Was ist BitLocker und wie funktioniert der?

Das Speichern sensibler Dateien auf einem digitalen Datenträger birgt immer das Risiko, dass sie irgendwann in die falschen Hände geraten. Angesichts der ständigen Bedrohungen, die mit Gadgets, insbesondere mit tragbaren Geräten wie Laptops oder USB-Sticks, verbunden sind, versuchen Entwickler, ihren Benutzern durch die Einführung verschiedener Sicherheitsmaßnahmen das Beruhigen zu geben. Das Windows-Betriebssystem bietet seinerseits den BitLocker-Schutz, der zu einer häufigen Wahl für Privatpersonen und Unternehmen geworden ist, die verstärkte Sicherheit ihrer Daten "im Ruhezustand" suchen. Hier finden Sie eine allgemeine Erklärung dieser Funktion.

Letzte Aktualisierung:
02. Juni 2023

Lesezeit: 7 Min.

Was ist BitLocker?

BitLocker ist eine Verschlüsselungstechnologie von Microsoft, die in das Windows-Betriebssystem integriert ist und automatisch im Rahmen seiner Installation bereitgestellt wird. Er sichert den Inhalt ganzer logischer Volumens, indem er das mithilfe fortschrittlicher kryptografischer Algorithmen verschlüsselt. Die verschlüsselten Informationen können nicht entschlüsselt und somit nicht abgerufen werden, es sei denn, der Benutzer stellt die richtigen Anmeldeinformationen bereit, die den Speicher entsperren. Dadurch bleiben sie vor Diebstahl oder Zugriff unberechtigter Dritter geschützt. Bei korrekter Eingabe kann der Speicher wie gewohnt weiter durchsucht werden.

BitLocker dient zum Schutz sowohl der internen Festplatte oder SSD des PCs als auch verschiedener externer Speichergeräte – USB-Sticks, Speicherkarten und andere Medien, die mit den Dateisystemen NTFS, FAT32 oder exFAT von Microsoft formatiert sind. Die für Wechselspeicher vorgesehene Version wird auch als BitLocker To Go bezeichnet.

Die Technologie selbst basiert auf der Advanced Encryption Standard-Spezifikation mit einer konfigurierbaren Schlüsselgröße von entweder 128 oder 256 Bit. Ab Windows 10 und höher umfassen die unterstützten Modi Cipher Block Chaining (CBC) und Ciphertext Stealing (XTS).

BitLocker kann als hardwareverwaltete oder rein softwarebasierte Lösung implementiert werden. In erster Instanz setzt er auf TPM (Trusted Platform Module) – einen speziellen Mikrochip, der in die Hauptplatine eines PCs eingebaut oder diesem hinzugefügt wird und für die Durchführung kryptografischer Operationen konzipiert ist. TPM ist für die Generierung, Speicherung und Verwaltung der BitLocker-Verschlüsselungsschlüssel verantwortlich. Es kann so konfiguriert werden, dass das Laufwerk beim Booten automatisch entsperrt wird, oder in Kombination mit anderen Sicherheitsoptionen, beispielsweise einer persönlichen Identifikationsnummer (PIN) oder einem Wechseldatenträger, der einen Startschlüssel enthält.

Die zweite Implementierung ist für Computer gedacht, denen TPM fehlt. In diesem Fall wird der Benutzer bei der Initialisierung von BitLocker für das angegebene Laufwerk aufgefordert, einen Schutzmechanismus einzurichten:

  • Benutzerkennwort – eine vom Benutzer angegebene Zeichenfolge, die jedes Mal abgefragt wird, wenn er Windows startet oder auf ein mit BitLocker verschlüsseltes Wechselgerät zugreift.
  • BitLocker-Wiederherstellungsschlüssel – eine einzigartige 48-stellige Zahlenfolge, die automatisch vom System erstellt wird, nachdem BitLocker aktiviert wird. Dieser Schlüssel wird benötigt, um den Speicher zu entsperren, falls bestimmte Updates oder Sicherheitsprobleme vorliegen oder wenn das Benutzerkennwort verloren geht oder nicht verfügbar ist. Abhängig von der Betriebssystemversion bietet Windows möglicherweise unterschiedliche Möglichkeiten zum Speichern davon für die zukünftige Verwendung.
  • Startschlüsseldatei – eine versteckte *.bek-Datei, die als Äquivalent zum BitLocker-Wiederherstellungsschlüssel auf einem externen USB-Gerät gespeichert wird. Dieses Gerät muss während des Betriebssystemstarts vorhanden sein, damit das Laufwerk automatisch ohne Kennwort entschlüsselt werden kann.

Nach der Aktivierung von BitLocker werden die Daten auf dem geschützten Volumen in unverständliches "Kauderwelsch" verwürfelt. Zu diesem Zweck verwendet BitLocker einen speziellen Schlüssel, der dem Benutzer eigentlich nie zugänglich gemacht wird (der als Full Volume Encryption Key oder FVEK bezeichnet wird). Dieser Schlüssel wird mithilfe eines anderen geheimen Schlüssels verschlüsselt (des Volume Master Key oder VMK), der ebenfalls in verschlüsselter Form in den Metadaten des Volumens oder sogar in mehreren verschlüsselten Kopien gespeichert wird. Wenn der Benutzer das richtige Kennwort, den BitLocker-Wiederherstellungsschlüssel oder den Startschlüssel eingibt, werden diese Informationen gebraucht, um eine dedizierte Kopie dieses Sekundärschlüssels zu entschlüsseln. Im Gegenzug entschlüsselt er den Primärschlüssel, der es ermöglicht, den Inhalt des Volumens wieder in seine ursprüngliche Form zu bringen. Ein derart komplexer Transformationsvorgang kann jedoch nur dann erfolgreich abgeschlossen werden, wenn diese kritischen BitLocker-Metadateneinträge intakt bleiben. Sollten diese durch einen Speicherausfall oder Schaden ernst beschädigt werden, ist das Auslesen der Daten selbst mit den gültigen Zugangsdaten nicht mehr möglich.

Wie wird er auf einem Gerät aktiviert?

BitLocker ist eine native Funktion von Windows, und dies ihre nahtlose Aktivierung ermöglicht, die nur sehr wenige oder gar keine Benutzereingriffe erfordert. Es gibt mehrere Möglichkeiten, den Verschlüsselungsprozess auszulösen:

  • Moderne Geräte unter Windows, die bestimmte Voraussetzungen erfüllen (Unterstützung für Modern Standby, HSTI-Konformität usw.), werden häufig standardmäßig verschlüsselt. Der Schutz tritt in Kraft, sobald sich der Benutzer bei seinem Microsoft-Konto oder Azure Active Directory-Konto anmeldet. In diesem Fall ist keine Einrichtung des Benutzerkennworts erforderlich, während der BitLocker-Wiederherstellungsschlüssel automatisch im jeweiligen Online-Konto gespeichert wird.
  • Der Benutzer kann BitLocker freiwillig über die Systemsteuerung oder die Einstellungen-App einschalten. In diesem Fall kann man in der Regel frei entscheiden, wie der BitLocker-Wiederherstellungsschlüssel gespeichert wird.

Auffinden des BitLocker-Wiederherstellungsschlüssels

Wie bereits erwähnt, erfolgt die Erstellung des BitLocker-Wiederherstellungsschlüssels automatisch zum Zeitpunkt seiner Aktivierung. Es ist unbedingt erforderlich, über eine Sicherungskopie dieses 48-stelligen Schlüssels zu verfügen und diese abrufen zu können. Solche Kopie kann je nach den Vorlieben des Benutzers und der bereitgestellten Windows-Version auf verschiedene Arten gespeichert werden. Falls es Probleme beim Auffinden gibt, sollten die folgenden Speicheroptionen geprüft werden:

  • Microsoft-Konto

Der wahrscheinlichste Ort, an dem Sie den BitLocker-Wiederherstellungsschlüssel finden, ist das Microsoft-Konto des Benutzers, der die Verschlüsselungsfunktion aktiviert hat. Man muss sich online bei diesem Konto anmelden, zum Abschnitt "Geräte" gehen und unter dem entsprechenden Computer auf "Details anzeigen" klicken. Im Abschnitt "BitLocker-Datenschutz" gibt es die Einstellung "Wiederherstellungsschlüssel verwalten". Nach erfolgreicher Identitätsüberprüfung wird eine Liste der für diesen bestimmten PC verfügbaren Wiederherstellungsschlüssel sowie deren IDs, Daten und Gerätenamen angezeigt.

  • Textdatei

Der BitLocker-Wiederherstellungsschlüssel kann als *.txt-Datei auf einem anderen unverschlüsselten Laufwerk oder an einem freigegebenen Netzwerkspeicherort gespeichert werden. Er wird normalerweise unter dem Namen "BitLocker Recovery key" gespeichert, gefolgt von einer Folge alphanumerischer Zeichen. Dieser Name kann in die Suchleiste eingegeben werden, um nach Übereinstimmungen zu suchen. Die Datei enthält auch die ID, die zur Identifizierung genau dieses Schlüssels verwendet wird.

  • USB-Stick

Der Startschlüssel entspricht dem Wiederherstellungsschlüssel, wird jedoch als Datei mit der Erweiterung *.bek auf einem USB-Flash-Laufwerk gespeichert. Der Name sieht normalerweise wie eine zufällige alphanumerische Folge aus. Solche Datei ist jedoch verborgen, und um sie sichtbar zu machen, sollte die Option "Versteckte Dateien, Ordner und Laufwerke anzeigen" für den Datei-Explorer aktiviert werden.

  • Papierausdruck

Der BitLocker-Wiederherstellungsschlüssel kann ausgedruckt und als physisches Dokument gespeichert werden. Wenn kein Drucker vorhanden ist, wird er als *.pdf-Datei gespeichert und kann im OneDrive- oder Google Drive-Konto vorhanden sein.

  • Azure Active Directory-Konto

Bei einem Unternehmenscomputer kann der BitLocker-Wiederherstellungsschlüssel im Active Directory-Konto gespeichert werden. Man muss sich beim Microsoft Azure-Portal anmelden und auf "Azure Active Directory" -> "Geräte" -> "Alle Geräte" zugreifen. Anschließend kann über ein Suchfeld anhand des Namens/der Seriennummer nach dem richtigen Gerät gesucht werden. Wenn das gefundene Gerät ausgewählt wird, können die Optionen "BitLocker-Schlüssel (Vorschau)" und "Wiederherstellungsschlüssel anzeigen" angewendet werden, um den Schlüssel zu erhalten.

Die Genauigkeit des jeweiligen BitLocker-Wiederherstellungsschlüssels kann überprüft werden, indem der Anfang der Kennung des BitLocker-Wiederherstellungsschlüssels mit dem für das Laufwerk angezeigten Wert "Schlüssel-ID" verglichen wird.

Die beschriebene Technologie wird für die Datenwiederherstellung und den Datenzugriff von den folgenden Softwareprodukten unterstützt:

* Bei der hardwareverwalteten BitLocker-Verschlüsselung kommen physische Sicherheitsmechanismen zum Einsatz, die nicht programmgesteuert verwaltet werden können. Daher wird diese von der Software nicht unterstützt.