In Microsoft Windows können Festplatten mit der im Betriebssystem integrierten Software „BitLocker“ verschlüsselt werden. Die Verschlüsselung wird seit dem kumulativen Update vom 24. September 2019 innerhalb von Windows nur noch softwareseitig durchgeführt, da hardwareseitige Verschlüsselung aufgrund von häufig auftretenden Schwachstellen ausgeschlossen wurde. *1

Bitte beachten Sie die den Unterschied zwischen Kennwort, PIN und erweiterter PIN.

• Kennwort: Von Kennwörtern wird gesprochen, wenn es sich um eine Authentifizierung des Users gegenüber des Systems ohne Nutzung von TPM handelt.
• PIN: Von PIN / Erweiterter PIN wird gesprochen, wenn es sich um eine Authentifizierung des Users gegenüber des Systems mit Nutzung von TPM handelt.

An der Jade Hochschule wird BitLocker ohne die Nutzung von TPM verwendet. Zurzeit wird BitLocker lediglich für Systeme ohne Anbindung an das Active-Directory angeboten - also vorrangig für mobile Geräte.

1. Sichern Ihrer persönlichen Daten bzw. des Systems!
2. Wird der Rechner von einer oder mehreren Personen genutzt?
   • Empfehlung bei Einzelnutzung: Entsperrung des Laufwerks durch ein Kennwort (s.u.)
   • Empfehlung bei Nutzung mit mehreren Personen: Entsperrung des Laufwerks mit einem USB-Speicherstick (s.u.)
3. Passwort für lokales Windows-Konto vergeben, falls noch nicht geschehen
4. Betriebssystem auf den neusten Stand aktualisieren (Windows-Update)
5. TPM-Status im BIOS/UEFI überprüfen - Bitte deaktivieren! Die Abbildungen dienen lediglich als Hilfestellung. Je nach Modell kann die Darstellung im BIOS/UEFI abweichen.
   • BIOS/UEFI aufrufen bei Dell: F2
   • BIOS/UEFI aufrufen bei HP: F10
   • BIOS/UEFI aufrufen bei Lenovo: F1, F2 oder ESC (Modellabhängig)
6. Lokale Gruppenrichtlinien für BitLocker anpassen (s.u.)
7. Kennwort/Pin für BitLocker ausdenken/erstellen
8. USB-Stick für Entschlüsselungs-Key bereithalten (nur sehr geringe Speicherkapazität erforderlich)
   • Für die Authentifikation mittels USB-Stick wird eine weiterer USB-Stick benötigt

Anpassung der lokalen Gruppenrichtlinien

Vorgehensweise:

1. Öffnen Sie die lokalen Gruppenrichtlinien mit Eingabe von gpedit.msc in der Windows Suchmaske. Expandieren Sie anschließend in den Ordner Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → BitLocker Laufwerksverschlüsselung. Anschließend klicken Sie auf Betriebssystemlaufwerke.

2. Unter Betriebssystemlaufwerke öffnen Sie mit einem Doppelklick „Zusätzliche Authentifizierung beim Start anfordern“.

3. Aktivieren Sie die Option und stellen Sie sicher, dass bei „BitLocker ohne kompatibles TPM zulassen (…)“ ein Häkchen gesetzt ist. Nun übernehmen Sie die Auswahl und bestätigen mit „OK“.

Öffnen Sie die BitLocker Verwaltung durch Eingabe von „BitLocker verwalten“ in die Windows Suchmaske. Aktivieren Sie BitLocker für das gewünschte Laufwerk in dem Sie auf „BitLocker aktivieren“ klicken.

Hinweis: Bitte beachten Sie, dass bei einer Verschlüsselung der Systemfestplatte ein vorher festgelegtes Kennwort während des Startvorgang des Rechners abgefragt wird. Falls eine Festplatte oder Partition verschlüsselt wird, die lediglich als Datenspeicher fungiert, so erfolgt hier keine Abfrage eines Kennworts.

Festlegen, wie das Laufwerk beim Start entsperrt werden soll

Wählen Sie hier

• USB-Speicherstick anschließen - bei Nutzung mit mehreren Personen
• Kennwort eingeben - bei Einzelnutzung

Kennwort zum Entsperren des Laufwerks erstellen

Das Passwort muss mindestens 8 Zeichen betragen. Bitte benutzen Sie auch Ziffern und Sonderzeichen! Bedingt durch den Versionsstand von Windows 10 können verschiedene Möglichkeiten angeboten werden, das Laufwerk zu entsperren. Seitens des Hochschulrechenzentrums wird lediglich die Nutzung eines Kennwortes angeboten. Das Kennwort kann entweder händisch eingegeben oder mittel USB-Stick übertragen werden.

Wie soll der Wiederherstellungsschlüssel gesichert werden

• Möglichkeit 1: Auf USB-Speicherstick speichern
  • Verwenden Sie diesen jedoch nur zur Sicherung des Wiederherstellungsschlüssels, nicht für andere Aufgaben
• Möglichkeit 2: In Datei speichern (Empfehlung des HRZ)
  • Speichern Sie die Wiederherstellungsdatei in einem Ort außerhalb Ihres PCs (z.B. Laufwerk Z:\)
• Möglichkeit 3: Wiederherstellungsschlüssel drucken
  • Ausdruck auf Papier

Der Wiederherstellungsschlüssel darf sich niemals auf dem verschlüsselten Gerät befinden. Je nach Version und Versionsstand von Windows 10 kann es vorkommen, dass angeboten wird den Wiederherstellungsschlüssel auf einem Microsoft-Konto zu speichern - wovon wir abraten. Grundsätzlich ist es empfehlenswert den Schlüssel auf einem Medium zu speichern, welches nicht jederzeit erreichbar ist.

Auswählen, wie viel Speicherplatz des Laufwerks verschlüsselt werden soll

Wählen Sie hier die Option „Gesamtes Laufwerk verschlüsseln“

Zu verwendenden Verschlüsselungsmodus auswählen

Wählen Sie hier die Option „Neuer Verschlüsselungsmodus“

Möchten Sie das Laufwerk jetzt verschlüsseln?

Aktivieren Sie die Option „BitLocker-Systemüberprüfung ausführen“ und folgen Sie den Anweisungen. Der Computer muss dann zur BitLocker-Laufwerksverschlüsselung neu gestartet werden.

1. Bitlocker auf entsprechenden Laufwerk aktivieren

2. Passwort eingeben und auf weiter klicken

3. Recovery-Key drucken und auf einem externen Datenträger speichern. Dieser Datenspeicher sollte ausschließlich zur Verwahrung des Recovery-Keys dienen. Beachten Sie bitte auch die Möglichkeit unserer Verwahrfunktion unter Laufwerk „x“ (Siehe Abschnitt: „Wie soll der Wiederherstellungschlüssel gespeichert werden“)

4. Bitte wählen Sie „gesamtes Laufwerk verschlüsseln“ aus.

5. Wählen Sie bitte den kompatiblen Modus aus.

6. Vorgang bestätigen. Abschließend ist Ihr externer Datenträger verschlüsselt

Um das Laufwerk zu entschlüsseln müssen Sie auf weitere Optionen klicken und anschließend „Wiederherstellungsschlüssel eingeben“ wählen.

Info: Falls Sie bereits vorher das Kennwort zum Entsperren des Laufwerks eingegeben haben oder das Laufwerk automatisch entsperrt wird, ist bei einer anschließenden Entschlüsselung die Eingabe des Wiederherstellungsschlüssels nicht notwendig und auch nicht möglich*.

BitLocker kann dementsprechend mit Eingabe des Kennwortes komplett deaktiviert werden, ohne dass eine zusätzliche Kennung/Identifizierung notwendig ist. Deaktivierung ist in diesem Fall mit Entschlüsselung gleich zu setzen.

*bezieht sich auf einen Benutzer mit Administratorrechten. Die Deaktivierung von BitLocker kann durch Beschränkung der Rechte eines Standardbenutzers unterbunden werden.

• Sie können die automatische Entsperrung eines Laufwerkes aktivieren oder deaktivieren. Hierfür rufen Sie mit Rechtklick auf das Laufwerk „BitLocker verwalten“ auf
• Entsperrung durch Doppelklick auf das Laufwerk und Eingabe des Kennworts (Falls es sich nicht um eine Systempartition handelt)
• Automatische Entsperrung des Laufwerks bei bestimmten Rechnern. Hierfür wird das Häkchen bei „Auf diesem PC automatisch entsperren“ gesetzt und durch Eingabe des Passworts bestätigt

Öffnen Sie mit Rechtsklick auf einem mit BitLocker geschütztem Laufwerk das Menü „BitLocker verwalten“. Hier kann der Systemstartschlüssel dupliziert werden. Alternativ lässt sich die Datei auch kopieren. Diese ist standardmäßig allerdings als Systemdatei markiert und daher ausgeblendet.

Nachdem in der Hardware-Verschlüsselung von Datenträgern immer wieder gravierende Sicherheitsprobleme aufgedeckt wurden, zieht Microsoft jetzt einen Schlussstrich: Mit den zum 24. September veröffentlichten kumulativen Updates ignoriert die Windows-eigene Festplattenverschlüsselung BitLocker solche Funktionen standardmäßig. Stattdessen wird BitLocker die Verschlüsselung per Default in Software vornehmen. Früher nutzte BitLocker bevorzugt vorhandene Verschlüsselungsfunktionen der Hardware und kümmerte sich nur, wenn das nicht möglich war, selbst um die Verschlüsselung. Die Änderung betrifft nur neu verschlüsselte Laufwerke; bereits verschlüsselte bleiben im bisherigen Zustand.“ (Heise-Gruppe, Jürgen Schmidt, 30.09.2019) *1

Abermals weisen Sicherheitsforscher bedenkliche Schwachstellen in zertifizierten Trusted Platform Modules (TPMs) nach. Der Angriff TPM-Fail kratzt am grundsätzlichen TPM-Konzept. Denn erstens soll ein solches TPM kryptografische Geheimnisse besonders sicher schützen, und zwar als zusätzliche Instanz unabhängig von Hauptprozessor und Betriebssystem. Zweitens durchlaufen derartige TPMs aufwendige Zertifizierungen in Speziallabors, die sie auf Schwachstellen abklopfen.“ (Heise-Gruppe, Christof Windeck, 14.11.2019) *3 Ergänzung des Autors: Microsoft verwendet laut eigenen Angaben jedoch den betroffenen ECDSA Algorithmus nicht, sodass aktuell BitLocker von keiner Schwachstelle seitens TPM betroffen ist. TPM ist standardmäßig bei unseren Pool- und Arbeitsplatzrechnern als auch bei den mobilen Endgeräten im BIOS/UEFI ausgeschaltet und daher auch nicht im Geräte-Manger sichtbar. *10

*1 https://www.heise.de/security/meldung/Windows-Sicherheit-Bitlocker-vermeidet-zukuenftig-Hardware-Verschluesselung-4543170.html

*10 https://docs.microsoft.com/de-de/windows/security/information-protection/tpm/trusted-platform-module-overview