2380640

Windows 10: Laufwerke mit Bitlocker verschlüsseln

09.10.2018 | 14:08 Uhr | Birgit Götz

Wenn Sie Windows 10 Pro oder Enterprise nutzen, dann können Sie Ihre Dateien auf der Festplatte mit Bitlocker verschlüsseln. So geht's.

Eine der zusätzlichen Funktionen, die Sie in Windows 10 Pro im Vergleich zur Home-Version erhalten, ist Bitlocker. Damit können Sie alle Daten auf Ihrer(n) Festplatte(n) verschlüsseln, so dass niemand ohne Ihre Windows-Anmeldeinformationen darauf zugreifen kann.

Würde jemand das Laufwerk aus Ihrem PC herausnehmen, um über einen anderen PC darauf zuzugreifen, ist der Inhalt unlesbar. Das klingt gut, aber es gibt etwas zu beachten: 

  • Wenn Sie die Software-Verschlüsselung nutzen (müssen), verlangsamt Bitlocker die PC-Leistung

  • Wenn Sie Ihr Passwort vergessen oder verlieren, können Sie möglicherweise nicht auf Ihre eigenen Dateien zugreifen.

  • Idealerweise benötigen Sie einen Computer mit einem TPM-Chip.

Ein TPM-Chip (Trusted Platform Module Chip) ist zwar nicht zwingend notwendig, aber ohne den Chip muss Bitlocker eine softwarebasierte Methode verwenden, die nicht so sicher ist. Es bedeutet in der Regel auch eine verminderte Lese- und Schreibleistung. Außerdem müssen Sie einen bestimmten USB-Stick einlegen und ein Passwort eingeben, um Ihren PC jedes Mal zu starten. Das wiederum bedeutet, dass das Bios Ihrer Hauptplatine das Booten von USB-Laufwerken ermöglichen muss.

Um zu überprüfen, ob Ihr Windows-10-PC die Anforderungen von Bitlocker erfüllt, öffnen Sie das "Windows Defender Security Center" aus dem Startmenü und klicken auf "Gerätesicherheit" im linken Menü.

Oder Sie geben unten links im Suchfeld "Bitlocker" ein und werden dann über "Bitlocker verwalten" in die Systemsteuerung zur "Bitlocker-Laufwerkverschlüsselung" geleitet. Wählen Sie hier das Laufwerk aus, auf dem Ihre sensiblen Daten gespeichert sind, und klicken Sie auf "Bitlocker aktivieren". Schnell geht es auch, wenn Sie den Datei-Explorer öffnen, auf "Dieser PC" und dann mit der rechten Maustaste auf die gewünschte Festplatte klicken. Im aufklappenden Fenster können Sie dann Bitlocker aktivieren. Folgen Sie den Anweisungen am Bildschirm.

Hinweis: Wenn Ihr Laufwerk schon ziemlich voll ist, wird der Vorgang dementsprechend lange dauern. Den Status sehen Sie, wenn Sie zur Bitlocker-Seite in der Systemsteuerung zurückkehren. Sobald Bitlocker aktiviert ist, erscheint im Datei-Explorer ein gesperrtes Schloss-Symbol über dem Laufwerk.

Hardware- oder Software-Verschlüsselung?

Bitlocker unterstützt beide Methoden. Wenn es einen TPM-Chip nutzen kann und Sie sich dafür entscheiden, das gesamte Laufwerk zu verschlüsseln, dann sollte es die Hardware-Verschlüsselung werden.

Möchten Sie nur ein Volume auf einem Laufwerk (d.h. eine von mehreren Partitionen) verschlüsseln, verwendet man die Software-Verschlüsselung. Die Software-Verschlüsselung können Sie auch nutzen, wenn Ihr Computer nicht den Anforderungen von Bitlocker entspricht.

Startet nicht der Setup-Assistent, sondern es kommt eine Fehlermeldung, muss das jedoch nicht heißen, dass Ihre Hardware inkompatibel ist. Möglicherweise sind nur die entsprechenden Optionen im Bios nicht aktiviert. Geben Sie im Suchfeld Bios oder UEFI ein und suchen Sie nach einer TPM-Einstellung. Stellen Sie sicher, dass sie aktiviert ist.

Wenn Sie ein AMD-basiertes System ab 2013 haben, werden Sie vielleicht feststellen, dass es einen PSP statt eines TPM hat. PSP steht für Platform Security Processor und kann bedeuten, dass der Prozessor selber - wie beispielsweise ein Ryzen-Chip - ein Sicherheitsmodul hat, das anstelle eines TPM verwendet werden kann.

Auch hier müssen Sie dies möglicherweise im Bios aktivieren (suchen Sie nach AMD fTPM), selbst wenn Sie AMD PSP im Geräte-Manager sehen.

Beachten Sie, dass man im Januar 2018 festgestellt hat, dass AMD PSP einen Sicherheitsfehler aufweist und Microcode-Updates (die über Windows-Sicherheits-Updates bereitgestellt wurden) deaktiviert oder teilweise deaktiviert sind, um diesen Fehler zu beheben. Wenn das auf Ihrem PC der Fall ist, können Sie Bitlocker möglicherweise nicht im Hardware-Modus verwenden.

Möchten Sie die Verschlüsselung im Software-Modus ausführen, müssen Sie die Gruppenrichtlinien bearbeiten
Vergrößern Möchten Sie die Verschlüsselung im Software-Modus ausführen, müssen Sie die Gruppenrichtlinien bearbeiten

Wenn Sie im Software-Modus verschlüsseln möchten - auch wenn Ihr PC dadurch langsamer wird - müssen Sie den "Editor für lokale Gruppenrichtlinien" verwenden. So geht's:

Geben Sie gpedit in das Suchfeld des Startmenüs ein und klicken Sie auf "Gruppenrichtlinien bearbeiten", wenn das in den Ergebnissen erscheint.

Navigieren Sie nun im linken Bereich zu "Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Bitlocker Laufwerkverschlüsselung > Betriebssystemlaufwerke" und mit einem Klick darauf wählen Sie "Zusätzliche Authentifizierung beim Start anfordern". Jetzt öffnet sich ein neues Fenster. Klicken Sie auf "Richtlinieneinstellung bearbeiten" und im nächsten Fenster markieren Sie den Auswahlknopf "Aktiviert". Stellen Sie außerdem sicher, dass bei "Bitlocker ohne kompatibles TPM zulassen" ein Häkchen gesetzt ist.

Weitere Informationen finden Sie in den FAQ für Bitlocker von Microsoft .

Alternative zu Bitlocker

Es gibt noch eine Alternative zu Bitlocker : eine SSD mit Vollverschlüsselung. Mit einem solchen Laufwerk werden die Inhalte automatisch verschlüsselt, aber das ist für Windows transparent, es behandelt die SSD wie jedes andere Laufwerk. Normalerweise ist diese Option standardmäßig nicht aktiviert, so dass Sie eventuell die Software des Herstellers (beispielsweise Samsungs Magician) herunterladen müssen, um die Verschlüsselung einzuschalten. Wenn das Laufwerk formatiert werden woll, müssen Sie vorab alle benötigten Daten kopieren und Windows möglicherweise neu installieren, wenn es sich dabei um Ihr Boot-Laufwerk handelt.

Dieser Beitrag erschien zuerst bei unseren englischen Kollegen von techadvisor.co.uk

Verschlüsselung: So sichern Sie alles ab

2380640