• Start
V-Hub by Vodafone BusinessSecuritySicherheitBitLocker-Verschlüsselung: So schützen Sie Ihre Daten zuverlässig
Security

BitLocker-Verschlüsselung

So schützen Sie Ihre Daten zuverlässig

Security Service: Umfassender Schutz
Portrait von Dr. Lorenz SteinkeLorenz Steinke
25.02.2026
9 Min.

    In einer immer mobileren Arbeitswelt sollten Sie auch Ihre mobilen Endgeräte und Datenträger vor Datendiebstahl und Manipulation schützen. Unter Windows unterstützt Sie das Verschlüsselungs-Werkzeug BitLocker dabei. So richten Sie es ein und verwenden es.

    Inhaltsverzeichnis

    Das Wichtigste zur BitLocker-Verschlüsselung in KürzeWas ist BitLocker-Verschlüsselung?Windows-Verschlüsselung mit BitLocker: Grundlagen & VoraussetzungenBitLocker-Verschlüsselung aktivieren – Schritt für Schritt

    Das Wichtigste zur BitLocker-Verschlüsselung in Kürze

    • Die BitLocker-Verschlüsselung ist eine Betriebssystem-Erweiterung für Windows, die Datenträger verschlüsselt.
    • Auf neueren Computern überprüft BitLocker zusätzlich alle eingebauten Laufwerke beim Systemstart auf mögliche Manipulationen.
    • Die neuesten Versionen von Windows 11 installieren BitLocker automatisch bei der Einrichtung eines neuen Computers (Ausnahme: Windows 11 Home).
    • Über das entsprechende Betriebssystem-Menü können Sie die BitLocker-Verschlüsselung auch nachträglich aktivieren.
    Security Service: Umfassender Schutz

    Was ist BitLocker-Verschlüsselung?

    BitLocker ist eine von Microsoft entwickelte Betriebssystem-Erweiterung, die unter Windows komplette Datenträger sicher verschlüsselt. Die Software ist seit dem Jahr 2006, als Windows Vista auf den Markt kam, in allen Windows-Editionen enthalten.
    BitLocker verschlüsselt komplette Datenträger. Sobald die Verschlüsselung abgeschlossen ist, sind alle Daten auf diesem Datenträger nur noch mithilfe des zugehörigen BitLocker-Codeschlüssels auszulesen. Diesen Codeschlüssel erzeugt BitLocker bei der Einrichtung für jedes Benutzerkonto individuell.
    Es gibt verschiedene Versionen von BitLocker, die sich insbesondere in der Einbindung der sogenannten TPM-Manipulationserkennung unterscheiden. TPM ist die Abkürzung für „Trusted Platform Module“, mehr dazu weiter unten. Ältere Versionen von BitLocker können zudem nur das Systemlaufwerk verschlüsseln, von dem aus das Windows-Betriebssystem gestartet wird.
    Neuere BitLocker-Varianten unterstützen hingegen standardmäßig die Verschlüsselung aller fest verbauten und auch der externen Laufwerke (zum Beispiel USB-Sticks und externe SSD).

    Gründe für die Einführung von BitLocker

    Microsoft hat die BitLocker-Verschlüsselung eingeführt, weil inzwischen viele Endgeräte mit leicht auszutauschenden Wechsellaufwerken ausgeliefert werden. Marktgängige PC-Hauptplatinen unterstützen zudem einen Systemstart direkt von einem USB-Stick.
    Dadurch wäre es für Cyberkriminelle beispielsweise sehr einfach, einen USB-Stick mit Malware in einen Computer einzusetzen und diesen so direkt beim Systemstart zu infizieren, bevor der integrierte Virenschutz geladen wird. Ein anderes Szenario: Datendieb:innen könnten ein unverschlüsseltes Laufwerk aus einem passwortgeschützten Computer ausbauen und mit einem anderen Computer problemlos auslesen.
    BitLocker verhindert ein solches Auslesen, da es den Datenträger selbst verschlüsselt. Somit kann er auch auf anderen Geräten ohne das zugehörige BitLocker-Passwort nicht mehr ausgelesen werden.
    Um die genannten Sicherheitslücken zu schließen, ist BitLocker bei modernen Windows-Varianten standardmäßig an Bord.
    Eine junge Frau betrachtet lächelnd ein Tablet.

    Vodafone Business Security Services

    Unsere Expert:innen überwachen Ihre Sicherheit. Und sie übernehmen das Management Ihrer Vodafone Security-Lösung: Von der Ersteinrichtung bis zum Betrieb und der Wartung unterstützen wir Sie.

    • Rund um die Uhr
    • Immer aktuell
    • Alles auf einen Blick via Cyber Hub
    Jetzt hier informieren

    Windows-Verschlüsselung mit BitLocker: Grundlagen & Voraussetzungen

    Die Windows-Verschlüsselung BitLocker verwendet zum Verschlüsseln von Laufwerken das Verfahren AES (Advanced Encryption Standard) in Verbindung mit einem 256 Bit langen Codeschlüssel. AES gibt es in verschiedenen Varianten, wobei die Version mit 256 Bit langen Schlüsseln sicherer ist als der ältere Standard mit 128-Bit-Schlüsseln.
    AES gehört zu den sogenannten symmetrischen Verschlüsselungsverfahren. Das bedeutet, dass der Algorithmus Datenträger mit demselben Codeschlüssel ver- und entschlüsselt. Solche symmetrischen Verschlüsselungsverfahren können längere Dokumente, große Dateien oder ganze Laufwerke sehr schnell verschlüsseln, sodass BitLocker den Datenstrom zwischen Betriebssystem und Laufwerk nur unwesentlich verlangsamt.
    Sie unterscheiden sich damit von asymmetrischen Verschlüsselungen. Diese werden vor allem für Anmeldeverfahren und Authentifizierungsverfahren verwendet oder zum Aufbau einer nachfolgenden symmetrisch verschlüsselten Verbindung.
    BitLocker wurde speziell für NFTS-Laufwerke entwickelt. NTFS (New Technology File System) ist ein von Microsoft geschaffenes Dateisystem. Es kann auch sehr große Dateien speichern, die mehrere Terabyte umfassen und bietet darüber hinaus wichtige Sicherheitsfunktionen wie die Dateiverschlüsselung mittels Encrypting File System (EFS). Die meisten Festplatten auf Windows-Computern arbeiten deshalb heute mit NTFS.
    Daneben gibt es in Windows-Umgebungen aber auch andere Dateisysteme wie FAT16, FAT32 und exFAT. Viele externe Datenträger wie USB-Sticks und Speicherkarten verwenden beispielsweise diese Dateisysteme. Über die Funktion BitLocker To Go unterstützt auch BitLocker diese Standards. BitLocker To Go ist ein separates Verschlüsselungsprogramm, das Microsoft zusammen mit Windows 7 im Jahr 2009 vorgestellt hat. Sie finden es auf zahlreichen Download-Seiten im Internet. In einigen Windows-Versionen ist es bereits fest integriert, beispielsweise in:
    • Windows 11 Pro
    • Windows 11 Enterprise (für Großunternehmen)
    • Windows 11 Education (für Bildungseinrichtungen)
    Auf diesen Plattformen müssen Sie es somit nicht zusätzlich installieren.

    Manipulationserkennung

    BitLocker ist nicht nur ein Verschlüsselungsprogramm, es bietet darüber hinaus auch eine Manipulationserkennung. Das bedeutet: BitLocker gibt beim Systemstart eine Alarmmeldung aus, wenn die Hardware des Systems zwischenzeitlich verändert wurde, zum Beispiel durch den Austausch einer Festplatte oder das Verändern ihres sogenannten Bootsektors. Die Manipulationserkennung funktioniert allerdings nur auf Computern, die
    • mindestens ein TPM-Modul Version 1.2, besser Version 2.0 auf der Hauptplatine haben
    • ein UEFI-basiertes BIOS mit darauf aktiviertem Secure Boot besitzen
    • über eine partitionierte Festplatte verfügen
    Grundsätzlich kann BitLocker auch die Laufwerke von solchen Windows-Computern verschlüsseln, die nicht die oben genannten Voraussetzungen erfüllen – dann deaktiviert BitLocker allerdings die Manipulationserkennung.
    Security Service: Umfassender Schutz

    BitLocker-Verschlüsselung aktivieren – Schritt für Schritt

    Je nach installierter Windows-Version unterscheidet sich Ihr Weg zur Aktivierung von BitLocker. So ist die volle BitLocker-Verschlüsselung bei neueren Windows-Versionen standardmäßig aktiviert. Dies gilt etwa für Windows 11 auf dem Update-Stand 24H2. Hier aktiviert das Betriebssystem die BitLocker-Geräteverschlüsselung bereits bei der Neuinstallation oder Ersteinrichtung eines Computers. Dabei verknüpft Windows den hierbei erzeugten Codeschlüssel mit Ihrem persönlichen Microsoft-Konto.
    Unter Windows 10 gibt es verschiedene Möglichkeiten, wie eine Neuinstallation ablaufen kann. Denn diese Betriebssystem-Version läuft auch noch auf älteren Computern, die kein oder nur ein älteres TPM-Modul an Bord haben.
    Je nach vorhandener Hardware und genauem Update-Stand Ihrer Installationsdateien wird Windows 10 bei einer Neuinstallation:
    • die BitLocker-Verschlüsselung automatisch durchführen wie unter Windows 11 mit Update 24H2
    • die BitLocker-Verschlüsselung gar nicht vorschlagen
    • eine funktionsreduzierte Version von BitLocker namens „Geräteverschlüsselung“ anbieten
    Auch das für Privatpersonen konzipierte Windows 11 Home hat keine vollständige BitLocker-Verschlüsselung an Bord, sondern bietet Ihnen alternativ nur die aus Windows 10 bekannte „Geräteverschlüsselung“ an.

    So aktivieren Sie die BitLocker-Verschlüsselung nachträglich

    Wenn BitLocker auf Ihrem Computer nicht direkt bei der Neuinstallation aktiviert wurde, können Sie die Verschlüsselung auch jederzeit nachträglich aktivieren. Das können Sie für jedes Laufwerk einzeln durchführen:
    Zum Einschalten der Verschlüsselung für ein bestimmtes Laufwerk gehen Sie vor wie folgt:
    1. Öffnen Sie den Windows-Explorer mit „Windows-Taste + E“.
    2. Wählen Sie das Laufwerk aus, für das Sie BitLocker aktivieren möchten, beispielsweise das Systemlaufwerk „C:“.
    3. Klicken Sie den Laufwerksbuchstaben mit der rechten Maustaste an und wählen Sie „BitLocker aktivieren“ aus.
    4. Im folgenden Dialog schlägt Windows Ihnen nun verschiedene Varianten für die Verschlüsselung vor:
      • Kennwort zum Entsperren des Laufwerks verwenden
      • Smartcard zum Entsperren des Laufwerks verwenden
    5. Falls Sie die Kennwort-Variante gewählt haben, fragt das Betriebssystem im nächsten Dialog, ob Sie das Kennwort („Wiederherstellungsschlüssel“)
      • in Ihrem Microsoft-Konto abspeichern möchten
      • in einer Datei speichern möchten
      • ausdrucken möchten
    Alternativ schlägt Ihnen das System möglicherweise auch das Ablegen Ihres Kennwortes unter Ihrer Azure ID vor, sofern Ihre Windows-Installation Bestandteil eines Großkunden-Paketes ist.
    Je nach Größe und Geschwindigkeit Ihres Laufwerkes benötigt Windows im Verlauf der Aktivierung etwas Zeit, um das Laufwerk zu verschlüsseln. Eine erfolgreiche Verschlüsselung erkennen Sie zukünftig an einem geschlossenen Vorhängeschloss im BitLocker-Menü des jeweiligen Laufwerkes.
    Achtung: Da es viele unterschiedliche Versionen und Update-Varianten von Windows 10 und 11 gibt, kann der Ablauf der BitLocker-Einrichtung auf Ihrem Computer anders aussehen. Außerdem können die Systemadministrator:innen Ihrer IT-Abteilung die BitLocker-Aktivierung oder -Deaktivierung auf einzelnen Endgeräten sperren oder einschränken.
    Dann kann nur Ihre IT-Abteilung selbst alle Änderungen an Ihrem System vornehmen. Sie erhalten dann beim Aufruf des BitLocker-Menüs einen entsprechenden Hinweis: „Zu Ihrer Sicherheit werden einige Einstellungen vom Systemadministrator verwaltet.“
    Empfohlener externer Inhalt
    Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
    Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
    Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
    Datenschutzerklärung

    Festplatten- und Hardware-Schutz: BitLocker-Hardware

    Im Internet wird Ihnen häufig der Begriff einer BitLocker-Hardware begegnen. Tatsächlich ist BitLocker aber eine Software-Verschlüsselung, die in das Betriebssystem Windows integriert ist. Für ein maximales Schutzniveau greift BitLocker jedoch auf eine Hardware-Plattform zurück, nämlich das TPM-Modul auf der Hauptplatine Ihres Computers. Daher werden beide Systeme manchmal als eine zusammenhängende Hardware-Lösung betrachtet, also die softwarebasierte Verschlüsselung und das hardwarebasierte Manipulationsschutz-Modul TPM. Das ist jedoch so nicht korrekt.
    Natürlich können Sie alternativ zu BitLocker auch spezielle Festplatten mit echter Hardware-Verschlüsselung verwenden. Eine solche Verschlüsselungs-Hardware („Krypto-Chip“) ist dann im sogenannten Controller auf der Platine der Festplatte fest verbaut. Man spricht hierbei auch von Self-Encrypting Drives (SED) oder hardwareverschlüsselten Festplatten. Derartige hardwareverschlüsselten Laufwerke gibt es beispielsweise von Herstellern wie Crucial oder Digittrade.
    BitLocker funktioniert hingegen auch mit Laufwerken ohne Verschlüsselungs-Hardware. Sie müssen es lediglich über Ihr Betriebssystem aktivieren, sofern es nicht bei der Installation bereits automatisch eingerichtet wird.
    Eine junge Frau betrachtet lächelnd ein Tablet.

    Vodafone Business Security Services

    Unsere Expert:innen überwachen Ihre Sicherheit. Und sie übernehmen das Management Ihrer Vodafone Security-Lösung: Von der Ersteinrichtung bis zum Betrieb und der Wartung unterstützen wir Sie.

    • Rund um die Uhr
    • Immer aktuell
    • Alles auf einen Blick via Cyber Hub
    Jetzt hier informieren

    BitLocker-Verschlüsselung deaktivieren

    Grundsätzlich können Sie die BitLocker-Verschlüsselung auf jedem Ihrer Laufwerke auch wieder einzeln deaktivieren. Der Datenträger wird dann wieder entschlüsselt und alle darauf gespeicherten Daten können bei einem Datenträger-Wechsel auch wieder mit anderen Geräten ausgelesen werden. Folgende Gründe gibt es für eine Deaktivierung:
    • Sie möchten einen Datenträger wie eine Festplatte oder ein SSD-Laufwerk in einen anderen Computer einbauen.
    • Sie haben versehentlich einen USB-Stick oder einen anderen Datenträger verschlüsselt, den Sie häufig auch mit anderen Computern benutzen.
    • Sie nutzen in Ihrem Unternehmen ein anderes Verschlüsselungsprogramm zum Schutz Ihrer Datenträger und benötigen BitLocker daher nicht.
    • Sie möchten ein anderes Betriebssystem auf dem Computer einrichten, das BitLocker nicht unterstützt.
    Die Verschlüsselung deaktivieren Sie über dasselbe Menü in den Windows-Einstellungen, das Sie auch zum Einrichten der Verschlüsselung verwenden. Sie finden die Anleitung im Kapitel „BitLocker-Verschlüsselung aktivieren – Schritt für Schritt unter Windows 10 & Windows 11. Klicken Sie einfach auf „BitLocker-Verschlüsselung deaktivieren“ und folgen dem Dialog. Auch hier dauert es je nach Laufwerkstyp und -größe wieder einige Zeit, bis der Prozess abgeschlossen ist.
    Beachten Sie: Wenn Sie Ihre Verschlüsselung deaktivieren, vermindern Sie damit auch den Cyberschutz Ihres Computers. Möglicherweise gibt es in Ihrem Unternehmen eine Cybersecurity-Richtlinie, die das Verschlüsseln aller Datenträger vorschreibt. Dann sollten Sie eine andere Verschlüsselung einrichten und sich dafür mit Ihrer IT-Abteilung absprechen, welche Verfahren bei Ihnen infrage kommen.

    BitLocker auf Notebooks im Unternehmen einsetzen

    Die zunehmende Verbreitung von Notebooks und anderen digitalen Endgeräten in Unternehmen schafft neue Cybergefahren. Notebooks und Tablets können leichter gestohlen werden als fest installierte Desktop-PCs. Die meisten Beschäftigten nehmen ihre Notebooks auch ins Homeoffice mit oder nutzen Sie für Remote Work.
    Damit steigt auch das Risiko, dass Endgeräte auf Reisen verloren gehen oder Datendiebe unterwegs Zugriff auf Firmendaten erhalten.
    Daher sollten Sie besonders bei mobilen Endgeräten ausschließlich verschlüsselte Datenträger verwenden. Die Aktivierung des BitLocker-Schutzes funktioniert auf Notebooks genauso wie auf jedem fest installierten Desktop-PC – wie oben beschrieben.
    Stadtansicht mit Symbolen für Verkehrsmittel

    Cyber Security für Ihr Business

    Mit unseren Sicherheitslösungen schützen Sie Ihr Unternehmen vor Viren, Industrie-Spionage, Cyber-Angriffen und unautorisiertem Zugriff auf Ihre Netze.

    • Sichere Kommunikation
    • Für Homeoffice und Büro
    • Globales, sicheres Log-in-Verfahren
    Jetzt informieren

    Fazit: Unsere Tipps für den BitLocker-Einsatz in Ihrem Unternehmen

    Die BitLocker-Verschlüsselung bietet Ihnen ein Plus an Sicherheit für Ihre Datenträger und Ihre wertvollen Firmendaten. Insbesondere mobile Endgeräte, externe SSD-Laufwerke und USB-Sticks mit wichtigen Daten sollten Sie immer verschlüsseln.
    Aktuelle Versionen von Windows 11 richten die BitLocker-Verschlüsselung bei der Neuinstallation ohnehin standardmäßig auf jedem Computer ein. In Kombination mit den Vodafone Security-Lösungen schützen sich so wirksam vor Datendiebstahl, Manipulation und anderen (Cyber-)Attacken.

    BitLocker-Verschlüsselung: Häufige Fragen (FAQ)

    Portrait von Dr. Lorenz SteinkeLorenz Steinke
    25.02.2026
      # Tags:SicherheitTippsBusiness BasicsService
      Das könnte Sie auch interessieren:
      Security

      Ransomware entfernen

      Ransomware kann ganze Geschäftsabläufe lahmlegen. Hier lesen Sie, wie Sie selbst oder mithilfe von professionellen Anbietern Ransomware entfernen, Ihre Systeme sicher bereinigen und Daten aus geprüften Back-ups zuverlässig wiederherstellen. Plus Tipps zur Prävention.

      Weiterlesen

      Digitalisierungsberatung

      Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.

      Termin vereinbaren