BitLocker

BitLocker ist die in Windows Pro, Enterprise und Education integrierte Lösung zur vollständigen Laufwerksverschlüsselung (Full Disk Encryption). Sie schützt Daten im Ruhezustand — also auf der Festplatte gespeicherte Daten — vor unautorisiertem Zugriff, selbst wenn ein Angreifer physischen Zugang zum Gerät erlangt. Ohne BitLocker kann ein gestohlener Laptop innerhalb von Minuten über ein Live-Betriebssystem ausgelesen werden; mit aktivierter Verschlüsselung sind die Daten ohne den korrekten Schlüssel unlesbar.

TPM-Integration und Verschlüsselungsmodi

BitLocker nutzt ein Trusted Platform Module (TPM) — einen dedizierten Sicherheitschip auf dem Mainboard — um den Verschlüsselungsschlüssel hardwaregebunden zu speichern. Beim Systemstart prüft das TPM die Integrität der Bootkette (Secure Boot, Bootloader, Betriebssystem). Nur wenn alle Messungen mit den hinterlegten Werten übereinstimmen, wird der Schlüssel freigegeben. Manipulationen am System — etwa das Einsetzen der Festplatte in einen anderen Rechner — führen dazu, dass das TPM den Schlüssel verweigert.

Als Verschlüsselungsalgorithmus verwendet BitLocker AES im XTS-Modus, wahlweise mit 128 oder 256 Bit Schlüssellänge. Der Standard ist AES-128-XTS; AES-256-XTS bietet höheren Schutz bei leicht reduzierter Performance und wird in sicherheitskritischen Umgebungen bevorzugt. Für Wechselmedien (BitLocker To Go) wird AES-CBC verwendet, um die Kompatibilität mit älteren Windows-Versionen zu gewährleisten. Die Konfiguration erfolgt zentral über Gruppenrichtlinien.

Recovery Key Management

Der Recovery Key ist ein 48-stelliger numerischer Wiederherstellungsschlüssel, der bei der Aktivierung von BitLocker erzeugt wird. Er dient als Notfallzugang, wenn das TPM den regulären Schlüssel verweigert — etwa nach einem BIOS-Update, einer Hardwareänderung oder bei einem vergessenen PIN. Die sichere Verwahrung dieses Schlüssels ist geschäftskritisch: Ohne Recovery Key und ohne TPM-Freigabe sind verschlüsselte Daten unwiederbringlich verloren.

In Unternehmensumgebungen sollten Recovery Keys automatisch in Active Directory oder Microsoft Entra ID gespeichert werden. Per Gruppenrichtlinie lässt sich erzwingen, dass die BitLocker-Aktivierung erst nach erfolgreicher Sicherung des Recovery Keys abgeschlossen wird. Dieses zentrale Management verhindert das häufigste Problem in der Praxis: Recovery Keys, die lokal auf dem verschlüsselten Gerät selbst gespeichert oder ausgedruckt und anschließend verloren wurden.

Bereitstellung und Durchsetzung per GPO

Für eine unternehmensweite Ausrollung wird BitLocker über Gruppenrichtlinien konfiguriert und durchgesetzt. Typische Richtlinien umfassen die Verschlüsselungsstärke, die Authentifizierungsmethode (TPM-only, TPM + PIN, TPM + Startschlüssel), die Pflicht zur AD-Sicherung des Recovery Keys und die Verschlüsselung aller Laufwerkstypen. Über Compliance-Reporting in Microsoft Intune oder MBAM (Microsoft BitLocker Administration and Monitoring) lässt sich der Verschlüsselungsstatus aller Geräte zentral überwachen.

Typische Schwachstellen und Härtung

Die Standardkonfiguration „TPM-only" gibt den Schlüssel beim Systemstart ohne Benutzerinteraktion frei. Das schützt gegen Diebstahl der ausgebauten Festplatte, aber nicht gegen Angriffe auf das laufende oder im Standby befindliche Gerät — etwa DMA-Angriffe über Thunderbolt-Ports oder Cold-Boot-Attacken, bei denen der Schlüssel aus dem Arbeitsspeicher extrahiert wird. Eine TPM + PIN-Konfiguration erfordert eine zusätzliche Eingabe vor dem Betriebssystemstart und schließt diese Lücke. Das BSI empfiehlt in seinen Härtungsrichtlinien für Windows-Endgeräte explizit die Kombination aus TPM und Pre-Boot-Authentifizierung.

BitLocker To Go ermöglicht die Verschlüsselung von USB-Sticks und externen Festplatten — ein oft übersehener Aspekt, der gerade für den Schutz mobiler Datenträger im Außendienst relevant ist.

Bedeutung für Incident Response

Bei einem Sicherheitsvorfall ist die Festplattenverschlüsselung ein zweischneidiges Schwert. Einerseits stellt BitLocker sicher, dass gestohlene oder verlorene Geräte keine Daten preisgeben — ein entscheidender Faktor für die Meldepflichten nach DSGVO. Andererseits erschwert die Verschlüsselung die forensische Analyse kompromittierter Systeme, wenn Recovery Keys nicht zentral verfügbar sind. Ein durchdachtes Key Management ist daher auch aus Incident-Response-Perspektive unverzichtbar.

Relevanz für KMUs

BitLocker ist auf allen Windows-Pro-Lizenzen verfügbar und verursacht keine zusätzlichen Lizenzkosten — dennoch fehlt die Aktivierung in vielen mittelständischen Umgebungen oder wurde ohne zentrales Recovery Key Management ausgerollt. Die Einrichtung erfordert kompatible Hardware (TPM 2.0 ist auf allen modernen Geschäftsgeräten vorhanden), die Konfiguration der Gruppenrichtlinien und die Anbindung an Active Directory für die Schlüsselsicherung. Wer mobile Arbeitsplätze einsetzt, sollte die Verschlüsselung als Pflichtmaßnahme betrachten — nicht zuletzt, weil ein unverschlüsseltes gestohlenes Notebook nach DSGVO eine meldepflichtige Datenschutzverletzung darstellen kann.