Microsofts BitLocker verschlüsselt Ihren Windows-Computer. Im Falle eines Diebstahls bekommen die Diebe keinen Zugriff auf Ihre Daten.
Sehr einfach erklärt: Wenn Windows Ihre Festplatte verschlüsselt, dann wird der entsprechende Schlüssel (den Sie brauchen, um überhaupt Zugriff auf Ihr System zu bekommen) im TPM-Chip (Trusted Platform Module) auf sichere Art und Weise gespeichert. Es ist wie Ihr Hausschlüssel, um ins Haus zu kommen. Es werden auch weitere Sicherheitsmerkmale damit umgesetzt, auf die ich hier nicht eingehe.
Beim Einschalten des Computers werden die Informationen im TPM-Chip verwendet, um Windows zu starten, ohne dass Sie den Schlüssel jedesmal vor dem Laden von Windows eingeben müssen. Denn diesen Schlüssel braucht es, damit Windows überhaupt startet. Effektiven Zugriff auf Ihr Windows-Konto erhalten Sie jedoch erst, wenn Sie sich an Windows mit Ihrer PIN oder einer anderen Anmeldemethode wie Fingerprint, Gesichtserkennung usw. anmelden, welche ebenfalls mit dem TPM interagieren.
Die Smartphones verwenden eine Geräteverschlüsselung schon seit Längerem. Bei einem Windows-Computer hat man nun einen vergleichbaren Schutz.
Bis anhin konnte man den Datenträger eines Windows-Computers ohne Probleme auslesen. Dies, obwohl man ein Passwort, und sei es noch so ausgeklügelt, für die Anmeldung am Benutzerkonto eingerichtet hatte. Ohne ein Hacker zu sein, kommt man problemlos an die Daten auf einem solchen unverschlüsselten Datenträger heran.
Wenn BitLocker nun auf Ihrem Windows-Computer aktiviert und damit der Massenspeicher verschlüsselt ist, geht dies nicht mehr (wobei es keine 100%-ige Sicherheit gibt). Denn man muss für den Zugriff auf den Computer entweder das Passwort des entsprechenden Benutzers, oder den sogenannten Wiederherstellungsschlüssel (BitLocker Recovery-Key) kennen. Wird Ihr Computer gestohlen, bekommt der Dieb zumindest keinen Zugriff auf Ihr System.
Das „Aber“
Es kann vorkommen, dass das BIOS Probleme bereitet. BIOS = Basic Input Output System: Es verwaltet die grundlegenden Informationen und Funktionen eines Computers, noch bevor ein Betriebssystem wie Windows geladen wird. Auch hier wieder sehr einfach erklärt, denn das BIOS wurde vom Nachfolger UEFI abgelöst.
Werden zum Beispiel infolge eines missglückten oder fehlerhaften BIOS-Updates, einer falschen Einstellung in diesem oder bei Hardwareproblemen die Informationen im TPM gelöscht oder verändert, startet Windows ab sofort nicht mehr. Es ist, als stünden Sie vor Ihrem Haus und der Hausschlüssel passt nicht mehr, da die Schlösser ausgewechselt wurden.
Windows bietet in diesem Fall zum Glück einen Rettungsanker und der heisst:
Wiederherstellungsschlüssel für die BitLocker-Laufwerkverschlüsselung, oder auf englisch BitLocker Recovery-Key.
Windows 11 richtet die Verschlüsselung mit BitLocker meist unbemerkt und ohne einen Hinweis beim ersten Einrichten ein. Da man bei den Windows 11-Home-Versionen beim Installieren zwingend ein Microsoft-Account verwenden muss, wird dieser wichtige Wiederherstellungsschlüssel automatisch im Microsoft-Konto gespeichert. Um jedoch an diesen zu kommen, muss man sich an diesem Konto anmelden können. Nicht selten fehlt vielen Anwendern das Passwort dafür, da dieses nach dem Aufsetzen von Windows schnell in Vergessenheit gerät.
Erkennen, ob BitLocker aktiviert ist
Läuft auf Ihrem neuen Computer Windows 11, dann wird der BitLocker mit grosser Wahrscheinlichkeit aktiviert und damit Ihr System verschlüsselt sein. Dies kann übrigens auch bei Windows 10 der Fall sein.
Wenn Sie den Windows-Explorer starten und beim Laufwerk ein geöffnetes Schlüsselsymbol erkennen, dann ist Ihr Datenträger verschlüsselt:
Wie bereits erwähnt, sollte der Wiederherstellungsschlüssel in Ihrem Microsoft-Account hinterlegt sein. Haben Sie die Angaben für dieses Microsoft-Konto jedoch verloren, kann es problematisch werden, Zugriff auf diesen elementaren Schlüssel zu erlangen.
Es empfiehlt sich daher unbedingt, diesen Wiederherstellungsschüssel auszudrucken und sicher aufzubewahren.
Wiederherstellungsschlüssel drucken
Folgende Angaben zeigen das Vorgehen an einem englischen Windows (mit deutschen Befehlshinweisen jeweils in Klammern).
Rechtsklicken Sie auf dem Startmenü und wählen Sie dann, mit der linken Maustaste, Run (Ausführen).
Nun wird der Ausführen-Dialog angezeigt. Geben Sie dort den Begriff control ein und bestätigen mit OK.
Der obige Befehl startet die „alte“ Systemsteuerung. Manchmal sind nicht alle Optionen sichtbar. Klicken auf der rechten Seite auf Small Icons (Kleine Symbole):
Danach klicken Sie in der oben dargestellten Systemsteuerung auf Device encryption (BitLocker-Laufwerkverschlüsselung).
Es ist gut am Schlösschen mit Schlüssel zu erkennen:
Nun auf Back up your recovery key (Wiederherstellungsschlüssel sichern) klicken:
Der Schlüssel kann über Print the recovery key (Wiederherstellungsschlüssel drucken) gedruckt werden:
Bewahren Sie diesen Ausdruck an einem sicheren Ort auf!
Der Schlüssel kann auch über Save to a file (In Datei Speichern) als Textdatei auf einem externen Datenträger wie einem USB-Stick gespeichert werden.
Versuchen Sie den Schlüssel auf dem verschlüsselten Datenträger zu speichern, wird dies Windows nicht zulassen. Würde auch keinen Sinn machen.