Microsofts BitLocker

Microsofts BitLocker verschlüsselt Ihren Windows-Computer. Im Falle eines Diebstahls bekommen die Diebe keinen Zugriff auf Ihre Daten.

Sehr einfach erklärt: Wenn Windows Ihre Festplatte verschlüsselt, dann wird der entsprechende Schlüssel (den Sie brauchen, um überhaupt Zugriff auf Ihr System zu bekommen) im TPM-Chip (Trusted Platform Module) auf sichere Art und Weise gespeichert. Es ist wie Ihr Hausschlüssel, um ins Haus zu kommen. Es werden auch weitere Sicherheitsmerkmale damit umgesetzt, auf die ich hier nicht eingehe.

Beim Einschalten des Computers werden die Informationen im TPM-Chip verwendet, um Windows zu starten, ohne dass Sie den Schlüssel jedesmal vor dem Laden von Windows eingeben müssen. Denn diesen Schlüssel braucht es, damit Windows überhaupt startet. Effektiven Zugriff auf Ihr Windows-Konto erhalten Sie jedoch erst, wenn Sie sich an Windows mit Ihrer PIN oder einer anderen Anmeldemethode wie Fingerprint, Gesichtserkennung usw. anmelden, welche ebenfalls mit dem TPM interagieren.

Die Smartphones verwenden eine Geräteverschlüsselung schon seit Längerem. Bei einem Windows-Computer hat man nun einen vergleichbaren Schutz.

Bis anhin konnte man den Datenträger eines Windows-Computers ohne Probleme auslesen. Dies, obwohl man ein Passwort, und sei es noch so ausgeklügelt, für die Anmeldung am Benutzerkonto eingerichtet hatte. Ohne ein Hacker zu sein, kommt man problemlos an die Daten auf einem solchen unverschlüsselten Datenträger heran.

Wenn BitLocker nun auf Ihrem Windows-Computer aktiviert und damit der Massenspeicher verschlüsselt ist, geht dies nicht mehr (wobei es keine 100%-ige Sicherheit gibt). Denn man muss für den Zugriff auf den Computer entweder das Passwort des entsprechenden Benutzers, oder den sogenannten Wiederherstellungsschlüssel (BitLocker Recovery-Key) kennen. Wird Ihr Computer gestohlen, bekommt der Dieb zumindest keinen Zugriff auf Ihr System.

Das „Aber“

Es kann vorkommen, dass das BIOS Probleme bereitet. BIOS = Basic Input Output System: Es verwaltet die grundlegenden Informationen und Funktionen eines Computers, noch bevor ein Betriebssystem wie Windows geladen wird. Auch hier wieder sehr einfach erklärt, denn das BIOS wurde vom Nachfolger UEFI abgelöst.

Werden zum Beispiel infolge eines missglückten oder fehlerhaften BIOS-Updates, einer falschen Einstellung in diesem oder bei Hardwareproblemen die Informationen im TPM gelöscht oder verändert, startet Windows ab sofort nicht mehr. Es ist, als stünden Sie vor Ihrem Haus und der Hausschlüssel passt nicht mehr, da die Schlösser ausgewechselt wurden.

Windows bietet in diesem Fall zum Glück einen Rettungsanker und der heisst:
Wiederherstellungsschlüssel für die BitLocker-Laufwerkverschlüsselung, oder auf englisch BitLocker Recovery-Key.

Windows 11 richtet die Verschlüsselung mit BitLocker meist unbemerkt und ohne einen Hinweis beim ersten Einrichten ein. Da man bei den Windows 11-Home-Versionen beim Installieren zwingend ein Microsoft-Account verwenden muss, wird dieser wichtige Wiederherstellungsschlüssel automatisch im Microsoft-Konto gespeichert. Um jedoch an diesen zu kommen, muss man sich an diesem Konto anmelden können. Nicht selten fehlt vielen Anwendern das Passwort dafür, da dieses nach dem Aufsetzen von Windows schnell in Vergessenheit gerät.

Erkennen, ob BitLocker aktiviert ist

Läuft auf Ihrem neuen Computer Windows 11, dann wird der BitLocker mit grosser Wahrscheinlichkeit aktiviert und damit Ihr System verschlüsselt sein. Dies kann übrigens auch bei Windows 10 der Fall sein.

Wenn Sie den Windows-Explorer starten und beim Laufwerk ein geöffnetes Schlüsselsymbol erkennen, dann ist Ihr Datenträger verschlüsselt:

Wie bereits erwähnt, sollte der Wiederherstellungsschlüssel in Ihrem Microsoft-Account hinterlegt sein. Haben Sie die Angaben für dieses Microsoft-Konto jedoch verloren, kann es problematisch werden, Zugriff auf diesen elementaren Schlüssel zu erlangen.

Es empfiehlt sich daher unbedingt, diesen Wiederherstellungsschüssel auszudrucken und sicher aufzubewahren.

Wiederherstellungsschlüssel drucken

Folgende Angaben zeigen das Vorgehen an einem englischen Windows (mit deutschen Befehlshinweisen jeweils in Klammern).

Rechtsklicken Sie auf dem Startmenü und wählen Sie dann, mit der linken Maustaste, Run (Ausführen).

Nun wird der Ausführen-Dialog angezeigt. Geben Sie dort den Begriff control ein und bestätigen mit OK.

Der obige Befehl startet die „alte“ Systemsteuerung. Manchmal sind nicht alle Optionen sichtbar. Klicken auf der rechten Seite auf Small Icons (Kleine Symbole):

Danach klicken Sie in der oben dargestellten Systemsteuerung auf Device encryption (BitLocker-Laufwerkverschlüsselung).

Es ist gut am Schlösschen mit Schlüssel zu erkennen:

Nun auf Back up your recovery key (Wiederherstellungsschlüssel sichern) klicken:

Der Schlüssel kann über Print the recovery key (Wiederherstellungsschlüssel drucken) gedruckt werden:

Bewahren Sie diesen Ausdruck an einem sicheren Ort auf!

Der Schlüssel kann auch über Save to a file (In Datei Speichern) als Textdatei auf einem externen Datenträger wie einem USB-Stick gespeichert werden.

Versuchen Sie den Schlüssel auf dem verschlüsselten Datenträger zu speichern, wird dies Windows nicht zulassen. Würde auch keinen Sinn machen.

Windows à jour halten

Optimierungs-Tools in Virenprogrammen oder sogenannten Tuning-Programmen versprechen ein schnelleres und stets aktualisiertes Windows-System.

Solche Programme machten in alten Windows-Systemen Sinn, aber bei Windows ab der Version 10 hat das Betriebssystem bereits alles an Board dafür.

Ausserdem können Tools, welche die Registry (zentrale hierarchische Konfigurationsdatenbank des Betriebssystems) „bereinigen“ für Probleme sorgen. Ich hatte kürzlich ein solches Tool nach einem komplett neu installierten Computer mit Windows 11 getestet. Äusserst erstaunlich, dass das Programm auf dem frisch aufgesetzten Gerät bereits Registry-Einträge löschen wollte. Nicht mehr benötigte Registry-Einträge können auf einem seit längerem benutzen System vorliegen. Dies ist zum Beispiel dann der Fall, wenn ein Programm deinstalliert wurde, aber dessen Einträge in der Registry stehen blieben.

Besonders problematisch sind zusätzliche Programme für Treiber-Updates. Auch diese Funktion ist heute in Windows zuverlässig integriert und berücksichtigt auch BIOS-Updates. Hier konnte ich sogar feststellen, dass die Anbieter wie HP oder Lenovo auf deren Webseiten häufig veraltete Treiber- oder BIOS-Updates anbieten während im Windows-Update bereits aktuellere Versionen installiert werden können.

Sehen Sie im Folgenden, wo Sie in Windows 11 die entsprechenden Einstellungen finden:

Windows-Updates

Gehen Sie in die Windows-Einstellungen, dann Windows Update:

Durch klicken auf Nach Updates suchen wird nach Aktualisierungen gesucht. Dies macht Windows jedoch automatisch und muss nicht selber ausgeführt werden.

Treiber-Updates

Diese finden Sie unter Windows Update > Erweiterte Optionen.

Unter Weitere Optionen sehen Sie den Menüpunkt Optionale Updates.

Das Beispiel oben zeigt ein Treiberupate für die Maus. Wenn also die Maus seltsame Angewohnheiten zeigt, könnte das Updates diese beheben.

Die Option „Synaptics – Mouseauswählen und Herunterladen und installieren wählen.

Wichtig bei BIOS-Updates: Bei diesen Updates (können auch mit dem Begriff „Firmware“ angezeigt werden), muss ein akkubetriebenes Gerät wie ein Notebook an einer externen Stromquelle angeschlossen sein.

Meist wird ein BIOS-Update erst bei einem Neustart installiert. Sie erkennen es zum Beispiel nach dem Neustart des Computers an folgendem Bild. Hier wird ein neues BIOS auf einem HP-Computer installiert:

Während einem solchen Vorgang darf das Gerät auf keinen Fall ausgeschaltet oder gar „abgewürgt“ werden. Dies kann zu einem unbrauchbaren System führen.

Windows 10 „Anniversary Update“

Microsoft hatte im August damit begonnen, das „Anniversary Update“ mit der Systemversion 1607 auf die Windows-Geräte zu verteilen. Wichtig zu wissen, dass der ganze Prozess mit einem nicht zu unterschätzenden Zeitaufwand einher geht. Eine Stunde kann da schnell verstreichen – und das bei schneller Hardware!

Grund dafür ist, dass Windows praktisch neu installiert wird. So verbleibt nach der Aktualisierung ein Ordner „Windows.old“ zurück, wie man es von den Aktualisierungen von Windows 7 oder Windows 8 auf die Version 10 kennt. Dabei werden vorübergehend ca. 10 GB an Festplattenkapazität benötigt, die dann aber wieder frei gegeben werden können.

Neuerungen in Version 1607 – eine Auswahl

  • Technische Verbesserungen und Schliessen von Sicherheitslücken
  • Optimierung der neuen Oberfläche
    • Übersichtlichere Gestaltung der Einstellungen
    • Verbessertes Menü, schnellerer Zugriff auf alle Anwendungen oder Einstellungen
    • Allgemein optischer Feinschliff in den Menüs.
    • Verbessertes Benachrichtigungscenter
  • Der Edge-Browser kann mit Erweiterungen ergänzt werden und unterstützt nun auch Wischfunktionen.
  • Implemtierung einer Zeichenblock-Funktion (Windows Ink Arbeitsbereich). Damit können bei Geräten mit berührungsempfindlichen Bildschirmen Handnotizen erstellt werden, oder man ergänzt einen Screenshot mit handschriftlichen Hinweisen.
  • Cortana, die lauschende und sprechende Assistentin, kann noch mehr und ist noch tiefer in das Betriebssystem integriert.
  • Geräteübergeifende Informationen austauschen. Auf dem Computer SMS lesen, die auf einem Smartphone eingehen. Diese, sowie Cortana verlangen, dass Sie sich mit einem Microsoft-Konto an den Systemen anmelden.
  • Zusätzliche Stromsparoptionen verlängern die Batterielaufzeiten.

Updateverfahren

Manuell

Die Aktualisierung kommt über die Windows-Updates auf Ihr Gerät.
Aber bevor man sich auf das Abenteuer einlässt:

  • Genügend Zeit einplanen
  • Datensicherung erstellen
  • Wenn etwas schief geht, kann wieder zur vorherigen Version zurück gewechselt werden. Allerdings ist dies jedoch nicht garantiert.
  • Mit Vorteil eine komplette Sicherung (Systemabbild) der Festplatte mit der Windows-Sicherung oder einer Software wie Acronis vornehmen. Damit ist man definitiv auf der sicheren Seite.

Automatisch

Das Anniversary-Update wird als „Funktionsupdate“ aufgeführt:

w10funktionsupdate

Danach wird der erste Neustart gefordert.

Nun wird die neue Version 1607 installiert. Die umfangreiche Aktualisierung (praktisch eine Neuinstallation) erfordert mehrere Neustarts.

Mehrere Neustarts sind nötig. Update nicht unterbrechen.
Mehrere Neustarts sind nötig. Update nicht unterbrechen.

Nach ungefähr 1 bis 1 ½ Stunden ist es geschafft. Bei Geräten mit konventionellem Harddisk muss mehr Zeit eingerechnet werden.

Was tun, wenn es schief geht

Wie erwähnt, sollte man zuvor ein Systemabbild erstellen. Dieses kann nun bei Problemen wieder zurückgespielt werden. Dazu gemäss dem entsprechenden Programm (Windows-Restore, Acronis usw.) vorgehen.

Ausserdem kann während 10 Tagen das Update über die Windows-Einstellungen und Update und Sicherheit wieder entfernt werden und man kehrt zur vorherigen Version zurück.

Folgender Screenshot zeigt, dass die Frist bereits um ist. In einem solchen Fall hilft nur, wenn man ein selber angelegtes Systemabbild zurückspielen kann.

Zu finden in den Einstellungen, Update und Sicherheit
Zu finden in den Einstellungen, Update und Sicherheit

Erfahrungen mit dem neuen Windows 10 Version 1607 lesen Sie im Beitrag Sony Vaio Duo 13 und Windows 10.