BitLocker ist ein in Windows integriertes Tool, mit dem Sie eine gesamte Festplatte für erhöhte Sicherheit verschlüsseln können. So richten Sie es ein.
Als TrueCrypt kontrovers den Laden schloss, empfahlen sie ihren Benutzern, von TrueCrypt auf BitLocker umzusteigen oder Veracrypt. BitLocker gibt es in Windows schon lange genug, um als ausgereift zu gelten, und ist ein Verschlüsselungsprodukt, das im Allgemeinen von Sicherheitsexperten geschätzt wird. In diesem Artikel werden wir darüber sprechen, wie Sie es auf Ihrem PC einrichten können.
: BitLocker Drive Encryption und BitLocker To Go erfordern eine Professional- oder Enterprise-Edition von Windows 8 oder 10 oder die Ultimate-Version von Windows 7. Ab Windows 8.1 enthalten die Home- und Pro-Editionen von Windows jedoch eine Funktion „Geräteverschlüsselung“ ( eine Funktion, die auch in Windows 10 enthalten ist), die ähnlich funktioniert. Wir empfehlen Geräteverschlüsselung, wenn Ihr Computer dies unterstützt, BitLocker für Pro-Benutzer, die die Geräteverschlüsselung nicht verwenden können, und VeraCrypt für Benutzer, die eine Home-Version von Windows verwenden, bei der die Geräteverschlüsselung nicht funktioniert.
Ein ganzes Laufwerk verschlüsseln oder einen verschlüsselten Container erstellen?
Viele Leitfäden sprechen davon, einen BitLocker-Container zu erstellen, der ähnlich wie ein verschlüsselter Container funktioniert, den Sie mit Produkten wie TrueCrypt oder Veracrypt erstellen können. Es ist ein bisschen irreführend, aber Sie können einen ähnlichen Effekt erzielen. BitLocker funktioniert durch die Verschlüsselung ganzer Laufwerke. Dies kann Ihr Systemlaufwerk, ein anderes physisches Laufwerk oder eine virtuelle Festplatte (VHD) sein, die als Datei existiert und in Windows bereitgestellt wird.
Der Unterschied ist weitgehend semantisch. In anderen Verschlüsselungsprodukten erstellen Sie normalerweise einen verschlüsselten Container und stellen ihn dann als Laufwerk in Windows bereit, wenn Sie ihn verwenden müssen. Mit BitLocker erstellen Sie eine virtuelle Festplatte und verschlüsseln sie dann. Wenn Sie einen Container verwenden möchten, anstatt beispielsweise Ihr vorhandenes System oder Speicherlaufwerk zu verschlüsseln, lesen Sie unsere Anleitung zum Erstellen einer verschlüsselten Containerdatei mit BitLocker.
In diesem Artikel konzentrieren wir uns auf die Aktivierung von BitLocker für ein vorhandenes physisches Laufwerk.
So verschlüsseln Sie ein Laufwerk mit BitLocker
Um BitLocker für ein Laufwerk zu verwenden, müssen Sie es nur aktivieren, eine Entsperrmethode auswählen – Kennwort, PIN usw. – und dann einige andere Optionen festlegen. Bevor wir jedoch darauf eingehen, sollten Sie wissen, dass die Verwendung der vollständigen Festplattenverschlüsselung von BitLocker auf einem im Allgemeinen einen Computer mit einem Trusted Platform Module (TPM) auf dem Motherboard Ihres PCs erfordert. Dieser Chip generiert und speichert die Verschlüsselungsschlüssel, die BitLocker verwendet. Wenn Ihr PC nicht über ein TPM verfügt, können Sie mithilfe von Gruppenrichtlinien die Verwendung von BitLocker ohne TPM aktivieren. Es ist etwas weniger sicher, aber immer noch sicherer, als überhaupt keine Verschlüsselung zu verwenden.
Sie können ein Nicht-Systemlaufwerk oder Wechsellaufwerk ohne TPM verschlüsseln und ohne die Gruppenrichtlinieneinstellung aktivieren zu müssen.
In diesem Zusammenhang sollten Sie auch wissen, dass Sie zwei Arten der BitLocker-Laufwerkverschlüsselung aktivieren können:
- BitLocker-Laufwerkverschlüsselung: Manchmal auch nur als BitLocker bezeichnet, ist dies eine Funktion zur „Full-Disk-Verschlüsselung“, die ein gesamtes Laufwerk verschlüsselt. Wenn Ihr PC startet, lädt der Windows-Bootloader von der systemreservierten Partition, und der Bootloader fordert Sie auf, Ihre Entsperrmethode einzugeben, beispielsweise ein Kennwort. BitLocker entschlüsselt dann das Laufwerk und lädt Windows. Die Verschlüsselung ist ansonsten transparent – Ihre Dateien erscheinen wie auf einem unverschlüsselten System, werden jedoch in verschlüsselter Form auf der Festplatte gespeichert. Sie können auch andere Laufwerke als nur das Systemlaufwerk verschlüsseln.
- BitLocker To Go: Sie können externe Laufwerke – wie USB-Flashlaufwerke und externe Festplatten – mit BitLocker To Go verschlüsseln. Sie werden nach Ihrer Entsperrmethode gefragt, z. B. nach einem Kennwort, wenn Sie das Laufwerk an Ihren Computer anschließen. Wenn jemand nicht über die Entsperrmethode verfügt, kann er nicht auf die Dateien auf dem Laufwerk zugreifen.
In Windows 7 bis 10 müssen Sie sich wirklich nicht darum kümmern, die Auswahl selbst zu treffen. Windows verarbeitet Dinge hinter den Kulissen, und die Benutzeroberfläche, die Sie zum Aktivieren von BitLocker verwenden, sieht nicht anders aus. Wenn Sie unter Windows XP oder Vista ein verschlüsseltes Laufwerk entsperren, sehen Sie das BitLocker to Go-Branding, also dachten wir, Sie sollten es zumindest wissen.
Also, wenn das aus dem Weg ist, lassen Sie uns durchgehen, wie dies tatsächlich funktioniert.
Schritt 1: Aktivieren von BitLocker für ein Laufwerk
Die einfachste Möglichkeit, BitLocker für ein Laufwerk zu aktivieren, besteht darin, in einem Datei-Explorer-Fenster mit der rechten Maustaste auf das Laufwerk zu klicken und dann den Befehl „BitLocker aktivieren“ auszuwählen. Wenn diese Option in Ihrem Kontextmenü nicht angezeigt wird, haben Sie wahrscheinlich keine Pro- oder Enterprise-Edition von Windows und müssen nach einer anderen Verschlüsselungslösung suchen.
So einfach ist das. Der erscheinende Assistent führt Sie durch die Auswahl verschiedener Optionen, die wir in die folgenden Abschnitte unterteilt haben.
Schritt 2: Wählen Sie eine Entsperrmethode
Auf dem ersten Bildschirm des Assistenten „BitLocker Drive Encryption“ können Sie auswählen, wie Sie Ihr Laufwerk entsperren möchten. Sie können verschiedene Möglichkeiten zum Entsperren des Laufwerks auswählen.
Wenn Sie Ihr Systemlaufwerk auf einem Computer mit TPM verschlüsseln, können Sie das Laufwerk mit einem Kennwort oder einem USB-Laufwerk entsperren, das als Schlüssel fungiert. Wählen Sie Ihre Entsperrmethode aus und befolgen Sie die Anweisungen für diese Methode (geben Sie ein Passwort ein oder schließen Sie Ihr USB-Laufwerk an).
Wenn Ihr Computer über ein TPM verfügt, werden zusätzliche Optionen zum Entsperren Ihres Systemlaufwerks angezeigt. Sie können beispielsweise die automatische Entsperrung beim Start konfigurieren (wobei Ihr Computer die Verschlüsselungsschlüssel vom TPM abruft und das Laufwerk automatisch entschlüsselt). Sie können anstelle eines Passworts auch eine PIN verwenden oder sogar biometrische Optionen wie einen Fingerabdruck wählen.
Wenn Sie ein Nicht-Systemlaufwerk oder einen Wechseldatenträger verschlüsseln, werden nur zwei Optionen angezeigt (unabhängig davon, ob Sie über ein TPM verfügen oder nicht). Sie können das Laufwerk mit einem Kennwort oder einer Smartcard (oder beidem) entsperren.
Schritt 3: Sichern Sie Ihren Wiederherstellungsschlüssel
BitLocker stellt Ihnen einen Wiederherstellungsschlüssel zur Verfügung, mit dem Sie auf Ihre verschlüsselten Dateien zugreifen können, falls Sie jemals Ihren Hauptschlüssel verlieren – zum Beispiel, wenn Sie Ihr Passwort vergessen oder wenn der PC mit TPM ausfällt und Sie von einem anderen System auf das Laufwerk zugreifen müssen.
Sie können den Schlüssel in Ihrem Microsoft-Konto, einem USB-Laufwerk, einer Datei speichern oder sogar ausdrucken. Diese Optionen sind gleich, ob Sie ein Systemlaufwerk oder ein Nicht-Systemlaufwerk verschlüsseln.
Wenn Sie den Wiederherstellungsschlüssel in Ihrem Microsoft-Konto sichern, können Sie später unter . auf den Schlüssel zugreifen https://onedrive.live.com/recoverykey. Wenn Sie eine andere Wiederherstellungsmethode verwenden, bewahren Sie diesen Schlüssel sicher auf – wenn jemand darauf zugreifen kann, könnte er Ihr Laufwerk entschlüsseln und die Verschlüsselung umgehen.
Sie können Ihren Wiederherstellungsschlüssel auch auf mehrere Arten sichern, wenn Sie möchten. Klicken Sie einfach auf jede Option, die Sie verwenden möchten, und folgen Sie dann den Anweisungen. Wenn Sie mit dem Speichern Ihrer Wiederherstellungsschlüssel fertig sind, klicken Sie auf „Weiter“, um fortzufahren.
: Wenn Sie einen USB-Stick oder einen anderen Wechseldatenträger verschlüsseln, können Sie Ihren Wiederherstellungsschlüssel nicht auf einem USB-Stick speichern. Sie können jede der anderen drei Optionen verwenden.
Schritt 4: Verschlüsseln und Entsperren des Laufwerks
BitLocker verschlüsselt neue Dateien automatisch, wenn Sie sie hinzufügen, aber Sie müssen auswählen, was mit den Dateien auf Ihrem Laufwerk geschieht. Sie können das gesamte Laufwerk – einschließlich des freien Speicherplatzes – verschlüsseln oder einfach nur die verwendeten Festplattendateien verschlüsseln, um den Vorgang zu beschleunigen. Diese Optionen sind auch gleich, wenn Sie ein Systemlaufwerk oder ein Nicht-Systemlaufwerk verschlüsseln.
Wenn Sie BitLocker auf einem neuen PC einrichten, verschlüsseln Sie nur den belegten Speicherplatz – es geht viel schneller. Wenn Sie BitLocker auf einem PC einrichten, den Sie seit einiger Zeit verwenden, sollten Sie das gesamte Laufwerk verschlüsseln, um sicherzustellen, dass niemand gelöschte Dateien wiederherstellen kann.
Wenn Sie Ihre Auswahl getroffen haben, klicken Sie auf die Schaltfläche „Weiter“.
Schritt 5: Wählen Sie einen Verschlüsselungsmodus (nur Windows 10)
Wenn Sie Windows 10 verwenden, wird ein zusätzlicher Bildschirm angezeigt, in dem Sie eine Verschlüsselungsmethode auswählen können. Wenn Sie Windows 7 oder 8 verwenden, fahren Sie mit dem nächsten Schritt fort.
Windows 10 hat eine neue Verschlüsselungsmethode namens XTS-AES eingeführt. Es bietet eine verbesserte Integrität und Leistung gegenüber dem in Windows 7 und 8 verwendeten AES. Wenn Sie wissen, dass das Laufwerk, das Sie verschlüsseln, nur auf Windows 10-PCs verwendet wird, wählen Sie die Option «Neuer Verschlüsselungsmodus». Wenn Sie der Meinung sind, dass Sie das Laufwerk irgendwann mit einer älteren Windows-Version verwenden müssen (besonders wichtig, wenn es sich um ein Wechsellaufwerk handelt), wählen Sie die Option „Kompatibler Modus“.
Welche Option Sie auch wählen (und dies sind wiederum für System- und Nicht-Systemlaufwerke gleich), klicken Sie auf die Schaltfläche «Weiter», wenn Sie fertig sind, und klicken Sie im nächsten Bildschirm auf die Schaltfläche «Verschlüsselung starten».
Schritt sechs: Fertigstellen
Der Verschlüsselungsprozess kann je nach Größe von Sekunden bis Minuten oder sogar länger dauern des Laufwerks, die Datenmenge, die Sie verschlüsseln und ob Sie freien Speicherplatz verschlüsseln möchten.
Wenn Sie Ihr Systemlaufwerk verschlüsseln, werden Sie aufgefordert, eine BitLocker-Systemprüfung durchzuführen und Ihr System neu zu starten. Stellen Sie sicher, dass die Option ausgewählt ist, klicken Sie auf die Schaltfläche „Weiter“ und starten Sie Ihren PC neu, wenn Sie dazu aufgefordert werden. Nach dem ersten Hochfahren des PCs verschlüsselt Windows das Laufwerk.
Wenn Sie ein Nicht-System- oder Wechsellaufwerk verschlüsseln, muss Windows nicht neu gestartet werden und die Verschlüsselung beginnt sofort.
Welchen Laufwerkstyp Sie auch immer verschlüsseln, Sie können das BitLocker-Laufwerkverschlüsselungssymbol in der Taskleiste überprüfen, um den Fortschritt zu sehen, und Sie können Ihren Computer weiterhin verwenden, während die Laufwerke verschlüsselt werden – es wird nur langsamer.
Entsperren Ihres Laufwerks
Wenn Ihr Systemlaufwerk verschlüsselt ist, hängt das Entsperren von der von Ihnen gewählten Methode ab (und davon, ob Ihr PC über ein TPM verfügt). Wenn Sie ein TPM haben und sich für die automatische Entsperrung des Laufwerks entschieden haben, werden Sie nichts anderes bemerken – Sie booten einfach wie immer direkt in Windows. Wenn Sie eine andere Entsperrmethode gewählt haben, fordert Windows Sie auf, das Laufwerk zu entsperren (indem Sie Ihr Kennwort eingeben, Ihr USB-Laufwerk anschließen oder was auch immer).
Und wenn Sie Ihre Entsperrmethode verloren (oder vergessen) haben, drücken Sie auf dem Eingabeaufforderungsbildschirm Escape, um Ihren Wiederherstellungsschlüssel einzugeben.
Wenn Sie ein Nicht-System- oder Wechsellaufwerk verschlüsselt haben, fordert Windows Sie auf, das Laufwerk zu entsperren, wenn Sie nach dem Starten von Windows zum ersten Mal darauf zugreifen (oder wenn Sie es mit Ihrem PC verbinden, wenn es sich um ein Wechsellaufwerk handelt). Geben Sie Ihr Kennwort ein oder legen Sie Ihre Smartcard ein, und das Laufwerk sollte entsperrt werden, damit Sie es verwenden können.
Im Datei-Explorer zeigen verschlüsselte Laufwerke ein goldenes Schloss auf dem Symbol (links). Diese Sperre wird grau und erscheint entsperrt, wenn Sie das Laufwerk entsperren (rechts).
Sie können ein gesperrtes Laufwerk verwalten – das Kennwort ändern, BitLocker deaktivieren, Ihren Wiederherstellungsschlüssel sichern oder andere Aktionen ausführen – über das BitLocker-Systemsteuerungsfenster. Klicken Sie mit der rechten Maustaste auf ein verschlüsseltes Laufwerk und wählen Sie dann «BitLocker verwalten», um direkt zu dieser Seite zu gelangen.
Wie bei jeder Verschlüsselung fügt BitLocker einen gewissen Overhead hinzu. Microsofts offizielle FAQ zu BitLocker sagt, dass „im Allgemeinen ein einstelliger prozentualer Performance-Overhead entsteht.“ Wenn Ihnen Verschlüsselung wichtig ist, weil Sie sensible Daten haben – zum Beispiel einen Laptop voller Geschäftsdokumente –, ist die verbesserte Sicherheit den Kompromiss bei der Leistung wert.