1982198

Windows-Laufwerke mit Bitlocker verschlüsseln

18.08.2014 | 10:25 Uhr |

Vor allem Besitzer von Notebooks sollten vorsorgen, damit ihre Daten bei einem Verlust des Geräts nicht eingesehen werden können. Mit Bitlocker bietet Windows eine wirksame und schnelle Verschlüsselung.

Mit den professionellen Ausgaben von Windows können Sie komplette Laufwerke so verschlüsseln, dass alle Benutzer anschließend nur noch nach Eingabe eines Passworts darauf Zugriff haben. Auf diese Weise lassen sich beispielsweise die Daten auf Notebooks sehr wirkungsvoll schützen. Die dafür zuständige Funktion innerhalb des Betriebssystems heißt Bitlocker. Sie finden sie in der Systemsteuerung als „Bitlocker-Laufwerkverschlüsselung“, Freunde der Kategorienansicht öffnen zunächst „System und Sicherheit“.

Ideal ist Bitlocker für neuere Computer, auf deren Motherboard ein TPM (Trusted Platform Module) verbaut ist. Dabei handelt es sich um einen Chip, der den PC beziehungsweise die Platine eindeutig identifizierbar macht. Ob Ihr Rechner damit ausgestattet ist, erfahren Sie spätestens, wenn Sie auf „Bitlocker aktivieren“ klicken. Wie Sie Bitlocker ohne TPM nutzen, steht im Kasten auf der nächsten Seite.

So verwenden Sie Bitlocker mit Windows 8

Erste Schritte

Mit der Aktivierung von Bitlocker rufen Sie einen Assistenten auf, der dann zunächst einen Kompatibilitätstest durchführt. Nach einem Klick auf „Weiter“ empfiehlt Ihnen das Programm, eine Sicherung Ihrer wichtigen Dateien vorzunehmen, bevor Sie fortfahren. In einem ersten Schritt wird daraufhin der freie Speicherplatz des aktuellen Laufwerks in eine eigene Partition umgewandelt, die allerdings keinen Laufwerksbuchstaben erhält. Dorthin kopiert das Bitlocker-Setup einige Systemdateien, die zum Starten oder Wiederherstellen von Windows erforderlich sind und nicht verschlüsselt werden können. Nach einem Neustart meldet sich das Programm wieder mit der Frage, ob das verschlüsselte Laufwerk mit einem Code auf einem USB-Stick oder mit einem Kennwort geschützt werden soll.

Beim Sichern des Wiederherstellungsschlüssels bietet Bitlocker mehrere Alternativen an.
Vergrößern Beim Sichern des Wiederherstellungsschlüssels bietet Bitlocker mehrere Alternativen an.

Wenn Sie sich für den USB-Stick entscheiden, sollten Sie ihn jetzt anschließen. Bitlocker versieht ihn mit dem Systemstartschlüssel, einer kleinen Datei, die zukünftig beim Start von Windows abgefragt wird. Nach einem Klick auf die Option fragt Bitlocker, wo es den Wiederherstellungsschlüssel speichern soll: im Microsoft- Konto, auf dem Stick oder in einer Datei. Dieser Wiederherstellungsschlüssel ist nicht identisch mit dem Systemstartschlüssel, sondern eine Art Nachschlüssel, mit dem Sie beim Verlust des USB-Sticks das Laufwerk wieder entschlüsseln können.

Falls Sie das Microsoft-Konto auswählen, wird der Schlüssel online auf einem Microsoft-Server abgelegt. Voraussetzung ist, dass Sie ein solches Konto besitzen und eingeloggt sind. Außerdem können Sie den Schlüssel auch ausdrucken, Sie erhalten dann einen 48-stelligen Zahlencode. Bewahren Sie den Wiederherstellungsschlüssel gut auf. Unsere Empfehlung: Speichern Sie den Schlüssel auf mindestens einem weiteren USB-Stick.

Als Nächstes will Bitlocker wissen, ob es das gesamte Laufwerk verschlüsseln soll oder lediglich den bereits verwendeten Teil. Entscheiden Sie sich hier am besten für das komplette Laufwerk. Die Systemüberprüfung im folgenden Fenster sollten Sie genehmigen. Anschließend ist ein Neustart fällig, bei dem bereits der Schlüssel auf dem USB-Stick abgefragt wird.

Falls Sie den Kennwortschutz gewählt haben, fordert Bitlocker Sie nun zur Eingabe auf. Daraufhin folgen hier ebenfalls die Fragen nach dem gewünschten Speicherort, dem Umfang der Verschlüsselung sowie der Systemüberprüfung. Beim Neustart des Rechners will Windows zum ersten Mal das Passwort wissen. Danach beginnt es mit der Verschlüsselung des Laufwerks, die sich je nach Festplattengröße, Füllgrad und CPU-Geschwindigkeit mehrere Stunden hinziehen kann. Allerdings läuft die Verschlüsselung im Hintergrund. Sie können wie gewohnt normal weiterarbeiten.

Achtung: Verzichten Sie bei Ihrem Kennwort auf Sonderzeichen und Umlaute. Der Grund: Wenn Bitlocker beim Booten das Passwort abfragt, ist der deutsche Tastaturtreiber noch nicht geladen. Stattdessen ist das englische Tastaturlayout eingestellt, bei dem Sonderzeichen und Umlaute mit anderen Tasten verbunden oder sogar auf direktem Weg überhaupt nicht erreichbar sind.

Bitlocker lässt sich in den Pro-Versionen von Windows über die Systemsteuerung schnell und einfach konfigurieren und einrichten.
Vergrößern Bitlocker lässt sich in den Pro-Versionen von Windows über die Systemsteuerung schnell und einfach konfigurieren und einrichten.

Tipp: Haben Sie ein Multiboot-System mit verschlüsselten und unverschlüsselten Windows-Installationen eingerichtet, können Sie die Passworteingabe durch Drücken der Taste F11 überspringen. Sie gelangen dann zur Betriebssystemauswahl, wo Sie ein System auf einem unverschlüsselten Laufwerk starten können. Sobald Bitlocker eingerichtet ist, finden Sie in der Systemsteuerung unter „Bitlocker-Laufwerkverschlüsselung“ Befehle zum Ändern oder sogar Entfernen des Kennworts. Außerdem lässt sich der Schutz an dieser Stelle anhalten, um beispielsweise ein Bios- oder Betriebssystem-Update durchzuführen. Dabei wird der Entschlüsselungsschlüssel in einen unverschlüsselten Schlüssel umgewandelt und die TPM-Abfrage entfällt. Mit „Schutz fortsetzen“ schalten Sie Bitlocker danach wieder ein. Um Bitlocker dauerhaft abzuschalten, klicken Sie auf „Bitlocker deaktivieren“. Nachfolgend wird das Laufwerk entschlüsselt, was wiederum einige Zeit in Anspruch nehmen kann.

Profi gibt fünf Tipps gegen die NSA

Bitlocker To Go verwenden

Bitlocker bietet einen Modus, mit dem sich auch ein Wechsellaufwerk wie etwa ein USB-Stick sicher verschlüsseln lässt. Der zugehörige Assistent taucht im Bitlocker-Fenster in der Systemsteuerung auf, sobald Sie einen Stick angeschlossen haben. Klicken Sie jetzt einfach auf „Bitlocker aktivieren“. Sie haben die Wahl, ob Sie das Laufwerk mit einem Kennwort oder einer Smartcard schützen, wozu natürlich ein entsprechendes Lesegerät vorhanden sein muss. Speichern können Sie den Schlüssel anschließend online in Ihrem Microsoft-Konto oder auf der Festplatte. Alternativ lässt sich der Schlüsselcode auch ausdrucken.

Bitlocker ohne TPM

Um Bitlocker auch ohne TPM einrichten zu können, müssen Sie eine Einstellung in den Gruppenrichtlinien ändern. Rufen Sie dazu den Gruppenrichtlinien-Editor mit der Tastenkombination Strg-R und dem Befehl gpedit.msc auf und gehen Sie zu „Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Bitlocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke“. Öffnen Sie mit einem Doppelklick die Einstellung „Zusätzliche Authentifizierung beim Start anfordern“ und stellen Sie sie auf „Aktiviert“. Damit schalten Sie die Option „Bitlocker ohne kompatibles TPM zulassen“ ein. Bestätigen Sie die Einstellung zum Schluss mit „OK“.

0 Kommentare zu diesem Artikel
1982198