04.12.2020 Dieser Artikel als .pdf

BitLocker-Installationsanleitung

Das Aktivieren der Festplattenverschlüsselung mit BitLocker unter Windows ist einfacher, als es klingt. Doch für Nutzer von Windows Home ist es mit 145 € nicht ganz billig. Getestet habe ich BitLocker unter Windows 10, es funktioniert aber auch unter Windows 8. BitLocker unter Windows 7 zu installieren, lohnt sich nicht mehr. Seit Januar 2020 werden für Windows 7 keine aktuellen Sicherheitsupdates mehr ausgeliefert, so dass es (oder eine noch ältere Windows-Version) sich auf einem Praxisrechner verbietet.

Ratsam ist zunächst, alle Daten vom Computer auf einer (möglichst mit dem Verfahren AES-256 verschlüsselten) externen Festplatte, SD-Karte oder einem USB-Stick zu sichern. Bei der Installation von Windows Pro und BitLocker geht selten etwas schief. Falls doch, sind dann aber keine Daten verloren. Um herauszufinden, welche Edition von Windows auf dem Rechner läuft, kann man zum Beispiel die Windows-Logo-Taste + Pause (neben F12) drücken oder die Windows-Logo-Taste + r drücken und msinfo32 öffnen. Sollte dort Windows Home stehen, muss als Voraussetzung für den Einsatz von BitLocker zunächst das kostenpflichtige Upgrade auf Windows 10 Pro durchgeführt werden. Dazu muss der Computer mit dem Internet verbunden sein. Man wählt Windows-Symbol => Einstellungen => Update und Sicherheit => Aktivierung => Store aufrufen.

Dort klickt man auf die Schaltfläche »Kaufen« und muss sich zunächst in ein bestehendes Microsoft-Konto einloggen oder ein neues Microsoft-Konto erstellen. Darin kann zunächst zwischen zwei Zahlungsmethoden gewählt werden: Sofortüberweisung und Giropay. Den besseren Datenschutz bietet Giropay, diese Methode wird aber nicht von allen Banken angeboten. Sonst muss auf die Abbuchung von einem Konto bei einer anderen Bank ausgewichen werden oder man nutzt die Sofortüberweisung, welche die Zugangsdaten zum Onlinebanking an Dritte weitergibt. In dem Fall sollte man seine Zugangsdaten zum Onlinebanking im Anschluss ändern.

Unter »Neue Zahlungsmethode hinzufügen« bietet der Microsoft Store außerdem Kredit­kartenzahlung, PayPal und Klarna (ähnlich der Sofortüberweisung) an. Ich habe einmal Giropay und einmal PayPal getestet. Dabei habe ich keine Probleme gefunden außer jenem, dass PayPal neben Microsoft dann schon die zweite Firma ist, die diese Zahlung in den USA verarbeitet.

Nach erfolgtem Kauf klickt man im Microsoft Store auf »Installieren« und bejaht die fürsorgliche Rückfrage, ob man tatsächlich von allen Dateien Sicherungskopien gemacht hat. Die Installation von Windows 10 Pro dauert wenige Augenblicke. Nach einem Neustart meldet Windows: »Erfolgreich! Das war schon alles. Der PC kann jetzt verwendet werden.«

BitLocker einrichten

Externe Datenträger können Sie auch dann mit BitLocker verschlüsseln, wenn die Verschlüsse­lung der internen Festplatte des Computers nicht eingerichtet ist (und umgekehrt). BitLocker hat jedoch nur die 128-Bit-Verschlüsselung voreingestellt. Deshalb ist es ratsam, in jedem Fall zuerst BitLocker einzurichten. Sollten Sie beim Verschlüsseln eines externen Datenträgers die folgende Nachfrage erhalten, ist BitLocker noch nicht vollständig eingerichtet:

Vor der Einrichtung von BitLocker stellen sich mehrere Glaubens- und Geschmacksfragen. Die erste Frage ist jene für oder wider den in den meisten aktuellen Rechnern verbauten TPM-Chip (Trusted Platform Module). Auch ohne eingebautes TPM lässt sich BitLocker verwenden. Umgekehrt habe ich leider keine Methode gefunden, wie bei einem funktionierenden TPM BitLocker davon abgehalten werden kann, es zu benutzen. Entsprechende Kenntnisse oder entsprechenden Mut vorausgesetzt, können Sie jedoch versuchen, das TPM im BIOS Ihres Com­puters zu deaktivieren. Dazu müssen Sie direkt nach dem Start des Rechners und noch bevor Windows hochfährt, entweder die Taste F2 oder die Taste F10 gedrückt halten. Dann öffnen sich die BIOS-Entstellungen, wo das TPM meist unter dem Punkt »Security« verzeichnet ist.

Für die Verwendung des TPM spricht, dass mit diesem Chip die Festplatte nur dann wieder entschlüsselt werden kann, wenn die Hardware des Rechners unverändert ist. Würde man eine Kopie aller mit BitLocker verschlüsselten Daten auf einem anderen Rechner anlegen, um dort die Verschlüsselung zu brechen, ließe der TPM-Chip den Versuch scheitern. Gegen den TPM-Chip spricht, dass dessen Manipulation durch die NSA oder andere staatliche Stellen nicht auszuschlie­ßen ist. Diese könnten dann selbst die Festplatte entschlüsseln oder deren Entschlüsselung durch den Besitzer verhindern. Ist das TPM defekt, besteht das Risiko, dass der Computer nicht mehr startet. Die Hersteller der freien Verschlüsselungssoftware VeraCrypt kritisieren das TPM als »völlig überflüssig«.

Ob der Rechner über ein TPM verfügt, finden Sie heraus, indem Sie in einem Benutzerkonto mit Administratorrechten die Windows-Logo-Taste + r drücken und tpm.msc öffnen. Dort steht unter »Status«, ob das TPM vorhanden und einsatzbereit ist.

Nicht zu empfehlen ist die Authentifizierung von BitLocker allein über das TPM, weil einige Angriffe auf die verschlüsselten Daten dann trotzdem möglich wären. So lautet die zweite Entscheidung, was entweder als alleinige Authentifizierung ohne TPM oder als zweiter Authentifizierungsfaktor zusätzlich zum TPM-Chip gewählt werden soll: Passwort oder Schlüsseldatei?

Vor- und zugleich Nachteil des Passwortes ist, dass es nicht aufgeschrieben werden muss. Was man im Gedächtnis hat, kann zwar nicht ausgespäht, wohl aber vergessen werden. Das Passwort ist weniger komplex als die Schlüsseldatei und deshalb leichter durch Probieren zu finden. Bei jedem Start des Rechners muss es eingegeben werden. Wie ein Hacker beim Durchprobieren von BitLocker-Passwörtern vorgeht, zeigt dieses Video.

Vor- und zugleich Nachteil der Schlüsseldatei ist deren Länge. Um sich diese Information zu merken, müsste man ein Gedächtniskünstler sein. Deshalb wird die Schlüsseldatei auf einem USB-Stick oder einer SD-Karte abgelegt. Diese externen Speicher dürfen jeweils beliebige weitere, von BitLocker unabhängige Daten enthalten. Bei jedem Einschalten muss der Datenträger mit der Schlüsseldatei mit dem Rechner verbunden sein. Bis zum nächsten Einschalten kann man ihn dann wieder entfernen.

Eine Entscheidungshilfe zu der Frage TPM-Chip, Passwort und/oder Schlüsseldatei bietet dieser Artikel (auf Englisch). Microsoft empfiehlt die Kombination aus TPM-Chip und Passwort. Ich bevorzuge die Schlüsseldatei auf USB-Stick, gezwungenermaßen mit TPM, das sich auf meinen Computern bisher nicht abschalten ließ.

Vor dem Einrichten von BitLocker kann eine dritte Entscheidung getroffen werden. Die Verschlüsselungsstärke von BitLocker ist auf 128 Bit voreingestellt. Sie kann problemlos auf 256 Bit erhöht werden, ohne dass es die Schnelligkeit des Rechners merklich bremst.

Um die Installation durchzuführen, müssen wir Windows mitteilen, wie wir uns hinsichtlich TPM-Chip, Passwort oder Schlüsseldatei und Verschlüsselungsstärke entschieden haben. Das geschieht in den sogenannten Gruppenrichtlinien. Um dorthin zu gelangen, drückt man die Windows-Logo-Taste + r, öffnet gpedit.msc und klickt sich durch bis zum Unterordner Richtlinien für Lokaler Computer => Computerkonfiguration => Administrative Vorlagen => Windows-Komponenten => BitLocker-Laufwerkverschlüsselung. (Bitte nicht nach unten in die Benutzerkonfiguration verrutschen, wo es auch Administrative Vorlagen gibt.)

Im Unterordner BitLocker-Laufwerkverschlüsselung angekommen, stehen auf der rechten Seite mehrere Einträge mit dem Namen »Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen«. Der passende Eintrag ist der für Windows-Version 1511 und höher. Ist man sich nicht sicher, können auch alle Einträge bearbeitet werden. Nach Doppelklick auf den Eintrag muss die Option »Aktiviert« und darunter die gewünschte Kombination aus Verschlüsselungsmethode und Verschlüsselungsstärke gewählt werden, beispielsweise XTS-AES 256-Bit. Möchten Sie mit BitLocker verschlüsselte externe Datenträger auch unter Windows 8 benutzen, wählen Sie bei »Verschlüsselungsmethode für Wechsellaufwerke auswählen« AES-CBC 256-Bit, sonst wählen Sie auch hier XTS-AES 256-Bit.

Zurück auf der linken Seite wählt man den Unterordner »Betriebssystemlaufwerke« und doppelklickt auf der rechten Seite auf den Eintrag »Zusätzliche Authentifizierung beim Start anfordern«. Auch hier muss wieder die Option »Aktiviert« gewählt werden. Verfügt der Computer über keinen TPM-Chip, muss das Häkchen bei »BitLocker ohne kompatibles TPM zulassen« gesetzt sein. Andererseits hindert das Setzen dieses Häkchens BitLocker nicht an der Benutzung eines vorhandenen TPM.

Die nachfolgenden Einstellungen zu Passwort (PIN) und Schlüsseldatei können entsprechend den eigenen Wünschen gesetzt werden. Dieses Fenster kann jetzt wieder geschlossen werden.

BitLocker auf interner Festplatte aktivieren

Es geht weiter im Windows-Explorer, wo man mit der rechten Maustaste auf das Betriebssystem-Laufwerk (meist C:) klickt, »Bitlocker aktivieren« wählt und die Laufwerksverschlüsselung startet. Will man den Systemstartschlüssel auf USB-Stick oder SD-Karte nutzen, sollte der externe Datenträger jetzt schon angeschlossen sein.

Hat man sich für das Anlegen eines Systemstartschlüssels entschieden, fragt Windows, auf welchem USB-Laufwerk er gespeichert werden soll. Anschließend bittet Sie Windows, einen Wiederherstellungsschlüssel zu sichern. Tun Sie das am besten sowohl als Datei auf einem externen Laufwerk als auch als Ausdruck auf Papier.

Während der Systemstartschlüssel ein 256-Bit AES-Schlüssel ist, handelt es sich beim Wiederherstellungsschlüssel um eine 48-stellige Dezimalzahl. Der Taschenrechner verrät uns, dass der Logarithmus zur Basis 2 von 1048 = 159,4 ist. Selbst wenn wir das aufrunden, hat der Wiederherstellungsschlüssel also nur einen Informationsgehalt von 160 Bit. Wer sich für den Fall, dass alle Kopien des Systemstartschlüssels verloren gehen, auf regelmäßige Sicherungskopien der Daten verlassen möchte, kann den Wiederherstellungsschlüssel wieder löschen. Mehr dazu später.

Dass dieselben Daten parallel mit mehreren Schlüsseln oder Kennwörtern verschlüsselt zu sein scheinen, funktioniert deshalb, weil der eigentliche 256-Bit AES-Schlüssel für die Daten dem Benutzer gegenüber gar nicht auftaucht. Statt dessen wird dieser Schlüssel einmal mit dem Systemstartschlüssel verschlüsselt, ein andermal mit dem Kennwort verschlüsselt und einmal mit dem Wiederherstellungsschlüssel verschlüsselt jeweils auf dem Datenträger abgelegt.

Nun wählen Sie bitte noch »Gesamtes Laufwerk verschlüsseln«. So können Sie nicht in die Gefahr geraten, dass sich auf den unverschlüsselten Teilen des Datenträgers vielleicht doch noch alte Daten befinden, die für einen Angreifer lesbar bleiben. Schließlich wählen Sie noch die BitLocker-Systemüberprüfung aus.

Nach dem Neustart des Computers bemerkt man zunächst nichts und man könnte meinen, die Laufwerksverschlüsselung habe nicht funktioniert. Gewissheit verschaffen kann man sich, indem man mit Strg + Alt + Entf den Taskmanager startet. Dort muss man auf Mehr Details => Leistung klicken um zu sehen, dass Windows tatsächlich mit dem zu verschlüsselnden Datenträger arbeitet.

Je nach Größe des Laufwerks dauert der Verschlüsselungsvorgang zwischen wenigen Minuten und einer Stunde.

Von der Datei mit dem Systemstart­schlüssel sollte man sich mehrere Siche­rungskopien anfertigen und sie gut ver­wahren. Sucht man die Schlüsseldatei auf dem USB-Stick (oder der SD-Karte), sieht man zunächst nichts, da sie als System­datei gekennzeichnet ist und Systemda­teien von Windows normalerweise nicht angezeigt werden. Das lässt sich ändern, indem man im Windows-Explorer auf Datei => Optionen => Ansicht geht und das Häkchen bei »Geschützte Systemdateien ausblenden (empfohlen)« entfernt. In der­selben Liste weiter unten muss außerdem »Ausgeblendete Dateien, Ordner und Lauf­werke anzeigen« markiert werden.

Jetzt wird im Windows-Explorer die Schlüssel­datei mit angezeigt, deren Name auf *.BEK (für BitLocker Encryption Key) endet. Nicht passieren darf es, dass USB-Stick bzw. SD-Karte und damit die Schlüsseldatei gemein­sam mit dem verschlüsselten Rechner in die Hände Unbefugter geraten.

BitLocker auf externem Datenträger aktivieren

Um einen externen Datenträger mit BitLocker zu verschlüsseln, beginnt man wieder im Windows-Explorer und klickt mit der rechten Maustaste auf das zu verschlüsselnde Laufwerk.

Anschließend muss ein sehr sicheres Passwort gewählt werden. Geriete der Datenträger (oder eine Kopie der darauf befindlichen Daten) in die Hände eines Angreifers, hat dieser alle Zeit der Welt, um mögliche Passwörter durchzuprobieren. Es ist nicht übertrieben, ein Passwort mit einer zufälligen Kombination von Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen zu erfinden und es 40 Zeichen lang zu machen. Das entspricht dann ungefähr dem Informations­gehalt eines 256-Bit Schlüssels.

Dann sichern Sie bitte den Wiederherstellungsschlüssel, wählen »Gesamtes Laufwerk verschlüsseln« und warten, bis die Verschlüsselung abgeschlossen ist.

Der Konsolen-Befehl manage-bde

In allen aktuellen Windows-Versionen (einschließlich Windows Home) funktioniert der Befehl manage-bde. Bde steht hier für »BitLocker device encryption« – BitLocker-Geräteverschlüs­selung. Dieser Befehl zeigt Informationen über verschlüsselte Laufwerke an und kann die Verschlüsselungsstärke durch das Löschen nicht benötigter Wiederherstellungsschlüssel erhöhen. Dazu muss die Windows-Eingabeaufforderung (oder die Windows PowerShell) im Administrator­modus gestartet werden.

Die Eingabeaufforderung können Sie wie folgt im Administratormodus öffnen:

  • Rechtsklick auf das Windows-Symbol => Suchen => den Begriff Eingabeaufforderung oder cmd ganz oder teilweise eingeben und in den Suchergebnissen Als Administrator ausführen anklicken und den folgenden Dialog mit Ja bestätigen oder
  • Linksklick auf das Windows-Symbol => Windows-System => Klick mit der rechten Maustaste auf Eingabeaufforderung, dann Mehr => Als Administrator ausführen und den folgenden Dialog mit Ja bestätigen oder
  • Windows-Taste + r drücken, cmd eingeben und die Tastenkombination Strg + Umschalttaste gedrückt halten, während Sie den Dialog mit OK bestätigen. Auch hier müssen Sie wieder den folgenden Dialog mit Ja bestätigen.

Die jeweils einzugebenden Befehle lauten für die Laufwerksinformationen

manage-bde -status [Laufwerksbuchstabe:]

und zum Löschen des Wiederherstellungsschlüssels

manage-bde -protectors -delete [Laufwerksbuchstabe:] -type recoverypassword

Nun ist der Schlüssel zu den (hoffentlich regelmäßig sicherungskopierten) Daten nur noch mit dem (hoffentlich sehr sicheren) Kennwort verschlüsselt.

Vom Löschen des Wiederherstellungsschlüssels »Numerisches Kennwort« für ein Betriebssystem-Laufwerk rate ich ab, weil im Fehlerfall die Komplettwiederherstellung aus Sicherungs­kopien dort schwieriger ist.

Unter »Schlüsselschutzvorrichtungen« sind anschließend »Kennwort« und gegebenenfalls »Externer Schlüssel (Erforderlich zur automatischen Entsperrung)« verzeichnet. Möchten Sie ein kompliziertes Kennwort nicht nach jedem Einlegen des externen Datenträgers neu eingeben, können Sie mit der Option »Auf diesem PC automatisch entsperren« den jeweiligen Computer einen Extra-Schlüssel zur Umgehung des Kennwortes anlegen lassen:

Die BitLocker-Informationen für eine interne Festplatte können folgendermaßen aussehen:

BitLocker-Installationsanleitung

Beitragsnavigation