BitLocker – Betriebssystem verschlüsseln

BitLocker ist die integrierte Verschlüsselungslösung für Windows und seit Server 2008 bzw. Windows Vista in dem Betriebssystem aus Redmond enthalten. Unter Vista und dem Nachfolger Windows 7 fristete es jedoch ein Schattendasein, da es lediglich in den Ultimate und Enterprise-Versionen verfügbar war. Seit Windows 10 steht es jedoch auch den deutlich weiter verbreiteten Pro-Lizenzen zur Verfügung.

Funktionsweise und Sicherheit

Mit BitLocker kann man sowohl das Betriebssystem als auch externe Datenträger verschlüsseln. Damit bietet es grundsätzlich einen Funktionsumfang, der vergleichbaren Lösungen wie LUKS für Linux oder FileVault für macOS zur Verfügung steht. Genau wie diese beiden Konkurrenten musste BitLocker sich bisher keinem unabhängigen externen Audit stellen. Das ist ein Nachteil gegenüber den TrueCrypt-Abkömmlingen wie VeraCrypt.

Die einzige konkret bekannte Angriffsmöglichkeit setzt aber ein laufendes System voraus und funktioniert prinzipiell bei den vergleichbaren Lösungen auch. Bis auf weiteres ist BitLocker daher als sicher zu betrachten.

BitLocker kann verschiedene Sicherheitsmaßnahmen umsetzen. In Kombination mit einem TPM-Modul kann das System bei unveränderter Hardware ohne zusätzliche Abfrage gestartet werden oder – wie von Microsoft empfohlen – eine zusätzliche PIN-Eingabe erzwingen. Bei Hardware ohne TPM kann entweder eine Schlüsseldatei auf einem externen Speichermedium oder eine PIN-Eingabe konfiguriert werden.

Einrichtung

Sofern kein TPM-Modul existiert, müssen vorab die Gruppenrichtlinien angepasst werden. Microsoft setzt für neuere Hardware TPM voraus, daher betrifft dieser Punkt primär virtuelle Maschinen. Hierzu ist gpedit.msc mit administrativen Rechten zu starten. Ähnlich wie in der Registry navigiert man nun zum entsprechenden Abschnitt:

Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Bitlocker-Laufwerksverschlüsselung/Betriebssystemlaufwerke

Hier ist die Option Zusätzliche Authentifizierung beim Start anfordern zu aktivieren und der Haken bei BitLocker ohne kompatibles TMP[…] zu setzen.

Die Einrichtung ist – ähnlich wie bei macOS – einfach gehalten und erfordert keine Neuinstallation des Systems. In den herkömmlichen Systemeinstellungen wählt man den Punkt BitLocker Laufwerksverschlüsselung und dort den Button BitLocker aktivieren.

Es folgt eine Installationsroutine, in der die wichtigsten Punkte abgefragt werden.

In diesem Zusammenhang wird dringend davon abgeraten, den Wiederherstellungsschlüssel im Microsoft-Online-Konto zu speichern. Was man stattdessen macht (Datei, Stick oder Ausdruck) bleibt der persönlichen Präferenz überlassen.

Weiterhin kann man wählen, ob man nur den genutzten Speicherplatz oder das gesamte Laufwerk verschlüsseln möchte. Was hier sinnvoll ist, hängt vom individuellen Nutzungsszenario ab. Bei neuer Hardware und frisch installiertem Windows dürfte die erste Option ausreichen.

Danach startet man das System neu. Vor dem eigentlichen Systemstart erscheint nun ein blaues Fenster mit einer Passwortabfrage. Dabei handelt es sich immer um eine englische QWERTY-Tastaturbelegung, was bei Sonderzeichen ungewohnt sein kann. Entweder man merkt sich die entsprechenden Tastenkombinationen oder man wählt ein Passwort ohne entsprechend verschobene Sonderzeichen sowie Y und Z.

Schließlich startet Windows und man kann weiterarbeiten, während das System im Hintergrund verschlüsselt.