BitLocker einrichten – Festplatte unter Windows 10/11 verschlüsseln

Was ist BitLocker und warum ist es wichtig?

BitLocker ist die in Windows integrierte Laufwerkverschlüsselung von Microsoft. Sie schützt alle Daten auf einer Festplatte oder einem USB-Stick, indem sie diese mit dem Algorithmus AES-256 verschlüsselt. Ohne den richtigen Entschlüsselungsschlüssel sind die Daten für Unbefugte wertlos – selbst wenn die Festplatte ausgebaut oder das Gerät gestohlen wird.

Für Unternehmen in Heidelberg, Mannheim und der gesamten Rhein-Neckar-Region ist BitLocker besonders relevant: Die DSGVO verpflichtet Unternehmen, personenbezogene Daten zu schützen. Verschlüsselung ist dabei eine der empfohlenen technischen Maßnahmen.

Wann sollten Sie BitLocker einsetzen?

• Bei Laptops, die Mitarbeiter außerhalb des Büros nutzen
• Bei USB-Sticks mit sensiblen Unternehmensdaten
• Bei stationären PCs mit kritischen Daten
• Zur Erfüllung von Compliance-Anforderungen (DSGVO, ISO 27001)

Voraussetzungen für BitLocker

Bevor Sie BitLocker aktivieren, prüfen Sie folgende Punkte:

TPM-Chip erforderlich (empfohlen): Moderne PCs ab ca. 2016 haben einen TPM 2.0-Chip eingebaut. BitLocker nutzt ihn für die sichere Schlüsselspeicherung. Prüfen Sie das TPM im Geräte-Manager unter „Sicherheitsgeräte".

Windows-Edition: BitLocker ist verfügbar in:

• Windows 10/11 Pro
• Windows 10/11 Enterprise
• Windows 10/11 Education

Bei Windows Home-Editionen ist nur die eingeschränkte „Geräteverschlüsselung" verfügbar.

Freier Speicherplatz: BitLocker benötigt ca. 500 MB Speicher für die Systempartition.

BitLocker aktivieren – Schritt für Schritt

Schritt 1: Systemsteuerung öffnen

Öffnen Sie die Systemsteuerung → System und Sicherheit → BitLocker-Laufwerkverschlüsselung. Alternativ: Rechtsklick auf das Laufwerk im Datei-Explorer → BitLocker aktivieren.

Schritt 2: Startauthentifizierung wählen

Bei einem PC mit TPM-Chip empfiehlt Microsoft die automatische Entsperrung über den TPM. Für höhere Sicherheit können Sie zusätzlich eine PIN verlangen:

• Nur TPM: Einfacher, für die meisten Büro-PCs ausreichend
• TPM + PIN: Empfohlen für Laptops und mobile Geräte
• Ohne TPM (Kennwort): Auf Systemen ohne TPM-Chip

Schritt 3: Wiederherstellungsschlüssel sichern

Dies ist der kritischste Schritt! BitLocker erstellt einen 48-stelligen Wiederherstellungsschlüssel. Sichern Sie ihn an einem sicheren Ort:

• Im Microsoft-Konto speichern (bei Microsoft 365 Business empfohlen)
• In Active Directory speichern (für Unternehmensumgebungen)
• Als Datei auf einem USB-Stick (NICHT auf derselben Festplatte!)
• Ausdrucken und sicher aufbewahren

Wichtig: Ohne den Wiederherstellungsschlüssel sind die Daten bei Problemen dauerhaft verloren. Sichern Sie ihn an mehreren Orten!

Schritt 4: Verschlüsselungsmodus wählen

Windows bietet zwei Modi:

• Neues Verschlüsselungsformat (XTS-AES 128/256): Empfohlen für interne Festplatten unter Windows 10/11
• Kompatibilitätsmodus: Für USB-Sticks und externe Laufwerke, die auch auf älteren Windows-Versionen verwendet werden

Schritt 5: Verschlüsselung starten

Klicken Sie auf Verschlüsselung starten. Der Vorgang dauert je nach Laufwerksgröße und Geschwindigkeit:

• 256 GB SSD: ca. 10–30 Minuten
• 1 TB HDD: 4–8 Stunden
• Sie können den PC normal weiter nutzen während der Verschlüsselung läuft

BitLocker über Gruppenrichtlinien verwalten

In Unternehmensumgebungen verwalten IT-Admins BitLocker zentral über Gruppenrichtlinien (GPO):

Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc) und navigieren zu:
Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → BitLocker-Laufwerkverschlüsselung

Wichtige Einstellungen:

• Mindeststärke der Verschlüsselung festlegen (AES-256 empfohlen)
• Wiederherstellungsschlüssel in Active Directory speichern
• TPM-PIN-Anforderung erzwingen

BitLocker To Go für USB-Sticks

USB-Sticks sind ein häufiges Datenleck in Unternehmen. BitLocker To Go verschlüsselt externe Laufwerke:

1. USB-Stick anschließen
2. Rechtsklick → BitLocker aktivieren
3. Kennwort festlegen (mindestens 8 Zeichen)
4. Wiederherstellungsschlüssel sichern
5. Verschlüsselung starten

Mitarbeiter können den verschlüsselten USB-Stick auch auf anderen Windows-PCs nutzen – sie müssen nur das Kennwort eingeben.

Häufige Probleme und Lösungen

BitLocker startet nach Update nicht:
Manchmal sperrt ein BIOS/UEFI-Update die BitLocker-Partition. Halten Sie den Wiederherstellungsschlüssel bereit und geben Sie ihn ein, wenn Windows danach fragt.

TPM nicht erkannt:
Aktivieren Sie TPM im BIOS/UEFI unter „Security" → „TPM Device" oder „PTT (Intel Platform Trust Technology)".

Verschlüsselung hängt bei einem Prozentsatz:
Normalerweise läuft die Verschlüsselung im Hintergrund weiter. Prüfen Sie den Status mit: manage-bde -status C:

FAQ: BitLocker

Verlangsamt BitLocker den PC?
Auf modernen CPUs mit AES-NI-Befehlssatz ist der Geschwindigkeitsverlust unter 1%. Ältere CPUs ohne Hardware-Beschleunigung können 5–10% Leistungseinbuße zeigen.

Was passiert beim BitLocker-Entsperren nach dem Systemstart?
Wenn TPM konfiguriert ist, entsperrt Windows automatisch – der Nutzer bemerkt nichts. Mit TPM+PIN muss der Nutzer beim Start eine PIN eingeben.

Kann ich BitLocker jederzeit wieder deaktivieren?
Ja: Systemsteuerung → BitLocker → BitLocker deaktivieren. Die Entschlüsselung läuft im Hintergrund und dauert ähnlich lang wie die Verschlüsselung.

Funktioniert BitLocker mit Dual-Boot (Windows + Linux)?
Nein, nicht ohne Probleme. Linux kann BitLocker-Partitionen nicht lesen. Nutzen Sie separate Laufwerke oder deaktivieren Sie BitLocker im Dual-Boot-Setup.

Fazit

BitLocker ist eine effektive, kostengünstige Methode, um Unternehmensdaten zu schützen. Besonders für Laptops und USB-Sticks ist es unverzichtbar. Mit einer klaren Wiederherstellungsschlüssel-Strategie und der Verwaltung über Active Directory lässt es sich auch in größeren Unternehmen problemlos ausrollen.

Als IT-Dienstleister in Heidelberg unterstützen wir Unternehmen in der Rhein-Neckar-Region bei der Einrichtung und Verwaltung von BitLocker. Sprechen Sie uns an – wir bieten kostenlose Erstberatung.