Ein Erlebnisbericht und keine Empfehlung für oder gegen die Verwendung von Bitlocker unter Windows.

Wer sich über Bitlocker, die Laufwerksverschlüsselungstechnologie von Microsoft informieren will, kann hier mit der Lektüre beginnen. Wer mit dem Bitlocker vertraut ist, dem werden die folgenden Zeilen keine neue Information bieten. Für den Autor war es aber überraschend zu erleben, dass die eigene Festplatte verschlüsselt war.

(Sehr) kurz gesagt, bewirkt Bitlocker, dass ein Festplattenklau mit einer so verschlüsselten Festplatte nichts anfangen kann, auch nicht das BVT. Man braucht zum Auslesen der Festplatte einen Wiederherstellungsschlüssel. Der Schlüssel ist normalerweise in der Gerätestruktur verankert und man braucht ihn im regulären Betrieb nicht. Entfernt man aber die Festplatte vom Gerät uns setzt sie anderswo ein, benötigt man den Wiederherstellungsschlüssel, sonst hat man “den Schlauch”.

Man muss aber wissen, dass diese Schlüssel auch bei Microsoft gespeichert sein können und man sie von dort eventuell bekommen kann. Das funktioniert aber nur, wenn man den PC mit einem Microsoft-Konto betreibt oder den Schlüssel manuell zu einem Microsoft-Konto transferiert hat. Dann nämlich wird im Bereich des Kontos eine Sammlung dieser Wiederherstellungsschlüssel für jedes Gerät verwaltet.

Der folgende Erlebnisbericht illustriert diese Zusammenhänge. Die Kurzfassung ist folgende:

  • (1) jemand, der das Risiko vermeiden will, dass seine Daten eventuell nicht mehr lesbar sind, der sollte den Bitlocker nicht verwenden. Die Festplatten sind dann auf anderen PCs lesbar.
  • (2) jemand, der seine Daten vor Missbrauch schützen will, sodass tatsächlich niemand sie auslesen kann, wenn die Festplatte aus dem bestehenden Gerät entfernt wird, der sollte einerseits den Bitlocker aktivieren und anderseits den PC mit einem lokalen Konto betreiben, denn dann ist der Wiederherstellungsschlüssel auch bei Microsoft nicht verfügbar (es sei denn, man hätte ihn manuell dorthin übertragen). Man muss allerdings zur eigenen Sicherheit den Schlüssel selbst an einem geeigneten Ort aufbewahren.
  • (3) jemand, der seine Daten vor Missbrauch schützen will, aber für den Fall eines Hardwarefehlers vorsorgen will, der kann die Festplatte mit dem Bitlocker verschlüsseln und den PC mit einem Microsoft-Konto verknüpfen. Dann bleibt der Wiederherstellungsschlüssel beim Microsoft-Konto gespeichert.

Ich hätte nicht gedacht, dass ich es jemals mit einem Bitlocker zu tun bekäme, denn eine Verschlüsselung der Daten schien mir immer zu gefährlich zu sein. Ich war jemand von Fall (1).

Man sollte aber nicht annehmen, dass man bei einem Neukauf eines PC eine unverschlüsselte Festplatte benutzt. Insbesondere ist es erstaunlich, dass man mit einem Blick auf die Eigenschaften des Laufwerks nicht auf die Verschlüsselung hingewiesen wird; auch nicht in den Systeminformationen, aufrufbar mit Windows+R msinfo32.exe.

Zur Ehrenrettung des Herstellers muss aber gesagt werden, dass der Bitlocker-Mechanismus in den Online-Dokumentationen vorbildlich beschrieben ist, ich das aber alles nicht gelesen habe.

Szene 1, Freitag 10. Jänner

Ich holte meinen neuen Laptop vom Waldbauer ab. Ich brauche ihn dringend für die Clubabende, denn mein voriger ist wegen eines mechanischen Problems nicht mehr transportfähig und wird von Florian als Standgerät benutzt. Während des Wochenendes war der PC sehr mit sich selbst beschäftigt, weil er viele Windows-Updates einspielen musste und landete schließlich bei Version 1909. Fast alles funktioniert, leider nicht alles. Der PC bietet von Zeit zu Zeit ein Update vorinstallierter Programme des Herstellers an, auch des BIOS, bricht aber diese Installation mit einer Fehlermeldung ab. Der Fehler wurde an den Erzeuger gemeldet, bisher kam aber keine Antwort.

Szene 2, Dienstag 28. Jänner

Andy, ein Rapidler, der weiß, dass wir uns mit der Computerei beschäftigen, rief mich an und berichtete über einen PC, bei dem das Motherboard getauscht werden musste und dessen Festplatte danach nicht mehr ausgelesen werden konnte, weil der Bitlocker nach einem 48-stelligen Schlüssel gefragt hat und niemand auch nur geahnt hat, dass die Festplatte verschlüsselt war. Natürlich hatte auch niemand diesen Schlüssel.

Da ich im Umgang mit dem “Bitlocker-Wiederherstellungsschlüssel” keine Erfahrung habe, fragte ich Günter um Rat – wen sonst. Er meinte, dass man ohne diesen Schlüssel keine Chance hätte, die Daten lesen zu können.

Es erscheint eigenartig, dass ein Computer-Hersteller einen PC mit verschlüsselter Festplatte ausliefert und das nicht deutlich macht. Mein Hersteller ist sicher nicht so einer – dachte ich.

Szene 3, Mittwoch 29. Jänner

Ich besuchte Herrn Waldbauer und kaufte Druckerpapier für den Versand der Club-Rechnungen. Beim Waldbauer erfährt man immer etwas. Eigentlich will ich ihn schon seit Jahren motivieren, bei unseren Clubabenden einen Vortrag zu halten, doch scheint das ziemlich aussichtslos. Wenn man von seinem Erfahrungsschatz profitieren will, muss man ihn schon besuchen kommen. Diese Gespräche ersetzten mir teilweise die Liftfahrten im TGM, wo man auch immer wieder Neuigkeiten erfahren konnte.

Ich berichtete über den neuen Laptop und auch über dessen fehlende Bereitschaft, die Updates des Herstellers einzuspielen. Dazu bekam ich folgenden Tipp: Ich soll versuchen, die Updates mit Administratorberechtigung oder im Abgesicherten Modus auszuführen. Ersteres habe ich schon erfolglos versucht, den abgesicherten Modus aber noch nicht. Die Idee war gut, denn in diesem Modus startet der PC ohne jede zusätzliche Software, die den Installationsvorgang eventuell behindern könnte.

Starten im Abgesicherten Modus

PCs werden heutzutage wie ein Handy ausgeliefert, ohne irgendeine Anleitung zu irgendwas. Da ich nur mehr sehr selten systemischen Handgriffe ausführe, versuchte ich durch Drücken der Taste F8 in das Recovery-Menü zu kommen, doch das war vergeblich. Die richtige Vorgangsweise ist nämlich das Drücken der Shift(Umschalt)-Taste und gleichzeitige Auswahl von “Neu starten” im Startmenü. Wer hätte das gedacht!

Tatsächlich gelangt man so in die Welt der blauen Schirme. Irgendwo in den blauen Schirmen findet sich dann der Punkt “Recovery” und dort sollte es weiter gehen. Ja, das tat es auch, aber wieder mit einem blauen Schirm mit der Frage nach einem Wiederherstellungsschlüssel. Meine Festplatte ist also verschlüsselt! Ich wars nicht!

Jetzt hat es geklickt, denn das war genau der Punkt, an dem gestern Andy gescheitert war. Ich bin rein zufällig nur einen Tag später in derselben Situation gelandet. Wo zum Teufel ist dieser Schlüssel?

Nun gibt es rund um die Eingabemaske einen erklärenden Text mit einem Link auf https://aka.ms/recoverykeyfaq. Solche Links stehen oft wo und führen schließlich ins Nichts, doch in diesem Fall war alles anders. Auf dem gerade gestarteten Laptop kann man diese Seite nicht besuchen, aber mit dem Handy oder mit einem Zweitgerät geht das. Tatsächlich findet man eine freundliche Seite, die erklärt, was man tun muss, der dort angegebene Link führt zu: https://support.microsoft.com/de-de/help/4026181/windows-10-find-my-bitlocker-recovery-key

Im Grunde muss man nur auf den Link im Text klicken.
https://account.microsoft.com/devices/recoverykey?refd=support.microsoft.com
Danach öffnet sich die Login-Maske und man gibt die Microsoft-Id ein. Da ich die zweistufige Identifikation aktiviert habe, wird eine Nachricht an den MS-Authenticator am Handy geschickt und voilà, ich bekam eine Seite zu Gesicht, die ich vorher noch nie gesehen habe:

Alle Wiederherstellungsschlüssel aller meiner Geräte. Diese Schlüssel werden offenbar pro Gerät erstellt, auch wenn gar keine Verscllüsselung erfolgt, eine Art “Hardware-Prüfsumme”.

Tatsächlich erlaubte mir der 48-stellige Schlüssel den Zugang zum Abgesicherten Modus. Microsoft speichert also die Wiederherstellungsschlüssel beim persönlichen Account.

Mit dieser Erkenntnis rief ich bei Andy an und teilte ihm das mit. Leider half ihm das nichts, denn offenbar hat er aber den PC mit einem lokalen Konto betrieben und daher wurde der Schlüssel nirgendwo gesichert. Wäre seine Festplatte beim BVT gelandet, dann hätte er gewonnen, so aber hat er verloren. Zuviel Privacy im Alltag ist auch nicht gut.

Wie erkennt man, ob Festplatten verschlüsselt sind?

Man findet diese Information nicht im Explorer->Eigenschaften und auch nicht in den ansonsten sehr detaillierten Systeminformationen, sondern nur über Windows -> Einstellungen -> Update und Sicherheit -> Geräteverschlüsselung oder über die Systemsteuerung

Wenn dieser Punkt fehlt, dann ist der PC nicht verschlüsselt und man besucht stattdessen Windows -> “sys” -> Systemsteuerung -> Bitlocker Laufwerksverschlüsselung und erfährt dort, dass das die “Bitlocker-Laufwerksverschlüsselung deaktiviert” ist.

Meine Erkenntnisse aus diesem Erlebnissen:

Beim Neukauf eines PC darauf achten, ob die Festplatte verschlüsselt ist.
Wenn die Festplatte verschlüsselt ist und man nur mit einem lokalen Konto arbeitet, muss man den Schlüssel unabhängig vom PC sichern. Man findet über die Links in der Systemsteuerung (Bilder oben).

Wenn man den PC mit einem Microsoft-Konto betreibt, wird der Schlüssel offenbar im Zuge der Erstinbetriebnahme automatisch beim persönlichen Microsoft-Konto gespeichert. Kontrolle kann nicht schaden.

Szene 4: Samstag, 1.3.2020

Der Tipp von Herrn Waldbauer, die Updates im abgesicherten Modus auszuführen, war zwar nicht die Lösung für die Installation der Updates, denn im abgesicherten Modus startet das Update-Programm leider nicht.

Da aber durch diese Prozedur die Verschlüsselung des PC mit Bitlocker bekannt wurde, habe ich die Verschlüsselung abgedreht und danach das Update-Programm noch einmal gestartet und siehe da, die Updates lassen sich ohne die PC-Verschlüsselung durch Bitlocker fehlerfrei ausführen.

Der Grund dürfte sein, dass eine der betroffenen “PC-Regionen” während der Aktualisierung (zum Beispiel das BIOS) durch die automatische Updateprozedur die Eingabe des Wiederherstellungsschlüssels benötigt hätte, die Updateprozedur aber auf diesen Umstand nicht vorbereitet war.

Ergänzungen aus Facebook

Franz Fiala

Präsident Clubcomputer / Herausgeber PCNEWS bei ClubComputer.at
Franz ist pensionierter HTL Lehrer (TGM), Präsident von ClubComputer, Herausgeber der Clubzeitung PCNEWS und betreut unser Clubtelefon und Internet Support. Er ist leidenschaftlicher Rapid Wien Fan.

Letzte Artikel von Franz Fiala (Alle anzeigen)