Quelle: c't 19/2024 S. 37

Die Laufwerksverschlüsselung BitLocker kann auf Ihren Windows-PCs aktiv sein, ohne dass Sie davon wissen. Bei Problemen kommen Sie dann nur noch mit dem „Wiederherstellungsschlüssel“ an Ihre Daten. Also sichern Sie diesen! Die Windows-Updates vom Juli haben gerade erst wieder bewiesen, wie wichtig das ist: Nach dem Einspielen des Updates mit der Knowledge-Base-Nummer 5040442 (support.microsoft.com/help/5040442) sahen sich viele Menschen nach dem fälligen Neustart nicht mehr Windows gegenüber, sondern stattdessen der Aufforderung, den Wiederherstellungsschlüssel für BitLocker einzugeben.

Noch fataler: Das Problem trat auch auf Rechnern auf, auf denen niemand BitLocker bewusst aktiviert hatte. Viele gingen sogar davon aus, überhaupt kein BitLocker zu haben, weil eine Windows-Home-Edition lief. Doch auch dort gibt es BitLocker, nur heißt es dort „Geräteverschlüsselung“. Wenn der PC einige Hardwarevoraussetzungen erfüllt (Booten per UEFI, TPM 2.0, Secure Boot, Modern Standby ...), aktiviert Windows Home diese Funktion automatisch, sofern zusätzlich bei der Installation ein Microsoft-Konto eingerichtet wird.

Daher: Prüfen Sie unbedingt, ob auf Ihrem PC BitLocker oder die Geräteverschlüsselung aktiv ist! Falls das zutrifft: Sichern Sie unbedingt den Wiederherstellungsschlüssel. Das ist eine Art Zweitschlüssel für Notfälle, und ohne diesen kommen Sie schlimmstenfalls nicht mehr an Ihre Daten auf dem PC, sondern können nur noch alles neu aufsetzen und das Backup zurückspielen. Sie haben doch sicher aktuelle, getestete und vollständige Backups?

Zum Prüfen, ob BitLocker beziehungsweise die Geräteverschlüsselung aktiv sind, kennen wir nur einen Weg, der für beides und unter allen Windows-Editionen gleichermaßen funktioniert. Drücken Sie Windows+X und wählen Sie, je nachdem was da ist, „Terminal (Administrator)“, „Eingabeaufforderung (Administrator)“ oder „PowerShell (Administrator)“. Dort geben Sie folgenden Kommandozeilenbefehl ein:

Manage-bde -Status
Entscheidend ist in der Ausgabe die Zeile „Schutzstatus“. Dort steht entweder „Der Schutz ist deaktiviert“ oder aber „Der Schutz ist aktiviert“, und im letzteren Fall sollten Sie unbedingt den Wiederherstellungsschlüssel sichern. Die drei Buchstaben „bde“ im Kommandozeilenbefehl stehen übrigens für „Bitlocker Drive Encryption“.

Wie Sie den Wiederherstellungsschlüssel sichern, hängt von Ihrer Windows-Edition ab. Nutzen Sie Pro, Education oder Enterprise, dann drücken Sie die Windows-Taste und tippen so lange buchstabenweise Bitlocker verwalten ein, bis der gleichnamige Suchtreffer erscheint. Darin dann auf den Link „Wiederherstellungsschlüssel sichern“ klicken, es startet ein Assistent.

Was auch unter Home funktioniert, ist der Kommandozeilenbefehl

Manage-bde -Protectors -Get C:
der ebenfalls in eine Konsole mit Admin-Rechten einzugeben ist. Machen Sie von der Ausgabe beispielsweise ein Handyfoto oder leiten Sie sie mit einem angehängten

> %userprofile%\Desktop\Bitlocker.txt
in eine Datei auf Ihrem Desktop um (bei PowerShell ersetzen Sie %userprofile% durch $env:userprofile). Achtung: Sie müssen die Datei zudem auf ein externes Laufwerk / einen USB-Stick kopieren oder noch besser ausdrucken, denn an den Desktop kommen Sie im Ernstfall ja auch nicht mehr heran.

Sofern auf dem PC bei der Ersteinrichtung ein Microsoft-Konto angelegt wurde, ist der Wiederherstellungsschlüssel übrigens auch darin hinterlegt. Sie finden ihn dann unter account.microsoft.com/devices/recoverykey. Sie benötigen für den Zugriff aber die Anmeldedaten des Kontos. Falls Sie die vergessen haben, hat Microsoft zwar den Schlüssel, wird ihn aber nicht an Sie herausrücken. Beugen Sie also besser vor, indem Sie den Schlüssel selbst auslesen.

Stand: 2024-09-12