Firmenlink

 

Verschlüsseln mit Bitlocker

Bitlocker ist Microsofts Verschlüsselungswerkzeug, das allerdings nur in den Pro-Versionen von Windows steckt. So gehts.

von Gaby Salvisberg 15.09.2015

In Professional-Versionen von Windows steckt eine Verschlüsselungssoftware namens Bitlocker. Damit lassen sich die Systempartition, die Datenpartitionen und externe Laufwerke verschlüsseln. Die ist aber eher für fortgeschrittene Benutzer gedacht, die sich im Notfall zu helfen wissen. Etwa im Banken-Umfeld dürften es die unternehmenseigenen Systemadministratoren sein, die eine Bitlocker-Verschlüsselung auf den Notebooks ihrer Mitarbeiter einrichten.

Wer sein Notebook mit vielen sehr persönlichen Daten füllt und dieses häufig mitschleppt, sollte dennoch darüber nachdenken, Bitlocker zu benutzen. Vor Zugriffen eines Geheimdienstes à la NSA wäre es dadurch wohl nicht komplett geschützt. Einen durchschnittlichen Dieb oder neugierigen Finder des Gerätes würde eine Bitlocker-Verschlüsselung aber sehr effizient von den Daten fernhalten.

Voraussetzungen

Sie brauchen natürlich für die folgenden Schritte Administrator-Rechte auf Ihrem PC. Ausserdem muss eine Professional-Version von Windows installiert sein, denn in Home-Versionen ist Bitlocker nicht enthalten. Von Windows Vista bis Windows 8 blieb das Verschlüsseln der Systempartition standardmässig jenen Geräten vorbehalten, die über einen unterstützten TPM-Chip verfügten (Trusted Platform Module). Nicht alle PCs und Notebooks haben so einen Chip in der geforderten Version. Ausserdem will nicht jeder User das mit Skepsis betrachtete Modul benutzen. Ob Ihr Computer eins hat, finden Sie heraus, indem Sie zu Start/Ausführen gehen oder Windowstaste+R drücken, tpm.msc eintippen und mit Enter ausführen.

Hier ist kein TPM vorhanden Hier ist kein TPM vorhanden Zoom© pctipp.ch

Windows 7 hat zudem eine Einschränkung, die ab Windows 8 wegfällt: Falls TPM fehlt, müssen Sie für Bitlocker zwingend die USB-Stick-Methode verwenden. Jene mit Passwort dürfte dort nicht funktionieren. Aber ob das ein Grund ist, auf Windows 10 zu upgraden, müssen Sie selbst entscheiden.

Sie brauchen auch mindestens eine externe Festplatte oder einen USB-Stick. Entweder weil Sie darauf die Schlüsselwiederherstellungsdatei (die ist «lebenswichtig!») speichern müssen oder weil Sie etwa den USB-Stick selbst als Schlüssel verwenden wollen. Falls Sie ein Netzlaufwerk griffbereit haben, können Sie fürs spätere Sichern der Datei auch jenes nehmen.

Wer auf TPM verzichten will oder muss, kann die Einstellung in den Gruppenrichtlinien ändern. Gehen Sie zu Start/Ausführen oder drücken Sie Windowstaste+R. Tippen Sie gpedit.msc ein und drücken Sie Enter.

Dort gehts über Richtlinien für Lokaler Computer zu Computerkonfiguration/Administrative Vorlagen, dann weiter zu Windows-Komponenten/Bitlocker-Laufwerkverschlüsselung und endlich zu Betriebssystemlaufwerke. Sie finden darin eine Richtlinie namens Zusätzliche Authentifizierung beim Start anfordern. Doppelklicken Sie sie, setzen Sie sie auf «Aktiviert» und pflanzen Sie ein Häkchen neben «Bitlocker ohne kompatibles TPM zulassen». Starten Sie danach den PC einmal neu.

TPM für Bitlocker ausknipsen TPM für Bitlocker ausknipsen Zoom© pctipp.ch

Wichtig: Tastatur! Wenn Sie Ihre Systempartition verschlüsseln, wird in Zukunft vor dem eigentlichen Betriebssystem eine Art Minisystem gestartet, das eine so genannte Pre-Boot-Authentifizierung durchführt. Sie müssen sich da entweder durch ein Passwort oder durchs Einstöpseln eines bestimmten USB-Sticks authentifizieren. Erst wenn das geklappt hat, startet das eigentliche Betriebssystem. In dieser Pre-Boot-Phase steht auch ein in Deutsch installiertes Windows sehr oft mit amerikanischem Tastaturlayout da. Nebst den Buchstaben Z und Y sind die meisten Sonderzeichen vertauscht. Wenn Sie also in Ihrem Bitlocker-Passwort Sonderzeichen oder gar Umlaute haben, kann es schwierig werden, das Kennwort korrekt einzutippen. Dazu später mehr.

Wer das Passwort verliert und sich nicht vorher auf Notfallszenarien vorbereitet hat, ist auf verlorenem Posten. Bei der Inbetriebnahme von Bitlocker zwingt Windows Sie zum Glück dazu, diesen Wiederherstellungscode zu speichern. Er ist nämlich das einzige, was Sie noch zu Ihren Daten führen wird, falls Sie das Passwort vergessen oder falls das Mainboard mit dem TPM-Chip defekt ist.

Los gehts!

Sind Sie gut vorbereitet und ist TPM gegebenenfalls deaktiviert? Starten Sie den PC einmal neu, falls noch nicht geschehen. Die Verschlüsselung grösserer Laufwerke kann gut und gerne einen ganzen Tag dauern. In dieser Zeit können Sie zwar theoretisch weiterarbeiten, aber haben es mit einem sehr trägen Computer zu tun, bis der Vorgang abgeschlossen ist. Starten Sie den Verschlüsselungsvorgang deshalb nicht, wenn Sie auf diesem Gerät in den nächsten 24 Stunden besonders produktiv arbeiten wollen.

Öffnen Sie den Windows-Explorer und gehen Sie zu Dieser Computer. Klicken Sie mit Rechts aufs Laufwerk C: und öffnen im Kontextmenü den Befehl Bitlocker aktivieren. Alternativ können Sie auch die Systemsteuerung öffnen, oben rechts Bitlocker eintippen und das gefundene Element Bitlocker-Laufwerkverschlüsselung starten. Auch hier gehts zu Bitlocker aktivieren.

Aktivieren Sie Bitlocker fürs Systemlaufwerk Aktivieren Sie Bitlocker fürs Systemlaufwerk Zoom© pctipp.ch

Im nächsten Dialog bestimmen Sie, ob Sie zum Entriegeln jeweils ein Passwort eintippen oder einen Entsperr-USB-Stick einstöpseln wollen. Greifen Sie beispielsweise zu Kennwort eingeben.

Entschlüsselungsmethode auswählen Entschlüsselungsmethode auswählen Zoom© pctipp.ch

Verwenden Sie später ein gutes Kennwort oder einen Kennsatz mit Sonderzeichen und Ziffern. Es sollte aber etwas sein, das Sie sich gut merken können. Und sehr wichtig: Denken Sie an unsere zuvor geäusserte Warnung: Unter Umständen müssen Sie die verwendeten Sonderzeichen auf einem US-Tastaturlayout blind (weil D/CH-beschriftet) eintippen. Der Bindestrich (Minuszeichen) befindet sich dort zum Beispiel in der obersten Reihe rechts neben der Null (bei uns ein Apostroph «'»), das Pluszeichen gleich noch eine Stelle weiter rechts davon (bei uns das Circonflexe «^»), allerdings unter Beihilfe der Shift-Taste. Tippen Sie also das fortan fürs Entschlüsseln benutzte Kennwort ein und bestätigen Sie es im Feld darunter gleich nochmals.

Legen Sie hier Ihr gutes, aber schon verinnerlichtes Bitlocker-Passwort fest Legen Sie hier Ihr gutes, aber schon verinnerlichtes Bitlocker-Passwort fest Zoom© pctipp.ch

Wiederherstellungschlüssel: Der wichtigste aller Schritte ist das Speichern des Wiederherstellungsschlüssels. Denn auch wenn Sie das Kennwort vergessen, Ihren Entsperr-USB-Stick verlegen und wenn der TPM-Chip kaputt geht – dieser Code ist Ihre einzige und letzte Chance, im Notfall Ihr Laufwerk wieder aufzubekommen. Sie haben verschiedene Möglichkeiten zum Sichern des Wiederherstellungsschlüssels. Von «Im Microsoft-Konto speichern» raten wir eher ab, denn wer Ihr (vielleicht einfacheres) Microsoft-Login mitbekommt, der hat dann auch Zugang zum Schlüssel. Natürlich empfiehlt sich immer die unterste Variante, Wiederhstellungsschlüssel drucken. Das ausgedruckte Blatt können Sie in einen Tresor legen oder anderweitig sinnvoll verwahren. Bei Bedarf nehmen Sie den Schlüssel hervor und können ihn abtippen. Sinnvoll ist auch In Datei speichern. Als Speicherziel dürfen Sie hier übrigens nicht das Laufwerk nehmen, welches gerade verschlüsselt werden soll. Nehmen Sie hierfür ein Netzlaufwerk, allenfalls auch vorübergehend. Sie können später die kleine Datei auf einen USB-Stick legen und in einem Schrank verstauen. Natürlich können Sie auch direkt einen USB-Stick als Speicherziel angeben. Was auch immer Sie mit der Datei tun: Sie müssen den Inhalt der Datei griffbereit haben, falls Sie eines Tages das Passwort vergessen und die Platte entschlüsseln müssen. Sie können hier auch mehr als eine Variante nehmen. Die Datei sollte am Schluss z.B. je einmal auf Papier und einmal in einer Datei vorhanden sein. Beides darf aber nicht in fremde Hände geraten.

Unausweichlich und sinnvoll: Drucken Sie den Wiederherstellungsschlüssel aus und speichern Sie ihn zusätzlich in eine Datei Unausweichlich und sinnvoll: Drucken Sie den Wiederherstellungsschlüssel aus und speichern Sie ihn zusätzlich in eine Datei Zoom© pctipp.ch

Im nächsten Dialog greifen Sie am besten zu «Gesamtes Laufwerk verschlüsseln». Denn sonst werden nur die Teile verschlüsselt, auf denen bereits Daten liegen. Falls auf der Platte zuvor Daten gelöscht wurden, wären die theoretisch immer noch wiederherstellbar.

Wenn schon, denn schon: Verschlüsseln Sie die gesamte Platte Wenn schon, denn schon: Verschlüsseln Sie die gesamte Platte Zoom© pctipp.ch

Nun kann es losgehen. Falls Sie zum Entriegeln einen USB-Stick verwenden wollen, müssen Sie diesen gleich drin lassen. Falls Sie den USB-Stick nur verwendet haben, um den Wiederherstellungsschlüssel zu speichern, benutzen Sie «Sicher entfernen» und ziehen den USB-Stick ab, sobald das System es Ihnen erlaubt. Nach dem Klick auf Weiter startet das System neu bzw. werden Sie aufgefordert, es neu zu starten. Jetzt Sie werden Ihr Entsperrpasswort zu Testzwecken erstmals eingeben müssen. Sind Sie wegen der Sonderzeichen nicht sicher, drücken Sie die Einfg- bzw. Insert-Taste, so wird das Kennwort während der Eingabe in Klartext angezeigt. Hat die Eingabe geklappt, startet Windows und führt Sie wie gewohnt zum Login-Schirm. Melden Sie sich an, dann legt Windows mit der Verschlüsselung der Platte los. Sie werden kurz darauf im Systemtray ein Icon sehen (siehe rote Umrahmung im Screenshot). Der Klick darauf zeigt ein Fenster, das Ihnen mitteilt, wie lange es doch dauert, bis die Platte fertig verschlüsselt ist.

Gut Ding will Weile haben Gut Ding will Weile haben Zoom© pctipp.ch

Der Verschlüsselungsvorgang selbst kann bei grossen Partitionen gut und gerne mal einen ganzen Tag dauern. Gut, dass er im Hintergrund läuft und Sie während dieser Zeit weiterarbeiten können. Wie erwähnt, ist das Verschlüsseln der Platte eine grosse Rechenaufgabe, weshalb das System sehr langsam reagieren wird, während es mit dem Verschlüsseln beschäftigt ist.

Tipps zum Schluss

Ein paar Tipps und Zusatzinformationen wollen wir Ihnen hier noch mitgeben.

Verschlüsselung anhalten oder aufheben: Für bestimmte Systemmanipulationen ist es erforderlich, Bitlocker temporär anzuhalten. Das versetzt die Platte vorübergehend in eine Art entschlüsselten Zustand. Das kann erforderlich sein, wenn Sie neue Laufwerke einbauen oder ein BIOS- bzw. UEFI-Update einspielen. Danach starten Sie die Verschlüsselung wieder. Beides geht via Systemsteuerung. Tippen Sie oben rechts Bitlocker ins Suchfeld und öffnen Bitlocker-Laufwerkverschlüsselung. Greifen Sie zu Schutz anhalten oder (falls es fehlt) zu Bitlocker deaktivieren. Nach getaner Arbeit verwenden Sie Schutz fortsetzen bzw. Bitlocker aktivieren.

Soll die Verschlüsselung eines Tages wieder aufgehoben werden? Starten Sie das System und loggen Sie sich mit Ihrem Bitlocker-Passwort sowie mit Ihrem Windows-Passwort ein. Starten Sie über die Systemsteuerung die Bitlocker-Laufwerkverschlüsselung. Verwenden Sie Bitlocker deaktivieren und Laufwerk entschlüsseln, um den Schlüssel zu entfernen. Dies leitet das komplette Entschlüsseln ein, welches wieder mehrere Stunden dauert.

Konsolenbefehle: Der Bitlocker-Dienst ist auch per Konsolenbefehl ansprechbar, um den Status abzufragen, die Verschlüsselung zu pausieren, fortzusetzen oder zu entfernen. Der Hauptbefehl heisst manage-bde, dahinter folgen je nach Ziel verschiedene Schalter. Welche Schalter welchen Effekt haben, finden Sie heraus, indem Sie im Konsolenfenster (mit Adminrechten) manage-bde /? eintippen und Enter drücken. Zum Beispiel manage-bde -status zeigt den Bitlocker-Status der verschiedenen Laufwerke an.

Manche bedienen Bitlocker lieber über die Konsole Manche bedienen Bitlocker lieber über die Konsole Zoom© pctipp.ch

Haben Sie keine Pro-Version von Windows? Es gibt kostenlose Open-Source-Programme, die Ihnen die Möglichkeit bieten, auch unter Home-Versionen von Windows (oder unter Linux) eine Komplettverschlüsselung mit Pre-Boot Authentifizierung einzurichten. VeraCrypt ist eine Art Nachfolger des beliebten TrueCrypt. Es wird von IT-Fachleuten geschätzt, weil es unter Windows, Linux und Mac läuft, weil der Programmcode unter einer Open-Source-Lizenz steht und weil es viele Einstellungsmöglichkeiten bietet.


    Kommentare

    • Tman64 15.09.2015, 17.49 Uhr

      Hallo Frau Salvisberg Ich möchte für diesen gut beschrieben Artikel, ein grosses Lob aussprechen. Selten habe ich - ein doch eher schwieriges Thema für einfache Benutzer - mit Leichtigkeit lesen und verstehen dürfen. Danke dafür und weiter so. Gruss Tman64

    • Gaby Salvisberg 16.09.2015, 11.26 Uhr

      Hallo Tman64 Vielen lieben Dank für das freundliche Kompliment. :o Herzliche Grüsse Gaby

    • Valerio191 29.09.2015, 21.47 Uhr

      Hallo, erstmal vielen Dank für den sehr gut beschriebenen Artikel. Beim Lesen ist mir allerdings aufgefallen, dass Win 7 Pro eigentlich keine Verschlüsselung mit Bitlocker anbietet sondern erst ab Ultimate sowas möglich ist. Auf meinem Notebook habe ich Win 7 Pro installiert und obwohl ich mich an die hier beschriebenen Schritte gehalten habe, war nach einem Neustart leider Bitlocker nicht aktiviert. Auf Windows 10 ist das eine andere Geschichte. Meiner Meinung nach ist Bitlocker auf[...]

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.