Dokumente, Fotos, Videos: Die Daten auf dem eigenen Rechner gehen Dritte nichts an. Damit sie zuverlässig vor fremden Zugriff geschützt sind, hilft eine Verschlüsselung der kompletten Festplatte, die Daten sind so für andere unbrauchbar. Unter Windows müssen Sie dafür nicht einmal ein zusätzliches Tool installieren, Nutzer von Windows 10 Pro, Enterprise oder Education können einfach die Bitlocker-Verschlüsselung aktivieren, um das gesamte Systemlaufwerk zu schützen. Besitzer von Windows 10 Home müssen zu einem Trick greifen, um Bitlocker einzuschalten.
Anzeige
Weitere wichtige Voraussetzung für den Einsatz von Bitlocker: Sie müssen Microsoft Ihr Vertrauen schenken, dass es zuverlässig Ihre Daten verschlüsselt und keine Hintertüren für Geheimdienste offenlässt, die Ihre Daten ausspähen.
Lernen Sie heise+ kennen
Lesen Sie diesen Beitrag gratis, um unser digitales Abo für IT und Technik kennen zu lernen – Tests, Ratgeber und Hintergründe: fundiert, kritisch, unabhängig. In heise+ steckt die geballte Kompetenz der Fachredaktionen heise online, c't, iX, Technology Review, Mac & i, Make und c't Fotografie.
Der typische Gegner ist normalerweise eher nicht die National Security Agency. Der Alltag ist meist banaler: Ein Dieb klaut Ihren Laptop, Sie verlieren Ihren USB-Stick, ein Reparaturdienst untersucht Ihren PC. Oft gehts ums Prinzip: Es sind Ihre Daten und andere Leute sollen darauf nicht zugreifen können. Briefe verschicken Sie ja auch nicht als Postkarte. Ein Umschlag schützt Briefe vor fremden Blicken, Verschlüsselung Dateien. Die Laufwerkverschlüsselung schützt nur, wenn andere an Ihren ausgeschalteten Rechner gelangen. Eingeschaltet ist das Laufwerk entsperrt und damit wieder für alle sichtbar.
Nicht alle Windows-Versionen unterstützen Bitlocker. Wer noch Windows 7 verwendet, benötigt eine Ultimate- oder eine Enterprise-Edition des Betriebssystems – und sollte eh bald auf Windows 10 umsteigen, da der Support für Windows 7 im Januar 2020 ausläuft. Wer noch weiter in der Vergangenheit feststeckt und XP oder Vista einsetzt, für den stellt Microsoft ein extra Lesetool bereit. Verschlüsseln geht damit nicht.
Windows-10-Nutzer muss eine der Editionen Pro, Education oder Enterprise installiert haben, um das Verschlüsselungstool einsetzen zu können. Wer Windows 10 Home verwendet, sollte sich nach einer Alternative wie Veracrypt umsehen: Bitlocker lässt sich nicht aktivieren. Mit der Home-Edition können Sie die Daten nur lesen, also verschlüsselte Laufwerke entsperren, etwa einen USB-Stick, den man mit Bitlocker auf einer Pro-Edition verschlüsselt hat.
Anzeige
BitLocker und Windows-Editionen
Betriebssystem
BitLocker aktivieren
BitLocker verwalten
per Kennwort entsperren: System- / internes Daten- / USB-Laufwerk
USB-Medium automatisch entsperren
Windows 7 Starter / Home Basic / Home Premium / Professional
–
–1
– / – / ✓2
–
Windows 7 Ultimate / Enterprise
✓
✓
– / ✓ / ✓
✓
Windows 8.1 ("Core")
–
–1
– / – / ✓2
✓
Windows 8.1 Pro / Enterprise
✓
✓
✓ / ✓ / ✓
✓
Windows 10 Home
–
–1
– / – / ✓2
✓
Windows 10 Pro / Enterprise / Education / Pro Education
✓
✓
✓ / ✓ / ✓
✓
1nur rudimentär per Kommandozeile 2Laufwerk muss vorher an einem PC mit geeigneter Windows-Edition verschlüsselt werden
Ein Trusted Platform Module (TPM) ist hilfreich, aber nicht unbedingt notwendig: Zwar setzt Bitlocker es standardmäßig voraus, aber auch ohne TPM können Sie die Verschlüsselungsfunktion einsetzen. Ein TPM-Chip ist Teil des Mainboards eines Rechners und gehört mittlerweile zur Standardausstattung moderner Rechner. Es speichert Schlüssel und stellt Verschlüsselungsfunktionen bereit.
Ihr exklusiver Zugriff auf das gesamte Wissen der größten unabhängigen IT-Fachredaktion Europas.
Zuerst sollten Sie überprüfen, ob Ihr Gerät mit einem TPM-Chip ausgestattet ist. Microsoft hat Infos über das TPM und seine Verwaltung an mehreren Orten hinterlegt – Sie können sich Ihren Lieblingsweg aussuchen.
Am einfachsten finden Sie die Informationen über die Einstellungen. Tippen Sie TPM in die Windows-Suche und wählen Sie den Eintrag "Sicherheitschip" aus. Dort sehen Sie Daten über den Hersteller und die Version sowie Infos über den Status des Chips. Sind die Spezifikationen leer und der Status zeigt nur "Nicht bereit", dann haben Sie kein TPM oder es ist nicht aktiviert.
Der Geräte-Manager liefert ebenfalls Informationen über das TPM: Drücken Sie Windows+X und wählen Sie anschließend aus dem Menü "Geräte-Manager" aus oder drücken Sie den passenden Shortcut G auf der Tastatur. Im Geräte-Manager sollte unter dem Eintrag "Sicherheitsgeräte" ein Trusted Platform Module zu finden sein, wenn es vorhanden und aktiviert ist.
Auch über die Bitlocker-Einstellungen erfahren Sie mehr über ein vorhandenes TPM. Tippen Sie dafür Bitlocker in die Windows-Suche und wählen Sie den Eintrag "Bitlocker verwalten". Unten Links wählen Sie anschließend "TPM-Verwaltung" aus: Das Trusted-Platform-Module-Management öffnet sich und zeigt weitere Infos über das TPM an. Sehen Sie statt Informationen nur den Satz "Es wurde kein kompatibles TPM gefunden", dann ist kein TPM verfügbar oder nicht aktiviert.
Kein TPM vorhanden.
TPM im BIOS aktivieren
Sie könnten trotzdem ein TPM besitzen, auch wenn Ihr System es auf allen vorher genannten Wegen verneint. Es könnte schlicht im BIOS deaktiviert sein. Um es zu aktivieren, rufen Sie zuerst das BIOS auf: Beim Hochfahren des Rechners drücken Sie die fürs BIOS vorgesehen Teaste, üblicherweise ENTF, F2 oder F12. Wenn Sie unsicher sind, welche Taste dafür zuständig ist, hilft eine kurze Google-Suche mit der Bezeichnung des Mainboards.
Im BIOS finden Sie zugehörige TPM-Einstellung meist über die Sicherheitseinstellungen. Eventuell müssen Sie dafür ein "Security Device Support" oder ähnliches aktivieren. Nach einem Neustart sollte Windows das aktivierte TPM erkennen und für die Verschlüsselung mit Bitlocker einsetzen können.
Ihr exklusiver Zugriff auf das gesamte Wissen der größten unabhängigen IT-Fachredaktion Europas.
Geben Sie Bitlocker in die Windows-Suche ein, wählen Sie den Eintrag "Bitlocker verwalten" aus und aktivieren Sie die Verschlüsselungsfunktion für das Laufwerk Ihrer Wahl.
Anschließend startet Bitlocker und Sie sollen ein Kennwort zum Entsperren eingeben oder eine Smartcard verwenden. Den Wiederherstellungsschlüssel speichern Sie im Microsoft-Konto, auf einem USB-Stick, in einer Datei oder Sie drucken ihn aus. Den Schlüssel in einer Cloud wie dem Microsoft-Konto zu speichern ist immer etwas risikobehaftet: Wer Zugang zu Ihrem Konto hat, kann auch den Wiederherstellungsschlüssel abgreifen. Und Sie müssen sich mit einem Microsoft-Konto bei Windows anmelden.
Ein Passwort schützt Ihre Daten.
Egal für welche Methode Sie sich entscheiden: Der Wiederherstellungsschlüssel besteht aus 48 Zeichen und ist die einzige Möglichkeit, ein Laufwerk zu entschlüsseln, wenn Sie das Passwort vergessen oder die Smartcard verloren haben. Bewahren Sie ihn gut auf!
Nun sollen Sie auswählen, wie viel Speicherplatz des Laufwerks verschlüsselt werden soll: Nur der verwendete Speicherplatz oder das gesamte Laufwerk. Die Empfehlung von Microsoft erscheint sinnvoll: Bei neuen Rechnern verschlüsseln Sie den verwendeten Speicherplatz, bei etwas älteren Rechnern das gesamte Laufwerk. Auch bei der folgenden Auswahl der Verschlüsselungsmethode sollten Sie Microsofts Vorschlag folgen: Wollen Sie das Laufwerk noch mit alten Windows-Versionen verwenden, dann wählen Sie den kompatiblen Modus, ansonsten bleiben Sie bei XTS-AES.
Die Verschlüsselung kann mehrere Stunden dauern.
Zu guter Letzt starten Sie die Verschlüsselung. Im Infobereich der Taskleiste unten rechts können Sie über das Bitlocker-Symbol den aktuellen Status der Verschlüsselung einsehen. Je nach Größe des Laufwerks und der gewählten Methode kann der Vorgang recht lange dauern. Holen Sie sich also einen Kaffee oder starten Sie Bitlocker über Nacht, dann wachen Sie mit einem verschlüsselten Laufwerk wieder auf. Pausieren müssen Sie aber nicht, Sie können den PC wie gewohnt nutzen.
Ist Bitlocker einmal aktiviert, können Sie es über die Bitlocker-Laufwerkverschlüsselung verwalten. Die finden Sie über die Systemsteuerung unter System und Sicherheit/BitLocker-Laufwerkverschlüsselung oder wie gewohnt über die Windows-Suche nach Bitlocker und den Eintrag "Bitlocker verwalten". Dort können Sie für jedes Laufwerk den Wiederherstellungsschlüssel neu sichern, Das Passwort ändern und entfernen, die automatische Entsperrung abschalten oder Bitlocker gleich ganz deaktivieren – das Deaktivieren dauert etwa so lange wie das Aktivieren.
Kommandozeile
Per Kommandozeile erhalten Sie die Status der einzelnen Festplatten.
Wer keine Lust auf ein eine grafische Bedienoberfläche (GUI) hat, kann Bitlocker über die Kommandozeile per manage-bde steuern. Die Eingabeaufforderung sollte dabei als Administrator gestartet werden. Aber auch GUI-Freunde kommen über die Kommandos bequem an Infos: Sinnvoll ist etwa manage-bde -status, das den Status aller Laufwerke auf einen Blick anzeigt. Bitlocker-Version, Verschlüsselungsmethode oder der Status der automatischen Entsperrung werden so übersichtlich angezeigt.
Manage-bde -on <Laufwerk> und manage-bde -off <Laufwerk> tun genau das, was man von ihnen erwartet: Sie aktiveren und deaktivieren die Bitlocker-Verschlüsselung für das gewählte Laufwerk. Mit diversen weiteren Schaltern können Sie die Einrichtung steuern: So verschlüsselt etwa manage-bde –on E: -pw Laufwerk E: und möchte, dass Sie ein Passwort dafür eingeben. Alle Parameter für etwa manage-bde -on und manage-bde allgemein finden Sie in der Dokumentation von Microsoft.
Ihr exklusiver Zugriff auf das gesamte Wissen der größten unabhängigen IT-Fachredaktion Europas.
Auch ohne TPM ist es möglich, Bitlocker einzusetzen. Über die Gruppenrichtlinie können Sie den TPM-Zwang umgehen, müssen aber ein Passwort eingeben oder einen USB-Stick mit einer Verschlüsselungsdatei verwenden.
Geben Sie gpedit in die Windows-Suche ein und klicken Sie auf den Eintrag "Gruppenrichtlinie bearbeiten". Sie landen anschließend im Editor für die lokale Gruppenrichtlinie. Dort navigieren Sie in der Baumansicht links zu Richtlinien für Lokaler Computer/Computerkonfiguration/AdministrativeVorlagen/Windows-Komponenten/Bitlocker-Laufwerkverschlüsselung/Betriebssystemlaufwerke. Nun folgt rechts im Einstellungs-Feld ein Doppelklick auf "Zusätzliche Authentifizierung beim Start anfordern", wo Sie den Schalter auf "aktiviert" umstellen. Anschließend setzen sie noch den Haken in den Optionen bei "Bitlocker ohne kompatibles TPM zulassen". Ein Klick auf "Übernehmen" speichert die Einstellungen.
In den Gruppenrichtlinien können Sie Bitlocker ohne TPM zulassen.
Wollen Sie nun ein Laufwerk verschlüsseln, meckert Bitlocker nicht mehr wegen eines fehlenden TPMs rum und Sie können loslegen.
Bitlocker für SD-Karten und USB-Sticks
Bitlocker können Sie auch für Wechseldatenträger aktivieren, etwa USB-Sticks oder SD-Karten. Das funktioniert im Grunde wie eine normale Festplattenverschlüsselung, Microsoft hat sich dafür nur den Namen Bitlocker To Go ausgedacht.
USB-Sticks schützt Bitlocker To Go.
Der Wiederherstellungsschlüssel lässt sich nur im Microsoft-Konto, einer Datei und per Ausdruck sichern – die Speicherung auf einem USB-Stick entfällt sinnvollerweise. Der kompatible Modus ist bei Bitlocker To Go vorausgewählt. Da er womöglich auf einem anderen Rechner eingesetzt werden soll, ist das eine gute Idee. Auch hier gilt: Bewahren Sie den Wiederherstellungsschlüssel gut auf!
Stecken Sie den Stick nach Abschluss der Verschlüsselung an einen anderen PC, müssen Sie das zuvor festgelegte Kennwort eingeben, um an die Daten zu kommen.
Ihr exklusiver Zugriff auf das gesamte Wissen der größten unabhängigen IT-Fachredaktion Europas.
Mit einem Trick ist es möglich, auch unter Windows 10 Home Bitlocker zu verwenden: Indem Sie ein zweites Windows parallel installieren und darüber das Systemlaufwerk der Home-Installation verschlüsseln. Allerdings kann niemand garantieren, dass dieses Verfahren auf Dauer zuverlässig funktioniert.
Dafür können Sie mit Windows 10 Home USB-Sticks entschlüsseln, die zuvor mit Bitlocker auf einer teureren Edition verschlüsselt wurden. Wenn Sie den verschlüsselten Stick einstecken, sollte zuerst eine Fehlermeldung erscheinen: "Der Pfad ist nicht verfügbar" und "Zugriff verweigert", sollte der Windows Explorer meckern, wenn er automatisch den Stick öffnen will. Kein Wunder, ist ja auch verschlüsselt.
Entsperren können Sie den Stick über den Explorer, wenn Sie die Übersicht Dieser PC öffnen. Rechtsklicken Sie auf den Stick und wählen Sie "Laufwerk entsperren…". Nun geben Sie das zuvor festgelegte Kennwort ein und können wie gewohnt auf Ihre Daten zugreifen. Per Klick auf "Optionen" können Sie zudem Ihren sicher verwahrten Wiederherstellungsschlüssel eingeben, falls Sie das Passwort für den Stick vergessen haben.
Außerdem können Sie dort die Option "Auf diesem PC automatisch entsperren" anhaken. Das ist bequem, aber risikoreich. Jeder Nutzer muss selbst abwägen, wie viel Sicherheit er für Bequemlichkeit eintauschen möchte.
Bitlocker für Vista und XP
Auch ältere Systeme können mit USB-Sticks arbeiten, die per Bitlocker To Go verschlüsselt wurden. Dafür hat Microsoft ein Lesetool veröffentlicht, das die gewünschten Entschlüsselungs-Funktionen nachinstalliert. Per Passwort oder Wiederherstellungsschlüssel kommen damit auch Nutzer von älteren Rechnern an die verschlüsselten Daten.
Ihr exklusiver Zugriff auf das gesamte Wissen der größten unabhängigen IT-Fachredaktion Europas.
Veracrypt verschlüsselt Daten so zuverlässig wie Bitlocker. Darüber hinaus können Sie die verschlüsselten Daten mit anderen Systemen austauschen: Auch Ihr Linux-Rechner oder Mac kann die Daten entschlüsseln. Veracrypts Grundfunktion ist aber nicht ganz so intuitiv wie Bitlocker: Mit dem Tool erstellen Sie etwa eine Containerdatei, die Sie als verschlüsseltes virtuelles Laufwerk einbinden können – es verhält sich dann wie ein gewöhnliches Laufwerk.
Fazit
Wer eine etwas teurere Edition von Windows 10 besitzt, sollte Bitlocker auf jeden Fall mal ausprobieren. Ob es wirklich sinnvoll ist, hängt vom Nutzer ab: Ein Desktop-Rechner voll Urlaubsbilder, der nur Zuhause rumsteht ist eher nicht in Gefahr. Dagegen profitiert ein Laptop mit wichtigen Kundendaten oder Geschäftsgeheimnissen von der Festplattenverschlüsselung. Aber auch wer anlasslos Wert auf Sicherheit legt, kann mit Bitlocker in wenigen Klicks recht bequem seine Daten schützen.
Wer nicht gleich seine komplette Festplatte verschlüsseln möchte, kann zum Open-Source-Tool Veracrypt greifen. Das ist nicht ganz so einfach zu bedienen, lässt sich dafür feiner einstellen und an die eigenen Bedürfnisse anpassen.
Ihr exklusiver Zugriff auf das gesamte Wissen der größten unabhängigen IT-Fachredaktion Europas.
Als junger Leser heise+ mit 50 % Rabatt lesen. Exklusive Tests, Ratgeber & Hintergründe. Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen.Sichern Sie sich jetzt als junger Leser heise+ mit 50 % Rabatt. Exklusive Tests, Ratgeber & Hintergründe. Unbegrenzter Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen.
