Laufwerke verschlüsseln mit BitLocker

Laufwerke verschlüsseln mit BitLocker

Praxis & Tipps | Praxis

Wer sicherstellen will, dass Fremde die eigenen Dateien nicht lesen können, verschlüsselt am besten gleich alles. Das geht bei Windows bequem mit Bordmitteln.

Damit ein Fremder die Daten auf Ihrem PC oder Notebook nicht lesen kann, helfen weder Anmeldekennwort noch Zugriffsrechte – notfalls bootet er von einem Stick einfach ein anderes Betriebssystem, das sich um so etwas nicht kümmert. Das einzige, was wirklich hilft, ist das Verschlüsseln der Daten, und zwar am besten vollständig, sprich das komplette Laufwerk. Dazu dient unter Windows die bordeigene Laufwerksverschlüsselung BitLocker. Die fehlt zwar bei den Home-Editionen, doch dort können Sie sich mit Tricks behelfen.

Die in diesem Artikel genannten Tipps gelten allesamt für Windows 10, wobei die Handgriffe unter Windows 8.1 letztlich genauso funktionieren. Anders Windows 7: BitLocker ist da zwar auch schon an Bord, allerdings lassen sich so geschützte interne Laufwerke nicht mit einem Passwort entsperren (externe Laufwerke lassen sich zwar per PIN, aber ebenfalls nicht per Passwort aufschließen). Das Entsperren interner Laufwerke geht nur per TPM-Chip, was aber nur in seltenen Fällen schützt, denn einem Einbrecher oder Grenzbeamten fällt das Gerät ja inklusive TPM in die Hände, und dann sind Ihre Daten frei zugänglich. Die einzigen Alternativen sind der Schutz per leicht verlierbarer Smartcard oder USB-Stick. Windows-7-Nutzer sollten also eher darüber nachdenken, auf Windows 10 umzusteigen.

Vorab noch ein paar allgemeine Worte zur Laufwerksverschlüsselung, denn darum kursieren einige Missverständnisse. Sie ist keineswegs ein Universalschutz gegen alles und jeden, aber so etwas gibt es ja ohnehin nicht. Gedacht ist sie für den Fall, dass ein Fremder Zugriff auf Ihren ausgeschalteten PC bekommt. Dann kann er von der Platte nichts lesen. Er kann sie aber trotzdem beispielsweise löschen oder mit dem Hammer draufhauen. Nur mit den Daten kann er halt nichts anfangen.

Sie können sowohl das interne Laufwerk als auch USB-Laufwerke unterwegs mit der Festplattenverschlüsselung BitLocker schützen.

BitLocker schützt auch nicht beim Surfen im Internet oder vor Viren. Denn wenn Windows erst mal läuft, ist das Laufwerk entsperrt und damit alle Daten les-, lösch- und überschreibbar, sofern sie nicht auf anderen Wegen geschützt sind.

Wie bereits erwähnt, sollten Sie Ihre Laufwerke so sperren, dass zum Entsperren ein Kennwort erforderlich ist (nicht zu verwechseln mit dem Anmeldekennwort für Windows). Das Entsperrkennwort fragt der Bootmanager noch vor dem eigentlichen Windows-Start ab. Der Bootmanager muss dazu in einer separaten Partition liegen, was standardmäßig der Fall ist. Wer das geändert hat, muss die Änderung wieder rückgängig machen, um BitLocker nutzen zu können.

Damit BitLocker ein Kennwort zum Entsperren des Laufwerks akzeptiert, ist eine Gruppenrichtlinie zu setzen. Rufen Sie dazu den Gruppenrichtlinieneditor auf (Windows+R drücken, gpedit.msc eintippen). Dort hangeln Sie sich zu "Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerksverschlüsselung/Betriebssystemlaufwerke", wo Sie die Option "Zusätzliche Authentifizierung beim Start anfordern" öffnen – Obacht, die ist doppelt vorhanden, Sie brauchen die ohne den Zusatz "(Windows Server 2008 und Windows Vista)". Ändern Sie oben die Einstellung von "Nicht konfiguriert" auf "Aktiviert", woraufhin unten ein Häkchen vor "BitLocker ohne kompatibles TPM zulassen…" gesetzt sein sollte (wenn nicht, ergänzen Sie das Häkchen manuell).

Weiter geht es im Explorer, genauer im Kontextmenü der Systempartition (Rechtsklick auf Laufwerk C: im Explorer). Dort finden Sie die Option "BitLocker aktivieren". Wählen Sie "Kennwort eingeben" aus und tippen Sie eines ein. Es folgt die Frage, wo Sie den Wiederherstellungsschlüssel speichern wollen, mit dem Sie auch dann noch an Ihre Daten kommen, wenn Sie Ihr Kennwort vergessen haben. Machen Sie das unbedingt, denn ohne Kennwort kommt auch sonst niemand mehr an Ihre Daten, selbst Microsoft oder professionelle Datenretter nicht.

Eine der angebotenen Optionen ist das Speichern des Schlüssels im Microsoft-Konto, was aber erfordert, dass Sie sich mit so einem Konto an Windows anmelden. Sie ersparen sich dann zwar, den Schlüssel selbst sicher verwahren zu müssen, geben ihn damit aber auch außer Haus, denn dann landet er auf Microsofts Cloud-Servern. Erheblich altmodischer mag da das Ausdrucken des Schlüssels wirken. Das ist trotzdem nicht die schlechteste Wahl, denn Papier ist vor Angriffen durch Schädlinge sicher. Das Blatt gehört anschließend sicher verwahrt, am besten im feuer- und löschwassergeschützten Tresor. Die nächsten Dialoge sind selbsterklärend und allesamt sinnvoll vorbelegt, bei Zweifeln lesen Sie die dabeistehenden Hinweise.

Beim Verschlüsseln mit BitLocker bietet der Assistent an, einen Wiederherstellungsschlüssel zu speichern oder auszudrucken. Letzteres mag altmodisch wirken, ist aber effektiv.

Wenn der Assistent durch ist, müssen Sie Windows neustarten, damit es weitergeht. Währenddessen müssen Sie erstmals das BitLocker-Kennwort eingeben. Damit ist der Vorgang aber noch nicht abgeschlossen, denn die eigentliche Verschlüsselung beginnt jetzt erst – Sie können trotzdem einfach weiterarbeiten. Den Fortschrittsbalken bekommen Sie zu sehen, wenn Sie auf das kleine BitLocker-Symbol im Infobereich neben der Uhr klicken. Falls es dort nicht direkt zu sehen ist, klicken Sie an gleicher Stelle auf den Pfeil nach oben. Bis die Verschlüsselung abgeschlossen ist, kann es je nach Laufwerksgröße und Hardware-Geschwindigkeit einige Minuten oder gar Stunden dauern. Im Explorer trägt das Laufwerk anschließend ein Schloss-Symbol.

Falls Sie das Kennwort nur unterwegs, aber nicht daheim eingeben wollen, geht das übrigens auch, die Anleitung dazu füllt allerdings einen eigenen c’t-Artikel.

Obwohl Festplattenverschlüsselung eigentlich unverzichtbar ist, fehlt BitLocker trotzdem bei der Home-Edition von Windows 10. Zwar steckt die Technik auch hier drin, lässt sich aber nicht aktivieren. Dennoch können mit einem Trick auch Home-Nutzer mit BitLocker ihre internen Laufwerke verschlüsseln. Installieren Sie eine BitLocker-fähige Windows-10-Edition daneben und verschlüsseln Sie damit die Windows-Partition. Aber gleich vorab in aller Deutlichkeit: Das wird von Microsoft nicht offiziell unterstützt und bei Datenverlusten, Boot-Problemen und Ähnlichem stehen Sie im Regen. Wie Sie ein Backup ihrer Daten erstellen, haben wir in einem anderen Artikel beschrieben.

Außerdem besteht die Gefahr, dass künftige Upgrade-Installationen scheitern können. Aber wenn es nur darum geht, das Notebook auf der nächsten Reise zu schützen, und Support und dauerhafte Betriebssicherheit zweitrangig sind, reicht es aus. Alternative: Kaufen Sie Windows 10 als Pro-Edition, drücken Sie in Ihrer Home-Edition auf Windows+Pause und klicken dann auf "Product Key tauschen". Tippen Sie den Pro-Schlüssel ein und nach einem Neustart wurde aus Home Pro – inklusive BitLocker.

Wenn Sie es trotzdem mit Home wagen wollen, laden Sie sich auf der Webseite von Microsoft eine kostenlose Testversion von Windows 10 Enterprise herunter. Die dürfen Sie ganz legal und kostenlos 90 Tage lang verwenden. Dieser Zeitraum dürfte für die meisten Reisen ausreichen. Verfrachten Sie die Installationsdateien auf einen bootfähigen Stick, was mit der selbsterklärenden und portablen Freeware Rufus mit wenigen Mausklicks gelingt.

Installieren Sie die Testversion parallel auf die Festplatte. Dafür brauchen Sie rund 20 GByte freien Festplattenspeicher, den Sie vermutlich erst freischaufeln müssen – etwa, indem Sie Laufwerk C: per Rechtsklick und "Volume verkleinern" in der Datenträgerverwaltung schrumpfen. Sobald die Enterprise-Edition installiert und hochgefahren ist, lässt sich das Systemlaufwerk der Home-Installation wie oben beschrieben verschlüsseln. Wenn das erledigt ist, starten Sie das Notebook neu und booten nun die Home-Edition – vor dem Systemstart erfolgt nun die Kennwortabfrage.

Wenn Sie USB-Laufwerke mit auf Reisen nehmen, können Sie die ebenfalls mit BitLocker verschlüsseln, einfach via Rechtsklick im Explorer. Wählen Sie die Verschlüsselung mit einem Kennwort, auch hier sind die Dialoge erneut sinnvoll vorbelegt.

Falls auf Ihrem Notebook nur Home installiert ist, macht das in diesem Fall nichts: Verschlüsseln Sie das Laufwerk einfach an einem PC, auf dem Pro, Education oder Enterprise installiert sind. Das muss nicht mal Ihr eigener sein, der von einem Freund reicht auch. Den Stick wieder entsperren und damit arbeiten können Sie anschließend auch unter Home. Notfalls hilft der erwähnte Trick mit der Enterprise-Testversion. (axv)

Kommentare

Anzeige
Anzeige