Windows 10 mit BitLocker verschlüsseln

BitLocker ist die integrierte Verschlüsselungslösung für Windows und seit Server 2008 bzw. Windows Vista in dem Betriebssystem aus Redmond enthalten. Unter Vista und dem Nachfolger Windows 7 fristete es jedoch ein Schattendasein, da es lediglich in den Ultimate und Enterprise-Versionen enthalten war. Seit Windows 10 steht es jedoch auch den deutlich weiter verbreiteten Pro-Lizenzen zur Verfügung.

Funktionsweise und Sicherheit

Mit BitLocker kann man sowohl das Betriebssystem, als auch externe Datenträger verschlüsseln. Damit bietet es grundsätzlich einen Funktionsumfang, der vergleichbaren Lösungen wie LUKS für Linux oder FileVault für macOS zur Verfügung steht. Genau wie diese beiden Konkurrenten musste BitLocker sich bisher keinem unabhängigen externen Audit stellen. Das ist ein Nachteil gegenüber den TrueCrypt-Abkömmlingen wie VeraCrypt. Da letzteres jedoch immer noch nicht mit UEFI-basierten Systemen umgehen kann bleibt einem da keine große Wahl.

Die einzige konkret bekannte Angriffsmöglichkeit setzt aber ein laufendes System voraus und funktioniert prinzipiell bei den vergleichbaren Lösungen auch. Bis auf weiteres ist BitLocker daher als sicher zu betrachten.

BitLocker kann verschiedene Sicherheitsmaßnahmen umsetzen. Sofern ein TPM-Modul vorhanden ist kann man wahlweise das System bei unveränderter Hardware ohne zusätzliche Abfrage starten lassen oder – wie von Microsoft empfohlen – eine zusätzliche PIN-Eingabe erzwingen. Bei Hardware ohne TPM kann entweder eine Schlüsseldatei auf einem externen Speichermedium oder eine PIN-Eingabe konfiguriert werden.

Einrichtung

Sofern kein TPM-Modul existiert müssen vorab die Gruppenrichtlinien angepasst werden. Hierzu ist gpedit.msc mit administrativen Rechten zu starten. Ähnlich wie in der Registry navigiert man nun zum entsprechen Abschnitt:

Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Bitlocker-Laufwerksverschlüsselung/Betriebssystemlaufwerke

Hier ist die Option Zusätzliche Authentifizierung beim Start anfordern zu aktivieren und der Haken bei BitLocker ohne kompatibles TMP[…] zu setzen.

Die Einrichtung ist, ähnlich wie bei macOS, einfach gehalten und erfordert keine Neuinstallation des Systems. In den herkömmlichen Systemeinstellungen wählt man den Punkt BitLocker Laufwerksverschlüsselung.und dort den Button BitLocker aktivieren. Anschließend folgt eine Einrichtungsroutine in der die wesentlichen Punkte abgefragt werden.

In diesem Zusammenhang ist dringend davon abzuraten den Wiederherstellungsschlüssel im Microsoft Onlinekonto zu speichern. Was man stattdessen macht (Datei, Stick oder Drucken) bleibt der persönlichen Präferenz überlassen.

Man hat nun noch die Wahl ob man nur den verwendeten Speicherplatz oder das gesamte Laufwerk verschlüsseln will. Was hier sinnvoll ist hängt vom individuellen Nutzungsszenario ab. Bei neuer Hardware und einem frisch installierten Windows dürfte erstere Option ausreichen.

Anschließend startet man das System neu. Vor dem eigentlichen Systemstart erscheint nun ein blaues Fenster mit einer Passwortabfrage. Hierbei handelt es sich immer um ein englisches QWERTY-Tastaturlayout, was bei Sonderzeichen ungewohnt sein dürfte. Entweder man merkt sich die passenden Tastenkombinationen oder wählt ein Passwort ohne entsprechend verschobene Sonderzeichen, sowie Y und Z.

Abschließend startet Windoows und man kann weiter arbeiten, während das System im Hintergrund verschlüsselt.

Zusammengefasst

BitLocker ist eine einfach zu benutzende und leicht verfügbare Methode um das System und die darauf gespeicherten Daten vor dem physischen Zugriff Dritter zu schützen. Davon unbenommen bleibt das Problem der massiven Erhebung von Telemetrie-Daten durch Microsoft, die eine datenschutzorientierte Nutzung von Windows 10 eigentlich ausschließen.

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...