imported>Y2kbug: /* Interoperabilität */ Red Hat verlinkt

2026-03-08T10:36:20Z

Interoperabilität: Red Hat verlinkt

Neue Seite

{{Infobox Software
| Name = 
| Logo =
| Screenshot = 
| Beschreibung = 
| Maintainer =
| Hersteller = [[Microsoft]]
| Erscheinungsjahr = 2007
| AktuelleVersion =
| AktuelleVersionFreigabeDatum =
| AktuelleVorabVersion =
| AktuelleVorabVersionFreigabeDatum =
| Betriebssystem = [[Microsoft Windows|Windows]]
| Programmiersprache =
| Kategorie = [[Festplattenverschlüsselung]]
| Lizenz = [[EULA]] ([[proprietär]])
| Deutsch =
| Website = [https://docs.microsoft.com/de-de/windows/security/information-protection/bitlocker/bitlocker-overview Microsoft Docs: BitLocker]
}}

'''BitLocker''' ist eine [[Proprietäre Software|proprietäre]]<ref>{{Internetquelle |autor=Ian Paul |url=https://www.pcworld.com/article/2308725/a-beginners-guide-to-bitlocker-windows-built-in-encryption-tool.html |titel=A beginner's guide to BitLocker, Windows' built-in encryption tool |werk=PC World |datum=2016-08-01 |sprache=en |offline=ja |archiv-url=https://web.archive.org/web/20200330061518/https://www.pcworld.com/article/2308725/a-beginners-guide-to-bitlocker-windows-built-in-encryption-tool.html |archiv-datum=2020-03-30 |abruf=2020-02-04}}</ref> [[Festplattenverschlüsselung]] des Unternehmens [[Microsoft]], die zu den [[Funktionalität (Produkt)|Features]] von [[Microsoft Windows|Windows]] gehört. Nach dem Prinzip der vollständigen Festplattenverschlüsselung werden mit dieser [[Software]] [[Datenschutz|Daten geschützt]].

In der Standardeinstellung verwendet BitLocker [[Advanced Encryption Standard|AES]] im [[Cipher Block Chaining Mode|Cipher Block Chaining]] (CBC) oder im [[XTS-AES|XTS]]-Modus<ref name="Win10New">{{cite web |last1=Hakala |first1=Trudy |title=What's new in Windows 10, versions 1507 and 1511 |url=https://docs.microsoft.com/en-us/windows/whats-new/whats-new-windows-10-version-1507-and-1511 |website=[[Microsoft TechNet|TechNet]] |publisher=[[Microsoft]] |access-date=2020-03-07 |date=2020-01-29| language=en}}</ref> mit einem 128 [[Bit]] oder 256 Bit langen [[Schlüssel (Kryptologie)|Schlüssel]]. CBC wird ''nicht'' über das gesamte [[Laufwerk (Computer)|Laufwerk]] angewendet, sondern auf den einzelnen [[Datenblock #Festplatten und Disketten|Sektoren]].

== Geschichte ==
BitLocker entstand als ein Teil von Microsofts ''[[Next-Generation Secure Computing Base]]''-Architektur im Jahr 2004 als ein Feature, das zunächst mit dem [[Codename]] „Cornerstone“ bezeichnet wurde und dessen Zweck es war, Informationen auf Speichergeräten zu schützen, besonders vor dem Diebstahl oder dem Verlust des Speichergeräts. Ein anderes Feature mit dem Namen „Code Integrity Rooting“ sollte die Integrität der Windows-Boot- und Systemdateien validieren. Zusammen mit einem kompatiblen [[Trusted Platform Module]] (TPM) eingesetzt, kann BitLocker die Integrität von Booting- und Systemdateien validieren, bevor ein geschütztes Laufwerk entschlüsselt wird – eine fehlgeschlagene Validierung wird den Zugriff auf das geschützte System verweigern.<ref name="TechnicalOverview2">{{cite web |url=https://download.microsoft.com/download/5/D/6/5D6EAF2B-7DDF-476B-93DC-7CF0072878E6/secure-start_tech.doc |title=Secure Startup–Full Volume Encryption: Technical Overview |author=Microsoft |date=2005-04-22 |format=DOC | language=en |access-date=2020-03-07|author-link=Microsoft }}</ref><ref name="ExecutiveOverview2">{{cite web |url=https://download.microsoft.com/download/5/D/6/5D6EAF2B-7DDF-476B-93DC-7CF0072878E6/secure-start_exec.doc |title=Secure Startup – Full Volume Encryption: Executive Overview |author=Microsoft |date=2005-04-21 |format=DOC |access-date=2020-03-07|author-link=Microsoft | language=en}}</ref>

BitLocker ist ab [[Microsoft Windows Vista|Windows Vista]] zwar grundsätzlich in allen Editionen von Windows enthalten, kann allerdings neben den Server-Versionen ab [[Microsoft Windows Server 2008|Windows Server 2008]] nur in den Ultimate- und Enterprise-Versionen von [[Microsoft Windows Vista|Windows Vista]] und [[Microsoft Windows 7|Windows 7]] sowie den Pro- und Enterprise-Versionen von [[Microsoft Windows 8|Windows 8]], [[Microsoft Windows 8.1|Windows 8.1]], [[Microsoft Windows 10|Windows 10]] und [[Microsoft Windows 11|Windows 11]] zur Verschlüsselung, u. a. des [[Systemlaufwerk]]s, verwendet werden.<ref>{{Internetquelle|url=http://windows.microsoft.com/de-de/windows7/products/features/bitlocker|titel=BitLocker-Laufwerkverschlüsselung – Microsoft Windows | zugriff=2015-07-12}}</ref><ref>{{Internetquelle|url=http://windows.microsoft.com/de-de/windows-8/bitlocker-drive-encryption|titel=Schützen von Dateien mit BitLocker – Hilfe zu Microsoft Windows | zugriff=2015-07-12}}</ref><ref>{{Literatur |Autor=Jan Schüßler |Titel=Tipps & Tricks – BitLocker mit Home-Windows? |Sammelwerk=[[c’t]] |Nummer=10/2016 |Verlag=[[Verlag Heinz Heise]] |Datum=2016-04-30 |Seiten=166 |ISSN=0724-8679 |Online=[https://www.heise.de/select/ct/2016/10/1462775360641438#titel_1462775360641438_4 online] |Abruf=2024-02-06 |Zitat=Die BitLocker-Komponenten sind zwar auch in den Windows-Home-Ausgaben enthalten, also in Windows 7 Home Premium, 8.1 Core, 10 Home und so weiter. Uns ist aber kein Weg bekannt, um sie zum Verschlüsseln eines internen Festplattenlaufwerks zu überreden.}}</ref> Eine Ausnahme dazu ist „BitLocker to Go“, mit dem eine Nutzung bereits verschlüsselter (USB-)Datenträger ab [[Microsoft Windows XP|Windows XP]] möglich ist,<ref name="heiseonline_4572663">{{Heise online |ID=4572663 |Titel=Windows: Festplatten mit Bordmitteln verschlüsseln |Autor=Marvin Strathmann |Datum=2019-07-11 |Artikelseite=5 |Seitentitel=Bitlocker für Vista und XP |SeitenURL=https://www.heise.de/ratgeber/Windows-Festplatten-mit-Bordmitteln-verschluesseln-4572663.html?seite=5 |Abruf=2024-02-06 |Zitat=Auch ältere Systeme können mit USB-Sticks arbeiten, die per Bitlocker To Go verschlüsselt wurden. Dafür hat Microsoft ein Lesetool veröffentlicht, das die gewünschten Entschlüsselungs-Funktionen nachinstalliert.}}</ref> sowie die auf BitLocker basierende eingeschränkte „Geräteverschlüsselung“ in Windows 10 und 11 Home.<ref name="heiseonline_7467041">{{Heise online |ID=7467041 |Titel=Laufwerksverschlüsselung per BitLocker: Das sollten Sie beachten |Autor=Jan Schüßler |Datum=2023-01-29 |Abruf=2024-02-06 |Zitat=…BitLocker steckt technisch auch in der Home-Edition von Windows, darf dort nur nicht so heißen. Stattdessen nennt Microsoft die Funktion dort ‚Geräteverschlüsselung‘.}}</ref>

Seit Windows Server 2012 und Windows 8 unterstützt BitLocker die ''Microsoft-Encrypted-Hard-Drive''-Spezifikation. Festplatten, die diese Spezifikation erfüllen, können die kryptografischen Operationen von BitLocker und damit vom Hauptsystem übernehmen und auf dem Speichergerät ausführen.

== Funktionsweise ==
{{Lückenhaft|Es fehlt jeder Hinweis, wie man BitLocker zum Funktionieren bringt. Was hier über Geschichte steht, gehört dorthin.}}
[[Datei:2024-12-17 17 39 55-Datenträgerverwaltung, BitLocker-Verschlüsselung Greenshot crop.png|700px|mini|alternativtext=Screenshot einer einfachen Tabelle mit Partitionen und Eigenschaften|BitLocker-Verschlüsselung einiger NTFS-Partitionen unter [[Windows 11]]]]
Ursprünglich konnte die Benutzeroberfläche von BitLocker in [[Microsoft Windows Vista|Windows Vista]] nur das [[Systemlaufwerk]] verschlüsseln. Ab Service Pack 1 für Vista und [[Microsoft Windows Server 2008|Windows Server 2008]] konnten auch andere Laufwerke verschlüsselt werden. Einige Funktionen von BitLocker, wie das automatische Sperren, mussten trotzdem über ein Kommandozeilenprogramm bedient werden.

Um das Systemlaufwerk verschlüsseln zu können, benötigte BitLocker unter Windows 7 eine eigene [[Partition (Datenträger)|Partition]] der [[Festplatte]], welche bei Bedarf automatisch erstellt wurde.<ref>{{cite web
| url = http://technet.microsoft.com/de-de/library/dd875544%28WS.10%29.aspx
| title = Getting Started with BitLocker Drive Encryption
| publisher = Microsoft
| accessdate = 2010-04-26 | language=en
}}</ref> Es startet vor dem Betriebssystem und greift standardmäßig auf ein [[Trusted Platform Module]] (TPM) zu, um zu prüfen, ob die [[Hardware]] unverändert und somit vertrauenswürdig ist. Microsoft empfiehlt, zusätzlich die Eingabe einer [[Persönliche Identifikationsnummer|PIN]] zu erzwingen.<ref>{{cite web
| url = http://technet.microsoft.com/en-us/library/ee706531%28WS.10%29.aspx
| title = How Strong Do You Want the BitLocker Protection?
| publisher = Microsoft
| accessdate = 2010-04-26 | language=en
}}</ref> Allerdings war bei Auswahl der PIN darauf zu achten, dass diese bei der Startroutine zu einem Zeitpunkt abgefragt wird, bei dem länderspezifische Einstellungen der Tastatur noch nicht geladen waren, also die Tastatur immer dem US-englischen Standard entspricht. Damit sind Y und Z gegenüber der deutschen Tastatur vertauscht, Sonderzeichen liegen vielfach auf anderen Tasten, Umlaute können nicht per Tastatur eingegeben werden. Alternativ oder zusätzlich zur PIN kann das Starten des Systems davon abhängig gemacht werden, ob ein [[USB-Stick]] mit einer Schlüsseldatei eingesteckt ist. Wenn keines von beidem konfiguriert wird, tritt BitLocker nicht in Erscheinung, solange die Umgebung der Festplatte unverändert bleibt. Bei Computern ohne TPM kann alternativ eine Schlüsseldatei auf einem USB-Stick zum Einsatz kommen oder die Eingabe eines Passwortes vorgesehen werden.

Gegenüber Windows Vista unterstützt BitLocker ab Windows 7 auch die Verschlüsselung von USB-Medien („BitLocker to Go“), welche auch unter Windows Vista und [[Microsoft Windows XP|Windows XP]] gelesen werden können.<ref>PC Magazin, BitLocker To Go unter Vista und XP, http://www.pc-magazin.de/ratgeber/bitlocker-to-go-unter-vista-und-xp-1054748.html</ref>

Es ist grundsätzlich auch möglich, die [[Systempartition]] gänzlich ohne TPM zu verschlüsseln und stattdessen eine Passwort-Eingabe zu verwenden. Andersherum lässt sich zur Standard-Methode, bei der die Entschlüsselung transparent per TPM erledigt wird, zusätzlich die Eingabe einer PIN konfigurieren.

== Recovery-Funktionalität ==
BitLocker speichert die Recovery-Daten zur Entschlüsselung der Partition ohne Passwort während des Verschlüsselungsprozesses im Klartext auf einem Datenträger und in gemanagten Umgebungen zusätzlich in das [[Active Directory]]. Hier wird pro Partition ein Key angelegt. Wenn ein TPM-Chip verwendet wird, so wird dessen Recovery-Passwort ebenfalls abgelegt. Für eine Entschlüsselung ist entweder das ursprüngliche Passwort oder das TPM-Passwort notwendig, eine [[Challenge-Response-Authentifizierung]] ist derzeit nicht vorgesehen.

== Interoperabilität ==
Als proprietäres System von Microsoft steht BitLocker grundsätzlich ausschließlich unter Windows zur Verfügung. Es gibt jedoch einige [[Open Source|Open-Source]]-Alternativen, die auch auf anderen Betriebssystemen (meist [[Linux]] und [[*BSD]], aber auch [[macOS]]<ref>{{Internetquelle |url=https://techcommunity.microsoft.com/discussions/windows11/bitlocker-laufwerk-auf-dem-mac-%C3%B6ffnen-und-entsperren-%E2%80%93-wie-geht-das/4480526 |titel=BitLocker-Laufwerk auf dem Mac öffnen und entsperren – wie geht das? |werk=Microsoft Community Hub |datum=2025-12-23 |format=[[Internetforum]] |abruf=2026-03-08 |zitat=Dislocker ist eine der effektivsten kostenlosen Open-Source-Methoden, um auf einem Mac auf ein BitLocker-verschlüsseltes Laufwerk zuzugreifen.}}</ref>) existierende BitLocker-''{{lang|en|[[Volume (Datenspeicher)|Volumes]]}}'' öffnen können. Das Dateisystem muss dann jedoch vom jeweiligen System ebenfalls unterstützt werden, beispielsweise [[VFAT]], [[exFAT]] oder [[NTFS]]. Ein solches Open-Source-Projekt ist {{Monospace|libbde}} von Joachim Metz<ref>{{Internetquelle |autor=Joachim Metz |url=https://man.freebsd.org/cgi/man.cgi?query=libbde&apropos=0&sektion=3&manpath=FreeBSD+9.1-RELEASE+and+Ports&format=html |titel={{Monospace|libbde(3)}} |werk=FreeBSD Manual Pages |datum=2011-08-29 |format=[[Manpage]] |sprache=en |abruf=2026-03-08 |kommentar=erstmals in FreeBSD 9.1 Ports enthalten}}</ref> mit dem enthaltenen Kommandozeilen-Werkzeug <code>bdemount</code>,<ref>{{Internetquelle |autor=Joachim Metz |url=https://man.freebsd.org/cgi/man.cgi?query=bdemount&apropos=0&sektion=1&manpath=FreeBSD+10.1-RELEASE+and+Ports&format=html |titel={{Monospace|bdemount()}} |werk=FreeBSD Manual Pages |datum=2014-01-12 |format=[[Manpage]] |sprache=en |abruf=2026-03-08}}</ref><ref>{{Internetquelle |autor=Joachim Metz |url=https://manpages.debian.org/buster/libbde-utils/bdemount.1.en.html |titel=debian / buster / libbde-utils / bdemount(1) |datum=2014-08-31 |format=[[Manpage]] |sprache=en |abruf=2026-03-08 |kommentar=Debian 10 „Buster“, 6. Juli 2019}}</ref> ein weiteres Dislocker, das auf vielen Linux-Systemrettungs-[[Live-System]]en vorhanden ist, um auf Windows-Laufwerke zugreifen zu können.<ref>{{Heise online |ID=4936699 |Titel=Linux kommt zur Rettung: SystemRescueCd heißt jetzt SystemRescue |Autor=Susanne Nolte |Datum=2020-10-23 |Abruf=2026-03-08 |Zitat=Neu ist unter anderem … Dislocker für den Zugriff auf mit BitLocker verschlüsselte Datenträger.}}</ref> Auch in [[cryptsetup]]-Version 2.3.0 von 2020 ist experimentelle Unterstützung für BitLocker integriert, die auf die Masterarbeit von [[Red Hat|Red-Hat]]-Mitarbeiter Vojtech Trefny zurückgeht.<ref>{{Heise online |ID=4656526 |Titel=Linux-Verschlüsselungswerkzeug Cryptsetup unterstützt nun BitLocker |Autor=Oliver Müller |Datum=2020-02-10 |Abruf=2026-03-08}}</ref> All diesen Lösungen ist gemein, dass nur existierende BitLocker-Laufwerke mit einem Passwort oder dem Wiederherstellungspasswort nutzbar sind; die im TPM vorgehaltenen Passwörter sind prinzipbedingt nicht nutzbar. Auch das Erstellen neuer BitLocker-Laufwerke wird nicht unterstützt.<ref>{{Heise online |ID=4656526 |Titel=Linux-Verschlüsselungswerkzeug Cryptsetup unterstützt nun BitLocker |Autor=Oliver Müller |Datum=2020-02-10 |Abruf=2026-03-08 |Zitat=Bei TPM befürchten die Entwickler, dass die Unterstützung auch künftig nicht umsetzbar sei. Denn prinzipbedingt kann ein Betriebssystem (hier Linux) die im TPM durch ein anderes Betriebysstem (Windows) geschützt hinterlegten Daten schlicht nicht auslesen.}}</ref>

== Potenzielle Sicherheitsprobleme ==

=== TPM alleine ist nicht genug ===
Wird BitLocker ohne zusätzliche PIN (nur [[Trusted Platform Module]] (TPM)) eingesetzt, ist BitLocker transparent für den User. Beim Starten des verschlüsselten Geräts wird die eingebaute TPM-Hardware verwendet, um zu erkennen, ob nicht autorisierte Änderungen an der Pre-Boot-Umgebung, einschließlich BIOS und MBR, vorgenommen wurden. Wenn nicht autorisierte Änderungen erkannt werden, fordert BitLocker einen Wiederherstellungsschlüssel an. Ansonsten startet das Gerät, ohne dass weitere Interaktion nötig ist.<ref>{{Internetquelle |autor=Archiveddocs |url=https://learn.microsoft.com/en-us/previous-versions/technet-magazine/cc138009(v=msdn.10) |titel=Security: Keys to Protecting Data with BitLocker Drive Encryption |datum=2016-09-07 |sprache=en-us |abruf=2024-06-13}}</ref> Dadurch ist es beispielsweise nicht möglich, von einem alternativen Betriebssystem zu booten und auf Daten im durch BitLocker gesicherten Betriebssystem zuzugreifen. Es gibt allerdings mehrere mögliche Angriffe auf diese Konfiguration von BitLocker:

* Bei der [[Kaltstartattacke]] (englisch ''cold boot attack'') handelt es sich um einen Angriff, bei dem der [[Arbeitsspeicher]] des Systems ausgelesen wird, nachdem das System abgeschaltet wurde. Sie basiert auf der [[Datenremanenz]] in gängigen [[Arbeitsspeicher|RAM]]-Modulen, da sich die Daten nicht innerhalb von Millisekunden, sondern erst nach und nach langsam über Sekunden bis Minuten verflüchtigen.<ref>{{Internetquelle |url=https://citp.princeton.edu/our-work/memory/ |titel=Lest We Remember: Cold Boot Attacks on Encryption Keys |werk=Center for Information Technology Policy |sprache=en-US |abruf=2024-06-13}}</ref> Werden die Speichermodule gekühlt, verlängert sich diese Remanenzzeit drastisch. In der Praxis wird die Kühlung oft mit [[Kältespray]] durchgeführt. Als Gegenmaßnahme sollte immer eine BitLocker-PIN gesetzt sein. Zusätzlich sollten Systeme möglichst immer heruntergefahren werden und selbst beim Aufwachen aus dem Standby eine BitLocker-PIN-Eingabe erzwungen werden.<ref>{{Internetquelle |autor=Adam Pilkey |url=https://blog.f-secure.com/cold-boot-attacks/ |titel=The Chilling Reality of Cold Boot Attacks |datum=2018-09-13 |abruf=2024-06-13}}</ref>
* Es gibt außerdem mehrere Angriffe auf die Kommunikation zwischen dem [[Trusted Platform Module]] und der [[Prozessor|CPU]]. Dabei wird direkt auf dieser Verbindung mitgelesen und so der BitLocker-Schlüssel ausgelesen.<ref>{{Internetquelle |autor=stacksmashing |url=https://www.youtube.com/watch?v=wTl4vEednkQ |titel=Breaking Bitlocker - Bypassing the Windows Disk Encryption |datum=2024-02-03 |abruf=2024-06-13}}</ref> Dieser Angriff funktioniert nur, wenn keine BitLocker-PIN vergeben ist, da die Kommunikation zwischen TPM und CPU erst startet, sobald die korrekte PIN eingegeben wurde.
* Eine weitere Möglichkeit, über die mit BitLocker verschlüsselte Systeme angegriffen werden können, ist [[Direct Memory Access]]. Dabei wird nicht direkt BitLocker angegriffen, sondern das dadurch geschützte System. Wird BitLocker ohne PIN eingesetzt, basiert die weitere Sicherheit auf dem Anmeldebildschirm bzw. sicheren Passwörtern. Angreifer können über Direct Memory Access aber direkt auf den [[Arbeitsspeicher]] zugreifen und so beispielsweise Kommandos mit lokalen Adminrechten ausführen. Dieser direkte Speicherzugriff funktioniert beispielsweise über [[Thunderbolt (Schnittstelle)|Thunderbolt]]. Als Gegenmaßnahme gibt es die Einstellung "Kernel DMA Protection". Ist diese Einstellung aktiv, wird ein unbekanntes Thunderbolt-Gerät nur dann erlaubt, wenn das Gerät entsperrt ist.<ref>{{Internetquelle |autor=vinaypamnani-msft |url=https://learn.microsoft.com/en-us/windows/security/hardware-security/kernel-dma-protection-for-thunderbolt |titel=Kernel DMA Protection - Windows Security |datum=2024-01-09 |sprache=en-us |abruf=2024-06-13}}</ref> Ein weiterer, neuerer Angriff funktioniert über [[PCI Express]]. PCI-Express-Geräte können auch direkt auf den Speicher zugreifen. Ein Angreifer simuliert ein PCI-Express-Gerät (beispielsweise eine [[Grafikkarte]]) und kann darüber Befehle ausführen.<ref>{{Internetquelle |autor=Ulf Frisk |url=https://github.com/ufrisk/pcileech |titel=ufrisk/pcileech |datum=2024-06-12 |abruf=2024-06-13}}</ref> Als Gegenmaßnahme dagegen gibt es die Einstellung "Virtualization Based Security". Ist diese Einstellung aktiv, werden sicherheitskritische Bereiche virtualisiert und isoliert und können daher nicht mehr von dem PCI-Express-Gerät aus zugegriffen werden.<ref>{{Internetquelle |autor=windows-driver-content |url=https://learn.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-vbs |titel=Virtualization-based Security (VBS) |datum=2023-03-20 |sprache=en-us |abruf=2024-06-13}}</ref><ref>{{Internetquelle |url=https://www.vidrasec.com/de/blog/setup-bitlocker/ |titel=BitLocker absichern: Initiales Setup und Absicherung gegen Angriffe |datum=2024-03-15 |sprache=de |abruf=2024-06-13}}</ref> Auch gegen diese Angriffe hilft das Setzen einer PIN.

Alle diese Angriffe erfordern einen physischen Zugang zum System und werden durch einen sekundären Schutz wie einen USB-Stick oder einen PIN-Code vereitelt.

=== Implementierung in kommerzieller Software ===
Verschiedene Unternehmen wie Elcomsoft mit System Recovery ab Version 7.05 bieten Software<ref>[https://www.elcomsoft.de/press_releases/esr_20200630.html ''Elcomsoft führt BitLocker-Unterstützung ein und ermöglicht sofortigen Zugriff auf gesperrte Konten''], 30. Juni 2020, abgerufen am 28. Juli 2020</ref><ref>{{Webarchiv |url=http://www.cop2cop.de/2010/03/31/passware-kit-forensic-entschlusselt-truecrypt-festplatten-innerhalb-von-minuten/ |text=Cop2Cop Aktuelles zur Inneren Sicherheit, Polizei, Security, Justiz, Feuerwehr und deren Interessenvertretungen |wayback=20100701190025}}: {{"|…eine Lösung auf den Markt zu bringen, die der Polizei, Kriminalbeamten und Privatdetektiven die Möglichkeit bietet, sowohl BitLocker- und nun auch TrueCrypt-Verschlüsselung auf beschlagnahmten Computern zu umgehen.}}</ref> an, um die Bitlocker-Verschlüsselung aufzuheben, indem bei einem gemounteten BitLocker-Laufwerk der Arbeitsspeicher ausgelesen wird.<ref>PR Newswire: [http://www.prnewswire.co.uk/news-releases/passware-kit-forensic-entschlusselt-truecrypt-festplatten-innerhalb-von-minuten-152547605.html ''Passware Kit Forensic entschlüsselt TrueCrypt-Festplatten innerhalb von Minuten'']</ref> Dazu überträgt ein Programm Inhalte des [[Random-Access Memory|RAM]] beispielsweise über den [[FireWire]]-Port.<ref>Passware, Inc.: [http://www.lostpassword.com/hdd-decryption.htm#imager ''Acquiring Memory Image Using Passware FireWire Memory Imager'']</ref> Anschließend kann auf einem anderen PC im Speicherabbild der enthaltene Schlüssel angezeigt werden. Damit sind Zugriffe auf geschützte Daten des angegriffenen Rechners sofort oder später möglich. Ein Speicherabbild und damit das Auslesen des Schlüssels ist nur auf einem eingeschalteten Computer möglich, bei dem das Passwort bereits eingegeben wurde.<ref>golem.de: [http://www.golem.de/1003/74189.html ''Truecrypt- und Bitlocker-Festplatten schnell entschlüsseln'']</ref> Diese Angriffsmöglichkeit besteht auch für vergleichbare Programme wie [[TrueCrypt]]. Um diesen Angriff bei gesperrten PCs zu verhindern, bietet Microsoft eine Gruppenrichtlinie „Neue DMA-Geräte deaktivieren, wenn dieser Computer gesperrt wird“. Durch Aktivierung ist ein Zugriff auf den Arbeitsspeicherinhalt für hotplugfähige Geräte nur möglich, wenn der Computer nach dem Anschließen entsperrt wurde. TrueCrypt als auch Bitlocker löschen das eingegebene Passwort wieder aus dem RAM, nur der Schlüssel bleibt prinzipbedingt im Speicher.

== Probleme ==
Eine zwar offensichtliche Folge eines Austauschs systemrelevanter Komponenten, wie beispielsweise der [[Hauptplatine]] (auf der sich üblicherweise auch das [[Trusted Platform Module|TPM]] befindet), ist die notwendige Eingabe des Wiederherstellungsschlüssels.<ref>{{Internetquelle |url=https://www.dell.com/support/kbdoc/de-de/000131541/bitlocker-fordert-nach-austausch-der-hauptplatine-zur-eingabe-des-wiederherstellungsschl%C3%BCssels-auf |titel=BitLocker fordert nach Austausch der Hauptplatine zur Eingabe des Wiederherstellungsschlüssels auf |werk=Support |hrsg=Dell |datum=2025-07-17 |abruf=2025-10-19}}</ref> Hat diesen aber ein [[Benutzer]] nirgends notiert und ist der Schlüssel auch nicht im Microsoft-Konto hinterlegt, sind die eigenen Daten nicht mehr zugänglich. Weit weniger offensichtlich ist hingegen, dass sich BitLocker in Form der auch in der Home-Variante von Windows 10 und 11 verfügbaren „Geräteverschlüsselung“ teils selbständig aktiviert.<ref>{{Heise online |ID=7467041 |Titel=Laufwerksverschlüsselung per BitLocker: Das sollten Sie beachten |Autor=Jan Schüßler |Datum=2023-01-29 |Abruf=2025-10-19 |Zitat=… BitLocker steckt technisch auch in der Home-Edition von Windows, darf dort nur nicht so heißen. Stattdessen nennt Microsoft die Funktion dort ‚Geräteverschlüsselung‘. … Wir erleben immer wieder Systeme, bei denen die Verschlüsselung fürs Systemlaufwerk nach einer sauberen Neuinstallation sofort aktiv ist. Das ist einer der Gründe, warum Microsoft Ihnen bei der Ersteinrichtung so penetrant ein Microsoft-Konto aufs Auge drücken will: Sobald Sie sich mit einem solchen an Windows 10 oder 11 anmelden, landet der Wiederherstellungsschlüssel automatisch in Ihrem Konto …}}</ref> Dabei ließe sich der Wiederherstellungsschlüssel im Vorfeld, während das System noch normal startet, mit wenig Aufwand z. B. auf einem sicher verwahrten externen Medium für genau solche Fälle sichern.<ref>{{Heise online |ID=10377579 |Titel=BitLocker-Wiederherstellungsschlüssel sichern – so geht’s |Autor=Axel Vahldiek |Datum=2025-05-09 |Abruf=2025-10-19}}</ref>

== Vertrauenskrise hardwaregestützte SSD-Verschlüsselung ==
Sicherheitsfachleute fanden 2018 heraus, dass hardwaregestützte Verschlüsselung eines [[Solid-State-Drive]] (SSD) bei vielen Herstellern nicht korrekt implementiert ist.<ref name="heise-2018-11-06" /> Einige Hersteller waren nicht bereit, Firmware-Aktualisierungen für ältere SSDs bereitzustellen, insbesondere nicht bei der populären Samsung-Evo-Reihe.<ref name="c't 2019-23"/> Die Hersteller gaben stattdessen den Hinweis, auf Softwareverschlüsselung umzusteigen, auch da diese bei Fehlern leichter korrigierbar sei. Microsoft zog daraus die Konsequenz und aktiviert BitLocker bei Windows-Neuinstallationen automatisch und meidet die Hardwareverschlüsselung ab Werk bei Windows 10 Version 1903.<ref name="c't 2019-23"/> Laut der Zeitschrift c’t sind die Leistungseinbußen selbst bei fehlender AES-Beschleunigung „eher messbar als spürbar“.<ref name="c't 2019-23"/>

== Weblinks ==
* [http://technet.microsoft.com/de-de/library/hh831507.aspx FAQ von Microsoft]
* [http://testlab.sit.fraunhofer.de/content/output/project_results/bitlocker/BitLocker-Leitfaden.pdf BitLocker Drive Encryption im mobilen und stationären Unternehmenseinsatz von Fraunhofer-Institut für Sichere Informationstechnologie und Bundesamt für Sicherheit in der Informationstechnik] (PDF; 4,99 MB)
* [http://www.pctipp.ch/tipps-tricks/workshops/betriebssystem/artikel/verschluesseln-mit-bitlocker-83209/ „Verschlüsseln mit Bitlocker“, PCTipp]

== Einzelnachweise ==
<references>

<ref name="heise-2018-11-06">{{Internetquelle
|url=https://www.heise.de/-4212191
|titel=Daten von einigen selbstverschlüsselnden SSDs ohne Passwort einsehbar
|autor=Dennis Schirrmacher
|werk=heise online
|datum=2018-11-06
|abruf=2019-11-03
}}</ref>

<ref name="c't 2019-23">{{Literatur
| Autor=Jan Schüßler
| Titel=Vertrauen verspielt. BitLocker meidet hardwaregestützte SSD-Verschlüsselung
| Sammelwerk=[[c’t]]
| Nummer=23
| Datum=2019
| Seiten=156-157
| Online=https://www.heise.de/select/ct/2019/23/1572878842374841
| Kommentar=
| Abruf=2019-11-03
}}</ref>
</references>

{{SORTIERUNG:Bitlocker}}
[[Kategorie:Festplattenverschlüsselung]]
[[Kategorie:Microsoft Windows]]
[[Kategorie:Sicherheitssoftware]]

BitLocker - Versionsgeschichte

imported>Y2kbug: /* Interoperabilität */ Red Hat verlinkt