BitLocker: Laufwerkverschlüsselung unter Windows 8 aktivieren (auch ohne TPM-Chip)

Und weiter geht es im Security-Bereich, nachdem ich ja eben schon eine Anleitung schrieb, wie ihr eure Systempartition von Windows 8 mit TrueCrypt verschlüsselt. Es wurden Stimmen laut, die meinten, dass sie lieber BitLocker nutzen, da dieses ja integraler Bestandteil von Windows 8 Pro ist, welches ja sicherlich viele durch ein günstiges Update geschossen haben. Im Gegensatz zum verschlüsselnden Dateisystem (Encrypting File System, EFS), mit dem einzelne Dateien verschlüsselt werden können, dient BitLocker zum Verschlüsseln des gesamten Laufwerks.

Werden einem mit BitLocker verschlüsselten Laufwerk frische Dateien hinzugefügt, werden diese automatisiert von BitLocker verschlüsselt, wie bei TrueCrypt also. Die Dateien bleiben verschlüsselt, so lange sie auf dem verschlüsselten Laufwerk gespeichert sind. Dateien, die auf ein anderes Laufwerk oder auf einen anderen Computer kopiert werden, werden automatisch entschlüsselt.

Die Nutzung von BitLocker ist allerdings standardmäßig nur möglich, wenn euer Mainboard einen TPM-Chip hat. (Wikipedia: BitLocker  startet vor dem Betriebssystem und greift standardmäßig auf ein Trusted Platform Module zu, um zu prüfen ob die Hardware unverändert und somit vertrauenswürdig ist.) Viele moderne Rechner verfügen über dieses Trusted Platform Module, allerdings gibt es auch viele Rechner da draußen, die eben jenes Modul nicht haben. Was also tun, wenn man BitLocker dennoch nutzen will?

Im obigen Screenshot die Fehlermeldung, die ihr seht, wenn euer PC keinen TPM-Chip intus hat: Auf diesem Gerät kann kein TPM verwendet werden. Der Administrator muss die Richtlinie „Zusätzliche Authentifizierung beim Start anfordern“ für Betriebssystemvolumes die Option „BitLocker ohne kompatibles TPM zulassen“ festlegen.

Aha. Da wir der Administrator sind, müssen wir die Richtlinie festlegen. Nur wo? Ab in eure neue UI, im Suchfeld Richtlinie eingeben und losrocken:

Im nun auftauchenden Fenster navigieren wie uns zum Punkt Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke und suchen den Punkt „Zusätzliche Authentifizierung beim Starten anfordern“.

Ein Doppelklick schickt uns direkt in die Konfiguration, wo wir deaktivieren, dass ein TPM-Chip Pflicht ist. Schnell einen Haken bei „Aktiviert“ setzen und Bitlocker ohne kompatibles TMP-Modul zulassen.

Danach klickt ihr flott auf „Übernehmen“ und startet wieder Bitlocker. Windows 8 überprüft daraufhin die Kompatibilität des PCs.

Im Anschluss muss der Rechner neu gestartet werden und fragt ab, ob er in Zukunft per Sicherheits-Stick oder Passwort entsperrt werden soll.

Der von euch eingegebene Schlüssel zur Wiederherstellung kann nun nicht nur separat auf einem Stick oder in einer Datei gespeichert werden, sondern auch in eurem Microsoft-Konto:

Im nächsten Schritt dann die entscheidende Frage, ob man den verwendeten Speicherplatz verschlüsseln will, oder das komplette Laufwerk. Ersteres ist für frische Installationen ganz nützlich, alle anderen sollten zur Vollverschlüsselung greifen, da dabei auch die gelöschten Altdaten noch einmal verschlüsselt werden.

Danach kann am PC normal weiter gearbeitet werden, allerdings wird er während der erstmaligen Verschlüsselung etwas langsamer.

Nach Abschluss der Aktivierung von BitLocker ist die Festplatte komplett verschlüsselt und das System bootet nur, wenn ihr das korrekte Passwort eingebt.

In diesem Sinne: Viel Spaß beim Verschlüsseln. Thema Speed und SSD: Ja, man hat messbaren Performanceverlust. Müsst ihr mal ausprobieren, ob euch die Sicherheit die verlorene Performance wert ist. Ich selber spüre auf meinem Notebook davon nichts.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

32 Kommentare

  1. Wow!!!
    Schnell!!

  2. Hab das Gleiche vor kurzem bei meinem Win7 64 Ultimate versucht. Leider bekommt man aber nur die Option über ein Keyfile auf dem Stick zu entschlüsseln. Die Möglichkeit per PIN zu entsperren ist leider ausgegraut. Macht für mich von daher keinen Sinn weil ich den Stick sicher dauernd im PC lassen würde. Hat jemand nee Möglichkeit wie ich das PIN-System aktivieren kann?

  3. Kann ich die Verschlüsselung rückgängig machen, wenn es mir zu langsam wäre?

  4. Wie funzt das eigentlich mit Backups? Ich habe eine BootCD und mache darüber regelmäßig Backups der gesamten Platte als Image. Wenn Bitlocker mit diesem speziellen Chip vor dem Booten startet, sollten ja die Daten wieder entschlüsselt vorliegen, wenn auch die BootCD gestartet ist, oder?

    Aber wie ist das dann mit der 2. Option, wenn das nur über die Richtlinien geht und ich erst Win8 booten muss? Würde dann nicht die BootCD nur verschlüsseltes Zeug erkennen?

  5. Gibt es irgendwelche Vor- oder Nachteile gegenüber Truecrypt?

  6. Also ich meine nur im Punkt Sicherheit. Nicht Handhabung oder was welches Programm mehr kann.

  7. BitLocker im Vergleich zu TrueCrypt – Backdoor oder sicher genug? man weiß ja nie und bei TrueCrypt weiß ich wenigstens, dass es OpenSource vertrieben wird und der Aufschrei wäre schon längst da, wenns ein Backdoor geben würde. Jemand konstruktive Informationen zu dem Thema? Vielen Dank.

  8. Tolle Sache! Aber der Geschwindigkeitsverlust ist meine grosse Sorge. Hat einer eine SSD drin und kann was berichten?

  9. @eXeler0n Ja, kannst du. Dauert halt nur eine Weile, bis alle Daten wieder entschlüsselt wurden.

    @N-Rico Wenn du Backups via Boot CD anfertigen willst, sieht deine Software nur die verschlüsselte Platte (so mein letzter Kenntnisstand. evtl. gibt’s schon Tools die damit umgehen können. Stichwort: Wiederherstellungsschlüssel). Ich nutze für Backups Acronis TrueImage welches ich vom laufenden OS aus starte. Damit bekommt man eine unverschlüsselte Version der Platte.

    @Lego Nutze bereits seit einigen Monaten Bitlocker (mit TPM) auf einer SSD und einer normalen HDD (SATA 3Gb/s, 7200). Die Geschwindigkeitseinbußen sind m.E. marginal / nicht spürbar.

  10. interessanter Beitrag

  11. Bei Windows7 ist die ist Vorgehensweise mit der Gruppenrichtlinie genauso.
    Allerdings konnte man ohne TPM nur mit einem USB-Stick freischalten.
    Ist das bei Windows8 jetzt anders? Geht auch ein Passwort oder benötigt man hier noch weitere Voraussetzungen?
    Muss ich gleich mal testen …

  12. @Stoggy & N-Rico: Ihr könnt Bitlocker anhalten und einen Backup oder Clon erstellen. Beim Wiederherstellen der Daten, erkennt die Partition, ob der Bitlocker läuft aber nicht aktiviert ist. Da empfehle ich persönlich, im nicht aktivierte Zustand den Rechner neuzustarten und dann wieder Bitlocker zu aktivieren. Dann klappts, ggf. die BEK Datei im USB-Stick oder den 8*8 Key bereit halten.

    @Lego: SSD mit Bitlocker ist eine minimale Leistungverlust von ungefähr 20%. Das Schöne an der SSD ist, Botlocker verschlüsselt die Platte nach 30€ (256GB, 80GB belegt). Beim HDD dauerts deutlich länger (250GB, 80GB belegt)

    @denis_pr: Backdoors sind nicht bekannt und gilt als sicher! Sonst wird dir diesen Link helfen: http://windows.microsoft.com/en-US/windows7/products/features/bitlocker

  13. Mamasöhnchen says:

    Wie erfahre ich ob meine CPU TPS unterstützt, wo kann man das nachschauen?

  14. @Mamasöhnchen:
    [Win]+R und tpm.msc

  15. @Patrick89bvb Die Möglichkeit Bitlocker temp. zu deaktivieren ist mir bekannt. Allerdings finde ich diesen Ansatz etwas aufwendig, wenn ich jede Woche ein Image von der Platte ziehe. Im laufenden Betrieb klappt das mit TrueImage einwandfrei, ich kann nebenher weiterarbeiten und der Vorgang startet im Hintergrund automatisch.

  16. Mamasöhnchen says:

    @Hans: Danke schön …*schnief meine CPU hat kein TPM

  17. @Stoggy: Warum verwendest du nicht die interne Backupsystem von Win7/8? Dieser ist sogar besser als TrueImage wenn es um Backup geht. TrueImage nutzen ich lieber zum Clonen. 🙂

  18. @Patrick89bvb Weil ich bei TrueImage u.a. „Universal Restore“ (Erweiterung) oder Verschlüsselung des Backups habe, was mir bei der Win eigenen Lösung fehlt. Prinzipiell bewältigen beide Tools ihren Job gut. Letztendlich unterscheiden sie sich nur anhand der Features. Warum findest du die integrierte Lösung besser?

  19. kleiner Hinweis der mich einiges an Nerven gekostet hat. Die Bitlocker-Keyabfrage beim Booten arbeitet mit amerikanischen Layout. Wer ein sicheres Passwort mit Sonderzeichen verwendet, wird daher gerne mal mit „Falsches Kennwort“ überrascht 😉

  20. okay, laut google hängt es wohl von BIOS etc. ab, aber wer halt Probleme mit dem Kennwort hat, kann ja mal „Einfg“ drücken und schauen ob die gedrückten Sondertasten mit den erkannten übereinstimmen

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.