BitLocker – Festplattenverschlüsselung
BitLocker schützt Laptops und PCs vor Datenverlust bei Diebstahl. Aktivierung, TPM, Recovery Key, Intune-Verwaltung und Troubleshooting im KMU-Alltag.
Was ist BitLocker und warum brauchst du es?
BitLocker ist Microsofts integrierte Vollverschlüsselung für Windows-Laufwerke. Wenn ein Laptop gestohlen wird oder eine Festplatte aus einem Gerät ausgebaut wird, sieht der Angreifer ohne den richtigen Schlüssel nur unlesbare Datenmasse – kein Dateizugriff, keine Passwörter, keine Kundendaten.
Gerade im KMU-Alltag ist das hochrelevant: Ein vergessener Laptop im Zug, ein aufgebrochenes Auto, ein Einbruch ins Büro – ohne Verschlüsselung sind alle Daten offen wie ein Buch. Mit BitLocker ist der physische Zugriff auf das Laufwerk wertlos.
Was BitLocker schützt:
- Gestohlene oder verlorene Laptops
- Ausgebaute Festplatten (z.B. bei Reparatur oder Entsorgung)
- Unbefugter Zugriff über Live-USB-Systeme (z.B. Kali Linux)
Was BitLocker nicht schützt:
- Angriffe, während das System läuft und der User angemeldet ist
- Kompromittierte Benutzerkonten (Passwörter, Phishing)
- Malware, die nach dem Login ausgeführt wird
Voraussetzungen und Windows-Editionen
BitLocker ist nicht in jeder Windows-Edition enthalten:
| Windows Edition | BitLocker verfügbar |
|---|---|
| Windows 11 Home | Nur „Geräteverschlüsselung” (eingeschränkt) |
| Windows 11 Pro | Ja, vollständig |
| Windows 11 Enterprise | Ja, vollständig |
| Windows 11 Education | Ja, vollständig |
Hardware-Voraussetzungen:
| Komponente | Anforderung |
|---|---|
| TPM | Version 2.0 empfohlen (1.2 wird noch unterstützt) |
| BIOS/UEFI | UEFI mit Secure Boot empfohlen; Legacy/CSM deaktivieren |
| Festplatte | Mindestens 2 Partitionen (System + OS) – Windows erstellt diese automatisch |
TPM prüfen:
# TPM-Status und Version prüfen
Get-Tpm
# Oder über das TPM-Verwaltungssnap-in
tpm.msc
Wenn TpmPresent: True und TpmReady: True erscheint, ist alles bereit. Fehlt das TPM oder ist es deaktiviert, muss zuerst im BIOS/UEFI nachgeschaut werden (oft unter „Security” oder „Advanced”).
BitLocker aktivieren
Über die GUI (für einzelne Geräte)
- Win+S → „BitLocker” tippen → „BitLocker-Laufwerkverschlüsselung verwalten” öffnen
- Beim gewünschten Laufwerk auf „BitLocker aktivieren” klicken
- Wiederherstellungsschlüssel sichern (Optionen: Microsoft-Konto, AD/Entra ID, Datei, Ausdruck)
- Verschlüsselungsumfang wählen: „Nur verwendeten Speicherplatz” (schneller, für neue Geräte) oder „Gesamtes Laufwerk” (sicherer, für bestehende Geräte mit alten Daten)
- Verschlüsselungsmodus: „Neuer Verschlüsselungsmodus” (XTS-AES, für Festeinbau-Laufwerke)
- BitLocker-Systemprüfung ausführen lassen → Neustart
Per PowerShell (empfohlen für Deployment/Automatisierung)
# Laufwerk C: mit TPM und XTS-AES 256 Bit verschlüsseln
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -TpmProtector
# Mit TPM + PIN (empfohlen für höhere Sicherheit)
$SecurePin = ConvertTo-SecureString "1234" -AsPlainText -Force
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -TpmAndPinProtector -Pin $SecurePin
# Datenlaufwerk (D:) mit Passwort verschlüsseln
$SecurePw = ConvertTo-SecureString "MeinPasswort123!" -AsPlainText -Force
Enable-BitLocker -MountPoint "D:" -EncryptionMethod XtsAes256 -PasswordProtector -Password $SecurePw
# Fortschritt überwachen
Get-BitLockerVolume | Select MountPoint, VolumeStatus, EncryptionPercentage
Per manage-bde (Kommandozeile, klassisch)
REM Status aller Laufwerke anzeigen
manage-bde -status
REM C: mit TPM aktivieren
manage-bde -on C: -TpmOnly
REM C: mit TPM + PIN aktivieren
manage-bde -on C: -TpmAndPin
REM Verschlüsselungsfortschritt prüfen
manage-bde -status C:
REM Recovery Key in Datei exportieren
manage-bde -protectors -get C:
Der Recovery Key – das Wichtigste überhaupt
Bei jeder BitLocker-Aktivierung wird ein 48-stelliger numerischer Wiederherstellungsschlüssel generiert. Dieser ist der einzige Weg, das Laufwerk zu entsperren, wenn:
- Das TPM einen Integritätsfehler meldet (z.B. nach BIOS-Update, RAM-Tausch, Motherboard-Wechsel)
- Die PIN vergessen wurde
- Das Gerät in einer anderen Maschine geöffnet werden muss
- Windows-Updates das TPM-Profil ändern
Recovery Key sichern – Optionen:
| Option | Empfehlung |
|---|---|
| Active Directory (On-Premise) | Für AD-joined Geräte in klassischen KMU-Umgebungen |
| Microsoft Entra ID | Für Entra-joined / Hybrid-joined Geräte – bevorzugt |
| Microsoft-Konto | Für private/nicht domänierte Geräte |
| Datei auf USB/Netzlaufwerk | Als Backup, nie auf demselben Laufwerk |
| Ausdrucken | Physische Kopie im Tresor |
# Recovery Key in Entra ID / Azure AD sichern (für Entra-joined Geräte)
$KeyId = (Get-BitLockerVolume -MountPoint "C:").KeyProtector |
Where-Object { $_.KeyProtectorType -eq "RecoveryPassword" } |
Select-Object -ExpandProperty KeyProtectorId
BackupToAAD-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $KeyId
# Recovery Key in On-Premise AD sichern
Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $KeyId
# Alle Protectors und Recovery Keys anzeigen
Get-BitLockerVolume -MountPoint "C:" | Select-Object -ExpandProperty KeyProtector
Recovery Key in Entra ID abrufen:
Entra ID-Portal > Geräte > [Gerät auswählen] > BitLocker-Schlüssel
Recovery Key aus On-Premise AD abrufen:
Active Directory-Benutzer und -Computer > Gerät-Objekt > BitLocker Recovery
(Tab erscheint nur, wenn AD-Schema für BitLocker erweitert wurde – Standard seit Windows Server 2008 R2)
Verschlüsselung prüfen und verwalten
# Überblick über alle Laufwerke
Get-BitLockerVolume
# Detailstatus eines Laufwerks
Get-BitLockerVolume -MountPoint "C:" | Format-List *
# BitLocker vorübergehend deaktivieren (z.B. für BIOS-Update)
Suspend-BitLocker -MountPoint "C:" -RebootCount 1
# BitLocker wieder fortsetzen
Resume-BitLocker -MountPoint "C:"
# BitLocker komplett deaktivieren und entschlüsseln
Disable-BitLocker -MountPoint "C:"
Status-Werte verstehen:
| VolumeStatus | Bedeutung |
|---|---|
FullyEncrypted | Alles gut, Laufwerk ist verschlüsselt |
EncryptionInProgress | Läuft gerade, normaler Betrieb weiter möglich |
FullyDecrypted | Nicht verschlüsselt |
DecryptionInProgress | Wird gerade entschlüsselt |
LockedEncrypted | Verschlüsselt, aber gesperrt (kein Zugriff ohne Key) |
ProtectionStatus prüfen:
| ProtectionStatus | Bedeutung |
|---|---|
On | Aktiv, Schutz aktiv |
Off | Suspendiert (z.B. nach Suspend-BitLocker) |
Unknown | Problem – Protector prüfen |
Zentrale Verwaltung mit Intune
Für Umgebungen mit mehr als 5 Geräten willst du BitLocker zentral verwalten, nicht manuell auf jedem Gerät konfigurieren. Intune ist der moderne Weg.
BitLocker-Richtlinie in Intune einrichten:
- Intune Admin Center öffnen:
intune.microsoft.com Endpunktsicherheit > Datenträgerverschlüsselung > Richtlinie erstellen- Plattform: Windows 10 und höher; Profil: BitLocker
- Wichtige Einstellungen:
| Einstellung | Empfohlener Wert |
|---|---|
| Laufwerkverschlüsselung | Erforderlich |
| Verschlüsselungsmethode OS-Laufwerk | XTS-AES 256-Bit |
| Startauthentifizierung | TPM + PIN |
| Recovery Keys | In Azure AD sichern – obligatorisch |
| Wechselmedien | AES-CBC 256-Bit |
- Richtlinie einer Gerätegruppe zuweisen
Recovery Keys in Intune abrufen:
Intune Admin Center > Geräte > [Gerät] > Überwachen > Wiederherstellungsschlüssel > Wiederherstellungsschlüssel anzeigen
Datenlaufwerke und USB-Sticks (BitLocker To Go)
BitLocker gilt nicht nur für die Systempartition. Externe Laufwerke und USB-Sticks lassen sich mit BitLocker To Go verschlüsseln – sinnvoll, wenn Mitarbeitende Daten auf externen Medien transportieren.
# USB-Stick (Laufwerk E:) mit Passwort verschlüsseln
$SecurePw = ConvertTo-SecureString "MeinPasswort!" -AsPlainText -Force
Enable-BitLocker -MountPoint "E:" -EncryptionMethod AesCbc256 -PasswordProtector -Password $SecurePw
# Status des USB-Sticks
Get-BitLockerVolume -MountPoint "E:"
Über Gruppenrichtlinien (oder Intune) lässt sich erzwingen, dass nur verschlüsselte Wechselmedien beschrieben werden können – ein sinnvolles Sicherheitsnetz im KMU.
Troubleshooting – häufige Probleme
BitLocker fordert bei jedem Start den Recovery Key
Das passiert, wenn das TPM die Systemintegrität nicht bestätigen kann. Typische Auslöser:
- BIOS/UEFI-Update durchgeführt
- RAM-Modul gewechselt oder neu gesteckt
- Secure Boot-Einstellung geändert
- Boot-Reihenfolge verändert
- Defektes TPM
Lösung: Recovery Key eingeben, dann TPM zurücksetzen und BitLocker-Protector neu erstellen:
# Aktuelle Protectors anzeigen
Get-BitLockerVolume -MountPoint "C:" | Select -ExpandProperty KeyProtector
# TPM-Protector entfernen und neu hinzufügen
$Vol = Get-BitLockerVolume -MountPoint "C:"
$TpmProtectorId = ($Vol.KeyProtector | Where-Object { $_.KeyProtectorType -eq "Tpm" }).KeyProtectorId
Remove-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $TpmProtectorId
# Neuen TPM-Protector hinzufügen
Add-BitLockerKeyProtector -MountPoint "C:" -TpmProtector
BitLocker lässt sich nicht aktivieren: „TPM nicht gefunden”
# TPM-Dienst prüfen
Get-Service -Name TPM
# TPM im BIOS aktivieren: Gerät neustarten, BIOS öffnen
# Suche nach: Security > TPM, fTPM, Trusted Platform Module
# Einstellung: Enabled
Verschlüsselung hängt bei einem Prozentsatz fest
# Status prüfen
manage-bde -status C:
# Prüfen ob Fehler vorliegen
manage-bde -protectors -get C:
# Neustart erzwingen und neu prüfen – meist löst das das Problem
Laufwerk gesperrt: Kein Zugriff mehr
REM Laufwerk mit Recovery Key entsperren
manage-bde -unlock D: -RecoveryPassword 123456-789012-345678-901234-567890-123456-789012-345678
REM Oder mit Recovery Key-Datei
manage-bde -unlock D: -RecoveryKey "C:\Backup\RecoveryKey.bek"
BitLocker und die DSGVO
In der Schweiz und EU sind Unternehmen unter der DSGVO verpflichtet, personenbezogene Daten zu schützen. BitLocker ist eine anerkannte technische Massnahme im Sinne von Art. 32 DSGVO. Bei Gerätediebstahl kann ein Unternehmen nachweisen, dass die Daten durch Verschlüsselung geschützt waren – das kann eine Meldepflicht an die Datenschutzbehörde entfallen lassen oder stark abschwächen.
Empfehlung für KMU: Aktiviere BitLocker auf allen Laptops und mobilen Geräten als Mindestmassnahme. Dokumentiere die Aktivierung pro Gerät im Inventar.
Weiterlernen
- BitLocker-Übersicht – Microsoft Learn (de)
- BitLocker Recovery Overview – Microsoft Learn
- BitLocker mit Intune konfigurieren – Microsoft Learn
- BitLocker Recovery Process – Microsoft Learn
- Troubleshooting BitLocker policies from the client side – Microsoft Learn
Verwandte Seiten: IT-Security Grundlagen KMU · Intune Grundlagen · Entra ID Grundlagen · Passwort-Management · IT-Dokumentation & Inventar
Videos
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …