Teil 1: Was ist BitLocker?
BitLocker Laufwerksverschlüsselung oder einfach BitLocker, ist eine Verschlüsselungssoftware, die Microsoft zum Schutz von Benutzerdaten eingeführt hat. Sie integriert sich nahtlos in das Betriebssystem und verhindert, dass Hacker und Cyberkriminelle die auf dem Laufwerk gespeicherten Daten stehlen oder einsehen können.
Bei BitLocker können Sie wählen, ob Sie AES 128-Bit oder 256-Bit Verschlüsselungsschlüssel verwenden möchten. Außerdem kombiniert es die Verschlüsselungstechnologie auf der Festplatte mit einzigartigen Schlüsselverwaltungsfunktionen.
Unterstützte OS - Windows
Windows veröffentlichte BitLocker erstmals 2007 für Windows Vista. Es erhielt ein umfangreiches Update für Windows 10, das Verbesserungen der Verschlüsselungstechnologie, entfernbare Datenlaufwerke, aktualisierte Gruppenrichtlinieneinstellungen und mehr beinhaltete. Die Updates wurden auf Windows 10, 11 und Server 2016 und höher angewendet.
BitLocker ist kompatibel mit:
- Windows Vista und Windows 7: Ultimate und Enterprise Editionen
- Windows 8 und 8.1: Pro und Enterprise Editionen
- Windows 10 und 11: Pro, Enterprise und Educational Editionen
Systemanforderungen
Neben der richtigen Version und Edition von Windows benötigen Sie die folgenden Systemanforderungen, um BitLocker auszuführen:
- TPM 1.2 oder später: Wenn Ihr Computer nicht über das Trusted Platform Module 1.2 oder höher verfügt, müssen Sie den Startschlüssel auf einem Flash-Laufwerk oder einer Wechselfestplatte speichern.
- BIOS oder UEFI-Firmware: Der Computer benötigt eine dieser mit der Trusted Computing Group (TGC) kompatiblen Firmware, um beim Hochfahren des Systems eine zuverlässige Vertrauenskette zu gewährleisten. Wenn der Computer nicht über ein TPM verfügt und Sie eine Flash- oder externe Festplatte verwenden, muss diese nicht BIOS- oder UEFI-kompatibel sein.
- Mehrere Partitionen auf der Festplatte: Sie müssen mindestens zwei Laufwerke auf der Festplatte zur Verfügung haben. Eines davon ist ein NTFS-Dateisystem, das das Betriebssystem speichert und Dateien unterstützt. Auf dem zweiten Laufwerk befinden sich die Dateien, die zum Laden von Windows erforderlich sind. BitLocker kann auf diesem Laufwerk nicht ausgeführt werden, darf nicht verschlüsselt sein und erfordert eine FAT32-Formatierung für UEFI-Geräte oder NTFS für Computer mit iOS-Firmware. Nach der Installation von BitLocker sollte das Systemlaufwerk mindestens 350 MB groß sein, mit 250 MB freiem Speicherplatz.
Wie benutzt man BitLocker?
BitLocker ist eine einfach zu bedienende Software, die in Windows Vista und höher integriert ist. Sie können darauf über die Systemsteuerung > System und Sicherheit > zugreifen und dann auf die Option BitLocker verwalten klicken.
Das BitLocker-Fenster wird geöffnet. Klicken Sie auf den Link "BitLocker einschalten", um zu beginnen. Sie benötigen Administratorrechte auf dem Computer, um fortzufahren. Das System führt einen Scan Ihres Computers durch, um sicherzustellen, dass er kompatibel ist und bietet Ihnen dann zwei Optionen zur Verschlüsselung Ihrer Daten:
- Nur belegter Speicherplatz: Dies ist eine schnellere Option und ideal für neue Computer oder Festplatten geeignet.
- Abgeschlossener Speicherplatz: Mit dieser Option wird das gesamte Laufwerk verschlüsselt. Es dauert zwar etwas länger, ist aber die beste Option für Computer und Festplatten, die nicht neu sind.
Sobald die Verschlüsselung abgeschlossen ist, sind die Daten auf dem System und alle Daten, die in Zukunft gespeichert werden, geschützt. Der BitLocker-Entschlüsselungsschlüssel wird auf dem Gerät gespeichert, so dass Sie Ihren Computer wie gewohnt booten können. Es besteht jedoch die Möglichkeit, während des Pre-Boots ein Passwort zu verlangen.
BitLocker hat eine Funktion namens "BitLocker to Go", mit der Sie externe Festplatten und USB-Laufwerke verschlüsseln können.
BitLocker FAQs
- Warum ist bei der Verwendung von BitLocker eine zweite Partition erforderlich?
BitLocker benötigt bestimmte Komponenten auf separaten Laufwerken, um die Daten des Geräts erfolgreich zu verschlüsseln und zu sichern. Das Startlaufwerk enthält das Betriebssystem und die Unterstützungsdateien und muss mit einem NTFS-Dateisystem formatiert werden. Das zweite Laufwerk kann nicht verschlüsselt werden, enthält aber wichtige Komponenten, wie z.B. die Dateien, die zum Laden von Windows benötigt werden. Es muss sich nicht nur vom Boot-Laufwerk unterscheiden, sondern auch mit FAT32 oder NTFS formatiert sein, je nach Firmware.
- Welche Trusted Platform Modules (TPMs) werden von BitLocker unterstützt?
Ihr Computer muss über ein TPM 1.2 oder höher verfügen, um BitLocker auszuführen. Wenn Sie ein kompatibles TPM haben, benötigen Sie außerdem eine Trusted Computing Group (TGC)-Firmware, z.B. BIOS oder UEFI.
- Wie kann ich überprüfen, ob mein Computer über TPM verfügt?
Schritt 1: Unter Windows 10 und höher öffnen Sie die Windows-Sicherheits-App und klicken auf das Feld der Gerätesicherheit.
Schritt 2: Wenn Sie ein TPM haben, wird es im Abschnitt Sicherheitsprozessor aufgeführt. Klicken Sie auf den Sicherheitsprozessor-Details Link, um die TPM-Versionsnummer anzuzeigen.
Schritt 3: Hier sehen Sie die Spezifikationen für Ihr TPM. Wenn es 1.2 oder höher ist, können Sie BitLocker ohne Probleme ausführen.
Bei älteren Windows-Versionen öffnen Sie das TPM MMC Tool (tpm.msc) und Sie sehen den TPM-Status im Abschnitt Status. Eine andere Möglichkeit ist, die PowerShell zu starten und nach Get-TPM zu suchen. Dies zeigt Ihnen die technischen Daten Ihres TPMs an. Beachten Sie, dass Sie für die Ausführung der PowerShell-Suche Administratorrechte benötigen.
- Läuft BitLocker auch auf einem Betriebssystem, das kein TPM hat?
Ja, wenn Ihr PC nicht über ein TPM verfügt, können Sie BitLocker trotzdem über ein USB-Flash-Laufwerk aktivieren, vorausgesetzt, Sie haben einen Startschlüssel. Der Computer benötigt weiterhin iOS- oder UEFI-Firmware, da diese zur Aktivierung der Boot-Umgebung vom USB benötigt wird.
Manchmal müssen Sie die BitLocker-Verschlüsselung entfernen.
- Wie erhalte ich BIOS-Unterstützung für das TPM auf meinem Computer?
Wenn Ihr PC nicht über eine BIOS-Firmware verfügt, müssen Sie sich an den Hersteller wenden. Fordern Sie ein von der Trusted Computing Group (TCG) anerkanntes BIOS oder eine UEFI-Boot-Firmware an, die die Mindestanforderungen für die Zusammenarbeit mit BitLocker erfüllt.
- Welche Zugriffsstufe ist für die Verwendung von BitLocker erforderlich?
Sie benötigen Netzwerk- oder Systemadministrator-Zugriff, um BitLocker auf einem Betriebssystem zu aktivieren, zu deaktivieren oder die Konfigurationseinstellungen zu ändern. Wenn Sie BitLocker to Go auf einem Wechsellaufwerk verwenden, hat jeder normale Benutzer Zugriff darauf, es ein- und auszuschalten und die Konfigurationseinstellungen zu ändern.
- Was ist die optimale Bootreihenfolge für Computer mit BitLocker-Verschlüsselung?
Wenn Sie die Startreihenfolge für Ihren PC konfigurieren, sollten Sie sicherstellen, dass das Festplattenlaufwerk als erste Komponente gestartet wird. Danach können Sie die anderen Laufwerke, wie z.B. externe oder entfernbare Festplatten und dann die reguläre Software und Programme laufen lassen.
Teil 2: Wie funktioniert BitLocker?
BitLocker arbeitet mit dem TPM (Trusted Platform Module) zusammen, um die Daten eines Betriebssystems oder einer Wechselfestplatte mit leistungsstarker Verschlüsselung zu sichern. Es erstellt einen einzigartigen und unhackbaren Wiederherstellungsschlüssel für Ihre Festplatte. Ohne den Schlüssel und die dazugehörige PIN können Sie nicht auf die Daten zugreifen. Sie können auch einen Wiederherstellungsschlüssel als Backup erstellen, falls Sie Ihr Passwort verlieren oder vergessen. Es wird empfohlen, dass Sie diesen Schlüssel an einem sicheren Ort aufbewahren und nicht auf Ihrem Computer.
Verschlüsselungsmodi
BitLocker bietet drei verschiedene Verschlüsselungsmodi zur Auswahl:
- Transparenter Betriebsmodus: BitLocker verbindet sich mit der TPM-Hardware, um ein transparentes Benutzererlebnis zu schaffen. Sobald er installiert ist, können Sie Ihren Computer hochfahren, ohne etwas Besonderes zu tun. Der Verschlüsselungsschlüssel ist im TPM gespeichert und entschlüsselt das Betriebssystem und den Loader-Code nur, wenn keine Änderungen an den frühen Boot-Dateien vorgenommen werden. Dies alles geschieht im Hintergrund und erfordert keinerlei Aktivität von Ihnen.
- USB-Schlüsselmodus: Das USB-Laufwerk speichert den Verschlüsselungsschlüssel. Das Betriebssystem lässt sich nicht starten, wenn Sie das USB-Laufwerk nicht an den Computer anschließen.
- Benutzerauthentifizierungsmodus: Bevor der Computer hochfährt, müssen Sie Ihre Authentifizierungsdaten eingeben, z.B. eine PIN oder ein Passwort, um das Betriebssystem zu entschlüsseln und auf Ihre Daten zuzugreifen.
Mehrere Verschlüsselungsalgorithmen
Ihre Daten werden mit dem Advanced Encryption Standard (AES) verschlüsselt. Sie haben die Möglichkeit, 128-Bit oder 256-Bit zu verwenden, was die Länge des Verschlüsselungsschlüssels bestimmt. Beide Optionen sind unglaublich leistungsstark und sicher und nahezu unmöglich zu hacken.
Wenn Sie BitLocker unter Windows 10 oder höher verwenden, können Sie eine noch fortschrittlichere Verschlüsselung wählen, den XTS-AES-Verschlüsselungsalgorithmus.
BitLocker Schlüsselschutz
Es spielt keine Rolle, wie viele Bits die Verschlüsselung hat, wenn der Schlüssel nicht geschützt ist. BitLocker verwendet die folgenden Sicherheitsmaßnahmen, um den Wiederherstellungsschlüssel zu schützen.
- TPM: Das TPM sichert eine Vertrauensbasis und schützt gleichzeitig den BitLocker-Wiederherstellungsschlüssel.
- PIN: Erstellen Sie einen sicheren numerischen PIN-Code, der beim Pre-Boot eingegeben werden muss. Dies funktioniert zusammen mit dem TPM.
- Erweiterte PIN: Der Benutzer muss eine alphanumerische PIN eingeben, um den Schlüssel zu entsperren. Dies funktioniert zusammen mit dem TPM.
- Startschlüssel: Laden Sie den Verschlüsselungsschlüssel auf eine Wechselfestplatte oder einen USB-Stick. Der Startschlüssel benötigt kein TPM, um zu funktionieren.
- Passwort für die Wiederherstellung: Generieren Sie einen 48-stelligen Code für den Zugriff auf Ihre Daten, wenn sich der Computer im Wiederherstellungsmodus befindet. Wenn Ihr Ziffernblock im Wiederherstellungsmodus nicht funktioniert, können Sie das Passwort für die Wiederherstellung mit den Funktionstasten F1 - F10 eingeben.
- Wiederherstellungsschlüssel: Laden Sie den Wiederherstellungsschlüssel auf ein externes oder entfernbares Laufwerk. Sie können damit Ihre verschlüsselten Daten von jedem BitLocker-Volumen wiederherstellen. Es gibt mehrere Möglichkeiten, den Wiederherstellungsschlüssel zu finden, z.B. in Ihrem Microsoft-Konto, auf einem USB-Stick und bei Ihrem Systemadministrator.
Weitere Lektüre: Was ist die BitLocker PIN/das Passwort und wie kann man sie ändern?
Teil 3: Unterschied zwischen BitLocker und Encrypting File System (EFS)
Sowohl BitLocker als auch das Encrypting File System (EFS) sind sichere Tools, die von Microsoft zum Verschlüsseln und Sichern von Daten entwickelt wurden, die auf Ihrem Computer gespeichert sind. Obwohl beide Programme eine sichere Verschlüsselung verwenden, funktionieren sie sehr unterschiedlich.
EFS erfordert, dass Sie Ihre Dateien und Ordner durchgehen und sie nacheinander in die Verschlüsselungswarteschlange aufnehmen. Es ist hilfreich, wenn Sie nur bestimmte Dateien schützen möchten, obwohl Sie die erweiterten Einstellungen für jede Datei anpassen müssen.
BitLocker ist eine Software zur vollständigen Laufwerksverschlüsselung, mit der Sie ein BitLocker-Laufwerk erstellen können. Sie verschlüsselt automatisch die gesamte Festplatte oder das Betriebssystem und Sie können sie einfach im Hintergrund laufen lassen. Wenn Sie die Verschlüsselung aufheben möchten, haben Sie die Möglichkeit, das mit BitLocker verschlüsselte Laufwerk zu formatieren, was bei EFS nicht möglich ist.
Ein weiterer wichtiger Unterschied besteht darin, dass BitLocker mit dem TPM arbeitet, während EFS keine spezielle Hardware benötigt, wodurch es für ältere Computer zugänglicher ist.
BitLocker ist in Windows integriert, so dass es unglaublich einfach einzurichten und zu verwenden ist. . Das EFS ist eher eine Funktion des NTFS-Dateisystems und erfordert mehr Konfiguration, um es richtig einzurichten.
Die beiden Verschlüsselungsprogramme können zusammenarbeiten, so dass Sie eine unglaublich sichere Lösung zum Schutz Ihrer Daten erhalten.
Teil 4: BitLocker Datensicherheit - Ist BitLocker sicher?
Die brennende Frage lautet: Kann ein geschickter Hacker oder Cyberkrimineller trotz AES 128- oder 256-Bit-Verschlüsselung, Sicherheitsschlüsseln, TPMs und Sicherheitsvorkehrungen gegen den Zugriff auf Ihre Daten Zugang zu Ihren Daten erhalten?
Laut einer Quelle bei Microsoft gibt es in BitLocker keine geplante Hintertür-Schwachstelle. Das bedeutet, dass Regierungsbehörden oder Strafverfolgungsbehörden keine Möglichkeit haben, Microsoft oder einen Systemadministrator zu zwingen, ihnen Zugriff auf Benutzerdaten zu gewähren.
Notierte Sicherheitsbedenken
Es gibt zwar keine offizielle Sicherheitslücke, aber kein System ist 100% sicher. Anfang 2008 veröffentlichte ein Team von Online-Sicherheitsforschern einen Bericht über einen "Cold-Boot-Angriff". Es handelt sich dabei um eine Methode, mit der Hacker die vollständige Festplattenverschlüsselung, die BitLocker bietet, umgehen können, indem sie das Betriebssystem auf einem Wechsellaufwerk booten, das an einen anderen Computer und ein anderes Betriebssystem angeschlossen ist. Dann konnten sie den Inhalt des Pre-Boot-Speichers auf das neue Laufwerk übertragen und auf die Daten zugreifen.
Ein Professor der Princeton University hat ein Papier mit zwei Empfehlungen zum Schutz Ihrer Daten veröffentlicht.
- Schalten Sie den Computer aus, wenn Sie keine physische Kontrolle über ihn haben. Dies ist ein vollständiges Herunterfahren und nicht nur ein Versetzen des Geräts in den Schlafmodus.
- Konfigurieren Sie die Verschlüsselungssoftware immer so, dass sie nur mit einem Passwort hochfährt, das der Besitzer des Geräts manuell eingibt.
Microsoft hat im November 2015 ein Update veröffentlicht, um eine große Sicherheitslücke zu schließen. Einige Hacker haben eine Möglichkeit entdeckt, den Authentifizierungsprozess für Verschlüsselungsschlüssel zu umgehen, indem sie ein bösartiges Kerberos-Schlüsselverteilungszentrum verwenden. Damit dieser Angriff funktionieren konnte, brauchte der Hacker physischen Zugriff auf den Computer, der Teil einer Netzwerkdomäne sein musste und nicht über einen PIN- oder USB-Stick-Schutz verfügte.
Datenverlust
Eines der Hauptprobleme, die Sie mit BitLocker haben könnten, ist das unbeabsichtigte Löschen oder der Verlust Ihrer Daten. Die häufigste Ursache für einen BitLocker-Datenverlust ist die versehentliche Formatierung der Festplatte, des USB-Laufwerks oder anderer externer Laufwerke. Sie müssen einen Weg finden, um Dateien von BitLocker-verschlüsselten Laufwerken wiederherzustellen oder die in der verschlüsselten Umgebung gespeicherten Daten sind für Sie im Grunde verloren. Eine andere Form des Datenverlusts ist der Verlust Ihres Passworts und des Wiederherstellungsschlüssels. Es gibt einige Methoden, mit denen Sie BitLocker ohne ein Passwort oder einen Wiederherstellungsschlüssel entsperren können.
Fazit
Wenn Sie nach einer benutzerfreundlichen und sicheren Lösung zum Schutz der Daten auf Ihrer Festplatte suchen, ist BitLocker genau das Richtige für Sie. Die Software zur vollständigen Festplattenverschlüsselung ist in Windows Vista und neueren Versionen integriert, sofern ein TPM 1.2+ vorhanden ist. Es gibt mehrere Sicherheitsvorkehrungen, einschließlich eines 48-stelligen Wiederherstellungscodes, um sicherzustellen, dass keine unbefugten Benutzer ohne Erlaubnis auf Ihre Daten zugreifen können.