2211682

Bitlocker-Verschlüsselung auch ohne TPM-Modul möglich

13.10.2020 | 12:00 Uhr | Peter Stelzel-Morawietz

Microsofts Laufwerksverschlüsselung ist eine sichere Sache: So verwenden Sie BitLocker auch ohne kompatiblen TPM-Chip.

Die Windows-Anmeldung mit Passwort sowie über das Erkennen von Fingerabdruck oder Gesicht („Windows Hello“) schützt zunächst nur vor der unbefugten PC-Benutzung. Wer das Gerät jedoch stiehlt oder den Datenträger ausbaut, bekommt trotzdem Zugriff auf die Daten der Festplatte. Davor können Sie sich absichern, indem Sie den gesamten Datenträger oder einzelne Verzeichnisse verschlüsseln.

Nur in der Pro-Version von Windows 10 und zunächst scheinbar auch nur auf Rechnern mit TPM-Modul („Trusted Platform Module“) lässt sich die komplette Festplatte über das im Betriebssystem integrierten Bitlocker verschlüsseln. Ob Ihr PC über einen TPM-Chip verfügt, lässt sich im Gerätemanager (Win-X) in der Rubrik „Sicherheitsgeräte“ kontrollieren. Wer ohne ein solches Modul versucht, Bitlocker über die Einstellungen-App von Windows 10 zu aktivieren, erhält eine Fehlermeldung: „Auf diesem Gerät kann kein TPM (Trusted Platform Module) verwendet werden …“ Die meisten Anwender dürften an dieser Stelle abbrechen und auch nicht folgenden Zusatz wahrnehmen: „Der Administrator muss für die Richtlinie ‚Zusätzliche Authentifizierung beim Start anfordern‘ für Betriebssystemvolumes die Option ‚BitLocker ohne kompatibles TPM zulassen‘ festlegen“, auch weil jegliche weitere Konfigurationsmöglichkeit über eine Schaltfläche fehlt. Dabei lässt sich auch ohne Hardware-Chip die TPM-Funktion freischalten und anschließend Bitlocker nutzen.

So geht’s: Starten Sie den Gruppenrichtlinieneditor, indem Sie gpedit.msc in die Such- und Ausführenzeile links unten im Windows-Desktop eintippen. Darin klappen Sie die Ordner „Administrative Vorlagen –› Windows- Komponenten –› Bit-Locker-Laufwerkverschlüsselung“ auf. Nachdem Sie nun links das Verzeichnis „Betriebssystemlaufwerke“ markiert haben, klicken Sie rechts doppelt auf den Eintrag „Zusätzliche Authentifizierung beim Start anfordern“ und markieren darin die Option „Aktiviert“ sowie darunter „BitLocker ohne kompatibles TPM zulassen (hierfür ist ein Kennwort oder …)“. Mit „Übernehmen –› OK“ schließen Sie dieses Fenster und anschließend auch das des Gruppenrichtlinieneditors.

Bitlocker zum Verschlüsseln des kompletten Datenträgers wird nur von Windows 10 Pro unterstützt. Der hier gezeigte TPM-Chip ist dagegen nicht zwingend.
Vergrößern Bitlocker zum Verschlüsseln des kompletten Datenträgers wird nur von Windows 10 Pro unterstützt. Der hier gezeigte TPM-Chip ist dagegen nicht zwingend.

Die eigentliche Verschlüsselung richten Sie ein, indem Sie über „Bitlocker“ im Such- und Eingabefeld die App „Bitlocker verwalten“ starten und anschließend – für jede Partition einzeln – dem Assistenten folgen. Statt der zuvor genannten Fehlermeldung erscheint nun der Dialog „Festlegen, wie das Laufwerk beim Start entsperrt werden soll“. Hier können Sie zwischen dem klassischen Kennwort und einem USB-Stick als Schlüssel wählen.

Sehr ernst nehmen Sie bitte unabhängig von der gewählten Methode den nachfolgenden Einrichtungsschritt „Wie soll der Wiederherstellungsschlüssel gesichert werden?“. Damit schaffen Sie sich die Möglichkeit, auf das Laufwerk und damit Ihre Daten auch dann zugreifen zu können, wenn Sie das Passwort vergessen oder den USB-Stick verlegt haben.

Zur Auswahl stehen hier vier Möglichkeiten, das Ausdrucken des Wiederherstellungsschlüssels ist vergleichsweise einfach und sicher. Zwar gestaltet sich das Eintippen von fast 50 Zahlen etwas mühsam, dafür kann am gut verwahrten Ausdruck nichts kaputtgehen. In den beiden nächsten Schritten bestätigen Sie in der Regel die „Nur verwendeten Speicherplatz verschlüsseln“ und „Neuer Verschlüsselungsmodus“, bevor Sie abschließend das Verschlüsseln des Datenträgers bestätigen und starten.

Der Gruppenrichtlinieneditor von Windows 10 Pro lässt sich so einstellen, dass Sie die Laufwerksverschlüsselung Bitlocker auch ohne TPM-Chip auf dem Mainboard verwenden können.
Vergrößern Der Gruppenrichtlinieneditor von Windows 10 Pro lässt sich so einstellen, dass Sie die Laufwerksverschlüsselung Bitlocker auch ohne TPM-Chip auf dem Mainboard verwenden können.

Daraufhin fährt der Rechner herunter, verschlüsselt das Laufwerk und startet anschließend wieder neu – nun eben mit Passwortabfrage beziehungsweise der Aufforderung, den USB-Stick einzustecken.

Zum Verschlüsseln einzelner Verzeichnisse anstelle des gesamten Datenträgers verwenden Sie die EFS-Datenverschlüsselung („Encrypting File System“), die sich wie Bitlocker auf Windows 10 Pro beschränkt. Zum Einrichten klicken Sie den zu verschlüsselnden Ordner mit der rechten Maustaste an, wählen im Kontextmenü „Eigenschaften“ und klicken im Register „Allgemein“ auf „Erweitert“. Aktivieren Sie die Funktion „Inhalt verschlüsseln, um Daten zu schützen“, fahren mit „OK –› OK“ fort und sichern am Schluss die Zertifikatsdatei.

Falls Sie mit Windows 10 Home arbeiten, ist das kostenlose Veracrypt zum Verschlüsseln von Verzeichnissen und Dateien eine Alternative.

Tipp: USB-Stick verschlüsseln und als Passwort-Manager nutzen - so geht´s

PC-WELT Marktplatz

2211682