BitLocker To Go – Speichermedien verschlüsseln

BitLocker To Go ist die Lösung von Microsoft zur Verschlüsselung externer Speichermedien. Es ist das Pendant von BitLocker zur Verschlüsselung des kompletten Betriebssystems.

Im Gegensatz zum BitLocker für die Betriebssystemverschlüsselung, das den Pro-Versionen vorbehalten ist, können alle Windows-Versionen ab Windows 7 BitLocker To Go-Medien lesen und schreiben. Lediglich für die initiale Einrichtung der Verschlüsselung benötigt man eine Pro oder Enterprise-Version.

BitLocker To Go eignet sich für externe Festplatten, USB-Sticks, SD-Karten und andere gängige Medien. Als Dateisysteme sind die üblichen Windows-Dateisysteme möglich. Das heißt primär NTFS, exFAT, FAT32 und FAT16. Wegen den vielfältigen Limitierungen machen eigentlich nur NTFS und exFAT Sinn bei größeren externen Speichermedien.

Grundsätzlich lässt sich BitLocker wohl auch mit Linux lesen und schreiben, aber wirklich gut geeignet ist es nur in homogenen Windows-Landschaften. Wer betriebssystemübergreifende Verschlüsselungslösungen sucht, ist mit VeraCrypt besser bedient.

Speichermedium verschlüsseln

Die initiale Einrichtung als verschlüsseltes Laufwerk nimmt man – analog zum normalen BitLocker – in den herkömmlichen Systemeinstellungen vor. Unter BitLocker-Laufwerksverschlüsselung sollte die Option, einen Wechseldatenträger zu mit BitLocker To Go zu verschlüsseln angeboten werden.

Nach dem Klick auf Aktivieren kommt eine Abfrage des gewünschten Passworts. Wie immer gilt zu bedenken, dass eine Verschlüsselung nur so sicher ist wie das genutzte Kennwort.

Das Bild zeigt einen Screenshot der Passwortabfrage bei der Aktivierung von BitLocker To Go

Die Einrichtungsroutine bietet an, einen Wiederherstellungsschlüssel zu speichern. Hier sollte man keinesfalls „In Microsoft-Konto speichern“, weil man damit faktisch Microsoft einen Schlüssel ausliefert. Je nach Anforderung also entweder in Datei speichern oder den Wiederstellungsschlüssel drucken.

Sofern auf dem Stick noch nie (sensible) Daten gespeichert wurden, kann im folgenden Schritt die Vorauswahl bei „Nur verwendeten Speicherplatz verschlüsseln“ belassen werden. Windows fragt seit Windows 10 (Version 1511) ab, ob die Verschlüsselung im Modus XTS-AES durchgeführt werden soll. Das ist inkompatibel mit älteren Windows-Versionen, aber unbedingt anzuraten, da schwache Verschlüsselungsalgorithmen leicht geknackt werden können und man ältere Versionen als Windows 10 (1511) nicht mehr verwendet werden sollten. Vermutlich wird diese Abfrage in einiger Zeit entfallen.

Anschließend läuft die Verschlüsselung des Datenträgers durch.

Das Bild zeigt einen Screenshot der Verschlüsselungsprozedur

Für bereits mit BitLocker To Go gesicherte Medien bieten die Systemeinstellungen einige Optionen an.

Das Bild zeigt einen Screenshot der Verwaltung bestehender BitLocker to Go Speichermedien

Verwendung verschlüsselter Speichermedien

Die Benutzung verschlüsselter Speichermedien ist sehr einfach. Windows erkennt automatisch, ob ein Speichermedium mit BitLocker To Go verschlüsselt ist und markiert es mit einem entsprechenden Symbol.

Das Bild zeigt einen Screenshot des Windows Explorers bei der Einbindung eines BitLocker To Go Speichermediums

Möchte man das Speichermedium öffnen, erfolgt automatisch eine Passwortabfrage. Danach kann man das mit BitLocker to Go geschützte Speichermedium normal benutzen.