BitLocker ist die integrierte Verschlüsselungslösung für Windows und seit Server 2008 bzw. Windows Vista in dem Betriebssystem aus Redmond enthalten. Unter Vista und dem Nachfolger Windows 7 fristete es jedoch ein Schattendasein, da es lediglich in den Ultimate und Enterprise-Versionen enthalten war. Seit Windows 10 steht es jedoch auch den deutlich weiter verbreiteten Pro-Lizenzen zur Verfügung.
Funktionsweise und Sicherheit
Mit BitLocker kann man sowohl das Betriebssystem, als auch externe Datenträger verschlüsseln. Damit bietet es grundsätzlich einen Funktionsumfang, der vergleichbaren Lösungen wie LUKS für Linux oder FileVault für macOS zur Verfügung steht. Genau wie diese beiden Konkurrenten musste BitLocker sich bisher keinem unabhängigen externen Audit stellen. Das ist ein Nachteil gegenüber den TrueCrypt-Abkömmlingen wie VeraCrypt. Da letzteres jedoch immer noch nicht mit UEFI-basierten Systemen umgehen kann bleibt einem da keine große Wahl.
Die einzige konkret bekannte Angriffsmöglichkeit setzt aber ein laufendes System voraus und funktioniert prinzipiell bei den vergleichbaren Lösungen auch. Bis auf weiteres ist BitLocker daher als sicher zu betrachten.
BitLocker kann verschiedene Sicherheitsmaßnahmen umsetzen. Sofern ein TPM-Modul vorhanden ist kann man wahlweise das System bei unveränderter Hardware ohne zusätzliche Abfrage starten lassen oder – wie von Microsoft empfohlen – eine zusätzliche PIN-Eingabe erzwingen. Bei Hardware ohne TPM kann entweder eine Schlüsseldatei auf einem externen Speichermedium oder eine PIN-Eingabe konfiguriert werden.
Einrichtung
Sofern kein TPM-Modul existiert müssen vorab die Gruppenrichtlinien angepasst werden. Hierzu ist gpedit.msc mit administrativen Rechten zu starten. Ähnlich wie in der Registry navigiert man nun zum entsprechen Abschnitt:
Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Bitlocker-Laufwerksverschlüsselung/Betriebssystemlaufwerke
Hier ist die Option Zusätzliche Authentifizierung beim Start anfordern zu aktivieren und der Haken bei BitLocker ohne kompatibles TMP[…] zu setzen.
Die Einrichtung ist, ähnlich wie bei macOS, einfach gehalten und erfordert keine Neuinstallation des Systems. In den herkömmlichen Systemeinstellungen wählt man den Punkt BitLocker Laufwerksverschlüsselung.und dort den Button BitLocker aktivieren. Anschließend folgt eine Einrichtungsroutine in der die wesentlichen Punkte abgefragt werden.
In diesem Zusammenhang ist dringend davon abzuraten den Wiederherstellungsschlüssel im Microsoft Onlinekonto zu speichern. Was man stattdessen macht (Datei, Stick oder Drucken) bleibt der persönlichen Präferenz überlassen.
Man hat nun noch die Wahl ob man nur den verwendeten Speicherplatz oder das gesamte Laufwerk verschlüsseln will. Was hier sinnvoll ist hängt vom individuellen Nutzungsszenario ab. Bei neuer Hardware und einem frisch installierten Windows dürfte erstere Option ausreichen.
Anschließend startet man das System neu. Vor dem eigentlichen Systemstart erscheint nun ein blaues Fenster mit einer Passwortabfrage. Hierbei handelt es sich immer um ein englisches QWERTY-Tastaturlayout, was bei Sonderzeichen ungewohnt sein dürfte. Entweder man merkt sich die passenden Tastenkombinationen oder wählt ein Passwort ohne entsprechend verschobene Sonderzeichen, sowie Y und Z.
Abschließend startet Windoows und man kann weiter arbeiten, während das System im Hintergrund verschlüsselt.
Zusammengefasst
BitLocker ist eine einfach zu benutzende und leicht verfügbare Methode um das System und die darauf gespeicherten Daten vor dem physischen Zugriff Dritter zu schützen. Davon unbenommen bleibt das Problem der massiven Erhebung von Telemetrie-Daten durch Microsoft, die eine datenschutzorientierte Nutzung von Windows 10 eigentlich ausschließen.