Privacy Handbuch
BitLocker ist standardmäßig in den Windows Pro und Enterprise Versionen für die Verschlüsselung von Festplatten enthalten. Die Windows Home Edition enthält mit der "Device Encryption" eine abgerüstete Version mit weniger Optionen zur Verwaltung der Schlüssel und Recovery Keys.
Voraussetzung für die Aktivierung von BitLocker sind ein TPM 2.0 Chip im Rechner und eine UEFI Boot Installation. Die Windows Home Edition benötigt außerdem einen Microsoft Account, weil der Recovery Key bei dieser Windows Edition zwingend in die OneDrive Cloud hochgeladen wird.
Bei der Installation von Windows 10/11 werden die Daten standardmäßig verschlüsselt gespeichert. Der Schlüssel für den Zugriff auf die Daten wird aber ungeschützt auf der Festplatte abgelegt.
Mit der Aktivierung von BitLocker bzw. der "Device Encryption" wird nur der Schlüssel in den TPM Chip verschoben und ein Recovery Key für den Notfall erzeugt.
- Das hat den Vorteil, dass die Aktivierung praktisch mit einem Mausklick erfolgen kann und der Nutzer keine länger dauernden Verschlüsselung abwarten muss.
- Das hat den Nachteil, dass die Person, die Windows installiert, eine Kopie des Schlüssels behalten könnte. Wenn man sein Windows 10/11 nicht selbst installiert hat und sicher sein will, dass kein unbefugter Dritter den Schlüssel vor der Aktivierung von BitLocker geklaut hat, muss man alles einmal entschlüsseln und dann wieder neu verschlüsseln.
Aktivierung der "Device Encryption" in Windows 10/11 Home Edition
- Um die "Device Encryption" zu aktivieren muss man sich mit einem Account anmelden, der administrative Rechte erlangen kann und für den ein Microsoft Cloud Konto eingerichtet wurde.
- Dann kann man die "Device Encryption" in den Einstellungen aktivieren:
- in Windows 10 unter "Update → Geräteverschlüsselung"
- in Windows 11 unter "Datenschutz und Sicherheit → Geräteverschlüsselung"
Die Aktivierung erfordert nur einen Klick. Damit im Hintergrund ein Recovery Key erzeugt und in die Microsoft Cloud hochgeladen. Die Entschlüsselung wird an den TPM Chip gebunden und SecureBoot kann nicht mehr deaktiviert werden (TPM PCR 7). Wenn jemand die Festplatte aus dem Rechner ausbaut, hat er ohne den Recovery Key nur unlesbaren Datensalat.
(Wenn man den Recovery Schlüssel nicht dauerhaft in der OneDrive Cloud liegen lassen möchte, kann man ihn nach der Aktivierung der "Device Encryption" auf der Webseite https://onedrive.live.com/recoverykey löschen.)
- Es besteht natürlich die Möglichkeit, das sich ein Angreifer des kompletten Rechners bemächtigt. Um zu verhindern, dass dieser Angreifer den Rechner bootet und die Verschlüsselung der Festplatte damit öffnet, kann man im BIOS ein Administrator- bzw. Supervisorpasswort setzen und die Option "Power-on-password" aktivieren. Das Passwort muss man zukünftig immer eingeben, wenn man den Rechner einschaltet, egal welches Bootmedium man verwendet.
Aktivierung von BitLocker in Windows 10/11 Pro und Enterprise
Es gibt mehrere Möglichkeiten, BitLocker in Windows 10/11 Pro und Enterprise für ein Laufwerk zu aktivieren. Microsoft empfiehlt die App BitLocker verwalten. Um die App zu starten gibt man im Suchfeld beim Startbutton "BitLocker" ein und startet die App. Man kann BitLocker aber auch genau wie die "Device Encryption" in Windows Home in den Einstellungen aktivieren.
Im Unterschied zur "Device Encryption" der Home Version muss man bei BitLocker den Recovery Key nicht in der Microsoft Cloud speichern. Man kann ihn statt dessen in Firmenumgebungen auf dem Active Directory Server ablegen, auf einem USB-Stick speichern oder ausdrucken.
Außerdem bietet BitLocker Möglichkeiten zur Pre-Boot-Authentifizierung, so dass man auf die bei Windows Home nötigen Spielereien im BIOS mit dem "Power-on-password" verzichten kann:
- PIN-Eingabe vor dem Windows Start (Anleitung bei Heise.de)
USB-Stick mit Schlüsseldatei als Token für den Start
(Im Gegensatz zu FIDO2 oder PKCS11 Token bei Linux LUKS handelt es sich dabei aber nicht um ein echtes Hardware Token, da die Schlüsseldatei beliebig auf andere USB-Sticks kopierbar ist.)
- Wenn man ein Network Bound Unlock einrichtet, bootet Windows nur, wenn der Rechner sich in dem konfiguriertem heimischen LAN oder Firmen-LAN befindet.
Blockcipher für die Verschlüsselung
BitLocker und die "Device Encryption" der Windows Home Edition verwenden XTS-AES-128 als Blockcipher für die Daten. Nach übereinstimmender Einschätzung von NIST, NSA Suite B und BSI ist das keine starke Verschlüsselung. Für die Verschlüsselung von dauerhaft auf Datenträgern gespeicherten Daten wird XTS-AES-256 empfohlen. Um XTS-AES-256 zu verwenden, müssen alle Daten vollständig entschlüsselt werden (BitLocker bzw "Device Encryption" deaktivieren), ein Registry Key ist zu setzen und dann sind die Daten durch Aktivierung von BitLocker bzw "Device Encryption" neu zu verschlüsseln. Den Registry Key setzt man im Terminal mit folgendem Kommando:
cmd /c reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 7 /fDas Entschlüsseln und neu Verschlüsseln kann einige Stunden dauern.
