Die meisten Sicherheitsfunktionen der bisherigen Versionen von Windows waren darauf ausgelegt, Angriffe aus dem Internet abzuwehren. Ausser diesen Angriffen, die von jedem Ort der Welt remote ausgeführt werden können, gibt es aber auch den klassischen Angriff, bei dem physisch auf den Computer zugegriffen wird. Insbesondere Notebooks und andere mobile Geräte sind anfällig für diese Art des Angriffs, da sie verhältnismässig leicht in falsche Hände geraten können. In der Regel wird versucht, Daten durch Zugriffsrechte zu schützen, die jedoch vom Betriebssystem erzwungen werden. Gelingt es einem Angreifer nun, den Computer beispielsweise mit einem anderen Betriebssystem hochzufahren oder das geschützte Laufwerk in einen anderen Computer einzubauen, versagt dieser Schutz. Windows Vista bietet eine Reihe von neuen Funktionen, mit deren Hilfe sich Daten wirksam gegen solche unberechtigten Zugriffe, aber auch gegen Datenverlust schützen lassen.
Die einzige Möglichkeit, Daten wirklich vor unberechtigtem Zugriff zu schützen, ist, diese zu verschlüsseln. In diesem Fall ist es unerheblich, ob ein Angreifer direkten Zugriff auf den Computer hat – ohne den notwendigen Schlüssel sind die Daten unter Einsatz eines wirksamen Verschlüsselungsmechanismus für ihn nichts als Datenmüll.
Das grösste Problem bei der Verschlüsselung liegt darin, dass diese oft auf einer Ebene abläuft, die vom Betriebssystem kontrolliert wird. Gelingt es jemandem, entweder das Betriebssystem entsprechend zu manipulieren oder Software zum Ausspähen der Schlüssel wie beispielsweise sogenannte Keylogger einzurichten, versagt die Verschlüsselung. Kurz gesagt, jede Verschlüsselung ist nur so sicher, wie der zugehörige Schlüssel vor unberechtigtem Zugriff geschützt ist.
Windows Vista wie auch sein Vorgänger Windows XP enthalten ein verschlüsselndes Dateisystem, das Encrypting File System (EFS). Mit EFS können Daten codiert werden, indem auf eine Public Key Infrastructure (PKI) zurückgegriffen wird. Das zugehörige Zertifikat ist fest mit dem Profil des Benutzers verbunden. Solange der Anwender Zugriff auf sein Profil hat, erhält er auch Zugang zu seinen verschlüsselten Daten. Wird das Profil allerdings von einem Angreifer übernommen, indem dieser beispielsweise das Kennwort ermittelt, sind die Daten auch für diesen verfügbar.
Genau an dieser Stelle setzt nun Windows Vista mit einer Verbesserung an und nutzt einen Hardwarebaustein, der in Computern neuerer Generation seit einiger Zeit verbaut wird – das Trusted Platform Module (TPM). Dieser muss für die Zusammenarbeit mit Vista mindestens die Versionsnummer 1.2 tragen, ausserdem muss das BIOS des Computers den Vorgaben der Trusted Computing Group entsprechen (www.trustedcomputinggroup.org).
Der TPM-Chip bietet eine hardwareseitige Möglichkeit, Schlüssel zu erzeugen und Daten zu codieren, und setzt somit auf einer Ebene an, die unterhalb des Betriebssystems liegt und daher via Software nicht manipulierbar ist. Insbesondere kann das TPM Schlüssel an ein gegebenes Computersystem binden, so dass Daten nur auf der Plattform wieder entschlüsselt werden können, auf der sie auch verschlüsselt wurden.
Um das TPM zu verwalten, gibt es ein Snap-in für die Microsoft Management Console (MMC), das via Startmenü – Ausführen – tpm.msc erreichbar ist. Dort kann das TPM mittels Aktion – TPM initialisieren eingerichtet werden, so dass es für den ersten Gebrauch vorbereitet wird. Dabei werden unter anderem ein Zugriffskennwort gesetzt und das TPM aktiviert, sofern dies noch nicht geschehen ist.
Ausserdem können hier der Besitzer des TPM und sein Kennwort definiert werden, so dass nur er in der Lage ist, Änderungen an dessen Konfiguration vorzunehmen. Das erzeugte Kennwort sollte im Idealfall auf einem tragbaren Datenträger abgespeichert werden, wie beispielsweise einem USB-Stick, den der Besitzer bei sich trägt, um unautorisierten Zugriff zu vermeiden. Schliesslich kann das TPM über die TPM-Verwaltung auch deaktiviert und die darauf gespeicherten Daten gelöscht werden. Ausserdem wird bei diesem Vorgang auch der Besitzer des TPM entfernt, so dass es von jemand anderem übernommen werden kann.
Windows Vista nutzt diesen Chip mit Hilfe der Trusted-Platform-Module-Services und bietet auf deren Basis eine Laufwerksverschlüsselung namens BitLocker an. Damit ist es zunächst möglich, den Boot-Manager sowie die zum Hochfahren des Betriebssystems notwendigen Dateien zu verschlüsseln und an die Plattform zu binden. Wenn diese Boot-Daten seit der Verschlüsselung verändert wurden, wird diese Manipulation entdeckt. Auf diese Art und Weise kann die Integrität des Boot-Prozesses verifiziert werden.
BitLocker benötigt eine Infrastruktur, um die erzeugten Schlüssel abzulegen. In einer Domänenumgebung werden die entsprechenden Schlüssel im zugehörigen Active Directory gespeichert. Für Umgebungen ohne Domäne wie Arbeitsgruppen oder einzelstehende Computer ist eine solche Lösung nicht möglich, hier wird – wenn überhaupt – auf Lösungen beispielsweise mit SmartCards zurückgegriffen.
Ein Nachteil von BitLocker soll bei alldem nicht verschwiegen werden: Ein mit BitLocker geschützter Datenträger kann nicht ohne weiteres an einen anderen Computer angeschlossen werden – da das TPM plattformgebundene Schlüssel erstellt, kann von dort nicht mehr auf die Daten zugegriffen werden. Insbesondere auch im Falle eines Fehlers auf dem Datenträger kann es sein, dass die Daten unwiderruflich verloren sind, da sie nicht mehr entschlüsselt werden können. Wer BitLocker also einsetzt, ist gut beraten, regelmässig Datensicherungen durchzuführen, um im Falle des Falles auf eine aktuelle und nicht verschlüsselte Sicherheitskopie zurückgreifen zu können.
Insgesamt lässt sich daher sagen, dass BitLocker wohl am ehesten in Firmennetzwerken zum Einsatz kommt, wo zum einen die notwendige Infrastruktur mit Active Directory verfügbar ist, zum zweiten entsprechende Datensicherungsmöglichkeiten zur Verfügung stehen, und wo zum dritten der Aufwand zur Verwaltung der Schlüssel das Risiko des Diebstahls von Daten aufwiegt.
Um BitLocker nutzen zu können, muss ein TPM vorhanden, aktiviert und initialisiert sein. Ausserdem wird eine eigene Partition für BitLocker benötigt, so dass entweder ein Datenträger ohne installiertes Betriebssystem genutzt werden sollte oder entsprechend Platz für eine eigene Partition geschaffen werden muss. Die Partition, die von BitLocker verwendet werden soll, muss dabei über mindestens 450 MByte freien Speicherplatz verfügen.
Wenn all diese Vorbereitungen erfolgreich abgeschlossen wurden, kann BitLocker in der Systemsteuerung unter «Sicherheit» aufgerufen und für den Systemdatenträger aktiviert werden. Dabei muss noch ein entsprechendes Kennwort vergeben werden, das wiederum – wie bereits das Passwort für das TPM – auf einem tragbaren Datenträger gespeichert werden kann. Ausserdem kann noch ein weiteres Kennwort vergeben werden, das benötigt wird, um den Computer starten zu können. Dieser Schritt ist allerdings optional.
Windows Vista enthält ein Feature, das bereits in Windows Server 2003 verfügbar war, allerdings unter neuem Namen – die Rede ist von der Funktion «Vorgängerversionen», die unter Windows Server 2003 als «Schattenkopien» oder in englisch als «Shadow Copies» bezeichnet werden. Mit dieser Funktion verfügt Vista über eine eingebaute History-Verwaltung, die es ermöglicht, auf frühere Varianten einer Datei oder eines Ordners zurückzugreifen. Zwischen den einzelnen Versionen kann beliebig gewechselt werden.
Aktiviert man das Vorgängerversionen-Feature, so wird täglich eine neue Kopie abgelegt, allerdings nur dann, wenn sich im Vergleich zur Version des Vortages etwas verändert hat. Standardmässig ist diese Funktion in Windows Vista aktiviert, sie kann aber für jeden Datenträger individuell ein- oder ausgeschaltet werden. Um die Einstellungen zu ändern, muss der Eigenschaftendialog des Computers geöffnet werden. Dort werden innerhalb des Registers «Computerschutz» alle Datenträger für die Aktivierung der Vorgängerversionen aufgelistet.
Während Vorgängerversionen insbesondere dazu dienen, versehentliche Änderungen rückgängig machen zu können, müssen Daten auch gegen den Ausfall eines Datenträgers geschützt werden. Zu diesem Zweck bringt Windows Vista neue Funktionen zum Sichern und Wiederherstellen des Betriebssystems und von Daten mit.
Zum Schutz des Betriebssystems vor versehentlichen Änderungen – was zumeist Konfigurationsänderungen sein dürften – enthält Windows Vista die Komponente Systemwiederherstellung, die immer dann aktiv wird, wenn an der Konfiguration von Windows Vista etwas geändert wird. Die Systemwiederherstellung sichert dann alle entsprechenden Einstellungen, um im Fehlerfall auf diese Konfiguration zurückschalten zu können, so dass man beispielsweise kritische Hardwareänderungen oder Treiberaktualisierungen wieder rückgängig machen kann.
Für eine vollständige Sicherung des gesamten Datenbestandes reicht die Systemwiederherstellungsfunktion allerdings nicht aus. Daher verfügt Vista mit dem Programm Windows Backup über ein entsprechendes Datensicherungswerkzeug. Das Besondere an Windows Backup ist, dass automatische Sicherungen unterstützt werden. Dazu können Dateien, Ordner und Laufwerke ausgewählt werden, die regelmässig gesichert werden sollen. Hierzu lassen sich lokale Datenträger, Netzwerkordner, beschreibbare CDs oder DVDs nutzen. Ausserdem kann auch ein komplettes Systemabbild erzeugt werden, um ein System vollständig – einschliesslich aller Betriebssystemeinstellungen, Programme und Daten – wiederherstellen zu können.
Windows Vista bringt einige neue und teilweise verbesserte Funktionen mit, mit deren Hilfe Daten gegen unberechtigten Zugriff und Datenverlust geschützt werden können. Die TPM-Unterstützung und die damit einhergehende BitLocker-Funktion bieten einen effektiven Schutz gegen unberechtigte Datenzugriffe. Mit der Vorgängerversion-Funktion und neuen Möglichkeiten, Daten zu sichern und wiederherzustellen, enthält Windows Vista eine Reihe von alltagstauglichen Bordmitteln, um Daten und Systemeinstellungen vor Verlusten zu schützen. Zu guter Letzt versucht Microsoft mit Windows CardSpace, den Zugriff auf Webseiten sicherer zu gestalten, indem digitale Identitäten genutzt werden, um nur genau die Daten zu übertragen, die für den jeweiligen Vorgang absolut notwendig sind – und diesen Prozess dabei noch transparent für den Anwender zu gestalten.
Microsoft hat im Rahmen von .Net 3.0 unter anderem Windows CardSpace eingeführt, das als Dienst zur Identitätsverwaltung dient. Im Gegensatz zu Passport tritt Microsoft bei Windows CardSpace allerdings nicht als Identitätsprovider auf, sondern beschreibt lediglich die Infrastruktur, die von beliebigen Anbietern umgesetzt werden kann.
Das Konzept von Windows CardSpace ist, dass ein Benutzer eine überprüfte Identität von einem oder mehreren Identitätsprovidern erhält. Diese umfasst Daten wie beispielsweise den Namen, die E-Mail-Adresse oder die Bankverbindung. Der Benutzer erhält sie vom ID-Provider als digitale «Visitenkarte» in Form einer XML-Datei und speichert sie auf seinem lokalen Rechner ab.
Will der Benutzer nun eine Website nutzen, die nach einer Authentifizierung verlangt (z.B. ein Online-Shop), so braucht er bloss die entsprechende Visitenkarte zu übermitteln, in der die geforderten Daten gespeichert sind. Da die Visitenkarte von einem vertrauenswürdigen Identitätsprovider ausgestellt wurde, vertraut auch die Website der digitalen Karte und autorisiert den Benutzer.
Der Ansatz von Windows CardSpace unterscheidet sich also erheblich von Passport, wo jegliches Vertrauen Microsoft entgegengebracht werden muss, die als zentrale Instanz zur Datenspeicherung auftritt. Windows CardSpace ermöglicht ein deutlich offeneres Modell, in dem der Benutzer nur genau die Daten preisgibt, die er preisgeben möchte. Da es zudem jedem offensteht, Windows CardSpace in eigene Anwendungen zu integrieren, wird es sich möglicherweise zügiger verbreiten als Passport.
Windows Vista schliesslich bringt einen Client für Windows CardSpace mit, der digitale Identitäten verwalten kann und diese als festen Bestandteil in das Betriebssystem und damit in Anwendungen wie Internet Explorer integriert.
