Gelöst: Erfahrungen mit Bitlocker - DATEV-Community

stefanbrust · ‎23.02.2022

Hallo zusammen,

hat jemand Erfahrungen mit einer DATEV-Installation auf einem Bitlocker-geschützten Rechner?

Danke im Voraus!

VG
Stefan Brust

metalposaunist · ‎23.02.2022

Was genau ist da die Frage 🤔? BitLocker hat 10000 Möglichkeiten und arbeitet wie es soll. Auch mit BitLocker kann man DATEV installieren.

viele Grüße aus dem Rheinland – Daniel Bohle
www.metalposaunist.de

Mario_Engel · ‎24.02.2022

Hallo Herr Brust,

@metalposaunist hat Recht, ich war zu voreilig 🙂

Es ist eine Standardreaktion immer gleich vom Virenscanner auszugehen, da wir im Support immer wieder die gleichen Fälle auf dem Tisch haben 🙂

Danke für die Berichtigung!

Aber am Grundtenor der Aussage ändert sich nichts, zu Fremdsoftware können wir leider keine Aussage treffen, vielleicht gibt es ja Kollegen die ebenfalls die Festplattenverschlüsselung einsetzen und aus Ihrer Erfahrung berichten können.

Aus dem Support ist mir zu dem Thema auch noch nichts bekannt.

Viele Grüße

Mario Engel

DATEV eG

Freundliche Grüße
Mario Engel
Service Inst.-Manager/LIMA/KonfigDB

metalposaunist · ‎24.02.2022

BitLocker ist kein Virenscanner.

@Mario_Engel schrieb:
@metalposaunist hat Recht, ich war zu voreilig 🙂
Es ist eine Standardreaktion immer gleich vom Virenscanner auszugehen, da wir im Support immer wieder die gleichen Fälle auf dem Tisch haben 🙂
Danke für die Berichtigung!

Und genau aus dem Trott muss DATEV raus. Dringend. Überall. Abteilungsübergreifend. So kann kein "neues Denken" entstehen, wenn man jeden Tag den gleichen Sums erzählt.

Aber sehr geil, dass wir uns jetzt 2 Posts gespart haben 🤓.

viele Grüße aus dem Rheinland – Daniel Bohle
www.metalposaunist.de

stefanbrust · ‎03.03.2022

Sorry für die späte Reaktion, irgendwie habe ich keine E-Mail erhalten, dass eine Antwort kam und hier überschlägt sich alles.

Die konkrete Frage war, ob ich auf einem "neuen" Laptop Bitlocker einsetze (wozu ich tendiere), und ob dann die ganzen DATEV-Updates, die ja ständig ungefragt neustarten (das Vergnügen hatte ich gestern erst) hängen bleiben weil die Verschlüsselung beim Neustart dazwischenkommt. Mit Bitlocker habe ich keine Erfahrungen, aber weil es von MS kommt müsste es ja mit Windows gut funktionieren (ich weiß, steile Vermutung).

DATEV schreibt in der Info-DB (oder wie immer das Ding heute gerade heißt) nur, dass es wohl geht, aber nicht wie man die Installation von DATEV dann vornimmt...

Nutzer_8888 · ‎03.03.2022

Bitlocker dürfte für die Datev-Installation keine Rolle spielen, weil die Verschlüsselung für Datev nicht sichtbar sein sollte (Bitlocker verschlüsselt die auf die Platte gespeicherten Daten - für Windows bleibt aber alles transparent lesbar).

Inwieweit ein geringer Einfluss auf die Performance möglich ist, kann ich aber nicht sagen (sollte aber bei aktueller Technik nicht relevant sein).

Wenn die Rechner neu sind geht auch die Erstverschlüsselung schnell. Während die läuft würde ich jegliche Installation vermeiden, um den Prozess nicht doch ungewollt zu stören.

Wenn das erstmal geschehen ist, gibt es bei Bitlocker m.E. nur Einschränkungen bei BIOS-Updates. Vor Installation solcher muss (zumindest bei unseren Dell-Rechnern) der Bitlocker-dienst gestoppt werden (hierzu im gegebenen Fall nochmal spezifisch informieren).

In allen anderen Fällen (Software innerhalb Windows) sollte man vom aktivierten Bitlocker nichts merken. Die Installation von Datev erfolgt m.E. ohne Abhängigkeit von aktiviertem oder deaktiviertem Bitlocker absolut gleichartig - also einfach den Standard-Anweisungen folgen.

PS: Berücksichtigt werden muss, dass die Daten auf der Festplatte nicht von anderen Rechnern gelesen werden können ohne das Rückfallpasswort einzugeben. Die Platte kann also nicht mehr "einfach" in einen anderen baugleichen Rechner eingebaut werde und sofort das System booten....

Also, die Notfallpasswörter gut aufheben und dokumentieren.

Viele Grüße

chrisocki · ‎03.03.2022

@Nutzer_8888 schrieb: Bitlocker dürfte für die Datev-Installation keine Rolle spielen, weil die Verschlüsselung für Datev nicht sichtbar sein sollte (Bitlocker verschlüsselt die auf die Platte gespeicherten Daten - für Windows bleibt aber alles transparent lesbar).

Genauso sehe ich es auch. Wir hatten bei meinem früheren Arbeitgeber "WinMagic" im Einsatz, was im Grunde genauso arbeitet. Die Verschlüsselung wird transparent zur gestarteten Windows-Nutzung durchgeführt. D.h. die Anwendungen (Installation, Updates, etc.) bekommen von der Verschlüsselung nichts mit.

WinMagic hatten wir historisch von DATEV bekommen, was die DATEV aber dann aus Supportgründen gecancelt hatte. Da uns aber seinerzeit die Anbindung an SmartCards und auch die "Umgebungserkennung" gut gefallen hat, hatten wir es dann direkt lizenziert.

Beste Grüße
Christian Ockenfels

metalposaunist · ‎03.03.2022

@stefanbrust schrieb:
Die konkrete Frage war, ob ich auf einem "neuen" Laptop Bitlocker einsetze (wozu ich tendiere), und ob dann die ganzen DATEV-Updates, die ja ständig ungefragt neustarten (das Vergnügen hatte ich gestern erst) hängen bleiben weil die Verschlüsselung beim Neustart dazwischenkommt.

Wie immer. Das kommt drauf an. Unsere Notebooks brauchten zum reinen Starten schon mal ein Kennwort. Ohne das, konnte man nichts mit der Kiste selbst machen. Wir hatten aber einen Reboot-Bypass eingerichtet, sodass das Kennwort beim Neustart nicht eingegeben werden muss

Es gab' ein User und Admin-BIOS Passwort. Zusätzlich mussten wir ein Kennwort für die Festplatte eingeben. Leider sieht wohl das NVMe Protokoll keine Verschlüsselung mehr vor, sodass man hier auf BitLocker oder ähnliches zurückgreifen muss (wenn man kein Lenovo/Fujitsu im Einsatz hat; Dell kann das wohl nicht).

BotLocker kann man auf viele Arten betreiben. So wie die Kollegen das beschreiben ist 1 davon. Man kann aber auch mit BitLocker es soweit treiben, dass man einen USB-Dongle anschließen muss, auf dem Daten liegen, die der Laptop dann beim Start zugreift.

Denn: Schnappt man sich das Laptop, startet es und knackt das Kennwort zum Benutzer, hat man Zugriff auf die Daten. Gegen den Ausbau und Einbau an anderer Stelle hilft BitLocker aber.

viele Grüße aus dem Rheinland – Daniel Bohle
www.metalposaunist.de

Nutzer_8888 · ‎03.03.2022

Eine Einschränkung sollte man ggf. noch beachten.

Mit den Windows Home-Versionen kann Bitlocker nicht genutzt werden. Es ist bestenfalls möglich nach Passworteingabe einen mit Bitlocker verschlüsselten Datenträger lesen zu können.

glasi · ‎03.03.2022

Windows Home sollte man auch nicht im betrieblichen Umfeld verwenden.

stefanbrust · ‎08.03.2022

Danke an alle für die Antworten.

Habe jetzt Bitlocker aktiviert, DATEV-Installation lief ohne Probleme (diesbezüglich🙄) und im Betrieb ist es (bislang) auch unauffällig.

spawngebob · ‎08.03.2022

@Nutzer_8888 schrieb:
Wenn das erstmal geschehen ist, gibt es bei Bitlocker m.E. nur Einschränkungen bei BIOS-Updates. Vor Installation solcher muss (zumindest bei unseren Dell-Rechnern) der Bitlocker-dienst gestoppt werden (hierzu im gegebenen Fall nochmal spezifisch informieren).

Das ist absolut korrekt, betrifft aber nicht nur DELL sondern so ziemlich alle Kisten mit TPM. 😉
Der Bitlockerschlüssel kann nach einen BIOS / (U)EFI-Update nicht mehr ausgelesen werden, was dazu führt, dass der Wiederherstellungsschlüssel bei jedem (!) Neustart erneut eingegeben werden muss (siehe dazu auch Abschnitt OHNE TPM).

Der Schlüssel kann dann also nicht mehr gespeichert werden. Lösung ist dann nur: Bitlocker komplett deaktivieren und wieder reaktivieren.

Um den Verlust eines Wiederherstellungsschlüssels zu vermeiden (Stichwort eben unbedachtes BIOS-Update): den Rechner kurz einem MS-Konto zuordnen, danach wieder zurück zum lokalen Adminkonto. Sollte also irgendwann der Schlüssel nicht mehr auffindbar sein, findet man diesen definitiv dort.

Alternativ Ausdruck (geht evtl. verloren), USB-Speicherlaufwerk (geht u.U. kaputt) oder in einem AD-Konto (unter Vorbehalt -> möglicherweise den Admin konsultieren falls kein direkter Zugriff möglich ist). Da macht es dann die gesunde Mischung denke ich.

Sollte man, warum auch immer, Bitlocker OHNE TPM nutzen wollen: da gibt es meines Wissens keine Probleme beim BIOS / (U)EFI-Update. Aber ist klar, da ja dann eine Passworteingabe oder ein USB-Stick mit einem Systemstartschlüssel notwendig wird.

Der TPM Zwang zur Nutzung von Bitlocker muss dafür in den Gruppenrichtlinien deaktiviert werden.