Zum Inhalt springen
sw
en

Tippe um zu suchen

IT-Security (Business)

BitLocker – Festplattenverschlüsselung

BitLocker schützt Laptops und PCs vor Datenverlust bei Diebstahl. Aktivierung, TPM, Recovery Key, Intune-Verwaltung und Troubleshooting im KMU-Alltag.

8 Min Lesezeit Fortgeschritten Zuletzt aktualisiert:

Was ist BitLocker und warum brauchst du es?

BitLocker ist Microsofts integrierte Vollverschlüsselung für Windows-Laufwerke. Wenn ein Laptop gestohlen wird oder eine Festplatte aus einem Gerät ausgebaut wird, sieht der Angreifer ohne den richtigen Schlüssel nur unlesbare Datenmasse – kein Dateizugriff, keine Passwörter, keine Kundendaten.

Gerade im KMU-Alltag ist das hochrelevant: Ein vergessener Laptop im Zug, ein aufgebrochenes Auto, ein Einbruch ins Büro – ohne Verschlüsselung sind alle Daten offen wie ein Buch. Mit BitLocker ist der physische Zugriff auf das Laufwerk wertlos.

Was BitLocker schützt:

  • Gestohlene oder verlorene Laptops
  • Ausgebaute Festplatten (z.B. bei Reparatur oder Entsorgung)
  • Unbefugter Zugriff über Live-USB-Systeme (z.B. Kali Linux)

Was BitLocker nicht schützt:

  • Angriffe, während das System läuft und der User angemeldet ist
  • Kompromittierte Benutzerkonten (Passwörter, Phishing)
  • Malware, die nach dem Login ausgeführt wird

Voraussetzungen und Windows-Editionen

BitLocker ist nicht in jeder Windows-Edition enthalten:

Windows EditionBitLocker verfügbar
Windows 11 HomeNur „Geräteverschlüsselung” (eingeschränkt)
Windows 11 ProJa, vollständig
Windows 11 EnterpriseJa, vollständig
Windows 11 EducationJa, vollständig

Hardware-Voraussetzungen:

KomponenteAnforderung
TPMVersion 2.0 empfohlen (1.2 wird noch unterstützt)
BIOS/UEFIUEFI mit Secure Boot empfohlen; Legacy/CSM deaktivieren
FestplatteMindestens 2 Partitionen (System + OS) – Windows erstellt diese automatisch

TPM prüfen:

# TPM-Status und Version prüfen
Get-Tpm

# Oder über das TPM-Verwaltungssnap-in
tpm.msc

Wenn TpmPresent: True und TpmReady: True erscheint, ist alles bereit. Fehlt das TPM oder ist es deaktiviert, muss zuerst im BIOS/UEFI nachgeschaut werden (oft unter „Security” oder „Advanced”).

BitLocker aktivieren

Über die GUI (für einzelne Geräte)

  1. Win+S → „BitLocker” tippen → „BitLocker-Laufwerkverschlüsselung verwalten” öffnen
  2. Beim gewünschten Laufwerk auf „BitLocker aktivieren” klicken
  3. Wiederherstellungsschlüssel sichern (Optionen: Microsoft-Konto, AD/Entra ID, Datei, Ausdruck)
  4. Verschlüsselungsumfang wählen: „Nur verwendeten Speicherplatz” (schneller, für neue Geräte) oder „Gesamtes Laufwerk” (sicherer, für bestehende Geräte mit alten Daten)
  5. Verschlüsselungsmodus: „Neuer Verschlüsselungsmodus” (XTS-AES, für Festeinbau-Laufwerke)
  6. BitLocker-Systemprüfung ausführen lassen → Neustart

Per PowerShell (empfohlen für Deployment/Automatisierung)

# Laufwerk C: mit TPM und XTS-AES 256 Bit verschlüsseln
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -TpmProtector

# Mit TPM + PIN (empfohlen für höhere Sicherheit)
$SecurePin = ConvertTo-SecureString "1234" -AsPlainText -Force
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -TpmAndPinProtector -Pin $SecurePin

# Datenlaufwerk (D:) mit Passwort verschlüsseln
$SecurePw = ConvertTo-SecureString "MeinPasswort123!" -AsPlainText -Force
Enable-BitLocker -MountPoint "D:" -EncryptionMethod XtsAes256 -PasswordProtector -Password $SecurePw

# Fortschritt überwachen
Get-BitLockerVolume | Select MountPoint, VolumeStatus, EncryptionPercentage

Per manage-bde (Kommandozeile, klassisch)

REM Status aller Laufwerke anzeigen
manage-bde -status

REM C: mit TPM aktivieren
manage-bde -on C: -TpmOnly

REM C: mit TPM + PIN aktivieren
manage-bde -on C: -TpmAndPin

REM Verschlüsselungsfortschritt prüfen
manage-bde -status C:

REM Recovery Key in Datei exportieren
manage-bde -protectors -get C:

Der Recovery Key – das Wichtigste überhaupt

Bei jeder BitLocker-Aktivierung wird ein 48-stelliger numerischer Wiederherstellungsschlüssel generiert. Dieser ist der einzige Weg, das Laufwerk zu entsperren, wenn:

  • Das TPM einen Integritätsfehler meldet (z.B. nach BIOS-Update, RAM-Tausch, Motherboard-Wechsel)
  • Die PIN vergessen wurde
  • Das Gerät in einer anderen Maschine geöffnet werden muss
  • Windows-Updates das TPM-Profil ändern

Recovery Key sichern – Optionen:

OptionEmpfehlung
Active Directory (On-Premise)Für AD-joined Geräte in klassischen KMU-Umgebungen
Microsoft Entra IDFür Entra-joined / Hybrid-joined Geräte – bevorzugt
Microsoft-KontoFür private/nicht domänierte Geräte
Datei auf USB/NetzlaufwerkAls Backup, nie auf demselben Laufwerk
AusdruckenPhysische Kopie im Tresor
# Recovery Key in Entra ID / Azure AD sichern (für Entra-joined Geräte)
$KeyId = (Get-BitLockerVolume -MountPoint "C:").KeyProtector |
    Where-Object { $_.KeyProtectorType -eq "RecoveryPassword" } |
    Select-Object -ExpandProperty KeyProtectorId

BackupToAAD-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $KeyId

# Recovery Key in On-Premise AD sichern
Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $KeyId

# Alle Protectors und Recovery Keys anzeigen
Get-BitLockerVolume -MountPoint "C:" | Select-Object -ExpandProperty KeyProtector

Recovery Key in Entra ID abrufen: Entra ID-Portal > Geräte > [Gerät auswählen] > BitLocker-Schlüssel

Recovery Key aus On-Premise AD abrufen: Active Directory-Benutzer und -Computer > Gerät-Objekt > BitLocker Recovery
(Tab erscheint nur, wenn AD-Schema für BitLocker erweitert wurde – Standard seit Windows Server 2008 R2)

Verschlüsselung prüfen und verwalten

# Überblick über alle Laufwerke
Get-BitLockerVolume

# Detailstatus eines Laufwerks
Get-BitLockerVolume -MountPoint "C:" | Format-List *

# BitLocker vorübergehend deaktivieren (z.B. für BIOS-Update)
Suspend-BitLocker -MountPoint "C:" -RebootCount 1

# BitLocker wieder fortsetzen
Resume-BitLocker -MountPoint "C:"

# BitLocker komplett deaktivieren und entschlüsseln
Disable-BitLocker -MountPoint "C:"

Status-Werte verstehen:

VolumeStatusBedeutung
FullyEncryptedAlles gut, Laufwerk ist verschlüsselt
EncryptionInProgressLäuft gerade, normaler Betrieb weiter möglich
FullyDecryptedNicht verschlüsselt
DecryptionInProgressWird gerade entschlüsselt
LockedEncryptedVerschlüsselt, aber gesperrt (kein Zugriff ohne Key)

ProtectionStatus prüfen:

ProtectionStatusBedeutung
OnAktiv, Schutz aktiv
OffSuspendiert (z.B. nach Suspend-BitLocker)
UnknownProblem – Protector prüfen

Zentrale Verwaltung mit Intune

Für Umgebungen mit mehr als 5 Geräten willst du BitLocker zentral verwalten, nicht manuell auf jedem Gerät konfigurieren. Intune ist der moderne Weg.

BitLocker-Richtlinie in Intune einrichten:

  1. Intune Admin Center öffnen: intune.microsoft.com
  2. Endpunktsicherheit > Datenträgerverschlüsselung > Richtlinie erstellen
  3. Plattform: Windows 10 und höher; Profil: BitLocker
  4. Wichtige Einstellungen:
EinstellungEmpfohlener Wert
LaufwerkverschlüsselungErforderlich
Verschlüsselungsmethode OS-LaufwerkXTS-AES 256-Bit
StartauthentifizierungTPM + PIN
Recovery KeysIn Azure AD sichern – obligatorisch
WechselmedienAES-CBC 256-Bit
  1. Richtlinie einer Gerätegruppe zuweisen

Recovery Keys in Intune abrufen: Intune Admin Center > Geräte > [Gerät] > Überwachen > Wiederherstellungsschlüssel > Wiederherstellungsschlüssel anzeigen

Datenlaufwerke und USB-Sticks (BitLocker To Go)

BitLocker gilt nicht nur für die Systempartition. Externe Laufwerke und USB-Sticks lassen sich mit BitLocker To Go verschlüsseln – sinnvoll, wenn Mitarbeitende Daten auf externen Medien transportieren.

# USB-Stick (Laufwerk E:) mit Passwort verschlüsseln
$SecurePw = ConvertTo-SecureString "MeinPasswort!" -AsPlainText -Force
Enable-BitLocker -MountPoint "E:" -EncryptionMethod AesCbc256 -PasswordProtector -Password $SecurePw

# Status des USB-Sticks
Get-BitLockerVolume -MountPoint "E:"

Über Gruppenrichtlinien (oder Intune) lässt sich erzwingen, dass nur verschlüsselte Wechselmedien beschrieben werden können – ein sinnvolles Sicherheitsnetz im KMU.

Troubleshooting – häufige Probleme

BitLocker fordert bei jedem Start den Recovery Key

Das passiert, wenn das TPM die Systemintegrität nicht bestätigen kann. Typische Auslöser:

  • BIOS/UEFI-Update durchgeführt
  • RAM-Modul gewechselt oder neu gesteckt
  • Secure Boot-Einstellung geändert
  • Boot-Reihenfolge verändert
  • Defektes TPM

Lösung: Recovery Key eingeben, dann TPM zurücksetzen und BitLocker-Protector neu erstellen:

# Aktuelle Protectors anzeigen
Get-BitLockerVolume -MountPoint "C:" | Select -ExpandProperty KeyProtector

# TPM-Protector entfernen und neu hinzufügen
$Vol = Get-BitLockerVolume -MountPoint "C:"
$TpmProtectorId = ($Vol.KeyProtector | Where-Object { $_.KeyProtectorType -eq "Tpm" }).KeyProtectorId
Remove-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $TpmProtectorId

# Neuen TPM-Protector hinzufügen
Add-BitLockerKeyProtector -MountPoint "C:" -TpmProtector

BitLocker lässt sich nicht aktivieren: „TPM nicht gefunden”

# TPM-Dienst prüfen
Get-Service -Name TPM

# TPM im BIOS aktivieren: Gerät neustarten, BIOS öffnen
# Suche nach: Security > TPM, fTPM, Trusted Platform Module
# Einstellung: Enabled

Verschlüsselung hängt bei einem Prozentsatz fest

# Status prüfen
manage-bde -status C:

# Prüfen ob Fehler vorliegen
manage-bde -protectors -get C:

# Neustart erzwingen und neu prüfen – meist löst das das Problem

Laufwerk gesperrt: Kein Zugriff mehr

REM Laufwerk mit Recovery Key entsperren
manage-bde -unlock D: -RecoveryPassword 123456-789012-345678-901234-567890-123456-789012-345678

REM Oder mit Recovery Key-Datei
manage-bde -unlock D: -RecoveryKey "C:\Backup\RecoveryKey.bek"

BitLocker und die DSGVO

In der Schweiz und EU sind Unternehmen unter der DSGVO verpflichtet, personenbezogene Daten zu schützen. BitLocker ist eine anerkannte technische Massnahme im Sinne von Art. 32 DSGVO. Bei Gerätediebstahl kann ein Unternehmen nachweisen, dass die Daten durch Verschlüsselung geschützt waren – das kann eine Meldepflicht an die Datenschutzbehörde entfallen lassen oder stark abschwächen.

Empfehlung für KMU: Aktiviere BitLocker auf allen Laptops und mobilen Geräten als Mindestmassnahme. Dokumentiere die Aktivierung pro Gerät im Inventar.

Weiterlernen


Verwandte Seiten: IT-Security Grundlagen KMU · Intune Grundlagen · Entra ID Grundlagen · Passwort-Management · IT-Dokumentation & Inventar

Videos

YouTube
Mehr Sicherheit mit Verschlüsselung: BitLocker in Windows mit TPM aktivieren
YouTube
Bitlocker – Verschlüsseln & Entschlüsseln

Kommentare

Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.

  • Lade Kommentare …
Kommentar schreiben