Schaubild mit Laptop und Verschlüsselungssymbolen
Security

BitLocker für Windows: So sichern Sie sensible Daten lokal ab

Wer verhindern möchte, dass Unbefugte bei Verlust oder Diebstahl die Daten des eigenen Rechners auslesen, sollte einzelne Laufwerke oder das gesamte System verschlüsseln. Gerade bei Firmendaten kann der Schaden durch Spionage oder Verletzung der Datenschutzbestimmungen immens sein. Selbst Privatanwender greifen inzwischen verstärkt auf die Windows-eigene BitLocker-Verschlüsselung zurück. Was dahintersteckt und wie Sie Ihre Daten mit wenigen Handgriffen wirksam schützen, erfahren Sie hier.

Es passiert schneller, als man denkt: Kurz nicht aufgepasst und schon hat die Aktentasche mit dem Firmen-Notebook einen neuen Besitzer gefunden. Ganz egal, ob durch eigene Unachtsamkeit oder absichtlichen Diebstahl: Niemand möchte, dass Geräte mit sensiblen Daten in fremde Hände geraten. Was Sie tun können, wenn Ihr Smartphone abhanden gekommen ist, haben wir Ihnen bereits an anderer Stelle hier im Blog erklärt. An dieser Stelle geht es nun um den wirksamen Datenschutz für (Windows-basierte) Notebooks und Desktop-PCs.

Zwar lässt sich Windows durch eine Passworteingabe beim Hochfahren gegen das unbefugte Einloggen sichern – doch Kriminelle bauen kurzerhand die Festplatte aus und haben im Handumdrehen Vollzugriff auf Ihre Daten. Gleiches gilt selbst dann, wenn Sie einen BIOS-Passwortschutz eingerichtet haben: Auf einem anderen Rechner oder nach einem BIOS-Reset lässt sich Ihre Festplatte weiterhin problemlos auslesen. Mit einer BitLocker-Verschlüsselung, wie sie Microsoft seit einigen Jahren in die Profi-Versionen von Windows integriert hat, sind Sie hingegen weitgehend auf der sicheren Seite.

Inhaltsverzeichnis

BitLocker für Windows: Das steckt dahinter

Selbst wenn Ihr Rechner oder Ihr BIOS passwortgeschützt sein sollten: Die Daten auf Ihrer Festplatte sind es standardmäßig nicht. Ein Verschlüsselungs-System wie BitLocker ändert dies: Sämtliche Daten werden hierbei mit Hilfe eines zuvor von Ihnen festgelegten Schlüssels codiert. Ohne diesen Schlüssel sind Ihre Daten danach für Außenstehende wertlos.
Das BitLocker-System arbeitet mit einer AES ("Advanced Encryption Standard")-Verschlüsselung mit 128 oder 256 Bit Länge. Grundsätzlich gilt: Je länger der Verschlüsselungscode ist, umso sicherer ist das System gegen unbefugten Zugriff. Gleichzeitig leidet jedoch bei längerem Verschlüsselungscode im Alltag die Performance, da die Daten aufwändiger codiert und decodiert werden müssen. In der Praxis entscheiden sich die meisten Anwender daher für die 128-Bit-Variante.
Die Vorteile der BitLocker-Verschlüsselung für Windows-Systeme liegen auf der Hand:
  • Die Einrichtung ist mit Windows-Bordmitteln durchführbar und erfordert weder Fremdinstallationen noch die Anschaffung separater Hardware.
  • Nach Verlust oder Diebstahl sind die Daten ohne den Verschlüsselungscode praktisch nicht auslesbar.
  • Eine aktive Fernlöschung entfällt, da der Dieb oder Finder den Code in den seltensten Fällen erraten oder bestimmen kann.
  • Im Alltag fällt die Tatsache, dass die Festplatte verschlüsselt arbeitet, kaum ins Gewicht. Der Rechner arbeitet fast genauso schnell wie zuvor.
  • Verstöße gegen die Compliance und die DSGVO haben selbst beim Vorhandensein sensibler Daten weniger gravierende Auswirkungen, da diese nicht oder vermutlich nicht in fremde Hände geraten können.
  • Der Wiederherstellungscode kann sowohl auf einem externen Laufwerk, einem USB-Stick, als auch im Microsoft Active Directory gespeichert werden oder gar ausgedruckt werden und ist so im Fall der Fälle weiterhin griffbereit.

BitLocker aktivieren: So verschlüsseln Sie Ihr Windows-System

1. Ihre Windows-Version prüfen

Um ein komplettes System mit BitLocker zu verschlüsseln, prüfen Sie zunächst, ob Ihre Windows-Version diese Art von Verschlüsselung unterstützt. In folgenden Windows-Versionen ist BitLocker standardmäßig enthalten:
  • Windows Vista Ultimate und Enterprise
  • Windows 7 Ultimate und Enterprise
  • Windows 8 und 8.1 Pro und Enterprise
  • Windows 10 Pro und Enterprise
  • Windows Server 2008 oder neuer
Sollten Sie eine andere Windows-Version nutzen, führen Sie zunächst ein Upgrade Ihres Windows-Systems durch oder verwenden Sie die Software eines anderen Verschlüsselungsanbieters. Stellen Sie außerdem sicher, dass Sie auf dem Computer, den Sie verschlüsseln möchten, über Administratorrechte verfügen.

2. Klären, ob Ihr System TPM unterstützt

Rufen Sie das Startmenü auf und geben Sie dort "bitlocker" ein. Starten Sie die "BitLocker-Laufwerksverschlüsselung" durch Anklicken des Suchergebnisses oder aus der Systemsteuerung heraus. Wählen Sie nun das Systemlaufwerk aus und klicken Sie auf "BitLocker aktivieren".
Screenshot der BitLocker-Laufwerksverschlüsselung
Die BitLocker-Laufwerksverschlüsselung lässt sich mit nur einem Klick über die Systemsteuerung aktivieren.
Nun kann es vorkommen, dass Sie eine Fehlermeldung erhalten, die in etwa lautet "Auf diesem Gerät kann kein TPM (Trusted Platform Module) verwendet werden." 
Das ist immer dann der Fall, wenn Ihr System-BIOS (also die Startfunktionen des Computers) über kein entsprechendes Modul verfügt oder dieses im BIOS nicht aktiviert wurde. Speziell ältere Systeme sind mit einer solchen Funktion selbst nach einem BIOS-Update nicht ausgestattet. 
Das TPM dient dazu, beim Systemstart zu prüfen, ob die Hardware des Computers unverändert ist oder geändert wurde und gibt den Start entsprechend frei. Außerdem ist es in der Lage, einen Systemstartschlüssel zu speichern und eine PIN-Abfrage durchzuführen. Ohne TPM-Modul müssen Sie Ihren Rechner mit Hilfe eines USB-Sticks oder eines Kennworts, das Sie nicht verlieren sollten, starten. Anderenfalls sind Ihre Daten nach der Verschlüsselung ohne einen entsprechenden Wiederherstellungsschlüssel verloren.
Um die BitLocker-Verschlüsselung auch ohne TPM-Modul zu ermöglichen, drücken Sie die Windows-Taste und "R" zusammen und geben "gpedit.msc" ein. Navigieren Sie im Editor für lokale Gruppenrichtlinien zum Menüpunkt "Richtlinien für Lokaler Computer | Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | BitLocker-Laufwerksverschlüsselung | Betriebssystemlaufwerke". 
Screenshot der Gruppenrichtlinien für die BitLocker-Laufwerksverschlüsselung
In den Gruppenrichtlinien können Sie Systemen ohne TPM die Verschlüsselung erlauben.
Doppelklicken Sie hier auf den Menüpunkt "Zusätzliche Authentifizierung beim Start anfordern". Setzen Sie die Richtlinie auf "Aktiviert" und setzen Sie bei "BitLocker ohne kompatibles TPM zulassen" ein Häkchen. Klicken Sie anschließend auf "OK". Eventuell bitten Sie – speziell bei Firmengeräten – Ihren Systemadministrator, diese Einstellung für Sie durchzuführen.
Screenshot der Microsoft-Gruppenrichtlinien im Bereich der Authentifizierung beim Start für BitLocker
Bei Systemen ohne TPM ist eine zusätzliche Authentifizierung beim Start erforderlich.
Starten Sie nun erneut die BitLocker-Laufwerksverschlüsselung. Die Fehlermeldung sollte nicht mehr erscheinen.

3. Die BitLocker-Verschlüsselung mit oder ohne TPM durchführen

Klicken Sie in der BitLocker-Laufwerksverschlüsselung neben der Systempartition (Laufwerk C:) gegebenenfalls erneut auf "BitLocker aktivieren". Klicken Sie nun mehrmals auf "Weiter", um das System vorzubereiten und anschließend zu verschlüsseln.
Im Laufe des Prozessvorbereitung wird Ihnen angeboten, ein Back-up des unverschlüsselten Systems vorzunehmen und dieses gegebenenfalls an einem sicheren Ort zu verwahren. Außerdem können Sie wählen, ob Sie zum Start des Rechners einen USB-Stick verwenden oder ein Kennwort eingeben wollen.
Der Vorteil des Startens von Windows mit einem USB-Stick ist, dass Sie nicht jedes Mal ein Kennwort eingeben müssen, bevor das System hochfährt. Nachteil dieses Vorgehens ist jedoch, dass ein Rechner, der inklusive USB-Stick abhanden kommt, genauso wie ein unverschlüsseltes Gerät einfach ausgelesen werden kann.
Sofern Sie sich für die Kennwort-Variante entscheiden, sollten Sie bedenken, dass Ihr Rechner Ihnen beim Hochfahren möglicherweise nur eine englische Tastaturvariante anbietet. Das bedeutet unter anderem, dass die Buchstaben "Z" und "Y" vertauscht sind und bestimmte Sonderzeichen nicht an ihrem gewohnten Platz sind. Verwenden Sie also beide Buchstaben sowie Sonderzeichen, die nicht bei beiden Tastaturen an derselben Stelle liegen, möglichst nicht für Ihr Kennwort.
US-amerikanisches Tastatur-Layout
Bei einer US-amerikanischen Tastaturbelegung können Passworteingaben zum Problem werden.
Wählen Sie anschließend aus, auf welche Art Sie den BitLocker-Wiederherstellungsschlüssel speichern wollen:
  • auf einem USB-Speicherstick
  • in einer Datei
  • als Ausdruck auf Papier
Jede dieser Speicherarten hat ihre eigenen Vor- und Nachteile, die Sie jeweils für Ihren Bedarf abwägen sollten. Sollten Sie bei aktiviertem TPM Änderungen an der Hardware Ihres Computers vornehmen oder Ihre Identität nicht anderweitig bestätigen können, kann es sein, dass Sie nach diesem Schlüssel gefragt werden.
Zum Schluss werden Sie noch gefragt, ob Sie "nur den verwendeten Speicherplatz" oder "das gesamte Laufwerk" verschlüsseln wollen. Im ersteren Fall werden neu hinzugefügte Dateien und Ordner automatisch beim Anlegen verschlüsselt – zuvor gelöschte Dateien allerdings nicht. Im letzteren Fall wird das gesamte Laufwerk verschlüsselt, was auch gelöschte, aber noch nicht überschriebene Dateien einschließt.
Bestätigen Sie nun noch, ob Sie (unter Windows 10) den nochmals verbesserten  Datenträger-Verschlüsselungsmodus "XTS-AES" verwenden wollen. Er ist mit älteren Windows-Versionen allerdings nicht kompatibel, was bei austauschbaren Laufwerken zu Problemen führen kann. Nach einem Neustart, um die ordnungsgemäße Funktion der Verschlüsselung zu prüfen, wird Ihr Laufwerk endgültig verschlüsselt.
Wichtiger Hinweis: Sollten Sie auf Ihrem Rechner über mehrere Laufwerke oder Partitionen verfügen, so achten Sie unbedingt darauf, diese ebenfalls zu verschlüsseln. Wenn Ihre Systempartition (C:) aufwändig verschlüsselt ist, Ihr Datenlaufwerk (D:) jedoch nicht, liegen Ihre Daten auf diesem Laufwerk weiterhin unverschlüsselt auf dem Rechner und sind für Jedermann auslesbar.
Offenes Vorhängeschloss vor Zahlenmuster

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

So verschlüsseln Sie einen USB-Stick mit BitLocker To Go

Wenn Sie nicht das gesamte System verschlüsseln wollen oder können (beispielsweise, weil Ihr Computer an eine Gruppenrichtlinie angeschlossen ist) können Sie auch einzelne Laufwerke mit "BitLocker To Go" verschlüsseln. Das ist insbesondere bei USB-Sticks oder Festplatten sinnvoll, die an verschiedenen Computern betrieben werden sollen. 
Stecken Sie zunächst einen leeren USB-Stick oder das Laufwerk, das verschlüsselt werden soll, in einen freien USB-Port am Computer ein. Rufen Sie anschließend die BitLocker-Verwaltung auf. Drücken Sie hierzu zunächst die "Start"-Taste und geben Sie "BitLocker" ein. Klicken Sie nun auf "BitLocker verwalten" oder rufen Sie den Menüpunkt "BitLocker-Laufwerksverschlüsselung" in der Systemsteuerung auf.
Im unteren Bildschirmbereich sollte nun das entsprechende Laufwerk angezeigt werden. Klicken Sie auf "BitLocker aktivieren", warten Sie gegebenenfalls, bis das Laufwerk initalisiert wurde und vergeben Sie anschließend ein Kennwort für die Verschlüsselung. Alternativ können Sie auch eine sogenannte SmartCard verwenden, um das Laufwerk später zu benutzen.
Screenshot der Bitlocker-Laufwerksverschlüsselung für USB-Sticks
BitLocker To Go verschlüsselt auch USB-Sticks.
Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

Whitepaper: Cyber Security

Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

  • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
  • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
  • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen

Die BitLocker-Verschlüsselung deaktivieren (ein Laufwerk entschlüsseln)

Um ein mit BitLocker verschlüsseltes System dauerhaft zu entschlüsseln und somit die Verschlüsselung rückgängig zu machen, rufen Sie zunächst die BitLocker-Verwaltung auf. Drücken Sie zunächst die "Start"-Taste und geben Sie "BitLocker" ein. Klicken Sie nun auf "BitLocker verwalten" oder rufen Sie den Menüpunkt "BitLocker-Laufwerksverschlüsselung" in der Systemsteuerung auf.
Die Entschlüsselung des Laufwerks startet nun und dauert eine gewisse Zeit. Anschließend ist die Entschlüsselung beendet und es erscheint wieder der Hinweis, dass BitLocker für das Systemlaufwerk (C:) (oder das Laufwerk, das Sie entschlüsselt haben) deaktiviert ist.
Screenshots: Eigenkreationen  / Pexels / Pixabay / Unsplash / Microsoft
Das könnte Sie auch interessieren:
Security
Ein Mann sitzt an einem Arbeitsplatz mit einem Bildschirm und einem Laptop. Auf beiden Bildschirmen ein Vorhängeschloss und der Text „Your personal files are encrypted“.

Ransomware: So können Sie Ihr Unternehmen schützen

Das Szenario ist der Albtraum in jedem Unternehmen: Eines Morgens schalten die Mitarbeiter:innen ihre Computer ein. Doch statt des Startbildschirms erscheint nur ein Textfeld – mit der Aufforderung, umgehend einen großen Geldbetrag zu überweisen. Alle Firmendaten sind durch eine Schadsoftware verschlüsselt worden. Erst nach Zahlung des Lösegelds wollen die Erpresser:innen eine Anleitung für deren Entschlüsselung geben. Das Unternehmen wurde Opfer eines sogenannten Ransomware-Angriffs. Was nun? Angriffe mit Ransomware sind aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine der größten Gefahren für die Cybersicherheit von Unternehmen. Sie richten sich häufig gegen kleine und mittlere Unternehmen, die unzureichend geschützt sind. Weltweit konnten Kriminelle nach Angaben des BSI rund 1,1 Milliarden US-Dollar durch Ransomware-Erpressungen erbeuten. Die Dunkelziffer dürfte jedoch deutlich höher liegen. Was Ransomware ist, wie sie im Einzelnen funktioniert und wie Sie Ihr Unternehmen wirksam dagegen schützen, erfahren Sie in diesem Beitrag.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-18 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort