW eingeben. Da entschlüsselt sich nichts automatisch. Macht auch irgendwie Sinn.
Solange ich die Daten nicht freigebe soll ja auch niemand drauf zugreifen.

Die entschlüsselt sich nur an deinem eigenem PC (bzw dem PC der die Platte verschlüsselt hat) automatisch und auch nur wenn du das explizit im BitLocker Manager aktiviert hast.

Die Platte kann aber wie gesagt immernoch formatiert werden. Sofern nicht entschlüsselt können zumindest die verschlüsselten Dateien nicht infiziert werden. Das heisst aber nicht das die Firmware sicher davor ist. Es gibt Viren für UEFI und alle möglichen anderen Firmwares. Die sinda ber eher rar gesäht.

Also Backups erstellen am besten auf auf einem TrueNAS

Die Platte kann aber wie gesagt immernoch formatiert werden.

Was ärgerlich wäre, aber schlimmer wäre es wenn private Unterlagen komplett lesbar in fremde Hände fallen würden.
Ich mein heutzutage hat doch jeder irgendwelche privaten Unterlagen eingescannt. Arzt/Bank/Arbeitgeber etc.
Finde sowas geht niemanden etwas an.


Sofern nicht entschlüsselt können zumindest die verschlüsselten Dateien nicht infiziert werden. Das heisst aber nicht das die Firmware sicher davor ist. Es gibt Viren für UEFI und alle möglichen anderen Firmwares. Die sinda ber eher rar gesäht.

Also Backups erstellen am besten auf auf einem TrueNAS
Es beruhigt mich dann doch irgendwie.
Mir gings ja um rein technische Frage ob ne angestöpselte SSD vielleicht doch von Viren/Schadsoftware befallen werden könnte. Denn ehrlich gesagt jedesmal hinter den Rechner zu klettern und die Platte mechanisch abzuklemmen ist doch etwas lebensfremd.

Du verwechselst Datensicherung und Zugriff auf Daten. Datensicherheit bedeutet das Du Deine Daten vor äußeren Gefahren beschützt. Sprich Viren, Ransomware, etc. pp. Datensicherheit erreicht man z.b. durch eine Datensicherung/Backup.
Den Zugriff auf die Daten, sprich die Daten lesen, der Inhalt anzeigen, schränkt man durch Verschlüsselung ein. Jetzt kann ein findiger User argumentieren, dass man auf verschlüsselte Daten keinen Zugriff hat, und diese deswegen auch nicht infiziert werden können. Das ist korrekt - ändert aber an dem Fakt nichts, dass Verschlüsselung nichts mit Datensicherheit, oder anders, dem Erhalt des Datenbestands, zu tun hat.

Um Deine Frage gezielt zu beantworten:

Alles was irgendwie an Deinem PC steckt, ist potenziell gefährdet. Sicherheit vor Viren und Co. erreichst Du nur, wenn Du regelmäßig Deine Daten auf ein externes Medium sicherst und woanders aufbewahrst.