Deutsches Elektronen-Synchrotron DESY
Ein Forschungszentrum der Helmholtz-Gemeinschaft

IT

Festplattenverschlüsselung (Bitlocker DESY)

für Endnutzer*innen

Seit Januar 2022 wird eine Verschlüsselung der Windows Laptops bei DESY durchgeführt, dies geschieht aktuell gruppenweise. Ab dem 01.05.2022 wird die Verschlüsselung der Geräte für alle DESY Windows Laptops automatisch im Hintergrund durchgeführt, ohne dass Nutzende hiervon im Normalfall Kenntnis nehmen.

Bis zur allgemeinen Freigabe am 01.05.2022 müssen Nutzende derzeit allerdings noch aktiv werden, um die Verschlüsselung der Geräte anzustoßen. Die erforderlichen Schritte sowie weitere wichtige Fragen und Antworten im Zusammenhang mit Verschlüsselung von Windows Laptops werden im Folgenden erläutert.

Warum sollen Festplatten verschlüsselt werden?

Die Verschlüsselung von Daten auf mobilen Endgeräten wie Notebooks dient dazu, zu verhindern, dass Dritte Zugriff auf Ihre geschäfts- oder personenbezogenen Daten etwa bei Verlust oder Diebstahl des Gerätes erlangen.

Vorgehen

  1. Stellen Sie sicher, dass das Gerät mindestens eine Stunde mit Strom versorgt ist. Sollten Sie nicht sicher sein, ob die Akku-Leistung hierfür ausreicht, schließen Sie Ihr Gerät mit einem Netzteil an die Stromversorgung an.
  2. Stellen Sie sicher, dass keine Remote Desktop Verbindung zu oder von Ihrem Gerät besteht. Sollten Sie sich unsicher sein, starten Sie das Gerät einmal neu, sodass alle aktiven Verbindungen vom und zum Gerät getrennt werden.
  3. Befindet sich Ihr Gerät bei DESY, schließen Sie es bitte per Netzwerkkabel an das Datennetzwerk an. Sollten Sie im Homeoffice sein, stellen Sie nach der Anmeldung mit Ihrem DESY Account bitte eine Verbindung via VPN zum internen DESY Netzwerk her.
  4. Nachdem Sie sich an dem Gerät angemeldet bzw. die VPN Verbindung hergestellt haben, sollte Ihnen vom DSM Software-Shop eine Meldung angezeigt werden, die Sie dazu auffordert, eine Festplattenverschlüsselung durchzuführen. Siehe folgende Abbildung. Klicken Sie hier bitte auf "OK".
     

  1. Die Verschlüsselung sollte dann automatisch beginnen und ohne weitere Hinweise im Hintergrund ausgeführt werden. Bereits nach wenigen Minuten ist im Windows Start-Menü der Menüpunkt "MBAM (DESY)" sichtbar. Das Gerät sollte mindestens eine Stunde mit Strom versorgt und mit dem internen DESY-Netzwerk verbunden sein.
     

Sollte das Gerät während der Verschlüsselung abgeschaltet werden, wird die Verschlüsselung beim nächsten Start an der Stelle des Abbruchs fortgesetzt. Beachten Sie hierzu auch den Absatz "Wie sehe ich, ob die Verschlüsselung abgeschlossen / erfolgreich war?".

Mein Gerät fragt nach einem "Recovery Key" - was ist zu tun?

Geht der hinterlegte Schlüssel für das Entschlüsseln der Festplatte verloren, so fragt ihr Gerät beim Start nach einem "Recovery Key". Dieser wird benötigt, um wieder auf die Festplatte zugreifen zu können. Tritt dieser Fall ein, so folgen Sie bitte den unten genannten Schritten.

Sie benötigen zunächst ein zweites Gerät, das mit dem internen DESY Datennetzwerk verbunden ist. Sollte Ihnen kein zweites Gerät zur Verfügung stehen, wenden Sie sich bitte an einen Ihrer Gruppenadmins oder an den zentralen IT-Helpdesk (E-Mail: uco@desy.de; Tel: 5005).

  1. Öffnen Sie den folgenden Web-Link, um zum Selbsthilfeportal zu gelangen:
    https://ad19mbam.win.desy.de/SelfService/Recovery/Index
  2. Starten Sie Ihren verschlüsselten Laptop, welcher nach einem Recovery Key verlangt.
  3. Dort wird Ihnen nun eine "Recovery Key ID" angezeigt (siehe Abbilldung 1).
     
Zoom (3117 KB)

Abbildung 1

Hier ist es nun wichtig, dass in dem Selfservice-Browserfenster eine Person angemeldet ist, die zuvor bereits auf dem betroffenen Gerät mindestens einmal angemeldet gewesen sein muss.

Dazu kann sich die Person entweder direkt an dem Rechner anmelden, über den die Recovery vonstatten geht, oder aber das Selfservice Portal in einem privaten Browserfenster öffnen. Da wird man dann aufgefordert sich anzumelden.

Welche Person derzeit angemeldet ist, sehen Sie in der oberen Rechten Ecke auf der Selfservice Website. Sie Abbildung 1b

Zoom (60 KB)

Abbildung 1b

  1. Von der Recovery Key ID geben Sie nun mindestens die acht ersten Zeichen im ersten Text-Feld ("Wiederherstellungsschlüssel-ID") ein und wählen einen Grund aus, weshalb die Wiederherstellung erforderlich ist. Siehe Abbildung 2.
  2. Bestätigen Sie mit einem Klick auf "Schlüssel abrufen"
     
Zoom (8 KB)

Abbildung 2

  1. Es sollte Ihnen nun ein Recovery Key (Wiederherstellungsschlüssel) angezeigt werden. Siehe Abbildung 3
     
Zoom (6 KB)

Abbildung 3

  1. Den Recovery Key geben Sie nun, in dem dafür vorgesehenem Feld am verschlüsselten Gerät ein und bestätigen mit der Enter-Taste. Siehe Abbildung 4. Ihr Gerät sollte anschließend wieder entsperrt und damit zugänglich sein.
     
Zoom (3356 KB)

Abbildung 4


Häufig gestellte Fragen

Wie sehe ich, ob die Verschlüsselung abgeschlossen/erfolgreich war?

Um zu sehen, ob die Verschlüsselung abgeschlossen ist, drücken Sie WIN + R. Es müsste sich nun ein Eingabefeld "Ausführen" öffnen, in welches Sie "Control Panel" eingeben und mit ENTER bestätigen.

In dem sich dann öffnenden Fenster geben Sie oben rechts in dem Suchfeld "Bitlocker-Verschlüsselungsoptionen" ein und klicken Sie auf das vorgeschlagene Suchergebenis.

In dem folgenden Fenster sehen Sie nun, ob ihre Festplatte verschlüsselt ist. Wenn dem so ist, steht dort, wie in dem Bild zu sehen, "Encryption On".

Wie viel Zeit nimmt die Verschlüsselung in Anspruch?

Die Dauer der Verschlüsselung hängt zunächst von der Größe der Festplatte ab. Bei einer 250GB Festplatte ist mit etwa 10 Minuten rechnen.

Anschließend ist es noch notwendig das Gerät angeschaltet und mit dem internen DESY Datennetzwerk verbunden für mindestens eine Stunde eingeschaltet zu lassen. Dies ist erforderlich, damit die Verschlüsselung vom zentralen Verwaltungssystem (Active Directory / MBAM) erkannt und der Sicherheitsschlüssel dorthin übertragen werden kann. So kann der Schlüssel zu einem späteren Zeitpunkt bei Bedarf abgefragt werden.

An wen wende ich mich, wenn es zu Problemen kommt?

Für den Fall, dass Sie bereits länger als angedacht auf den Abschluss der Verschlüsselung warten und in den Systemsteuerung (siehe Punkt 2.) die Verschlüsselung nicht mit "Encryption On" gekennzeichnet wird.

  • Stellen Sie sicher, dass Ihr Gerät eine stabile Stromversorgung hat, da das Gerät im Energiesparmodus oft länger für den Vorgang braucht, um Strom zu sparen.
  • Kontaktieren Sie Ihre Windows Gruppen Admins. Sollte Ihr Gerät die technischen Voraussetzungen für eine Verschlüsselung nicht erfüllen, so kann dies von Ihren Windows Admins ermittelt werden.
  • Wenden Sie sich unter Angabe Ihres Rechnernamens an den zentralen IT-Helpdesk (E-Mail: uco@desy.de, Tel: 5005)
     
Was passiert mit meinen Daten?

Die Festplatte, auf der Ihre Daten gespeichert sind, wird verschlüsselt. Hat man den dazugehörigen Schlüssel, kann man jederzeit darauf zugreifen.

Der Schlüssel ist auf dem PC hinterlegt. Sie müssen sich diesen also nicht merken, herumtragen, oder bei jedem Start des Geräts eingeben.

Ist eine Datensicherung notwendig?

Grundsätzlich ist eine Sicherung lokal gespeicherter Daten immer empfehlenswert. Das können Sie bereits durch das Speichern Ihrer Dateien auf zentralen Speicherdiensten wie den Windows Netzlaufwerken (H:/N:/S:), DESY Sync & Share oder ähnlichen zentralen IT-Diensten erreichen.

Sollten Sie dabei Hilfe benötigen, wenden Sie sich dazu bitte an Ihre Windows Gruppenadmins oder den zentralen IT-Helpdesk (Email: uco@desy.de, Tel: 5005).

Habe ich weiterhin Zugriff auf meine Daten?

Nach der Verschlüsselung können Sie weiterhin wie gewohnt auf Ihre Daten zugreifen.

Die Verschlüsselung begrenzt erst dann den Zugriff, wenn der hinterlegte Schlüssel dazu verloren gegangen ist. Dies macht sich dadurch bemerkbar, dass Sie nach dem Start Ihres Gerätes dazu aufgefordert werden, den Wiederherstellungs-Schlüssel (sog.  "Recovery Key") einzugeben.

Sind durch die Verschlüsselung Leistungseinbußen zu erwarten?

Nein, die Verschlüsselung beeinflusst die Leistung ihres Gerätes nicht.

Ist die Verschlüsselung Benutzer- oder Geräte-basiert?

Die Verschlüsselung gilt für das Gerät; Genauer gesagt für die Festplatte, auf welcher Windows installiert ist. Geht der Schlüssel verloren, so ist das gesamte Gerät für keinen der Nutzenden mehr zugänglich, bis der Recovery Key eingegeben wurde.

Reise ins Ausland (bes. andere Zeitzone)

In besonderen Fällen kann es angeraten sein, den Recovery Key in Papierform bei sich zu tragen. Das gilt vor allem bei Reisen ins Ausland, insbesondere in andere Zeitzonen. Da das UCO in der Nacht nicht besetzt ist, würde eine Person, welche den Recovery Key benötigt, gegebenenfalls keine Möglichkeit haben, zur örtlichen Tageszeit am DESY jemanden zu erreichen.

In diesem Fall kann Ihr Namespace Administrator den Recovery Key lokal abfragen und Ihnen mitteilen.

 

Sollten Sie weitere Fragen haben, wenden Sie sich gerne jeder Zeit an Ihre Windows-Gruppen-Administrator*innen, oder den zentralen IT-Helpdesk (E-Mail: uco@desy.de; Tel: 5005)

 

Logo der Helmholtz Gemeinschaft

© 2020, Deutsches Elektronen-Synchrotron DESY