Suche

BitLocker verstehen (und was vor BIOS-Updates zu beachten ist)

Die wichtigsten Infos zuerst

Prüfe vor der Installation eines BIOS-Updates oder eines anderen Firmware-Updates bitte zunächst unbedingt, ob BitLocker auf deinem System aktiviert ist.

BitLocker ist die Laufwerksverschlüsselung (Festplattenverschlüsselung) von Windows. Nach bestimmten firmwarebezogenen Änderungen fordert Windows beim nächsten Systemstart möglicherweise den BitLocker-Wiederherstellungsschlüssel an. Ohne den richtigen Schlüssel lässt sich der Systemstart nicht fortsetzen – ein Zugriff auf die Daten ist dann nicht mehr möglich.

Der Wiederherstellungsschlüssel ist eine lange, 48-stellige Zahl, die durch Bindestriche getrennt ist. Er ist nicht identisch mit dem normalen Windows-Passwort, dem PIN oder dem Passwort für das Microsoft-Konto.

Beispiel für einen Wiederherstellungsschlüssel:

123456-789012-345678-901234-567890-123456-789012-345678

Ein BIOS- oder Firmware-Update sollte nur dann gestartet werden, wenn einer der folgenden Punkte zutrifft:

  • Der BitLocker-Wiederherstellungsschlüssel liegt vor bzw. kann von einem anderen Gerät abgerufen werden.
  • Der BitLocker-Schutz wurde vor der Durchführung des Updates ausgesetzt (suspendiert) oder deaktiviert.

In den folgenden Kapiteln wird erklärt, wie man den BitLocker-Status überprüft, wo sich der Wiederherstellungsschlüssel befindet, und welche Schritte vor der Aktualisierung des BIOS ggf. erforderlich sind.

Wie man vor der Installation eines BIOS-Updates mit BitLocker umgeht

Einleitung

Ohne den BitLocker-Wiederherstellungsschlüssel bzw. entsprechende Vorbereitungen sollte kein BIOS-Update durchgeführt werden. Wir empfehlen allgemein, BitLocker vor einem BIOS-Update auszusetzen (suspend) oder zu deaktivieren (disable). Aussetzen und Deaktivieren sind nicht dasselbe – der Unterschied wird in diesem Kapitel erläutert.

Nur wenn du Zugriff auf den Wiederherstellungsschlüssel hast – und zwar auch dann, wenn dein System nicht bootet (also etwa ausgedruckt oder verfügbar auf einem anderen Gerät) – kannst du auch ohne BitLocker zu deaktivieren bzw. zu unterbrechen mit dem BIOS-Update fortfahren.

Falls dein Laptop einem Unternehmen, einer Schule oder einer Universität gehört (bei Anmeldung mit einem Arbeits- oder Schulkonto in Windows), sprich bitte die der jeweiligen Organisation an. Der Wiederherstellungsschlüssel wird möglicherweise von deiner IT-Abteilung verwaltet, und das Aussetzen von BitLocker ist ohne die IT evtl. nicht möglich bzw. durch Unternehmensrichtlinien untersagt.

Wo finde ich meinen BitLocker-Wiederherstellungsschlüssel?

Wenn nach einem BIOS-Update der BitLocker-Wiederherstellungsbildschirm angezeigt wird, notiere bitte die ersten 8 Ziffer der Schlüssel-ID. Das hilft später dabei, den richtigen Schlüssel auszuwählen, falls mehrere gespeichert sind.

Bitte öffne diese Seite und melde dich mit deinem Microsoft-Konto an:

Falls du einem Unternehmens- oder Schulkonto angemeldet bist, verwende bitte diesen Link:

Nach der Anmeldung ist folgende Seite zu sehen:

recovery-key-in-microsoft-account_de.png

Die Tabelle im Screenshot enthält drei wichtige Spalten:

  • Gerätename: Dies ist ein Name, der während der Windows-Einrichtung zufällig vergeben wird. Er kann auch von der IT-Abteilung oder vom Benutzer individuell vergeben werden.
  • Schlüssel-ID: Wird nach dem BitLocker-Wiederherstellungsschlüssel gefragt, wird eine solche Schlüssel-ID angezeigt. Diese ist mit dem jeweiligen Wiederherstellungsschlüssel assoziiert.
  • Wiederherstellungsschlüssel: Dies ist der eigentliche Schlüssel, der auf dem BitLocker-Wiederherstellungsbildschirm eingeben werden muss. Wir empfehlen dringend ein manuelles Backup dieses Schlüssels.

Wissenswertes:

  • Seit Windows 11 Version 24H2 zeigt der Wiederherstellungsbildschirm auch einen Hinweis auf das zugehörige Microsoft-Konto an.
  • Bei der manuellen Aktivierung von BitLocker bietet Windows außerdem an, den Wiederherstellungsschlüssel in einer Textdatei zu speichern, die ausgedruckt oder auf einem USB-Stick gespeichert werden kann. Diese Sicherung kann auch jederzeit manuell durchgeführt werden (vorausgesetzt, das System ist bootfähig) – siehe dieses Kapitel.

Wo finde ich meinen Gerätenamen?

Du findest deinen Windows-Gerätenamen, indem du im Windows-Startmenü nach "PC-Infos" suchst.

about-your-pc-device-name_de.png

Du kannst den Gerätenamen dort auch beliebig ändern, so dass du ihn später besser wiedererkennst. Im Microsoft-Konto (in der Tabelle mit den BitLocker-Wiederherstellungsschlüsseln) wird der neue Windows-Gerätenamen dann ebenfalls entsprechend aktualisiert.

Was muss ich tun, wenn mein Gerät von einer Organisation verwaltet wird?

War das Gerät (bzw. die Windows-Installation auf diesem Gerät) jemals mit einem Arbeits- oder Schulkonto verbunden, erscheint der Schlüssel möglicherweise auf der Microsoft-Profilseite des jeweiligen Kontos. Abhängig von der Konfiguration ist der Schlüssel evtl. nur durch die IT-Abteilung der jeweiligen Organisation abrufbar. Hier eine beispielhafte Copy/Paste-Nachricht zur Kontaktaufnahme mit der IT-Abteilung:

Hallo, ich möchte gern ein BIOS-Update auf meinem Gerät durchzuführen.

  • Modell: [vollständiger Modellname einschließlich Produkt-ID oder Generation]
  • Gerätename: [Windows-Gerätename]

Da das Gerät durch BitLocker geschützt ist, benötige ich Zugriff auf meinen BitLocker-Wiederherstellungsschlüssel (BitLocker recovery key). Alternativ benötige ich eine Bestätigung, dass ich BitLocker vorübergehend aussetzen (suspendieren) oder deaktivieren kann.

Andernfalls würde die Durchführung des BIOS-Updates einen BitLocker-Wiederherstellungsvorgang auslösen und meinen Zugriff auf System und Daten dauerhaft blockieren.

Ich bitte daher um Angabe der korrekten Vorgehensweise bzw. um Angabe des Wiederherstellungsschlüssels für mein Gerät.

 

Informationen zum Auffinden des Gerätenamens stehen im obigen Kapitel.

Benutzer mit lokalen/Offline-Konten müssen besonders vorsichtig sein!

Bei Anwendern mit Offline-Konten – also Anwender die in Windows nicht mit einem Microsoft-Konto angemeldet sind – ist BitLocker möglicherweise ebenfalls bereits aktiviert, auch wenn der Nutzer sich dessen nicht bewusst ist. Dies wird in einem Abschnitt weiter unten näher erläutert.

Im Gegensatz zu Anwendern mit einem Microsoft-Konto haben Anwender mit Offline-Konten nicht den Luxus einer automatischen Online-Sicherung des Wiederherstellungsschlüssels. Anwender mit Offline-Konten müssen den BitLocker-Schlüssel selbst extrahieren und speichern – oder BitLocker vor dem BIOS-Update deaktivieren bzw. aussetzen.

Das bedeutet: Anwender mit lokalem Konto müssen vor jedem BIOS- oder TPM-Update besonders vorsichtig sein. Falls keine manuelles Backup des Wiederherstellungsschlüssels vorliegt (Ausdruck oder .txt-Datei auf einem separaten Laufwerk), ist manuell zu prüfen, ob BitLocker aktiviert ist. Ist dies der Fall, sollte man BitLocker bzw. die Geräteverschlüsselung vor dem Update suspendieren bzw. deaktivieren.

Wie kann ich ein manuelles Backup des BitLocker-Wiederherstellungsschlüssels anlegen?

Das hängt von der Windows-Version ab.

  • Windows 11 Home bietet keinen "BitLocker verwalten"-Einstellungsbildschirm und somit auch keine grafische Benutzeroberfläche für die manuelle Sicherung des Schlüssels. Bei Anmeldung mit einem Microsoft-Konto liegen die Schlüsselsicherungen im Microsoft-Konto, wie in diesem Kapitel erläutert.
  • Bei einer Anmeldung über ein lokales/Offline-Konto steht unter Windows 11 Home somit gar keine bequeme Methode zur Schlüssel-Sicherung zur Verfügung.

Jedoch: Microsoft stellt über die Kommandozeile durchaus bestimmte Befehle zur Verfügung, mit welchen man auch in den o.g. Fällen eine manuelle Sicherung des Wiederherstellungsschlüssels anlegen kann. Details hierzu finden sich in diesem Kapitel. Alternativ bieten wir ein eigenes BitLocker-Tool, welches auf eben jenen Kommandozeilenbefehlen aufbaut – siehe dieses Kapitel.

Für Anwender mit Windows 11 Pro, Enterprise oder Education hingegen bietet Microsoft eine graphische Benutzeroberfläche, welche man über folgende Schritte erreicht:

  • Startmenü öffnen
  • "BitLocker" eingeben
  • "BitLocker verwalten" auswählen

Alternativer Pfad:

  • Windows-Einstellungen > Datenschutz & Sicherheit > Geräteverschlüsselung > BitLocker-Laufwerksverschlüsselung

Klicke dort für das Systemlaufwerk auf "Wiederherstellungsschlüssel sichern".

backup-recovery-key-options_de.png

Bewahre den Schlüssel an einem sicheren Ort auf.

  • Entweder ausgedruckt und sicher verstaut.
  • Oder in einer Datei gespeichert, die dann wiederum sicher abgelegt wird (d. h. nicht auf demselben Gerät).

Die Option "In Microsoft-Konto speichern" funktioniert nur, wenn Windows auch bei diesem Microsoft-Konto angemeldet ist – die Option ist für Benutzer mit lokalen oder Offline-Konten nicht verfügbar.

Weitere Informationen findet man auf der Support-Seite von Microsoft:

Was ist bei BitLocker der Unterschied zwischen Aussetzen und Deaktivieren?

Das Aussetzen von BitLocker ist eine vorübergehende Maßnahme. Das Laufwerk bleibt verschlüsselt, doch BitLocker legt einen Klartext-Schlüssel direkt in einem unverschlüsselten Bereich auf der Laufwerkspartition ab (nicht im TPM). Windows kann somit entsprechend auch dann booten, wenn sich der Firmware-Zustands nach einem BIOS-Update evtl. geändert hat. Vor BIOS- oder TPM-Updates wird deshalb empfohlen, BitLocker auszusetzen.

Das Ausschalten von BitLocker hingegen führt zu einer vollständigen Entschlüsselung der SSD. Die Dauer dieses Vorganges hängt von Größe, Geschwindigkeit und Auslastung des Laufwerks ab. Der Status, ob der Vorgang noch läuft oder schon abgeschlossen ist, lässt sich in der Systemsteuerung über "BitLocker verwalten" (oder in der Eingabeaufforderung über "manage-bde") prüfen.

Ein Neustart, das Herunterfahren oder ein Stromausfall vor Abschluss der Entschlüsselung ist unproblematisch; die Entschlüsselung wird beim nächsten Windows-Start fortgesetzt.

Fazit: zur Vermeidung einer Wiederherstellungsaufforderung nach einem BIOS-Update empfiehlt sich die Option "Aussetzen" (suspend). Eine Deaktivierung von BitLocker ist dann ratsam, wenn das Laufwerk dauerhaft vollständig entschlüsselt werden soll.

Wie kann ich BitLocker suspendieren (bzw. deaktivieren)?

Wie in diesem Kapitel beschrieben, hängt der Vorgang von der Windows-Version ab: Windows 11 Home stellt keine grafische Methode zum Aussetzen von BitLocker bereit. In diesem Fall kann man entweder die Geräteverschlüsselung vollständig deaktivieren (was zur Entschlüsselung des Laufwerks führt) oder das "Aussetzen" via Kommandozeile (bzw. mit unserem Tool) anstoßen. "Aussetzen" und "Deaktivieren" sind nicht identisch sind – siehe obiges Kapitel.

Um die Geräteverschlüsselung in Windows 11 Home dauerhaft zu deaktivieren, folge bitte diesen Schritten:

  • Suche im Windows-Startmenü nach "Geräteverschlüsselung".
  • Alternativ: öffne die Windows-Einstellungen > Datenschutz & Sicherheit > Geräteverschlüsselung
  • Steht die Geräteverschlüsselung auf "Ein", setze diese auf "Aus".

Bei Windows 11 Pro, Enterprise oder Education sind hingegen folgende Schritte möglich:

  • Öffne das Startmenü
  • Gib "BitLocker" ein
  • Wähle "BitLocker verwalten"

Alternativer Pfad:

  • Windows-Einstellungen > Datenschutz & Sicherheit > Geräteverschlüsselung > BitLocker-Laufwerksverschlüsselung

Klicke dort auf "Schutz aussetzen" und bestätige die Aufforderung.

Sobald das erledigt ist, kannst du neustarten und das geplante BIOS-Update gemäß unserer Anleitung durchführen:

Nach erfolgreichem Update kannst du in Windows in dem o.a. Dialog entsprechend "Schutz wiederherstellen" auszuwählen, um die Suspendierung von BitLocker zu beenden.

Wie lange muss ich nach dem Aussetzen von BitLocker warten, bis ich das BIOS-Update durchführen kann?

Das Aussetzen von BitLocker erfolgt sofort. Die SSD wird dabei nicht entschlüsselt – sie bleibt verschlüsselt. Windows legt jedoch einen unverschlüsselten Schlüssel auf dem Volume ab und deaktiviert die üblichen Integritätsprüfungen beim Systemstart, damit Änderungen an der Firmware keine Wiederherstellungs-Event auslösen.

Sobald Windows anzeigt, dass der Schutz ausgesetzt ist, kann also umgehend mit dem BIOS-Update fortgefahren werden.

Ich sehe keine Option zum Aussetzen von BitLocker

Je nach System und Konfiguration wird in der BitLocker-Verwaltungsoberfläche evtl. keine Option zum "Aussetzen des Schutzes" angeboten. Stattdessen erscheint nur die Option "BitLocker deaktivieren".

manage-bitlocker-no-suspend-option_de.png

In diesem Fall empfehlen wir vor einem BIOS-Update wenigstens, den BitLocker-Wiederherstellungsschlüssel zu sichern (Ausdruck oder anderweitig außerhalb des Gerätes), oder eben BitLocker gleich ganz zu deaktivieren.

Das Deaktivieren von BitLocker startet eine vollständige Entschlüsselung des Laufwerks. Windows erlaubt zwar einen Neustart oder ein Herunterfahren während der Entschlüsselung (der Vorgang wird danach fortgesetzt) - es ist jedoch ratsam, mit dem BIOS-Update zu warten, bis die Entschlüsselung abgeschlossen ist.

Nach Abschluss der Entschlüsselung ändert sich der Status von "Entschlüsseln" zu "BitLocker ist deaktiviert". Das BIOS-Update sollte also erst durchgeführt werden, nachdem die Entschlüsselung nachweislich abgeschlossen ist.

Wissenswertes:

  • Die Benutzeroberfläche von Windows bietet die Aussetzung (Suspendierung) von BitLocker nur für das Windows-Systemlaufwerk an (Systempartition, also Laufwerksbuchstabe C:\). Die Suspendierung der Verschlüsselung auf sekundären oder Wechseldatenträgern wird über die Benutzeroberfläche nicht angeboten. Suspendierung über die Kommandozeile ist hingegen mit allen Laufwerken möglich.
  • Auch für die Systempartition gilt: falls die BitLocker-Verwaltungsoberfläche die Option zur Suspendierung nicht anbietet, kann man sie dennoch über die Kommandozeile abrufen (siehe dieses und folgende Kapitel).

Was ist der Unterschied zwischen Windows 11 Home und Pro (in Bezug auf BitLocker)?

Windows 11 Home und Pro nutzen dieselbe zugrunde liegende Verschlüsselungstechnologie, bieten jedoch unterschiedliche Benutzeroberflächen und Kontrollmöglichkeiten. Unter Windows 11 Home wird BitLocker lediglich als „Geräteverschlüsselung“ angezeigt – es steht lediglich ein einfacher Ein-/Aus-Schalter für die Geräteverschlüsselung zur Verfügung.

In Windows 11 Pro, Enterprise und Education steht hingegen das Panel "BitLocker verwalten" in der Systemsteuerung zur Verfügung. Über diese Oberfläche kann man seine Wiederherstellungsschlüssel manuell sichern, den BitLocker-Schutz zum Zwecke eines Firmware-Updates vorrübergehend aussetzen (suspendieren) und weitere erweiterte Optionen nutzen.

Ich verwende ein Offline-Konto – kein Microsoft-Konto. Was muss ich wissen?

Für Benutzer, die sich bewusst nicht mittels eines Microsoft-Kontos in Windows anmelden, bietet die Benutzeroberfläche von Windows 11 Home keine Möglichkeit, einen BitLocker-Wiederherstellungsschlüssel zu erstellen oder zu abzulegen.

device-encryption-on-with-local-account_en.png

Wie auf dem Screenshot zu sehen ist, zeigt Windows eine Meldung namens "Melden Sie sich mit Ihrem Microsoft-Konto an, um die Verschlüsselung dieses Geräts abzuschließen" an - doch das ist irreführend. Die Verschlüsselung ist bereits abgeschlossen, Windows stellt dem Anwender lediglich den Wiederherstellungsschlüssel "noch nicht" zur Verfügung!

Nutzer mit Microsoft-Konto finden Ihren BitLocker-Schlüssel in ebendiesem Konto – dieser Service bleibt Anwendern mit Offline-Konto verwehrt.

Der Link zu "BitLocker-Laufwerksverschlüsselung" (BitLocker verwalten) führt bei Windows 11 Home lediglich zum Microsoft Store, wo ein Upgrade auf Windows 11 Pro angeboten wird.

In Windows 11 Pro und höheren Versionen kann man manuell über die Oberfläche "BitLocker verwalten" ein Backup des Wiederherstellungsschlüssels ablegen. Windows 11 Home bietet keine solche Option.

Empfehlungen für Nutzer mit Offline-Konto und Windows 11 Home:

  • Sichere deinen Wiederherstellungsschlüssel mit dem in Windows mitgelieferten Kommandozeilen-Programm "manage-bde" (siehe dieses Kapitel).
  • Oder verwende unser BitLocker-Tool, um den BitLocker-Status zu prüfen, zu verwalten und ein Backup deines Schlüssels zu erzeugen (siehe dieses Kapitel).
  • Oder: deaktiviere die Geräteverschlüsselung, bevor du ein BIOS-Update durchführst.

In meinem Gerät wird weder BitLocker noch die Geräteverschlüsselung angezeigt

Windows zeigt die Bedienoberflächen der Geräteverschlüsselung (bzw. BitLocker) nur an, wenn bestimmte technische Voraussetzungen erfüllt sind.

Zu diesen Voraussetzungen gehören:

  • Secure Boot im BIOS-Setup ist aktiviert.
  • Ein Trusted Platform Module (TPM) ist verfügbar.
  • Unterstützung für PCR7-Bindung ist vorhanden (eine Komponente im TPM).
  • Funktionierende Windows-Wiederherstellungsumgebung ist vorhanden (WinRE).

Ist eine dieser Voraussetzungen bereits seit der ursprünglichen Windows-Installation nicht erfüllt oder falsch konfiguriert, aktiviert Windows die Geräteverschlüsselung normalerweise nicht automatisch. BitLocker könnte jedoch durch andere oder frühere Einstellungen bereits aktiv sein, daher ist das Fehlen der Geräteverschlüsselung in den Windows-Einstellungen kein hinreichend zuverlässiger Beweis dafür, ob das Systemlaufwerk nun verschlüsselt ist, oder nicht.

Vor einem BIOS-Update empfiehlt sich daher unbedingt eine manuelle Überprüfung:

  • Verwende Befehlszeilentools wie "manage-bde" (siehe dieses Kapitel).
  • Oder verwende unser Programm "BitLocker-Tool", um den BitLocker-Status zu überprüfen und zu verwalten (siehe dieses Kapitel).

Löst jedes BIOS-Update eine BitLocker-Wiederherstellung aus?

Nein. Der BitLocker-Wiederherstellungsbildschirm erscheint nur nach bestimmten BIOS-Updates, beispielsweise bei solchen, bei denen die TPM-Firmware im Zuge des BIOS-Updates ebenfalls aktualisiert oder der TPM-Speicher gelöscht bzw. neu konfiguriert wird.

Ob ein einzelnes Update diesen Zustand auslöst, geht nicht immer aus dem Changelog hervor. Auch der Zustand des Systems spielt eine Rolle: Wenn mehrere Updates übersprungen wurden (wenn der Ausangszustand also relativ alt gewesen ist), kann das neueste Update ebenfalls das BitLocker-Recovery-Event auslösen, selbst wenn die ursächliche Änderung bereits einige Versionen früher eingeführt wurde.

Daher ist es ratsam, grundsätzlich davon auszugehen, dass ein BIOS-Update ein BitLocker-Recovery-Event auslösen könnte und sich entsprechend darauf vorzubereiten, also sich des Zugriffs auf den BitLocker-Wiederherstellungsschlüssel zu vergewissern oder BitLocker vor dem Update zu deaktivieren bzw. auszusetzen.

Hintergrundinformationen

Was ist BitLocker?

BitLocker ist eine Windows-Laufwerksverschlüsselung, die unsichtbar im Hintergrund arbeitet. Laut Microsoft schützt sie die Daten auf der SSD vor dem unbefugten Auslesen im Falle eines Verlustes oder Diebstahls.

Auf modernen Windows-Laptops ist BitLocker in der Regel bereits standardmäßig aktiviert, auch wenn der Benutzer oder Besitzer des Geräts diese Verschlüsselung niemals selbst eingeschaltet hat.

Was ist der Unterschied zwischen "Geräteverschlüsselung" und "BitLocker"?

"Geräteverschlüsselung" ist ein Alias von BitLocker für Endbenutzer – das entsprechend benannte Menü ist unter Windows 11 Home die einzige Bedienoberfläche zur Verwaltung von BitLocker. Das detailliertere Menü "BitLocker verwalten" bzw. "BitLocker-Laufwerkverschlüsselung" ist auf Windows 11 Pro, Enterprise und Education beschränkt.

Da bei beiden Spielarten unter der Haube dieselbe Technologie arbeitet (mit denselben Vorteilen und eben leider auch Fallstricken), wird BitLocker in diesem Artikel weitgehend synonym zur Geräteverschlüsselung verwendet.

Warum kann ein BIOS- oder TPM-Update eine Abfrage nach dem Wiederherstellungsschlüssel auslösen?

BitLocker nutzt verschiedene Eigenschaften des TPMs und der Boot-Umgebung, um zu entscheiden, ob das System weiterhin als vertrauenswürdig eingestuft werden kann. BIOS-Updates, EC-Updates, Neukonfigurationen von Secure Boot oder Änderungen innerhalb der TPM-Firmware – all diese Dinge können diese Einschätzung seitens BitLocker verändern oder beeinträchtigen.

In solch einem Falle behandelt Windows den Systemstart als potenziellen Manipulationsversuch und fordert den 48-stelligen BitLocker-Wiederherstellungsschlüssel an, selbst wenn der rechtmäßige Besitzer des Laptops vor dem Gerät sitzt.

Wie man sich auf diese Eventualität vorbereitet, wird in den ersten Kapiteln dieses Artikels beschrieben.

Ist BitLocker standardmäßig aktiviert?

Bei moderner Hardware ist BitLocker in der Regel standardmäßig aktiviert.

  • Bei Verwendung eines Microsoft-Kontos oder bei Anmeldung über eine Arbeits- oder Schulumgebung ist BitLocker so gut wie immer standardmäßig aktiviert.
  • Auch bei Einsatz eines Offline-Kontos kann BitLocker unter bestimmten Bedingungen standardmäßig aktiviert sein. Nähere Informationen liefert das nächste Kapitel.

Dies gilt für alle Windows-Versionen, egal ob Windows 11 Home, Pro, Enterprise oder Education.

Aufgrund des potenziell katastrophalen Datenverlustes im Worst-Case-Szenario – also wenn man sich selbst ausschließt, ohne Zugriff auf den Wiederherstellungsschlüssel zu haben – empfiehlt es sich, zunächst erst einmal davon auszugehen, dass BitLocker aktiviert ist. Ob dies dann tatsächlich der Fall ist, muss man manuell überprüfen und dann BitLocker eben je nach Bedarf aussetzen oder deaktivieren, oder wenigstens ein Backup des Wiederherstellungsschlüssels anlegen. Die entsprechenden Schritte sind in den ersten Kapiteln dieses Artikels beschrieben.

Vertrauen ist gut, Kontrolle ist besser.

Wird BitLocker wirklich auch bei Offline-Konten standardmäßig aktiviert? (Ja, ziemlich häufig sogar.)

Es kommt drauf an, aber man sollte sicherheitshalber erst einmal davon ausgehen, dass BitLocker aktiviert ist.

Microsoft gibt offiziell an, dass BitLocker für Benutzer mit lokalen Konten nicht automatisch aktiviert wird. Zitat:

„Wenn Sie ein lokales Konto verwenden, wird die Geräteverschlüsselung nicht automatisch aktiviert.“ (Quelle)

In der Praxis ist dies jedoch nicht zu 100% zuverlässig. Je nach Installationsmethode oder dem ursprünglichen Zustand des Geräts könnte BitLocker etwa bereits vor der Erstellung des Benutzerkontos aktiviert worden sein.

Außerdem unterstützt Microsoft lokale/Offline-Konten eigentlich gar nicht mehr so richtig – die Verwendung eines Offline-Kontos erfordert bereits seit Jahren einen "geheimen" Trick auf der Kommandozeile während der initialen Windows-Einrichtung. Daher müssen alle Aussagen von Microsoft zum Systemverhalten von Offline-Konten mit Vorsicht genossen werden – sie könnten veraltet sein oder nicht mit der technischen Realität bzw. sonstigen System-Zuständen kongruent sein.

In der Praxis sollte man daher nicht einfach davon ausgehen, dass BitLocker deaktiviert ist, nur weil man es selbst nie selbst aktiviert hat. Wir empfehlen daher vor jedem BIOS-Update zu prüfen, ob BitLocker aktiviert ist.

Wird BitLocker nach einen manuellen Aussetzen irgendwann automatisch wieder aktiviert?

Das hängt davon ab, auf welche Weise BitLocker suspendiert wurde.

  • Wurde BitLocker über die Windows-Einstellungen suspendiert, erfolgt laut Microsoft keine automatische Reaktivierung.
  • Wurde BitLocker hingegen über die PowerShell mit Standardparametern suspendiert, wird es automatisch bereits nach dem erstnächsten erfolgreichen Systemstart wieder aktiviert.

Dies ist auf dieser Seite dokumentiert. Microsoft schreibt:

"Mit dem Parameter "RebootCount" lässt sich festlegen, wie oft der Computer neu gestartet wird, bevor die BitLocker-Aussetzung endet. Alternativ nimmt das Cmdlet "Resume-BitLocker" den Schutz manuell wieder auf. Wird der Parameter "RebootCount" nicht angegeben, verwendet das Cmdlet den Wert Eins (1), sodass der BitLocker-Schutz bereits nach dem nächsten Neustart wieder aktiv ist."

Setzt man den Schutz hingegen mit unserem BitLocker-Tool aus, dann setzt dieses den RebootCount-Paramter auf Null (0), sodass BitLocker dauerhaft suspendiert bleibt, sofern man es nicht wieder manuell reaktiviert (resumed).

Diese Maßnahme soll den Anwender im Zuge eines BIOS-Updates vor versehentlichen Neustarts und entsprechender Wiederaktivierung der Geräteverschlüsselung schützen. Die Logik dahinter ist Folgende:

  • Unter normalen Umständen suspendiert man BitLocker, wählt im Startmenü einen Neustart aus, deaktiviert Secure Boot im BIOS-Setup, und startet mittels "Save & Exit" erneut durch. Anschließend muss man einen Hotkey drücken, um von USB zu booten und das BIOS-Update zu starten.
  • Verpasst man es jedoch, den Hotkey rechtzeitig zu drücken, oder scheitert der USB-Bootvorgang (z. B. wegen noch aktiviertem Secure Boot), dann wird man wieder ins Windos starten. Dieser Vorgang zählt dann bereits als regulärer Neustart. Mit der "RebootCount"-Standardeinstellung von 1 (Standard via PowerShell) würde BitLocker sich automatisch wiederaktivieren – obwohl man mit dem BIOS-Update noch nicht einmal begonnen hat.

Deshalb setzt unser BitLocker-Tool den "RebootCount"-Wert von standardmäßig 1 auf 0. Dasselbe gilt auch für die Windows-eigene "BitLocker verwalten"-Bedienoberfläche.

Haben jedes Laufwerk bzw. jede Partitionen jeweils eigene Wiederherstellungsschlüssel?

Ja. Jeder Wiederherstellungsschlüssel gilt immer nur für ein Laufwerk bzw. für eine Partition. Bei einer Anmeldung mit einem Microsoft-Konto speichert Microsoft in der Konto-Übersicht alle Schlüssel auf der Seite "BitLocker-Wiederherstellungsschlüssel" separat. Die Schlüssel sind mit einer Laufwerkskennung versehen – die Systempartition heißt dort "OSV" (Operating System Volume).

Bei einem lokalen Konto (Offline-Konto) müssen die Wiederherstellungsschlüssel für separate Speichergeräte oder Wechselmedien (inkl. USB-Sticks) manuell und entsprechend ebenfalls einzeln verwaltet werden, sofern BitLocker für diese Laufwerke aktiv bleiben soll.

Administrator-Anleitung: BitLocker über die Befehlszeile steuern

Öffne eine Eingabeaufforderung als Administrator und verwende die folgenden Befehle:

Befehl Beschreibung
manage-bde -h Zeigt alle Befehle und die Dokumentation an.
manage-bde -status Zeigt den Status von BitLocker für alle installierten Speichergeräte und Partitionen an.
manage-bde -protectors -get C: Listet Schutzmaßnahmen wie den Wiederherstellungsschlüssel für die Partition C:\ auf.

Weitere Befehle für die Eingabeaufforderung bzw. PowerShell stehen auf diesen Support-Seiten:

Unser Tool zur Verwaltung der Geräteverschlüsselung

Wir stellen ein Tool zur Verfügung, mit welchem sich BitLocker auf ausgewählten oder allen Laufwerken eines Systems in einem einzigen Schritt aussetzen oder deaktivieren (und wieder aktivieren) lässt. Mit unserem Tool lassen sich außerdem auch Backups (Sicherungskopien) der BitLocker-Wiederherstellungsschlüssel erzeugen - egal ob man einen Online- oder Offline-Account hat, und egal ob Windows 11 Home oder Pro.

bitlocker-tool-screenshot_de.png

→ Download: https://download.schenker-tech.de/package/bitlocker-tool/

Das Tool nutzt die offiziellen PowerShell-Befehle für die BitLocker-Verwaltung, wie in den oben verlinkten Artikeln beschrieben.

Wir setzen das Tool intern ein, um BitLocker für SSD-Performance- und -Stress-Test automatisch zu deaktivieren. Aber wir bieten das Tool eben auch hier zur Vereinfachung von Support-Vorgängen an – insbesondere für Nutzer von Windows 11 Home, für die Microsoft abseits des Online-Accounts keine grafische Benutzeroberfläche zur Extrahierung des Recovery-Keys zur Verfügung stellt (weitere Informationen hierzu in diesem Kapitel).

Ist BitLocker ausreichend, um im Falle eines Verlustes meine Daten vor Zugriff zu schützen?

Im Grunde schon.

BitLocker ist spezifisch für den Schutz vor unbefugtem Zugriff entwickelt worden – für den Fall, dass ein Laptop oder dessen Datenträger gestohlen wird. Mit BitLocker sind alle Daten auf dem Laufwerk verschlüsselt. Wird die SSD entfernt und an einen anderen Computer angeschlossen, kann der Inhalt ohne den richtigen Schlüssel nicht gelesen (bzw. entziffert) werden.

Der Schlüssel befindet sich im TPM-Modul des Gerätes und wird von diesem beim Booten nur dann freigegeben, wenn das System auf der ursprünglichen Hardware und mit der ursprünglichen Boot-Umgebung (Firmware-Konfiguration) normal hochfährt. Dadurch bleiben die Daten vor Offline-Zugriff geschützt.

Was passiert, wenn ein Angreifer Windows startet und versucht, die Anmeldung zu umgehen?

Gelingt es einem Angreifer, das gesamte System zu stehlen und Windows normal zu starten, ist BitLocker zu diesem Zeitpunkt nicht mehr die einzige Schutzebene. Das Laufwerk ist dann bereits entsperrt (Windows hat Zugriff auf den Schlüssel), da das System normal gestartet wurde. Der Schutz hängt dann von den Standard-Sicherheitsfunktionen von Windows ab – vor allem davon, dass das Benutzerkonto mit einem ausreichend sicheren Passwort und ggf. weiteren Authentifizierungsfaktoren (PIN, Gesichtserkennung, 2FA-Token, usw.) geschützt ist.

Kann ein Angreifer sich keinen Zugriff auf das Benutzerkonto des Besitzers verschaffen, dann kann er auch keine Zweitkonten oder sonstige Zugänge auf die im Hintergrund entschlüsselten Daten legen. Das Anlegen eines neuen lokalen Kontos ist ein administrativer Vorgang, welcher Zugriff auf ein bestehendes Administratorkonto erfordert.

Änderungen auf Firmware-Ebene, etwa die Änderung der Boot-Reihenfolge, oder die Installation eines anderen Boot-Managers (also etwa das Starten eines anderen Betriebssystems, um auf die Daten der primären SSD zuzugreifen), sorgen dafür, dass das TPM den Schlüssel für die mit BitLocker verschlüsselten Partitionen nicht mehr freigibt – ein Side-Channel-Zugriff bleibt somit ebenfalls verwehrt.

Eine parallele Windows-Installation via USB-Installationsmedium, bei welcher der Zugriff auf die alten Daten erhalten bleibt, ist ebenfalls nicht möglich. Grund: Ohne den Wiederherstellungsschlüssel können externe Boot-Medien (z. B. ein mit dem Media Creation Tool von Microsoft erstellter USB-Stick) nicht auf das verschlüsselte Windows-Volume zugreifen, sodass sie auch keine separate Windows-Installation bzw. keinen separaten Bootloader auf das entsprechend geschützte Laufwerk schreiben können.

Einem Angreifer bliebe hier nur noch das Löschen der SSD und eine entsprechende Windows-Neuinstallation. Damit könnte er zwar den PC bzw. Laptop in Besitz nehmen – die darauf ursprünglich gespeicherten Daten wären aber unwiderbringlich verloren. Ein unauthorisierter Zugriff auf die geschützten Daten ist somit effektiv unterbunden.

Nichts ist perfekt: Wie man den Schutz vor ausreichend motivierten Angreifern weiter verbessern kann

Die Schutzkette vom TPM über BitLocker bis zur Passwortsperre der Windows-Benutzerkonten basiert auf der Annahme, dass es keine bekannten Exploits gibt, welche einzelne Elemente der Kette effektiv durchbrechen könnten. Hat das TPM den BitLocker-Schlüssel in Folge eines normalen Bootvorgangs erst einmal an Windows freigegeben, dann hat das Betriebssystem prinzipiell durchaus Zugriff auf die Daten. Ein ausreichend motivierter Angreifer (etwa Nachrichtendienste oder ein anderweitig staatlich unterstützter Akteur) müsste nun theoretisch nur noch eine bisher unbekannte Schwachstelle oder einen physischen Angriff ausnutzen, um privilegierten Zugriff auf das bereits hochgefahrene System zu erlangen.

Bei einem gezielten und hochmotivierten Angriff kann BitLocker allein daher keinen perfekten Schutz vor Datenextraktion bieten.

Dies ist ein Kompromiss aus Sicherheit und Komfort, welcher durchaus nachvollziehbar ist:

  • BitLocker versetzt Windows bzw. das TPM in die Lage, das Laufwerk während eines normalen, vertrauenswürdigen Startvorgangs automatisch zu entsperren, sodass beim Anschalten des PCs oder Laptops noch kein Passwort erforderlich ist.
  • Sobald Windows erst einmal hochgefahren ist, kann es komplexe Funktionen (welche auf BIOS-Ebene noch nicht zur Verfügung stünden) wie Gesichtserkennung via Infrarotkamera nutzen, um im letzten Schritt das Benutzerkonto freizugeben – wiederum ohne Eingabe einer PIN oder eines Passworts.
  • All dies sind wichtige Komfortfeatures, um Verschlüsselung alltagstauglich zu machen. Ohne diesen Komfort würden die meisten Privatanwender gar keine Verschlüsselung nutzen und sich entsprechend gegenüber Gelegenheitsdiebstahl angreifbar machen.

Deshalb ist BitLocker ein sehr guter Schutz, welcher vor allem in der breiten Masse gut funktioniert – aber er ist eben nicht perfekt.

Ein komplexer, Zero-Day-Exploit-basierter Angriff wie oben beschrieben, geht über die Möglichkeiten der meisten Kleinkriminellen weit hinaus. Solch ein Szenario gehört jedoch durchaus zum Bedrohungsmodell, welches man von potenziell hochmotivierten, gut ausgestatteten Angreifern erwarten können muss.

Möchte man sein System nicht nur vor normalem Verlust oder Diebstahl schützen, sondern hat man auch Sorge vor dem gezielten Zugriff auf hochsensible Dateien, empfiehlt sich eine zweite Verschlüsselungsebene, welche vom alltäglichen Windows-Startvorgang getrennt ist.

Für professionelle Nutzer bietet Microsoft zusätzliche, optionale Sicherheitsebenen an, bei denen der Nutzer bereits beim Booten eine PIN eingeben oder einen vorbereiteten USB-Stick (mit einer Schlüsseldatei) anstecken muss. Ein solcher Schutz würde einige der oben beschriebenen Szenarien verhindern – da die Entschlüsselung bzw. Entsperrung der Speicherlaufwerke nun erst nach der Eingabe eines entsprechenden Schlüssels durch den Nutzer erfolgen würde.

Derartige, zusätzliche Authentifizierungsmethoden sind auf dieser Support-Seite dokumentiert:

Microsoft bietet diese zusätzlichen Funktionen jedoch in Windows 11 Home nicht an – sondern erst ab Windows 11 Pro, Enterprise und Education.

Alternativ bietet sich das folgende Prinzip an: eine verschlüsselte Container-Datei, welche sich erst nach Eingabe einer separaten Passphrase öffnen lässt, in die man alle sensiblen Daten packt. VeraCrypt (ehemals TrueCrypt), ist eine weit gebräuchliche, kostenlose Open-Source-Option für genau diesen Anwendungsfall. Weitere Lösungen sind in diesem Wikipedia-Artikel aufgelistet und miteinander verglichen:

Fehlerbehebung

Windows fährt nicht hoch; es verlangt einen Wiederherstellungsschlüssel

Notiere die ersten 8 Ziffern der Schlüssel-ID. Suche auf einem anderen Gerät den zugehörigen 48-stelligen Schlüssel im Microsoft-Konto, im Arbeits- oder Schulkonto oder in gespeicherten Unterlagen (Ausdruck, USB-Stick, Textdatei). Gib den gefundenen, 48-stelligen Schlüssel ein. Weitere Informationen bieten die obersten Kapitel dieses Artikels.

Ich habe keinen Wiederherstellungsschlüssel (oder ich weiß nicht, wo er sein könnte)

Schau bitte zunächst online nach, indem du dich auf einem anderen Gerät in dein Microsoft-Konto einloggst. Dieser Link führt direkt zur Übersicht der Wiederherstellungsschlüssel in deinem Konto:

Bei einem Unternehmens- oder Schulkonto ist dieser Link zu verwenden:

Das Verfahren haben wir im Detail in diesem Kapitel beschrieben:

Wird im angemeldeten Konto kein Schlüssel angezeigt, der mit den ersten 8 Ziffern der auf dem Wiederherstellungsbildschirm angezeigten Schlüssel-ID übereinstimmt, prüfe bitte folgende Punkte:

  • Wurde das Gerät ursprünglich von einer anderen Person eingerichtet? In diesem Fall sollte jene Person in ihrem Microsoft-Konto nach dem Schlüssel suchen bzw. prüfen, ob ein lokales Backup des Wiederherstellungsschlüssels vorhanden ist.
  • War das Gerät jemals über ein Unternehmens- oder Schulkonto angemeldet? Die IT-Abteilung der Organisation müsste evtl. den Wiederherstellungsschlüssel bereitstellen.
  • Wurde der Wiederherstellungsschlüssel jemals auf einem Ausdruck, einem USB-Stick oder in einer gespeicherten Textdatei gesichert? Bitte prüfe alle potenziell relevanten Dateien oder Ausdrucke sorgfältig.

Lässt sich der Wiederherstellungsschlüssel nicht auffinden und wird er im Microsoft-Konto nicht angezeigt, können weder der Microsoft-Support noch unser Support aushelfen - wir haben aufgrund der zugrundeliegenden Sicherheitsarchitektur von BitLocker schlichtweg keinen Zugriff auf diese Schlüssel bzw. keine Kenntnis derselben.

Mit anderen Worten: verweigert Windows nach einem Firmware-Update aufgrund der Geräteverschlüsselung den Start und ist der persönliche Wiederherstellungsschlüssel tatsächlich nicht auffindbar, dann sind alle auf dem Systemlaufwerk gespeicherten Daten unwiderruflich verloren.

Um diesem Szenario vorzubeugen, beachte bitte die Hinweise ab Anfang dieses Artikels.

Im Falle eines möglichen Datenverlustes ist außerdem zu prüfen, ob Sicherungskopien (Backups) der wichtigsten Dateien auf externen Datenträgern vorliegen bzw. ob bestimmte Ordner (etwa die Ordner des Benutzerkontos) über Cloud-Dienste (etwa über OneDrive im Microsoft-Konto) gesichert sind.

Hast du Fragen oder Feedback zu diesem Artikel?
Zögere bitte nicht uns zu kontaktieren!