Zum Inhalt springen

BitLocker to Go: Externe Datenträger verschlüsseln

Schlagwörter:
IT-Sicherheit

BitLocker to Go ermöglicht einen sicheren Datentransport auf externen Datenträgern bzw. Speichermedien.

Wie sicher ist BitLocker?

BitLocker gilt prinzipiell als sicher. Ein gutes Kennwort ist aber natürlich Pflicht.
Wenn dem Angreifer/Hacker ein Computer zur Verfügung steht, an dem das BitLocker-Laufwerk kürzlich entsperrt wurde, gibt es theoretisch ein paar Angriffspunkte. Mit dem BitLocker-Laufwerk allein, kommt man laut meiner Internet-Recherche (aktuell) nicht recht weit.
Der theoretische BitLocker-Generalschlüssel oder die ebenfalls theoretische, integrierte Hintertür/Backdoor, tauchen (aktuell) nicht in der Internetsuchmaschine auf.

Kein TPM notwendig

BitLocker to Go funktioniert auch auf Systemen ohne integrierten TPM-Chip.

Welche Laufwerke können mit BitLocker to Go verschlüsselt werden?

Es gibt keine besonderen Einschränkungen. Laut Microsoft werden folgende Laufwerke unterstützt:

  • USB-Flashlaufwerke
  • SD-Karten
  • Externe Festplattenlaufwerke
  • Andere Laufwerke, die mithilfe des NTFS-, FAT16-, FAT32- oder exFAT-Dateisystems formatiert werden.

Quelle: Microsoft.com

Windows Home Einschränkungen

Windows Home kann selbst keine BitLocker to Go geschützten Laufwerke erstellen. Laufwerke die auf anderen Windows Systemen mit Bitlocker to Go geschützt wurden, können aber auch auf Windows Home geöffnet bzw. verwendet werden.

Windows Server 2019

Das Windows Server Feature „BitLocker“ muss auf dem jeweiligen Server installiert sein. Ansonsten kann das BitLocker to Go geschützte Laufwerk nicht geöffnet werden. Der Server benötigt dafür keinen integrierten TPM-Chip.

Algorithmus und Verschlüsselungsstärke konfigurieren

Optional können Algorithmus und Verschlüsselungsstärke über „Gruppenrichtlinie bearbeiten“ bzw. gpedit.msc am lokalen Computer oder in der Windows Server Domäne konfiguriert werden:

Beispiel-Konfiguration:

Hilfe-Text zu dieser Richtlinieneinstellung:

Mit dieser Richtlinieneinstellung können Sie den von der BitLocker-Laufwerkverschlüsselung verwendeten Algorithmus und die Verschlüsselungsstärke konfigurieren. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet. Das Ändern der Verschlüsselungsmethode hat keine Auswirkung, wenn das Laufwerk bereits verschlüsselt ist oder die Verschlüsselung gerade stattfindet.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie einen Verschlüsselungsalgorithmus und eine Verschlüsselungsstärke für Schlüssel auswählen, die individuell für Festplatten-, Betriebssystem- und Wechsellaufwerke verwendet werden. Für Festplatten- und Betriebssystemlaufwerke empfehlen wir die Verwendung des XTS-AES-Algorithmus, und für Wechsellaufwerke sollten Sie AES-CBC 128-Bit oder AES-CBC 256-Bit verwenden, wenn das Laufwerk mit anderen Geräten ohne Windows 10 (Version 1511) eingesetzt wird.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker AES mit derselben Bitstärke (128-Bit oder 256-Bit) wie die Richtlinieneinstellungen „Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen (Windows Vista, Windows Server 2008, Windows 7)“ und „Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen“ (in dieser Reihenfolge), sofern sie festgelegt wurden. Falls keine der Richtlinien festgelegt wurde, verwendet BitLocker die Standardverschlüsselungsmethode „XTS-AES 128-Bit“ oder die im Setupskript festgelegte Verschlüsselungsmethode.

Laufwerk mit BitLocker to Go verschlüsseln

Rechtsklick auf das Laufwerk (z.B. USB-Stick, externe Festplatte, Speicherkarte…) → BitLocker aktivieren:

BitLocker aktivieren

Kennwort zum Entsperren des Laufwerks verwenden → Kennwörter eingeben → Weiter:

BitLocker: Methode zum Entsperren des Laufwerks auswählen

Wie soll der Wiederherstellungsschlüssel gesichert werden: In Datei speichern oder Wiederherstellungsschlüssel drucken → Weiter:

Wie soll der Wiederherstellungsschlüssel gesichert werden?

Nach „In Datei speichern“: Der Wiederherstellungsschlüssel wurde gespeichert/gedruckt → Weiter:

Der Wiederherstellungsschlüssel wurde gespeichert.

Auswählen, wie viel Speicherplatz des Laufwerks verschlüsselt werden soll: Nur verwendeten Speicherplatz verschlüsseln (bei leeren Laufwerken), Gesamtes Laufwerk verschlüsseln (für Laufwerke, die bereits Daten enthalten) → Weiter:

Auswählen, wie viel Speicherplatz des Laufwerks verschlüsselt werden soll

Zu verwendeten Verschlüsselungsmodus auswählen: Kompatibler Modus → Weiter:

Zu verwendenden Verschlüsselungsmodus auswählen

Möchten Sie das Laufwerk jetzt verschlüsseln → Verschlüsselung starten:

Möchten Sie das Laufwerk jetzt verschlüsseln?

Die Verschlüsselung von „U:“ ist abgeschlossen → Schließen:

Die Verschlüsselung ist abgeschlossen.

Das Laufwerkssymbol hat sich geändert, das Laufwerk ist aktuell entsperrt:

BitLocker to Go Laufwerk entsperrt

BitLocker to Go Laufwerk entsperren

Wenn das Laufwerk erneut am Computer angeschlossen wird, ist das Laufwerk zunächst gesperrt:

BitLocker to Go Laufwerk gesperrt

Beim Öffnen des Laufwerks erscheint die Kennworteingabe:

BitLocker to Go Laufwerk entsperren

Bei Bedarf gibt es unter Weitere Optionen → Wiederherstellungsschlüssel eingeben:

BitLocker to Go Laufwerk entsperren: Wiederherstellungsschlüssel

BitLocker to Go vom Laufwerk entfernen

BitLocker kann bei Bedarf wieder vom jeweiligen Laufwerk entfernt werden. Das Laufwerk wird dadurch wieder entschlüsselt.

Rechtsklick auf das USB-Laufwerk → BitLocker verwalten:

BitLocker verwalten

BitLocker deaktivieren:

Die Entschlüsselung von „U:“ ist abgeschlossen → Schließen:

Andere Beiträge:

  1. BitLocker-Laufwerksverschlüsselung aktivieren
  2. Windows Server 2019 HC-Cluster: Defekten Datenträger finden
  3. Rufus: Windows vom USB-Stick installieren
  4. Veeam Agent: Windows-Backup

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

vier × fünf =