Windows-Verschlüsselung ohne BitLocker
Einfach sicher
Veröffentlicht in Ausgabe 02/2023 - SCHWERPUNKT
Während BitLocker nur in den Editionen Pro und Enterprise/Education zur Verfügung steht sowie bei Windows-Servern, lässt sich die Geräteverschlüsselung auch in Windows 10 und 11 Home sowie in den Pro- und Enterprise-Lizenzen nutzen. Grundsätzlich ist die Geräteverschlüsselung einfacher zu handhaben als BitLocker, ermöglicht dafür aber nicht komplexe Szenarien, wie die Konfiguration über Gruppenrichtlinien oder das Speichern des Wiederherstellungsschlüssels in Azure oder im Active Directory.
In vielen Szenarien ist die Geräteverschlüsselung aber sinnvoll einsetzbar, da sie schnell aktiviert ist, die Leistung nicht ausbremst und für einen durchaus passablen Schutz sorgt, ohne dass sich Anwender Sorgen um ihre Daten machen müssen. Dabei setzt die Geräteverschlüsselung auf Technologien aus BitLocker, bietet aber wesentlich weniger Einstellungsmöglichkeiten. Sie können auf einem Rechner aber nicht beide Technologien einsetzen, sondern müssen sich zwischen BitLocker und der Geräteverschlüsselung entscheiden. Generell ist es auf Rechnern mit Windows 10 und 11 Pro sowie Enterprise sinnvoller, gleich mit BitLocker zu arbeiten, anstatt die Einstellungen auf den Standards zu belassen, die Microsoft mit der Geräteverschlüsselung vorgibt. Es ist aber auch problemlos möglich, einfach die Geräteverschlüsselung zu aktivieren. Da diese ohnehin BitLocker nutzt, spielt das generell keine große Rolle.
Standardmäßig mit 128 Bit
Bauen Unberechtigte die Festplatte eines Rechners aus, zum Beispiel nach einem Diebstahl oder nach einem Fund, und die Geräteverschlüsselung ist aktiv, lassen sich die Daten auf dem Datenträger nicht auslesen. Hier bietet das Feature den gleichen Schutz wie BitLocker. Wer daher eine Festplatte, die mit der Geräteverschlüsselung geschützt ist, als zweite Festplatte in einen anderen PC einbaut, kommt nicht an die darauf gespeicherten Daten. Schon alleine aus diesem Grund ist es sinnvoll mit der Verschlüsselung zu arbeiten, da sich dadurch nicht nur Daten schützen lassen, sondern auch Anmelde-informationen, Zertifikate und andere Dinge. Alle Daten auf der Festplatte bleiben außerhalb des jeweiligen Rechners unlesbar, wenn der Benutzer nicht Zugriff auf den Wiederherstellungsschlüssel hat.
Während BitLocker nur in den Editionen Pro und Enterprise/Education zur Verfügung steht sowie bei Windows-Servern, lässt sich die Geräteverschlüsselung auch in Windows 10 und 11 Home sowie in den Pro- und Enterprise-Lizenzen nutzen. Grundsätzlich ist die Geräteverschlüsselung einfacher zu handhaben als BitLocker, ermöglicht dafür aber nicht komplexe Szenarien, wie die Konfiguration über Gruppenrichtlinien oder das Speichern des Wiederherstellungsschlüssels in Azure oder im Active Directory.
In vielen Szenarien ist die Geräteverschlüsselung aber sinnvoll einsetzbar, da sie schnell aktiviert ist, die Leistung nicht ausbremst und für einen durchaus passablen Schutz sorgt, ohne dass sich Anwender Sorgen um ihre Daten machen müssen. Dabei setzt die Geräteverschlüsselung auf Technologien aus BitLocker, bietet aber wesentlich weniger Einstellungsmöglichkeiten. Sie können auf einem Rechner aber nicht beide Technologien einsetzen, sondern müssen sich zwischen BitLocker und der Geräteverschlüsselung entscheiden. Generell ist es auf Rechnern mit Windows 10 und 11 Pro sowie Enterprise sinnvoller, gleich mit BitLocker zu arbeiten, anstatt die Einstellungen auf den Standards zu belassen, die Microsoft mit der Geräteverschlüsselung vorgibt. Es ist aber auch problemlos möglich, einfach die Geräteverschlüsselung zu aktivieren. Da diese ohnehin BitLocker nutzt, spielt das generell keine große Rolle.
Standardmäßig mit 128 Bit
Bauen Unberechtigte die Festplatte eines Rechners aus, zum Beispiel nach einem Diebstahl oder nach einem Fund, und die Geräteverschlüsselung ist aktiv, lassen sich die Daten auf dem Datenträger nicht auslesen. Hier bietet das Feature den gleichen Schutz wie BitLocker. Wer daher eine Festplatte, die mit der Geräteverschlüsselung geschützt ist, als zweite Festplatte in einen anderen PC einbaut, kommt nicht an die darauf gespeicherten Daten. Schon alleine aus diesem Grund ist es sinnvoll mit der Verschlüsselung zu arbeiten, da sich dadurch nicht nur Daten schützen lassen, sondern auch Anmelde-informationen, Zertifikate und andere Dinge. Alle Daten auf der Festplatte bleiben außerhalb des jeweiligen Rechners unlesbar, wenn der Benutzer nicht Zugriff auf den Wiederherstellungsschlüssel hat.
Die Geräteverschlüsselung nutzt die gleiche Verschlüsselungsstärke wie BitLocker. Zum Einsatz kommt bei beiden Verschlüsselungsmethoden XTS-AES 128. Hier wäre es natürlich grundsätzlich besser, wenn Windows mit 256 Bit arbeiten würde, was mittlerweile zum Standard bei Verschlüsselungen gehört. Die mit der Geräteverschlüsselung eingesetzte 128-Bit-Schlüssellänge ist das Mindestmaß, die das deutsche BSI empfiehlt. Natürlich ist es nicht so, dass Kriminelle XTS-AES 128 Bit so einfach hacken könnten. Diese Schlüssellänge bietet durchaus einen soliden Schutz. Einfach ausgedrückt reicht der Schutz von XTS-AES 128 Bit grundsätzlich aus und mit XTS-AES 256 Bit setzen Sie noch eine Stufe oben drauf, wenn das gewünscht ist. Bei aktueller Hardware sollte das bezüglich der Leistung keine Rolle spielen.
Im Gegensatz zur BitLocker-Laufwerksverschlüsselung ist es bei der Geräteverschlüsselung nicht ohne weiteres möglich, die Schlüssellänge auf 256 Bit zu vergrößern. Diese Einstellungen stehen bei BitLocker über "Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / BitLocker-Laufwerksverschlüsselung" und dann bei "Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerke auswählen (Windows 10 [Version 1511] und höher)" zur Verfügung. In den einzelnen Feldern können Sie für BitLocker XTS-AES 256 Bit über Gruppenrichtlinien und lokale Richtlinien aktivieren.
Hier zeigen sich die Vorteile von BitLocker im Vergleich zur Geräteverschlüsselung, denn es lassen sich mit BitLocker nicht nur längere Schlüssel nutzen, sondern viele Einstellungen über Gruppenrichtlinien vorgeben. Allerdings müssen Sie natürlich darauf achten, dass eine tiefergehende Verschlüsselung zu Leistungseinbußen führen kann. Das müssen Sie auf den jeweiligen PCs oder Notebooks testen.
Aktivieren Sie die Geräteverschlüsselung übrigens auf einem Rechner mit Windows 10/11 Pro oder Enterprise und setzen über die Gruppenrichtlinie die Standardeinstellung für die Verschlüsselung von BitLocker auf XTS-AES 256 Bit, verschlüsselt die Technologie mit diesem Standard die Festplatte. Dieser Trick geht natürlich nicht mit Windows 10/11 Home, da hier die Gruppenrichtlinien nicht zur Verfügung stehen.
Geräteverschlüsselung mit TPM
Wie BitLocker setzt die Geräteverschlüsselung auf ein verbautes TPM (Trusted Platform Module) des Rechners. Wenn dieser Sicherheitschip vorhanden ist, lässt sich die Verschlüsselung in wenigen Sekunden aktivieren. Für deren Verwendung sollten sich Anwender daher zunächst die Konfiguration des TPM anschauen. Das geht am schnellsten über "tpm.msc". Für die Aktivierung der Geräteverschlüsselung sollte das TPM den Status "Einsatzbereit" anzeigen.
Falls das TPM noch nicht eingerichtet ist, können Sie es hier mit "TPM vorbereiten" initialisieren. Funktioniert etwas mit der Geräteverschlüsselung nicht richtig oder ist das TPM nicht richtig initialisiert, lassen sich an dieser Stelle mit "TPM löschen" die Daten des TPM komplett zurücksetzen. Für das Löschen muss mit "Neu starten" erst Windows beendet und der Rechner neu gebootet werden. Danach lässt sich das TPM neu initialisieren.
Ist das TPM an dieser Stelle nicht verfügbar, lohnt sich ein Blick in das BIOS/UEFI des Rechners. Zwar sind oft Chips verbaut, aber im UEFI/BIOS nicht aktiviert. Teilweise gibt es Hauptplatinen, bei denen es einen Steckplatz für ein TPM gibt, aber kein TPM eingebaut ist. In diesem Fall ist es möglich einen Chip nachträglich zu erwerben, einzubauen und danach im BIOS/UEFI zu aktivieren.
Verfügbarkeit des TPM prüfen
Wenn das TPM im Computer funktioniert und initialisiert ist, können Sie als Nächstes überprüfen, ob die Geräteverschlüsselung auf Ihrem Computer verfügbar ist. Dazu starten Sie über das Startmenü zum Beispiel "msinfo32.exe" (Systeminformationen) mit Administratorrechten, damit alle Informationen zur Verfügung stehen. Ganz unten finden Sie die Zeile "Unterstützung der Geräteverschlüsselung". Wenn hier der Wert "Voraussetzungen erfüllt" aufgeführt ist, können Sie die Geräteverschlüsselung aktivieren.
Ist die Geräteverschlüsselung nicht verfügbar, zeigen die Systeminformationen die Gründe dafür an. Diese sind im Tool leider nicht immer vollständig zu lesen. Hier hilft es, wenn Sie mit dem Menüpunkt "Datei / Exportieren" die Informationen in einer Textdatei speichern. Öffnen Sie diese im Editor und wählen "Ansicht / Zeilenumbruch", können Sie lesen, warum die Geräteverschlüsselung aktuell nicht zur Verfügung steht. Beheben Sie die Fehler und testen Sie die Unterstützung noch einmal. Sobald der Wert "Voraussetzungen erfüllt" erscheint, fahren Sie mit der Aktivierung der Verschlüsselung fort.
Neben einem vorhandenen TPM ist die Unterstützung von InstantGo/Modern Standby in Windows eine Voraussetzung zur Aktivierung der Geräteverschlüsselung. Diese Technik hat Microsoft bereits mit Windows 8.1 eingeführt. Mit dieser Funktion lässt sich Windows sehr viel schneller starten und aus dem Energiesparmodus oder Ruhezustand schneller wieder aktivieren.
Die einzelnen Aktionen, die Windows mit Modern Standby durchführt, können Sie in der Befehlszeile mit powercfg.exe /Sleep-Study als Bericht speichern. Sie müssen den Befehl mit Administratorrechten starten. Das Tool erstellt eine Datei namens "Sleepstudy-report.html" im Verzeichnis "C:\Windows\System32". Ob Windows die einzelnen Standby-Methoden unterstützt, bringen Sie in der Befehlszeile mit powercfg /a in Erfahrung. Normalerweise funktioniert InstantGo auf modernen Rechnern automatisch. Es kann aber immer mal wieder passieren, dass die Technik aus verschiedenen Gründen nicht funktioniert, weil zum Beispiel Tuningtools von Drittanbietern Modern Standby deaktivieren. In diesem Fall lässt sich auch die Geräteverschlüsselung nicht nutzen.
Aktivieren per Einstellungs-App
Die Geräteverschlüsselung lässt sich am einfachsten in der Einstellungs-App von Windows 10 und Windows 11 aktivieren. Es ist durchaus möglich, dass Microsoft die einzelnen Menüpunkte der Geräteverschlüsselung umbenennt oder an eine etwas andere Stelle verschiebt. Wir zeigen nachfolgend die Einrichtung am Beispiel von Windows 11 Version 22H2. Bei Windows 10 und in zukünftigen Versionen von Windows 10 und 11 verhält sich die Aktivierung ähnlich. In der Einstellungs-App von Windows 11 finden Sie bei "Datenschutz und Sicherheit" den Menüpunkt "Geräteverschlüsselung". Hier sind weitere Sicherheitseinstellungen zu finden, wie der Virenschutz, die Steuerung der Firewall und vieles mehr.
Grundsätzlich ist es ohnehin sinnvoll, nach der Einrichtung eines PCs oder Notebooks an dieser Stelle genauer zu überprüfen, ob alle Einstellungen so gesetzt sind, dass sie den Anforderungen entsprechen und Sicherheitsfunktionen wie die Geräteverschlüsselung zum Einsatz kommen, wenn möglich. Das gilt nicht nur für Unternehmens-PCs mit Windows 10/11 Pro und Enterprise, sondern auch für Rechner mit Windows 10/11 Home, zum Beispiel im Home Office, wenn Anwender mit ihren eigenen Computern arbeiten.
Das Aktivieren der Geräteverschlüsselung lässt sich an dieser Stelle schnell durchführen. Es reicht aus, den Schieberegler "Geräteverschlüsselung" auf "Ein" zu stellen. Anschließend verschlüsselt Windows die eingebauten Datenträger. Sie sehen den Status bei "Verschlüsselung wird ausgeführt". Möchten Sie den genauen Status der Verschlüsselung abfragen, nutzen Sie bei der Geräteverschlüsselung das Befehlszeilentool "manage-bde", das wir in einem eigenen Abschnitt behandeln. Sie können aber während der Verschlüsselung weiter mit Windows arbeiten. Es kann bei der ersten Verschlüsselung durchaus passieren, dass der Rechner etwas langsamer reagiert.
Sobald die Verschlüsselung aktiv ist, laufen die Vorgänge transparent im Hintergrund ab und Sie müssen nichts mehr anpassen. Nach dem Einschalten ist es nicht mehr möglich ohne das verknüpfte TPM auf die Daten der Datenträger im Gerät zuzugreifen. Allerdings schützt die Geräteverschlüsselung nicht die eingesteckten USB-Sticks oder SD-Karten.
Funktion in Pro und Enterprise
Aktivieren Sie die Geräteverschlüsselung auf Rechnern mit Windows 10/11 Pro und Enterprise, sehen Sie dies in den Einstellungen von BitLocker in der Systemsteuerung bei "System und Sicherheit / BitLocker-Laufwerkverschlüsselung". Sie können daher bei diesen Editionen an der Stelle über "BitLocker aktivieren" den Schutz einschalten.
Hier haben Sie mehr Auswahlmöglichkeiten zum Speichern der Wiederherstellungsschlüssel und können weitere Optionen anpassen. Im Gegensatz zur Geräteverschlüsselung reicht hier aber nicht das Setzen des Schiebereglers aus, sondern Sie müssen einen kompletten Assistenten durcharbeiten. Das ist für Anwender durchaus schaffbar, aber weniger technikaffine User gelangen mit der Geräteverschlüsselung schneller ans Ziel.
Im Gegensatz zur Geräteverschlüsselung haben Sie bei BitLocker im Rahmen der Einrichtung die Wahl, ob die Verschlüsselung den kompletten Datenträger umfassen soll oder nur die aktuell gespeicherten Daten. Außerdem müssen Sie PCs beim Aktivieren von BitLocker neu starten. Das ist bei der Geräteverschlüsselung nicht der Fall. Danach prüft Windows, ob BitLocker auf dem Rechner aktiviert werden kann und verschlüsselt dann die Daten. Sie können den Status von beiden Technologien in der Befehlszeile überprüfen.
Wenn Sie BitLocker eingeschaltet haben, aktiviert Microsoft aber nicht automatisch die Option der Geräteverschlüsselung. In diesem Fall sehen Sie in der Einstellungs-App bei der Geräteverschlüsselung, dass bereits BitLocker aktiviert wurde und Sie die Geräteverschlüsselung daher nicht mehr benötigen. Schalten Sie wiederum die Geräteverschlüsselung ein, nutzt Windows BitLocker und zeigt dessen Aktivierung in der Systemsteuerung auch an. Sie können aber jederzeit die Verschlüsselung über die Konfiguration der Geräteverschlüsselung deaktivieren.
Ausschalten der Geräteverschlüsselung
An der gleichen Stelle, an der Sie die Geräteverschlüsselung aktiviert haben, können Sie diese mit dem Schieberegler wieder ausschalten. Das ist vor allem dann sinnvoll, wenn Sie die Festplatte ausbauen und auf einem anderen Gerät nutzen möchten. Hier ist es natürlich einfacher, die Verschlüsselung zunächst zu deaktivieren. Haben Sie diesen Wunsch mit einem Klick auf "Ausschalten" bestätigt, entschlüsselt Windows die Daten auf der Festplatte wieder, ein Neustart ist nicht notwendig. Sie sehen den Fortschritt der Entschlüsselung im Fenster. Es kann durchaus passieren, dass die Abläufe auf dem Rechner minimal langsamer vonstatten gehen, während die Entschlüsselung läuft. Eine erneute Aktivierung der Geräteverschlüsselung können Sie aber erst dann durchführen, wenn alle Daten auf dem Gerät entschlüsselt sind.
Konfiguration in der Befehlszeile
In den meisten Fällen nutzen Anwender die Konfiguration der Geräteverschlüsselung in der grafischen Oberfläche. Den Weg über die Kommandozeile ermöglicht das Befehlszeilentool "manage-bde" [1]. Allerdings aktivieren Sie an dieser Stelle BitLocker und das Tool kennen viele Admins durch die Steuerung des Verschlüsselungswerkzeugs. Um in der Befehlszeile zum Beispiel den Status der Verschlüsselung abzurufen, verwenden Sie
manage-bde -status C:. Das gilt für BitLocker und auch für die Geräteverschlüsselung.Interessant ist, dass die Befehlszeile weitere Informationen zur Geräteverschlüsselung verrät, die in der grafischen Oberfläche nicht zu sehen sind, zum Beispiel das Verschlüsselungsverfahren, die verwendete Schlüssellänge und auch den Fortschritt der aktuellen Verschlüsselung.
Chiffrierte Daten wiederherstellen
Generell sollten Sie vermeiden, bei der Verwendung der Geräteverschlüsselung die Festplatte vom verbauten TPM zu trennen, da Sie sonst nicht mehr an die Daten kommen. Da die Geräteverschlüsselung als Grundlage BitLocker nutzt, können Sie auch Wiederherstellungstechnologien nutzen, die in BitLocker zum Einsatz kommen. So gibt es Wiederherstellungsschlüssel, mit denen Sie im Notfall an die Daten gelangen. Im Gegensatz zur Verwendung von BitLocker haben Sie bei der Geräteverschlüsselung zunächst nicht die Möglichkeit, den Wiederherstellungsschlüssel zu sichern.
Melden Sie sich an Ihrem PC jedoch mit einem Microsoft-Konto an, speichert die Geräteverschlüsselung den Wiederherstellungsschlüssel automatisch bei den BitLocker-Wiederherstellungsschlüsseln in der Microsoft-Cloud bei Ihrem Microsoft-Konto. Über "https://account.microsoft.com/devices/recoverykey" gelangen Sie direkt an alle Schlüssel von allen Ihren Geräten. Wollen Sie keinen Wiederherstellungsschlüssel speichern, können Sie die einzelnen Schlüssel an dieser Stelle löschen.
Das beeinträchtigt die Verschlüsselung nicht. Sie können in diesem Fall aber die Daten nicht mehr wiederherstellen, wenn das TPM die Verbindung zum Datenträger verliert. Nutzen Sie BitLocker, können Sie den Wiederherstellungsschlüssel auch in Azure speichern. Das geht bei der Geräteverschlüsselung nicht.
Fazit
Bei der Geräteverschlüsselung handelt es sich um eine abgespeckte Version von BitLocker, die aber durchaus ihre Einsatzberechtigung hat. Zunächst lässt sich die Geräteverschlüsselung in Windows 10 und 11 Home nutzen. Dazu kommt der Vorteil, dass die Einrichtung sehr viel einfacher ist, da Sie nur einen Schieberegler umstellen müssen, um die Verschlüsselung zu aktivieren oder zu deaktivieren. Diese Vorgänge können Anfänger problemlos erledigen.
Generell ist es äußerst ratsam, den Diebstahl von Daten zu verhindern, indem auf Endgeräten die Daten verschlüsselt werden. Natürlich lässt sich auch mit Zusatztools arbeiten. Die Geräteverschlüsselung basiert aber auf BitLocker und damit einer durchaus zuverlässigen Technologie für mehr Schutz, ohne auf komplexe Drittwerkzeuge setzen zu müssen. Während der Arbeit mit Windows bemerken Anwender nichts von der Verschlüsselung und müssen nichts beachten. Deren Einsatz ist also in jedem Fall empfehlenswert.
(dr)
Link-Codes