Bitlocker Verschlüsselung (Quelle: Craiyon.com)

Geräteverschlüsselung als Bitlocker-Lite

von

Für mich ist seit Windows 8 klar, dass Windows in der Home-Edition nur mit Tricks mit Bitlocker umgehen kann. Also vor allem bei der Verschlüsselung, denn die Entschlüsselung war nie ein Problem. Im Blog von Günter Born über einen Beitrag zum Thema Bitlocker in Windows 10/11 wurde mein Weltbild diesbezüglich zerstört.

Ungläubig probierte ich es auf dem PC meines Schwiegervaters aus (er ist der einzige in meinem Bekanntenkreis, der sich in den letzten Jahren einen neuen PC gekauft hat). Und tatsächlich, sein HP PC ist betroffen und verschlüsselt.

Das Problem

Es ist so, dass der PC von Haus aus mit Bitlocker verschlüsselt ist und das Betriebssystem in der Home-Edition die Bitlocker-Verwaltungskonsole gar nicht mitbringt. Das hätte ich im Explorer sehen können, habe ich aber nicht.

Um den Wiederherstellungsschlüssel zu sichern, habe ich auch nur nach dem Begriff Bitlocker gesucht und bin nicht fündig geworden. Also griff ich zu manage-bde. Diese Kommandozeilen-Bedienung von Bitlocker funktioniert zuverlässig und hat mir in der Vergangenheit gute Dienste geleistet. Für Administratoren von Firmennetzwerken, die die Verwendung der Bitlocker-Verwaltungskonsole unterbinden, sei gesagt, dass manage-bde oft trotzdem funktioniert.

Als Administrator lässt sich im Terminal mit

manage-bde -protectors -get C: > C:\BitKey.txt

einfach der vorhandene Wiederherstellungsschlüssel sichern und schon ist es kein Problem mehr.

Hintergründe

Kurz darauf habe ich die Folge 46.8 „Daten sicher verschlüsseln“ des c’t uplink Podcast  gehört (mit reichlich Verspätung nach der Veröffentlichung). Diese behandelt das Thema ebenfalls und diskutiert Details und Begründungen für das Vorgehen von Microsoft.

Wichtig ist mir:

  • Die Verschlüsselung wird erst durchgeführt, wenn der Wiederherstellungsschlüssel in das Microsoft-Konto gesichert wurde.
  • Der Wiederherstellungsschlüssel ist unter https://account.microsoft.com/devices/recoverykey einsehbar.
  • Es gibt mit der Geräteverschlüsselung zumindest eine Option auch in den Einstellungen an den Wiederherstellungsschlüssel zu kommen.

Die Geräteverschlüsselung der Home-Edition ist natürlich sehr eingeschränkt:

In der Pro-Edition ist es alles etwas offensichtlicher:

Meinung

Dennoch halte ich die Vorgehensweise für problematisch. Ein expliziter Hinweis ist wohl nicht vorgesehen, um die Benutzer nicht zu verunsichern. Wenn aber etwas schief geht (Murphy und so) und Windows den Wiederherstellungsschlüssel haben will, fangen die Probleme erst an. Ich kenne einige PC-Benutzer, bei denen das zu einem Totalverlust führen würde, weil sie ihr Microsoft-Passwort/Account nicht kennen, da sie sich seit Jahren nur mit der PIN am PC anmelden. Und wenn dann alle Daten (z. B. Passwortmanager) nur auf dem PC oder gar in OneDrive waren, wird es schwierig. Ein Backup wäre hilfreich, hat sich aber im Allgemeinen noch nicht durchgesetzt.

Da es nur neuere OEM-PCs betrifft und der durchschnittliche PC in meinem Administrationsbereich älter als zehn Jahre ist, muss ich nicht viel tätig werden. Ob es bei älteren Geräten auch möglich wäre die Geräteverschlüsselung manuell zu starten, muss ich noch herausfinden. Mit dem Support-Ende von Windows 10 wird sich das vermutlich ändern.

Außerdem wundert es mich, dass trotz der Behauptung, es sei für die Sicherheit des Nutzers, nur eine eingeschränkte Geräteverschlüsselung zur Verfügung steht. Mit einem vollwertigen Bitlocker könnten Nutzer ja auch Wechseldatenträger etc. verschlüsseln und wären noch sicherer.

PIN

Außerdem bin ich ein großer Freund der PIN-Eingabe vor dem Windows-Start. Auch in der Pro-Edition kann man das nicht ohne gpedit.msc oder manage-bde einrichten. In der Home-Edition habe ich es ehrlich gesagt noch nicht ausprobiert, aber es wäre interessant, ob in der Geräteverschlüsselung  eine PIN hinzugefügt werden kann.

Und dann gibt es noch die Geräte, die keine Pre-Boot-Tastatur haben (einige Surface-Geräte) und daher eine umständlichere Lösung zur Erzwingung einer PIN benötigen.

Zusammenfassung

Grundsätzlich mag ich Bitlocker und finde es gut, dass es nun auch auf (OEM-)Geräten mit der Home-Edition von Windows möglich ist. Aber diese stille Einführung durch die Hintertür mag zwar gut sein, um die Nutzer nicht zu überfordern, ist aber auch eine Fehlerquelle.

Auf jeden Fall habe ich nun einen weiteren Punkt auf der Liste, auf den ich bei der Einrichtung von Fremd-PCs achten werde.